Guide Produit. McAfee Enterprise Security Manager 9.5.0

Dimension: px
Commencer à balayer dès la page:

Download "Guide Produit. McAfee Enterprise Security Manager 9.5.0"

Transcription

1 Guide Produit McAfee Enterprise Security Manager 9.5.0

2 COPYRIGHT Copyright 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, , DROITS DE MARQUES Intel et le logo Intel sont des marques commerciales déposées d'intel Corporation aux États-Unis et/ou dans d'autres pays. McAfee et le logo McAfee, McAfee Active Protection, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource, VirusScan sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. ou de ses filiales aux États-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. INFORMATIONS DE LICENCE Accord de licence À L'ATTENTION DE TOUS LES UTILISATEURS : VEUILLEZ LIRE ATTENTIVEMENT L'ACCORD LÉGAL APPROPRIÉ CORRESPONDANT À LA LICENCE QUE VOUS AVEZ ACHETÉE, QUI DÉFINIT LES CONDITIONS GÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS NE CONNAISSEZ PAS LE TYPE DE LICENCE QUE VOUS AVEZ ACQUIS, CONSULTEZ LES DOCUMENTS DE VENTE, D'ATTRIBUTION DE LICENCE OU LE BON DE COMMANDE QUI ACCOMPAGNENT LE LOGICIEL OU QUE VOUS AVEZ REÇUS SÉPARÉMENT LORS DE L'ACHAT (SOUS LA FORME D'UN LIVRET, D'UN FICHIER SUR LE CD-ROM DU PRODUIT OU D'UN FICHIER DISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉ LE PACKAGE LOGICIEL). SI VOUS N'ACCEPTEZ PAS TOUTES LES DISPOSITIONS DE CET ACCORD, NE PROCÉDEZ PAS À L'INSTALLATION DU LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZ RETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LE REMBOURSEMENT INTÉGRAL 2 McAfee Enterprise Security Manager Guide Produit

3 Sommaire Préface 9 Présentation de ce guide Public visé Conventions Accès à la documentation sur le produit Présentation 11 Comment fonctionne McAfee Enterprise Security Manager Fonctions des équipements Mise en route 13 A propos du mode FIPS Informations sur le mode FIPS Sélection du mode FIPS Vérification de l'intégrité FIPS Ajout d'un équipement dont la clé est activée en mode FIPS Résolution des problèmes liés au mode FIPS Configuration évaluée d'après des critères courants Connexion et déconnexion Personnalisation de la page de connexion Mise à jour du logiciel ESM Obtention et ajout des informations d'identification pour la mise à jour des règles Recherche des mises à jour des règles Modification de la langue des journaux des événements Connexion d'équipements Ajout d'équipements dans la console ESM Sélection d'un type d'affichage Gestion des types d'affichage personnalisés Gestion d'un groupe dans un type d'affichage personnalisé Suppression d'un groupe ou d'un équipement Suppression des équipements en double dans l'arborescence de navigation des systèmes. 27 Préférences de la console Console ESM Utilisation du thème de couleurs de la console Sélection des paramètres d'affichage de la console Configuration du délai d'expiration de la console Sélection des paramètres utilisateur Configuration des informations d'identification de l'utilisateur pour McAfee epo Configuration de l'esm 31 Gestion des équipements Affichage des statistiques sur les équipements Ajout d'équipements dans la console ESM A propos des clés d'équipement Mise à jour du logiciel dans un équipement McAfee Enterprise Security Manager Guide Produit 3

4 Sommaire Organisation de vos équipements Gestion de plusieurs équipements Gestion des liens URL de tous les équipements Affichage des rapports de synthèse des équipements Affichage d'un journal de système ou d'équipement Rapports d'état d'intégrité des équipements Suppression d'un groupe ou d'un équipement Actualisation des équipements Configuration des équipements Fonctions des équipements Paramètres Event Receiver Paramètres d'enterprise Log Manager (ELM) Paramètres liés au moteur ACE (Advanced Correlation Engine) Paramètres de Application Data Monitor (ADM) Paramètres de Database Event Monitor (DEM) Paramètres de Distributed ESM (DESM) Paramètres epolicy Orchestrator Paramètres de Nitro Intrusion Prevention System (Nitro IPS) Paramètres McAfee Vulnerability Manager Paramètres McAfee Network Security Manager Configuration des services auxiliaires Informations système générales Configuration des paramètres du serveur Remedy Définition des paramètres des messages Configuration du protocole NTP dans un équipement Configuration des paramètres réseau Synchronisation de l'heure système Installation d'un nouveau certificat Configuration des profils Configuration SNMP Gestion de la base de données Configuration du stockage des données ESM Configuration du stockage des données de machine virtuelle ESM Augmentation du nombre d'index de cumul disponibles Configuration de l'archivage des partitions inactives Configuration des limites de conservation des données Définition des limites d'allocation des données Gestion des paramètres d'index de base de données Gestion de l'indexation du cumul Affichage de l'utilisation de la mémoire de la base de données Gestion des utilisateurs et des groupes Ajout d'un utilisateur Sélection des paramètres utilisateur Configuration de la sécurité Configuration des informations d'identification de l'utilisateur pour McAfee epo Désactivation ou réactivation d'un utilisateur Authentification des utilisateurs auprès d'un serveur LDAP Configuration de groupes d'utilisateurs Ajout d'un groupe à accès limité Sauvegarde et restauration des paramètres système Sauvegarde des paramètres ESM et des données système Restauration des paramètres ESM Restauration de fichiers de configuration sauvegardés Utilisation des fichiers de sauvegarde dans ESM Gestion de la maintenance des fichiers ESM redondant McAfee Enterprise Security Manager Guide Produit

5 Sommaire Gestion de l'esm Gestion des journaux Masquage des adresses IP Configuration de la journalisation ESM Modification de la langue des journaux des événements Exportation et restauration des clés de communication Régénération de la clé SSH Gestionnaire de tâches pour les requêtes Gestion des requêtes en cours d'exécution sur l'esm Mise à jour d'un ESM principal ou redondant Accès à un équipement à distance Utilisation des commandes Linux Commandes Linux disponibles Utilisation d'une liste globale de blocage Configuration d'une liste globale de blocage Qu'est-ce que l'enrichissement des données? Ajout de sources d'enrichissement des données Configuration de l'enrichissement des données McAfee Real Time for McAfee epo Ajout d'une source d'enrichissement de données Hadoop HBase Ajout d'une source d'enrichissement de données Hadoop Pig Ajout de l'enrichissement des données Active Directory pour les noms d'utilisateur Gestion de Cyber Threat 219 Configurer la gestion de Cyber Threat Affichage des résultats du flux Cyber Threat Utilisation des packs de contenu 223 Importation de packs de contenu Utilisation des alarmes 225 Fonctionnement des alarmes ESM Création d'une alarme Alarmes UCAPL Configuration d'une alarme de corrélation pour inclure des événements sources Ajout d'une alarme Concordance de champ Ajout d'une alarme à des règles Création d'une interruption SNMP à utiliser en tant qu'action d'une alarme Ajout d'une alarme de notification de panne d'alimentation Ajout d'une alarme d'événement du programme de surveillance d'état Copie d'une alarme Activation ou désactivation de la surveillance des alarmes Synthèse personnalisée pour les alarmes déclenchées et les incidents Gestion des modèles de message des alarmes Gestion des fichiers audio d'alarme Gestion des destinataires d'alarme Gestion des alarmes Affichage de la file d'attente des rapports d'alarme Gestion des fichiers de rapport d'alarme Utilisation des événements 247 Evénements, flux et journaux Configuration des téléchargements d'événements, de flux et de journaux Durée maximale de collecte des données Définition des paramètres de seuil d'inactivité Obtention des événements et des flux Recherche des événements, des flux et des journaux McAfee Enterprise Security Manager Guide Produit 5

6 Sommaire Définition des paramètres de géolocalisation et ASN Obtention des événements et des flux Agrégation des événements ou des flux Configuration du transfert des événements Gestion des rapports Définition du mois de début des rapports trimestriels Ajout d'un rapport Ajout d'une disposition de rapport Inclusion d'une image dans des PDF et des rapports Ajout d'une condition de rapport Affichage des noms d'hôte dans un rapport Description des filtres contains et regex Utilisation des vues d'esm Utilisation des vues ESM Affichage des informations sur les sessions Barre d'outils des vues Vues prédéfinies Ajout d'une vue personnalisée Composants de vues Utilisation de l'assistant Requête Gestion des vues Effectuer une recherche dans la période d'un événement Affichage des informations sur l'adresse IP d'un événement Modification de la vue par défaut Filtrage des vues Listes de surveillance Normalisation de chaîne Filtres de type personnalisé Création de types personnalisés Tableau des types personnalisés prédéfinis Ajout de types personnalisés d'heure Types personnalisés nom/valeur Ajout d'un type personnalisé de groupe nom/valeur Gestion des incidents 303 Ajout d'un incident Créer un incident à partir d'un événement Ajout d'événements à un incident existant Modification ou fermeture d'un incident Affichage des détails des incidents Ajout de niveaux d'état d'incident Envoi de notifications d'incident par Affichage de tous les incidents Génération des rapports de gestion des incidents Utilisation d'asset Manager 309 Gestion des actifs Définition des anciens actifs Configuration de la gestion de la configuration Gestion des fichiers de configuration récupérés Découverte du réseau Découverte du réseau Gestion de la liste des exclusions d'ip Découvrir des postes clients Afficher un mappage du réseau Modifier le fonctionnement de la Découverte du réseau McAfee Enterprise Security Manager Guide Produit

7 Sommaire Sources d'actif Gestion des sources d'actif Gestion des sources d'évaluation des vulnérabilités (VA) Gestion des zones Gestion des zones Ajout d'une zone Exportation de paramètres de zone Importation de paramètres de zone Ajout d'une sous-zone Evaluation des risques, actifs et menaces Gestion des menaces connues Gestion des stratégies et des règles 319 Fonctionnement de l'editeur de stratégies Arborescence des stratégies Gestion des stratégies dans l'arborescence des stratégies Types de règle et propriétés correspondantes Variables Règles de préprocesseur Règles de pare-feu Règles approfondies d'inspection des paquets Règles internes Règles de filtre Règles ASP Règles de source de données Règles d'événements Windows ADM, règles Règles DEM Règles de corrélation Affichage des détails des règles de corrélation Ajout de règles ADM, de base de données ou de corrélation personnalisées Règles ESM Normalisation Activation de l'option Copier le paquet Paramètres de stratégie par défaut Mode Alertes uniquement Configuration du mode Surabonnement Affichage du statut de mise à jour des stratégies des équipements Opérations sur les règles Gestion des règles Importation de règles Importation de variables Exportation de règles Définir les règles de la liste de blocage automatique Filtrage des règles Afficher la signature d'une règle Récupération des mises à jour des règles Effacement du statut des règles mises à jour Comparaison de fichiers de règles Affichage de l'historique des modifications de règle Création d'une liste de surveillance de règles Ajout de règles à une liste de surveillance Attribution de marqueurs aux règles ou aux actifs Modification des paramètres d'agrégation Action de remplacement pour les règles téléchargées Pondérations de gravité McAfee Enterprise Security Manager Guide Produit 7

8 Sommaire Définition des pondérations de gravité Affichage de l'historique des modifications de stratégie Application des modifications de stratégie Gestion du trafic prioritaire Index McAfee Enterprise Security Manager Guide Produit

9 Préface Ce guide fournit les informations dont vous avez besoin pour utiliser votre produit McAfee. Sommaire Présentation de ce guide Accès à la documentation sur le produit Présentation de ce guide Cette section présente le public ciblé par ce guide, les conventions typographiques et les icônes utilisées ainsi que la structure du guide. Public visé La documentation McAfee a fait l'objet de recherches attentives et a été rédigée en fonction du public visé. Les informations présentées dans ce guide sont principalement destinées aux personnes suivantes : Administrateurs : personnes qui mettent en œuvre et appliquent le programme de sécurité de l'entreprise. Utilisateurs : personnes qui utilisent l'ordinateur sur lequel le logiciel est exécuté et peuvent accéder à certaines ou toutes ses fonctionnalités. Conventions Les conventions typographiques et icônes suivantes sont respectées dans le présent guide. Titre du manuel, terme, accentuation Gras Entrée utilisateur, code, message Texte d'interface Lien hypertexte bleu Titre d'un manuel, chapitre ou rubrique ; nouveau terme ; accentuation. Texte mis en évidence de manière particulière. Commandes et autre texte saisi par l'utilisateur ; exemple de code ; message affiché. Termes de l'interface du produit, par exemple les options, menus, boutons et boîtes de dialogue. Lien actif vers une rubrique ou un site web externe. Remarque : Informations complémentaires, par exemple un autre moyen d'accéder à une option. Conseil : Suggestions et recommandations. McAfee Enterprise Security Manager Guide Produit 9

10 Préface Accès à la documentation sur le produit Important/Attention : Conseil important visant à protéger un système informatique, l'installation d'un logiciel, un réseau ou des données. Avertissement : Conseil crucial visant à empêcher les dommages corporels lors de l'utilisation du matériel informatique. Accès à la documentation sur le produit Dès qu'un produit est distribué, les informations le concernant sont intégrées dans le Centre de connaissances en ligne de McAfee. 1 Accédez à l'onglet Centre de connaissances du portail McAfee ServicePortal à l'adresse support.mcafee.com. 2 Dans le volet Base de connaissances, cliquez sur une source de contenu : Documentation produit pour rechercher une documentation utilisateur Articles techniques pour rechercher des articles de la base de connaissances 3 Sélectionnez Ne pas effacer mes filtres. 4 Entrez un produit, sélectionnez une version, puis cliquez sur Rechercher pour afficher une liste de documents. 10 McAfee Enterprise Security Manager Guide Produit

11 1 1 Présentation McAfee Enterprise Security Manager (McAfee ESM) permet aux professionnels de la sécurité et la conformité de collecter, stocker, analyser et contrer les risques et les menaces depuis le même emplacement. Sommaire Comment fonctionne McAfee Enterprise Security Manager Fonctions des équipements Comment fonctionne McAfee Enterprise Security Manager McAfee ESM collecte et agrège les données et les événements des équipements de sécurité, des infrastructures réseau, des systèmes et des applications. Il analyse ensuite ces données, en les associant à des informations contextuelles sur les utilisateurs, les actifs, les vulnérabilités et les menaces. Il met en corrélation ces informations pour trouver les incidents importants. Les tableaux de bord interactifs et personnalisables vous permettent de consulter des événements particuliers pour faire des recherches sur des incidents. ESM comporte trois couches : Interface : programme de navigation qui fait l'interface entre l'utilisateur et le système (appelée console ESM). Stockage, gestion et analyse de données : équipements qui fournissent tous les services de manipulation des données nécessaires, notamment la configuration, la génération de rapports, la visualisation et la recherche. ESM (requis), ACE (Advanced Correlation Engine), DESM (Distributed ESM) et ELM (Enterprise Log Manager) exécutent ces fonctions. Acquisition des données : équipements qui fournissent les interfaces et les services permettant l'acquisition des données à partir de l'environnement réseau de l'utilisateur. Nitro IPS (Intrusion Prevention System), Event Receiver (récepteur), ADM (Application Data Monitor) et DEM (Database Event Monitor) exécutent ces fonctions. McAfee Enterprise Security Manager Guide Produit 11

12 1 Présentation Fonctions des équipements Toutes les fonctions de commande, contrôle et communication entre les composants sont coordonnées via des canaux de communication sécurisés. Fonctions des équipements L'ESM vous permet de gérer, d'administrer et d'interagir avec tous les équipements physiques et virtuels de votre environnement de sécurité. Voir aussi Paramètres Event Receiver, page 61 Paramètres d'enterprise Log Manager (ELM), page 116 Paramètres de Application Data Monitor (ADM), page 136 Paramètres de Database Event Monitor (DEM), page 151 Paramètres liés au moteur ACE (Advanced Correlation Engine), page 132 Paramètres de Distributed ESM (DESM), page 158 Paramètres epolicy Orchestrator, page 159 Paramètres de Nitro Intrusion Prevention System (Nitro IPS), page McAfee Enterprise Security Manager Guide Produit

13 2 2 Mise en route Vérifiez que votre environnement ESM est prêt et à jour. Sommaire A propos du mode FIPS Configuration évaluée d'après des critères courants Connexion et déconnexion Personnalisation de la page de connexion Mise à jour du logiciel ESM Obtention et ajout des informations d'identification pour la mise à jour des règles Recherche des mises à jour des règles Modification de la langue des journaux des événements Connexion d'équipements Préférences de la console A propos du mode FIPS La norme FIPS (Federal Information Processing Standard) est constituée de normes annoncées publiquement, qui sont développées par le gouvernement fédéral des Etats-Unis. Si vous devez respecter ces normes, vous devez utiliser ce système en mode FIPS. Le mode FIPS doit être sélectionné la première fois que vous vous connectez au système et il ne peut pas être modifié par la suite. Voir aussi Informations sur le mode FIPS, page 14 Sommaire Informations sur le mode FIPS Sélection du mode FIPS Vérification de l'intégrité FIPS Ajout d'un équipement dont la clé est activée en mode FIPS Résolution des problèmes liés au mode FIPS McAfee Enterprise Security Manager Guide Produit 13

14 2 Mise en route A propos du mode FIPS Informations sur le mode FIPS En raison de la réglementation FIPS, certaines fonctionnalités ESM ne sont pas disponibles, certaines fonctionnalités disponibles ne sont pas conformes et d'autres fonctionnalités ne sont disponibles qu'en mode FIPS. Ces fonctionnalités sont notées tout au long du document et répertoriées ici. Statut de la fonctionnalité Fonctionnalités supprimées Fonctionnalités disponibles uniquement en mode FIPS Description Récepteurs haute disponibilité. Terminal GUI (interface graphique utilisateur). Communication avec l'équipement qui utilise le protocole SSH. Dans la console de l'équipement, le shell racine est remplacé par un menu de gestion des équipements. Il existe quatre rôles d'utilisateur qui ne se chevauchent pas : Utilisateur, Utilisateur avec pouvoir, Administrateur d'audit et Administrateur de clé et certificat. Toutes les pages Propriétés sont pourvues de l'option Auto-test qui vous permet de vérifier que le système fonctionne correctement en mode FIPS. En cas d'échec FIPS, un indicateur de statut est ajouté à l'arborescence de navigation des systèmes pour refléter cet échec. Toutes les pages Propriétés sont pourvues de l'option Afficher, qui ouvre la page Jeton d'identité FIPS lorsque vous cliquez dessus. Elle affiche une valeur qui doit être comparée à la valeur affichée dans ces sections du document afin que vous vous assuriez que le mode FIPS n'a pas été compromis. Dans Propriétés du système Utilisateurs et groupes Privilèges Modifier le groupe, la page inclut le privilège Auto-test du chiffrement FIPS, qui octroie aux membres de groupe l'autorisation d'exécuter des auto-tests FIPS. Lorsque vous cliquez sur Importer la clé ou Exporter la clé dans Propriétés IPS Gestion des clés, vous êtes invité à sélectionner le type de clé que vous souhaitez importer ou exporter. Dans l'assistant Ajout d'équipement, le protocole TCP est toujours défini sur le port 22. Le port SSH peut être modifié. Sélection du mode FIPS Lors de la première connexion au système, vous devez décider si le système doit fonctionner en mode FIPS ou non. Une fois cette sélection effectuée, il n'est pas possible de la modifier. 1 Lors de votre première connexion à ESM : a Dans le champ Nom de l'utilisateur, entrez NGCP. b Dans le champ Mot de passe, entrez security.4u. Vous êtes invité à changer votre mot de passe. 2 Entrez et confirmez le nouveau mot de passe. 14 McAfee Enterprise Security Manager Guide Produit

15 Mise en route A propos du mode FIPS 2 3 Dans Activer FIPS, cliquez sur Oui. Le message d'avertissement Activer FIPS vous demande de confirmer que vous souhaitez faire fonctionner ce système en mode FIPS de façon définitive. 4 Cliquez sur Oui pour confirmer votre choix. Vérification de l'intégrité FIPS Si votre système fonctionne en mode FIPS, FIPS requiert la vérification régulière de l'intégrité logicielle. Cette vérification doit être effectuée sur le système et sur chaque équipement. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système et assurez-vous que l'option Informations système est sélectionnée. 2 Effectuez l'une des actions suivantes : Dans ce champ... Statut FIPS Test ou Auto-test FIPS Afficher ou Identité FIPS Procédez ainsi... Afficher les résultats du dernier auto-test FIPS effectué sur l'esm. Exécuter les auto-tests FIPS qui permettent de vérifier l'intégrité des algorithmes utilisés dans l'exécutable de chiffrement. Vous pouvez consulter les résultats dans le Journal des messages. Si un auto-test FIPS échoue, FIPS est compromis ou une défaillance de l'équipement s'est produite. Contactez le Support technique McAfee. Ouvrez la page Jeton d'identité FIPS pour exécuter la vérification de l'intégrité logicielle au démarrage. Comparez la valeur ci-dessous à la clé publique qui s'affiche sur cette page : Si cette valeur ne correspond pas à la clé publique, FIPS est compromis. Contactez le Support technique McAfee. McAfee Enterprise Security Manager Guide Produit 15

16 2 Mise en route A propos du mode FIPS Ajout d'un équipement dont la clé est activée en mode FIPS En mode FIPS, deux méthodes permettent d'ajouter à un ESM un équipement dont la clé a déjà été activée. Cette terminologie ainsi que les extensions de fichier vous sont utiles lorsque vous suivez ces procédures. Terminologie Clé d'équipement : contient les droits de gestion dont dispose un ESM pour un équipement. Elle n'est pas utilisée pour la cryptographie. Clé publique : clé de communication SSH publique d'esm, qui est stockée dans la table des clés autorisées d'un équipement. Clé privée : clé de communication SSH privée d'esm, qui est utilisée par l'exécutable SSH dans un ESM pour établir la connexion SSH avec un équipement. ESM principal : ESM qui a été utilisé à l'origine pour enregistrer l'équipement. ESM secondaire : ESM supplémentaire qui communique avec l'équipement. Extensions des différents fichiers d'exportation.exk : contient la clé d'équipement..puk : contient la clé publique..prk : contient la clé privée et la clé d'équipement. Sauvegarde et restauration des informations d'un équipement en mode FIPS Cette méthode permet de sauvegarder et de restaurer les informations de communication d'un équipement sur l'esm. Elle est principalement destinée à être utilisée en cas de défaillance nécessitant le remplacement d'esm. Si les informations de communication ne sont pas exportées avant la défaillance, il est impossible de rétablir la communication avec l'équipement. Cette méthode exporte et importe le fichier.prk. La clé privée de l'esm principal est utilisée par l'esm secondaire pour établir initialement une communication avec l'équipement. Une fois la communication établie, l'esm secondaire copie sa clé publique dans la table des clés autorisées de l'équipement. L'ESM secondaire efface alors la clé privée de l'esm principal et initie une communication avec sa propre paire de clés publiques ou privées. 16 McAfee Enterprise Security Manager Guide Produit

17 Mise en route A propos du mode FIPS 2 Action Exporter le fichier.prk à partir de l'esm principal Etapes 1 Dans l'arborescence de navigation des systèmes de l'esm principal, sélectionnez l'équipement pourvu des informations de communication que vous souhaitez sauvegarder, puis cliquez sur l'icône Propriétés. 2 Sélectionnez Gestion des clés, puis cliquez sur Exporter la clé. 3 Sélectionnez Sauvegarder la clé privée SSH, puis cliquez sur Suivant. 4 Tapez et confirmez un mot de passe, puis définissez la date d'expiration. Une fois la date d'expiration passée, la personne qui importe la clé ne peut pas communiquer avec l'équipement tant qu'aucune autre clé n'a été exportée avec une date d'expiration future. Si vous sélectionnez Ne jamais expirer, la clé n'expire jamais si elle est importée dans un autre ESM. 5 Cliquez sur OK, sélectionnez l'emplacement d'enregistrement du fichier.prk créé par l'esm, puis déconnectez-vous de l'esm principal. Ajouter un équipement à l'esm secondaire et importer le fichier.prk 1 Dans l'arborescence de navigation des systèmes de l'équipement secondaire, sélectionnez le nœud de niveau Système ou Groupe auquel vous souhaitez ajouter l'équipement. 2 Dans la barre d'outils Actions, cliquez sur Ajouter un équipement. 3 Sélectionnez le type d'équipement à ajouter, puis cliquez sur Suivant. 4 Entrez le nom de l'équipement qui est unique dans ce groupe, puis cliquez sur Suivant. 5 Entrez l'adresse IP cible de l'équipement et le port de communication FIPS, puis cliquez sur Suivant. 6 Cliquez sur Importer la clé, sélectionnez le fichier.prk précédemment exporté, puis cliquez sur Charger. Tapez le mot de passe spécifié lors de l'exportation initiale de cette clé. 7 Déconnectez-vous de l'esm secondaire. Activation de la communication avec plusieurs équipements ESM en mode FIPS Vous pouvez permettre à plusieurs ESM de communiquer avec le même équipement. Pour cela, exportez et importez les fichiers.puk et.exk. Cette méthode utilise deux processus d'exportation et d'importation. L'ESM principal est d'abord utilisé pour importer le fichier.puk exporté depuis l'équipement ESM secondaire et envoyer la clé publique de l'esm secondaire vers l'équipement. Cela permet aux deux équipements ESM de communiquer avec l'équipement. Ensuite, le fichier.exk de l'équipement est exporté depuis l'esm principal et importé vers l'esm secondaire, ce qui permet à l'esm secondaire de communiquer avec l'équipement. McAfee Enterprise Security Manager Guide Produit 17

18 2 Mise en route A propos du mode FIPS Action Exporter le fichier.puk à partir de l'esm secondaire Etapes 1 Dans la page Propriétés du système de l'esm secondaire, sélectionnez Gestion ESM. 2 Cliquez sur Exporter SSH, puis sélectionnez l'emplacement d'enregistrement du fichier.puk. 3 Cliquez sur Enregistrer, puis déconnectez-vous. Importer le fichier.puk dans l'esm principal 1 Dans l'arborescence de navigation des systèmes de l'esm principal, sélectionnez l'équipement que vous souhaitez configurer. 2 Cliquez sur l'icône Propriétés, puis sélectionnez Gestion des clés. 3 Cliquez sur Gérer les clés SSH. 4 Cliquez sur Importer, sélectionnez le fichier.puk, puis cliquez sur Charger. 5 Cliquez sur OK, puis déconnectez-vous de l'esm principal. Exporter le fichier.exk de l'équipement à partir de l'esm principal 1 Dans l'arborescence de navigation des systèmes de l'esm principal, sélectionnez l'équipement que vous souhaitez configurer. 2 Cliquez sur l'icône Propriétés, puis sélectionnez Gestion des clés. 3 Cliquez sur Exporter la clé, sélectionnez la clé de l'équipement de sauvegarde, puis cliquez sur Suivant. 4 Tapez et confirmez un mot de passe, puis définissez la date d'expiration. Une fois la date d'expiration passée, la personne qui importe la clé ne peut pas communiquer avec l'équipement tant qu'aucune autre clé n'a été exportée avec une date d'expiration future. Si vous sélectionnez Ne jamais expirer, la clé n'expire jamais si elle est importée dans un autre ESM. 5 Sélectionnez les privilèges du fichier.exk, puis cliquez sur OK. 6 Sélectionnez l'emplacement d'enregistrement de ce fichier, puis déconnectez-vous de l'esm principal. Importer le fichier.exk dans l'esm secondaire 1 Dans l'arborescence de navigation des systèmes de l'équipement secondaire, sélectionnez le nœud de niveau Système ou Groupe auquel vous souhaitez ajouter l'équipement. 2 Dans la barre d'outils Actions, cliquez sur Ajouter un équipement. 3 Sélectionnez le type d'équipement à ajouter, puis cliquez sur Suivant. 4 Entrez le nom de l'équipement propre à ce groupe, puis cliquez sur Suivant. 5 Cliquez sur Importer la clé, puis naviguez jusqu'au fichier.exk. 6 Cliquez sur Charger, puis entrez le mot de passe qui a été spécifié lors de l'exportation initiale de cette clé. 7 Déconnectez-vous de l'esm secondaire. 18 McAfee Enterprise Security Manager Guide Produit

19 Mise en route Configuration évaluée d'après des critères courants 2 Résolution des problèmes liés au mode FIPS Des problèmes peuvent se produire lorsque ESM fonctionne en mode FIPS. Problème Communication impossible avec l'esm Communication impossible avec l'équipement Erreur Le fichier n'est pas valide lors de l'ajout d'un équipement Description et résolution Consultez l'écran LCD à l'avant de l'équipement. Si un message indique un Echec FIPS, contactez le support technique McAfee. Déterminez si l'interface HTTP présente une condition d'erreur en consultant la page web d'auto-test FIPS de l'esm dans un navigateur. - Si le chiffre unique 0 s'affiche, indiquant l'échec de l'auto-test FIPS sur l'équipement, redémarrez l'équipement ESM pour essayer de corriger le problème. Si la condition d'échec persiste, contactez le support technique pour obtenir d'autres instructions. - Si le chiffre unique 1 s'affiche, le problème de communication n'est pas dû à un échec FIPS. Pour connaître la procédure de résolution, contactez le support technique. Si un indicateur d'état s'affiche à côté de l'équipement dans l'arborescence de navigation du système, placez le curseur dessus. Si le message Echec FIPS s'affiche, contactez le support technique McAfee via le portail de support. Suivez les instructions relatives au problème Communication impossible avec l'esm. Vous ne pouvez pas exporter une clé d'un équipement qui n'est pas en mode FIPS pour l'importer sur un équipement qui est en mode FIPS. De même, vous ne pouvez pas exporter une clé d'un équipement qui est en mode FIPS pour l'importer sur un équipement qui n'est pas en mode FIPS. Cette erreur s'affiche si vous essayez de faire ces opérations. Configuration évaluée d'après des critères courants L'appliance McAfee doit être installée, configurée et utilisée d'une façon spécifique afin d'être conforme à la configuration évaluée d'après des critères courants. N'oubliez pas les exigences suivantes lorsque vous configurez votre système. Type Exigences Physique L'appliance McAfee doit être : Protégée contre toute modification physique non autorisée. Localisée dans des installations à accès contrôlé, ce qui empêche tout accès physique non autorisé. Utilisation prévue L'appliance McAfee doit : Avoir accès à l'ensemble du trafic réseau afin d'exécuter ses fonctions. Etre managée pour permettre des modifications d'adresse dans le trafic réseau surveillé par la cible d'évaluation (Target of Evaluation). Etre adaptée au trafic réseau qu'elle surveille. McAfee Enterprise Security Manager Guide Produit 19

20 2 Mise en route Connexion et déconnexion Type Personnel Autre Exigences Une ou plusieurs personnes compétentes doivent être affectées pour gérer l'appliance McAfee et la sécurité des informations qu'elle contient. L'assistance sur site liée à l'installation et à la configuration et la formation sur site relative à l'utilisation de l'appliance sont fournies par les ingénieurs McAfee pour chaque client McAfee. Les administrateurs autorisés sont consciencieux, très prudents et cordiaux ; ils suivent et respectent les instructions de la documentation relative à l'appliance McAfee. L'appliance McAfee doit être accessible uniquement aux utilisateurs autorisés. Les personnes en charge de l'appliance McAfee doivent veiller à ce que toutes les informations d'identification d'accès soient protégées par les utilisateurs d'une manière cohérente avec la sécurité informatique. N'appliquez pas les mises à jour logicielles à l'appliance McAfee, car cela entraînerait une configuration autre que la configuration évaluée d'après des critères courants. Pour obtenir une mise à jour certifiée, contactez le support technique McAfee. Sur un équipement Nitro IPS, l'activation des paramètres Temporisateur de surveillance et Forcer le contournement de la page Paramètres de l'interface réseau entraîne une configuration différente de la configuration évaluée d'après des critères courants. Sur un équipement Nitro IPS, l'utilisation d'un paramètre du mode Surabonnement autre que le paramètre abandonner entraîne une configuration différente de la configuration évaluée d'après des critères courants. L'activation de la fonctionnalité Sécurité de connexion avec un serveur RADIUS entraîne une communication sécurisée. L'environnement informatique assure la transmission sécurisée des données entre la cible d'évaluation et les entités et sources externes. Les services d'authentification externes peuvent être fournis par un serveur RADIUS. L'utilisation de la fonctionnalité Smart Dashboard de la console de pare-feu CheckPoint ne fait pas partie de la cible d'évaluation. L'utilisation de Snort Barnyard ne fait pas partie de la cible d'évaluation. L'utilisation du client MEF ne fait pas partie de la cible d'évaluation. L'utilisation de Remedy Ticket System ne fait pas partie de la cible d'évaluation. Connexion et déconnexion Après avoir installé et configuré les équipements, vous pouvez vous connecter à la console ESM pour la première fois. 1 Ouvrez un navigateur web sur l'ordinateur client et accédez à l'adresse IP que vous avez définie lors de la configuration de l'interface réseau. 2 Cliquez sur Connexion, sélectionnez la langue de la console, puis entrez le nom d'utilisateur et le mot de passe par défaut. Nom de l'utilisateur par défaut : NGCP Mot de passe par défaut : security.4u 20 McAfee Enterprise Security Manager Guide Produit

21 Mise en route Personnalisation de la page de connexion 2 3 Cliquez sur Connexion, lisez l'accord de licence utilisateur final, puis cliquez sur Accepter. 4 Modifiez votre nom d'utilisateur et votre mot de passe, puis cliquez sur OK. 5 Indiquez si vous souhaitez activer le mode FIPS. Si vous devez utiliser le mode FIPS, activez-le dès votre première connexion au système afin que toutes les opérations effectuées par la suite avec les équipements McAfee soient en mode FIPS. Il est conseillé de ne pas activer pas le mode FIPS si vous n'avez pas l'obligation de l'utiliser. Pour plus d'informations, voir A propos du mode FIPS. 6 Suivez les instructions pour obtenir votre nom d'utilisateur et votre mot de passe, qui sont nécessaires pour accéder aux mises à jour des règles. 7 Effectuez la configuration initiale de l'esm : a Sélectionnez la langue à utiliser pour les journaux système. b c Sélectionnez le fuseau horaire correspondant à cet ESM ainsi que le format de date à utiliser avec ce compte, puis cliquez sur Suivant. Définissez les paramètres sur les pages de l'assistant Configuration ESM initiale. Cliquez sur l'icône Afficher l'aide présente sur chaque page d'instructions. 8 Cliquez sur OK, puis cliquez sur les liens pour obtenir de l'aide sur les procédures à suivre ou connaître les nouvelles fonctionnalités disponibles dans cette version de ESM. 9 Lorsque vous avez terminé votre session de travail, déconnectez-vous avec l'une des méthodes suivantes : Si aucune page n'est ouverte, cliquez sur Déconnexion dans la barre de navigation du système située dans l'angle supérieur droit de la console. Si des pages sont ouvertes, fermez le navigateur. Voir aussi A propos du mode FIPS, page 13 Personnalisation de la page de connexion Vous pouvez personnaliser la page de connexion pour ajouter du texte, par exemple les stratégies de sécurité de l'entreprise ou un logo. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système Paramètres personnalisés. 2 Effectuez l'une des actions suivantes : McAfee Enterprise Security Manager Guide Produit 21

22 2 Mise en route Mise à jour du logiciel ESM Pour... Ajouter un texte personnalisé Procédez ainsi... 1 Cliquez dans la zone de texte en haut de la page. 2 Tapez le texte que vous souhaitez ajouter à la page Connexion. 3 Sélectionnez Inclure du texte dans l'écran de connexion. Ajouter une image personnalisée 1 Cliquez sur Sélectionner une image. 2 Chargez l'image que vous souhaitez utiliser. 3 Sélectionnez Inclure une image dans l'écran de connexion. Si l'ancien logo est toujours affiché dans la page Connexion après le chargement d'un nouveau logo personnalisé, effacez le cache de votre navigateur. Supprimer une image personnalisée Cliquez sur Supprimer l'image. Le logo par défaut est affiché. Mise à jour du logiciel ESM Accédez aux mises à jour logicielles à partir du serveur de mises à jour ou auprès d'un ingénieur chargé de la sécurité, puis chargez-les dans ESM. Pour mettre à jour l'esm principal ou redondant, voir Mise à jour d'un ESM principal ou redondant. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Gestion ESM. 2 Dans l'onglet Maintenance, cliquez sur Mettre à jour ESM. 3 Sélectionnez le fichier à utiliser pour mettre à jour l'esm, puis cliquez sur OK. L'ESM redémarre et toutes les sessions en cours sont déconnectées lors de l'installation de la mise à jour. Voir aussi Mise à jour d'un ESM principal ou redondant, page 210 Obtention et ajout des informations d'identification pour la mise à jour des règles ESM fournit les mises à jour des stratégies, des analyseurs syntaxiques et des règles dans le cadre de votre contrat de maintenance. Vous avez un délai de 30 jours avant que vos informations d'identification permanentes deviennent nécessaires. 22 McAfee Enterprise Security Manager Guide Produit

23 Mise en route Recherche des mises à jour des règles 2 1 Pour obtenir vos informations d'identification, envoyez un à l'adresse en indiquant les informations suivantes : Numéro Grant Number McAfee Nom du compte Adresse Nom du contact Adresse du contact 2 Lorsque vous recevez votre ID client et votre mot de passe envoyé par McAfee, sélectionnez Propriétés du système Informations système Mise à jour des règles dans l'arborescence de navigation du système. 3 Cliquez sur Informations d'identification, puis entrez l'id de client et le mot de passe. 4 Cliquez sur Valider. Recherche des mises à jour des règles Les signatures des règles utilisées par un équipement Nitro IPS pour examiner le trafic réseau sont mises à jour en continu par l'équipe de gestion des signatures de McAfee et elles sont disponibles en téléchargement sur le serveur central de McAfee. Vous pouvez récupérer ces mises à jour de règles automatiquement ou manuellement. 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés du système et vérifiez que Informations système est sélectionné. 2 Dans le champ Mises à jour des règles, vérifiez que votre licence n'a pas expiré. Si la licence a expiré, consultez Obtention et ajout des informations d'identification pour la mise à jour des règles. 3 Si votre licence est valide, cliquez sur Mise à jour des règles. 4 Sélectionnez l'une des options suivantes : Intervalle de vérification automatique pour configurer le système de façon à vérifier les mises à jour automatiquement selon la fréquence que vous sélectionnez Vérifier maintenant pour rechercher les mises à jour maintenant. Mise à jour manuelle pour mettre à jour les règles depuis un fichier local 5 Cliquez sur OK. Voir aussi Obtention et ajout des informations d'identification pour la mise à jour des règles, page 22 McAfee Enterprise Security Manager Guide Produit 23

24 2 Mise en route Modification de la langue des journaux des événements Modification de la langue des journaux des événements Lors de votre première connexion à ESM, vous avez sélectionné la langue à utiliser pour les journaux des événements, par exemple le journal du programme de surveillance d'état et le journal de l'équipement. Vous pouvez changer ce paramètre de langue. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système Gestion ESM. 2 Cliquez sur Paramètres régionaux système, sélectionnez une langue dans la liste déroulante, puis cliquez sur OK. Connexion d'équipements Connectez les équipements physiques et virtuels à McAfee ESM pour permettre l'analyse temps réel, la surveillance des applications et des base de données, la corrélation avancée basée sur les règles et sur les risques et la génération de rapports de conformité. Lorsque vous augmentez le nombre d'équipements sur votre système, organisez-les de façon logique. Par exemple, si vous avez des succursales dans différents emplacements géographiques, vous pouvez afficher les équipements en fonction des zones où ils se trouvent. Vous pouvez utiliser les affichages prédéfinis ou bien concevoir des affichages personnalisés. Pour organiser les équipements de façon plus spécifique, vous pouvez également les grouper dans chaque affichage personnalisé. Sommaire Ajout d'équipements dans la console ESM Sélection d'un type d'affichage Gestion des types d'affichage personnalisés Gestion d'un groupe dans un type d'affichage personnalisé Suppression d'un groupe ou d'un équipement Suppression des équipements en double dans l'arborescence de navigation des systèmes Ajout d'équipements dans la console ESM Après avoir installé et configuré les équipements physiques et virtuels, vous devez les ajouter à la console ESM. Avant de commencer Installez et configurez les équipements (voir le Guide d'installation de McAfee Enterprise Security Manager). 1 Dans l'arborescence de navigation du système, cliquez sur ESM local ou un groupe. 2 Dans la barre d'outils Actions, cliquez sur l'icône Ajouter un équipement. 3 Sélectionnez le type d'équipement que vous souhaitez ajouter, puis cliquez sur Suivant. 4 Dans le champ Nom d'équipement, entrez un nom unique dans ce groupe, puis cliquez sur Suivant. 24 McAfee Enterprise Security Manager Guide Produit

25 Mise en route Connexion d'équipements 2 5 Indiquez les informations demandées : Pour les équipements McAfee epo : sélectionnez un récepteur, entrez les informations d'identification requises pour la connexion à l'interface web, puis cliquez sur Suivant. Entrez les paramètres à utiliser pour la communication avec la base de données. Sélectionnez Requérir l'authentification utilisateur pour limiter l'accès aux seuls utilisateurs disposant d'un nom d'utilisateur et d'un mot de passe pour l'équipement. Pour tous les autres équipements : entrez l'adresse IP ou l'url cible de l'équipement, puis un numéro de port SSH cible valide à utiliser avec l'adresse IP. 6 Indiquez si vous souhaitez ou non utiliser les paramètres NTP (Network Time Protocol) dans l'équipement, puis cliquez sur Suivant. 7 Si vous disposez d'une clé que vous souhaitez importer, sélectionnez Importer la clé (option non disponible dans l'équipement ELM ou dans l'équipement combiné Récepteur/Log Manager) ; dans le cas contraire, cliquez sur Activer la clé de l'équipement. Les clés d'équipement qui ont été exportées à l'origine à partir d'un ESM antérieur à la version 8.3x ne sont pas compatibles avec le modèle de communication de la version Dès la mise à niveau, vous devez réactiver la clé de l'équipement. Pour accéder à un équipement des versions ou ultérieures, vous devez réexporter sa clé depuis un ESM, version ou ultérieure. Veillez à définir les privilèges requis pour l'équipement, par exemple le privilège Configurer les équipements virtuels. 8 Entrez le mot de passe de cet équipement, puis cliquez sur Suivant. ESM teste la communication de l'équipement et indique le statut de la connexion. Sélection d'un type d'affichage Choisir la manière d'afficher les équipements dans l'arborescence de navigation du système. Avant de commencer Pour sélectionner un affichage personnalisé, vous devez d'abord l'ajouter au système (voir Gestion des types d'affichage personnalisés). 1 Sur le volet de navigation du système, cliquez sur la flèche déroulante du champ Type d'affichage. 2 Sélectionnez l'un des types d'affichage. L'organisation des équipements dans l'arborescence de navigation est modifiée pour refléter le type que vous avez sélectionné pour la session de travail actuelle. Gestion des types d'affichage personnalisés Vous pouvez définir l'organisation des équipements dans l'arborescence de navigation du système en ajoutant, en modifiant ou en supprimant des types d'affichage personnalisés. 1 Sur le volet de navigation du système, cliquez sur la flèche déroulante Type d'affichage. 2 Effectuez l une des procédures suivantes : McAfee Enterprise Security Manager Guide Produit 25

26 2 Mise en route Connexion d'équipements Pour... Ajouter un type d'affichage personnalisé Modifier un type d'affichage personnalisé Procédez ainsi... 1 Cliquez sur Ajouter un affichage. 2 Renseignez les champs, puis cliquez sur OK. 1 Cliquez sur l'icône Modifier située à côté du type d'affichage à modifier. 2 Effectuez les modifications, puis cliquez sur OK. Supprimer un type d'affichage personnalisé Cliquez sur l'icône Supprimer supprimer. située à côté du type d'affichage à Gestion d'un groupe dans un type d'affichage personnalisé Vous pouvez utiliser des groupes dans un type d'affichage personnalisé pour organiser vos équipements en groupements logiques. Avant de commencer Ajoutez un type d'affichage personnalisé (voir Gestion des types d'affichage personnalisés). 1 Sur le volet de navigation du système, cliquez sur la liste déroulante Type d'affichage. 2 Sélectionnez l'affichage personnalisé, puis effectuez l'une des procédures suivantes : Pour... Ajouter un nouveau groupe Procédez ainsi... 1 Cliquez sur un nœud Système ou Groupe, puis sur l'icône Ajouter un groupe dans la barre d'outils Actions. 2 Remplissez les champs, puis cliquez sur OK. 3 Dans l'affichage, effectuez un glisser-déplacer des équipements pour les ajouter au groupe. Si l'équipement fait partie d'une arborescence dans l'affichage, un nœud Equipement en double est créé. Vous pouvez alors supprimer le doublon dans l'arborescence des systèmes. Modifier un groupe Sélectionnez le groupe, cliquez sur l'icône Propriétés, puis apportez les modifications à la page Propriétés de groupe. Supprimer un groupe Sélectionnez le groupe, puis cliquez sur l'icône Supprimer le groupe. Le groupe et les équipements qu'il contient sont supprimés de l'affichage personnalisé, mais les équipements ne sont pas supprimés du système. Voir aussi Gestion des types d'affichage personnalisés, page 25 Suppression d'un groupe ou d'un équipement Si un équipement ne fait plus partie du système ou si vous n'utilisez plus un groupe, vous devez les supprimer de l'arborescence de navigation des systèmes. 26 McAfee Enterprise Security Manager Guide Produit

27 Mise en route Préférences de la console 2 1 Surlignez le nœud correspondant à l'élément que vous souhaitez supprimer, puis cliquez sur l'icône Supprimer dans la barre d'outils Actions. 2 Lorsque vous êtes invité à confirmer, cliquez sur OK. Suppression des équipements en double dans l'arborescence de navigation des systèmes Les nœuds Equipement en double peuvent s'afficher dans l'arborescence de navigation des systèmes lorsque vous effectuez un glisser-déplacer des équipements depuis une arborescence des systèmes vers un groupe ou si vous avez configuré des groupes avant de mettre à niveau le logiciel ESM. Il est conseillé de les supprimer pour éviter toute confusion. 1 Sur le volet de navigation du système, cliquez sur la liste déroulante Type d'affichage. 2 Cliquez sur l'icône Modifier située en regard de l'affichage qui inclut les équipements en double. 3 Désélectionnez les équipements en double, puis cliquez sur OK. Les équipements qui possédaient des doublons sont désormais répertoriés uniquement dans leurs groupes affectés. Préférences de la console Vous pouvez personnaliser plusieurs fonctionnalités de la console ESM en modifiant le thème de couleur, le format de date et d'heure, la valeur de l'expiration et plusieurs paramètres par défaut. Vous McAfee Enterprise Security Manager Guide Produit 27

28 2 Mise en route Préférences de la console pouvez également configurer les informations d'identification de McAfee epolicy Orchestrator (McAfee epo ). Console ESM La console ESM vous permet de visualiser en temps réel l'activité de vos équipements ainsi que d'accéder rapidement aux notifications d'alarme et aux incidents attribués. 1 Barre de navigation du système : accès aux fonctions de configuration générales. 2 Icônes : accès aux pages fréquemment utilisées. 3 Barre d'outils des actions : sélection des fonctions nécessaires à la configuration de chaque équipement. 4 Volet de navigation du système : affichage des équipements du système. 5 Volet des alarmes et des incidents : affichage des notifications des alarmes et des incidents ouverts attribués. 6 Volet des vues : événements, flux et données de journal. 7 Barre d'outils des vues : créer, modifier et gérer les vues. 8 Volet des filtres : appliquer un filtrage aux vues de données relatives aux événements ou aux flux. 28 McAfee Enterprise Security Manager Guide Produit

29 Mise en route Préférences de la console 2 Utilisation du thème de couleurs de la console Personnaliser la console ESM en sélectionnant un thème de couleurs existant ou en définissant un thème de couleurs personnalisé. Vous pouvez également modifier ou supprimer des thèmes de couleurs personnalisés. 1 Dans la barre de navigation de la console ESM, cliquez sur Options. 2 Sélectionnez un thème de couleurs existant, ou bien ajoutez, modifiez ou supprimez un thème personnalisé. 3 Si vous cliquez sur Ajouter ou Modifier, sélectionnez les couleurs du thème personnalisé, puis cliquez sur OK. Si vous avez ajouté un nouveau thème, une miniature de vos couleurs est ajoutée à la section Sélectionnez un thème. 4 Cliquez sur OK pour enregistrer vos paramètres. Sélection des paramètres d'affichage de la console Définir les paramètres par défaut des vues sur la console ESM. Cette page vous permet de définir le système pour effectuer les actions suivantes : Mettre à jour automatiquement les données sur une vue ouverte Changer les vues qui s'ouvrent par défaut lorsque vous démarrez le système Changer les vues qui s'ouvrent lorsque vous sélectionnez Synthèse sur une vue d'événements ou de flux 1 Dans la barre de navigation de la console ESM, cliquez sur Options. 2 Sur la page Vues, sélectionnez vos préférences, puis cliquez sur OK. Configuration du délai d'expiration de la console La session actuelle de la console ESM reste ouverte tant que des activités sont effectuées. Vous pouvez définir le délai d'inactivité au bout duquel la session est fermée. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système Sécurité de connexion. 2 Dans Valeur du délai d'expiration de l'interface utilisateur, sélectionnez le nombre de minutes d'inactivité, puis cliquez sur OK. Si vous sélectionnez zéro (0), la console reste ouverte indéfiniment. Sélection des paramètres utilisateur La page Paramètres utilisateur permet de modifier plusieurs paramètres par défaut. Vous pouvez modifier le fuseau horaire, le format de la date, le mot de passe, l'affichage par défaut et la langue de la McAfee Enterprise Security Manager Guide Produit 29

30 2 Mise en route Préférences de la console console. Vous pouvez également activer et désactiver l'affichage des sources de données désactivées, de l'onglet Alarmes et de l'onglet Incidents. 1 Dans la barre de navigation du système de la console ESM, cliquez sur Options. 2 Vérifiez que Paramètres utilisateur est sélectionné. 3 Modifiez les paramètres selon les besoins, puis cliquez sur OK. L'affichage de la console est modifié en fonction de vos paramètres. Configuration des informations d'identification de l'utilisateur pour McAfee epo. Vous pouvez restreindre l'accès à un équipement McAfee epo en configurant les informations d'identification de l'utilisateur. Avant de commencer L'équipement McAfee epo ne doit pas être configuré pour requérir l'authentification utilisateur globale (voir Authentification des équipements McAfee epo). 1 Dans la barre de navigation de la console ESM, cliquez sur Options, puis sélectionnez Informations d'identification epo. 2 Cliquez sur l'équipement, puis cliquez sur Modifier. Si la colonne de l'état de l'équipement indique Non requis, l'équipement est configuré pour l'authentification utilisateur globale. Vous pouvez changer l'état sur la page Connexion de l'équipement (voir Modification de la connexion à ESM). 3 Entrez le nom d'utilisateur et le mot de passe, testez la connexion, puis cliquez sur OK. Pour accéder à cet équipement, les utilisateurs doivent entrer le nom d'utilisateur et le mot de passe que vous avez ajoutés. 30 McAfee Enterprise Security Manager Guide Produit

31 3 3 Configuration de l'esm ESM gère les données, les paramètres, les mises à jour et la configuration. Il communique avec plusieurs équipements simultanément. Lors de la création de l'environnement ESM, analysez en détail les besoins et les objectifs de conformité de votre organisation afin de prendre en charge le cycle de vie de la gestion de la sécurité de votre organisation. Sommaire Gestion des équipements Configuration des équipements Configuration des services auxiliaires Gestion de la base de données Gestion des utilisateurs et des groupes Sauvegarde et restauration des paramètres système Gestion de l'esm. Utilisation d'une liste globale de blocage Qu'est-ce que l'enrichissement des données? Gestion des équipements L'arborescence de navigation d'un système affiche les équipements ajoutés au système. Vous pouvez exécuter des fonctions sur un ou plusieurs équipements et organiser les équipements selon les McAfee Enterprise Security Manager Guide Produit 31

32 3 Configuration de l'esm Gestion des équipements besoins. Vous pouvez également afficher des rapports sur l'état d'intégrité lorsque les systèmes sont marqués afin de résoudre les problèmes existants. Tableau 3-1 Description des fonctionnalités Cette fonctionnalité... Vous permet de... 1 Barre d'outils des actions Sélectionner une action à exécuter sur les équipements de l'arborescence de navigation du système. Icône des propriétés Icône d'ajout d'équipements Configurer les paramètres du système ou de l'équipement sélectionné dans l'arborescence de navigation des systèmes. Ajouter des équipements à l'arborescence de navigation du système. Indicateurs d'état d'intégrité Afficher les alertes d'état d'équipement. Gestion multi-équipement Obtenir les événements et les flux Supprimer un équipement Actualiser Démarrer, arrêter, redémarrer et mettre à jour plusieurs équipements particuliers. Récupérer les événements et les flux relatifs aux équipements que vous sélectionnez. Supprimer l'équipement sélectionné. Actualiser les données de tous les équipements. 32 McAfee Enterprise Security Manager Guide Produit

33 Configuration de l'esm Gestion des équipements 3 Tableau 3-1 Description des fonctionnalités (suite) Cette fonctionnalité... Vous permet de... 2 Type d'affichage Choisir la manière d'organiser les équipements dans l'arborescence. ESM comporte trois types prédéfinis : Affichage physique : les équipements sont affichés de façon hiérarchique. Le premier niveau est celui des nœuds du système (affichage physique, ESM local et équipement de base de l'esm local). Le deuxième niveau est constitué des équipements particuliers et tous les autres niveaux contiennent les sources que vous ajoutez aux équipements (source de données, équipement virtuel et autres). Les équipements de base sont automatiquement ajoutés sous les nœuds ESM local, source de données, équipement virtuel et serveur de base de données. Ils comportent une icône grisée et sont placés entre parenthèses. Affichage par type d'équipement : les équipements sont regroupés par type d'équipement (Nitro IPS, ADM, DEM). Affichage par zone : les équipements sont organisés en fonction de la zone où ils se trouvent, que vous définissez avec la fonctionnalité Gestion des zones. Vous pouvez également ajouter des types d'affichage personnalisés (consultez la section Organisation de vos équipements). 3 Recherche rapide Effectuer une recherche rapide pour trouver un équipement dans l'arborescence de navigation du système. 4 Arborescence de navigation du système Affichage des équipements du système. Voir aussi Organisation de vos équipements, page 38 Rapports d'état d'intégrité des équipements, page 55 Gestion de plusieurs équipements, page 53 Affichage des statistiques sur les équipements Afficher des informations spécifiques aux équipements, relatives aux processeurs, à la mémoire, aux files d'attente, etc. Avant de commencer Vérifiez que vous avez l'autorisation Gestion des équipements. McAfee Enterprise Security Manager Guide Produit 33

34 3 Configuration de l'esm Gestion des équipements 1 Dans l'arborescence de navigation des systèmes, sélectionnez l'équipement souhaité, puis cliquez sur l'icône Propriétés. 2 Parcourez les options et les onglets pour trouver Afficher les statistiques. 3 Cliquez sur Afficher les statistiques. Les statistiques de l'équipement s'affichent sous forme graphique et sont actualisées toutes les 10 minutes. L'affichage des données requiert des données sur une période d'au moins 30 minutes. Chaque type de mesure contient plusieurs mesures, certaines sont activées par défaut. Cliquez sur Affiché pour activer les mesures. La quatrième colonne indique l'échelle de la mesure correspondante. Ajout d'équipements dans la console ESM Après avoir installé et configuré les équipements physiques et virtuels, vous devez les ajouter à la console ESM. Avant de commencer Installez et configurez les équipements (voir le Guide d'installation de McAfee Enterprise Security Manager). 1 Dans l'arborescence de navigation du système, cliquez sur ESM local ou un groupe. 2 Dans la barre d'outils Actions, cliquez sur l'icône Ajouter un équipement. 3 Sélectionnez le type d'équipement que vous souhaitez ajouter, puis cliquez sur Suivant. 4 Dans le champ Nom d'équipement, entrez un nom unique dans ce groupe, puis cliquez sur Suivant. 5 Indiquez les informations demandées : Pour les équipements McAfee epo : sélectionnez un récepteur, entrez les informations d'identification requises pour la connexion à l'interface web, puis cliquez sur Suivant. Entrez les paramètres à utiliser pour la communication avec la base de données. Sélectionnez Requérir l'authentification utilisateur pour limiter l'accès aux seuls utilisateurs disposant d'un nom d'utilisateur et d'un mot de passe pour l'équipement. Pour tous les autres équipements : entrez l'adresse IP ou l'url cible de l'équipement, puis un numéro de port SSH cible valide à utiliser avec l'adresse IP. 6 Indiquez si vous souhaitez ou non utiliser les paramètres NTP (Network Time Protocol) dans l'équipement, puis cliquez sur Suivant. 34 McAfee Enterprise Security Manager Guide Produit

35 Configuration de l'esm Gestion des équipements 3 7 Si vous disposez d'une clé que vous souhaitez importer, sélectionnez Importer la clé (option non disponible dans l'équipement ELM ou dans l'équipement combiné Récepteur/Log Manager) ; dans le cas contraire, cliquez sur Activer la clé de l'équipement. Les clés d'équipement qui ont été exportées à l'origine à partir d'un ESM antérieur à la version 8.3x ne sont pas compatibles avec le modèle de communication de la version Dès la mise à niveau, vous devez réactiver la clé de l'équipement. Pour accéder à un équipement des versions ou ultérieures, vous devez réexporter sa clé depuis un ESM, version ou ultérieure. Veillez à définir les privilèges requis pour l'équipement, par exemple le privilège Configurer les équipements virtuels. 8 Entrez le mot de passe de cet équipement, puis cliquez sur Suivant. ESM teste la communication de l'équipement et indique le statut de la connexion. A propos des clés d'équipement Pour qu'esm communique avec un équipement, il doit chiffrer toutes les communications à l'aide de la clé de communication qui a été créée lors de l'activation de la clé de l'équipement. Il est conseillé d'exporter la nouvelle clé vers un autre fichier chiffré par mot de passe. Vous pouvez ensuite l'importer pour l'exporter vers un autre équipement ou pour restaurer la communication avec l'équipement en cas d'urgence. Tous les paramètres sont stockés dans ESM, ce qui signifie que la console ESM prend en charge les clés gérées dans ESM et qu'elle n'a pas besoin d'importer une clé d'équipement si ESM communique déjà avec succès avec l'équipement. Exemple : vous pouvez exécuter une sauvegarde de vos paramètres (qui contient les clés de l'équipement) le lundi, puis réactiver la clé de l'un de vos équipements le mardi. Si vous vous rendez compte le mercredi que vous devez restaurer les paramètres du lundi, vous devez importer la clé créée le mardi à l'issue de la restauration des paramètres. Même si la restauration a rétabli les paramètres du lundi de la clé de l'équipement, l'équipement écoute toujours uniquement le trafic codé à l'aide de la clé du mardi. Cette clé doit être importée pour que la communication avec l'équipement soit possible. Il est conseillé de ne pas importer de clé d'équipement dans un ESM distinct. La clé exportée permet de réinstaller un équipement dans l'esm de gestion de l'équipement, pour les rôles appropriés de gestion des équipements. Si vous importez un équipement dans un deuxième ESM, plusieurs fonctionnalités de l'équipement ne seront pas utilisables, notamment les paramètres de gestion des stratégies, de journalisation et de gestion ELM, de source de données et d'équipement virtuel. Les administrateurs d'équipement peuvent remplacer les paramètres de l'équipement à partir d'un autre ESM. Il est conseillé d'utiliser un ESM unique pour gérer les équipements avec lesquels il est connecté. Un équipement DESM peut gérer la collecte des données des équipements connectés à un autre ESM. Activation de la clé d'un équipement Après que vous avez ajouté un équipement dans ESM, vous devez activer sa clé afin de permettre les communications. L'activation de la clé de l'équipement renforce la sécurité en ignorant l'ensemble des sources externes de communication. McAfee Enterprise Security Manager Guide Produit 35

36 3 Configuration de l'esm Gestion des équipements 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Gestion des clés Activer la clé de l'équipement. Si une connexion est établie avec l'équipement et si celui-ci peut communiquer avec l'esm, l'assistant Activation de clé d'équipement s'ouvre. 3 Tapez un nouveau mot de passe pour l'équipement, puis cliquez sur Suivant. 4 Cliquez sur Exporter la clé, puis remplissez la page Exporter la clé ou cliquez sur Terminer si vous ne souhaitez pas procéder à l'exportation maintenant. Exportation d'une clé Après avoir activé la clé d'un équipement, exportez-la vers un fichier. Si votre système fonctionne en mode FIPS, ne suivez pas cette procédure. Pour connaître la procédure à suivre, voir Ajout d'un équipement dont la clé est activée en mode FIPS. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Gestion des clés Exporter la clé. 3 Définissez les paramètres de la page Exporter la clé, puis cliquez sur OK. ESM crée le fichier de clés exportées et vous demande si vous souhaitez l'exporter. 4 Cliquez sur Oui, puis sélectionnez l'emplacement d'enregistrement du fichier. Il est conseillé d'exporter une copie de sauvegarde personnelle de la clé de l'équipement qui soit définie sur Ne jamais expirer et qui inclue tous les privilèges. Importation d'une clé Importez une clé pour restaurer les paramètres précédents d'esm ou pour l'utiliser dans une autre console ESM ou dans une console héritée. Si la version de l'équipement est 9.0 ou ultérieure, vous ne pouvez importer une clé qu'à partir d'un ESM version 8.5 ou ultérieure. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Gestion des clés Importer la clé. 36 McAfee Enterprise Security Manager Guide Produit

37 Configuration de l'esm Gestion des équipements 3 3 Localisez et sélectionnez le fichier de clés enregistré. 4 Cliquez sur Charger, puis tapez le mot de passe qui a été défini lors de l'exportation de cette clé. Si l'importation de la clé est réussie, une page en affiche le statut. Gérer les clés SSH Les équipements peuvent disposer de clés de communication SSH pour les systèmes avec lesquels ils doivent communiquer en toute sécurité. Pour arrêter la communication avec ces systèmes, supprimez la clé correspondante. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Gestion des clés, puis sur Gérer les clés SSH. La page Gérer les clés SSH dresse la liste des ID de l'esm avec lesquels l'équipement communique. 3 Pour arrêter la communication avec l'un des systèmes répertoriés, surlignez l'id correspondant, puis cliquez sur Supprimer. 4 Confirmez la suppression, puis cliquez sur OK. Mise à jour du logiciel dans un équipement Si le logiciel de votre équipement est obsolète, chargez-en une nouvelle version depuis un fichier d'esm ou de votre ordinateur local. Avant de commencer Si vous possédez votre système depuis plus de 30 jours, vous devez obtenir et installer vos informations d'identification permanentes pour accéder aux mises à jour (consultez la section Obtention et ajout des informations d'identification pour la mise à jour des règles). Si vous devez respecter les réglementations FIPS et Critères courants, ne mettez pas à jour l'esm de cette manière. Pour obtenir une mise à jour certifiée, contactez le support technique McAfee. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Gestion Mettre à jour l'équipement. 3 Sélectionnez une mise à jour dans le tableau ou cliquez sur Parcourir pour la localiser dans votre système local. L'équipement redémarre avec la version du logiciel mis à jour. McAfee Enterprise Security Manager Guide Produit 37

38 3 Configuration de l'esm Gestion des équipements Organisation de vos équipements L'arborescence de navigation du système répertorie les équipements du système. Vous pouvez choisir la manière de les afficher à l'aide de la fonctionnalité de sélection du type d'affichage. Au fur et à mesure que vous augmentez le nombre d'équipements sur votre système, il est utile de les organiser de façon logique afin de les trouver facilement lorsque vous en avez besoin. Par exemple, si vous avez des succursales dans différents emplacements géographiques, il peut être pratique d'afficher les équipements en fonction des zones où ils se trouvent. Vous pouvez utiliser les trois affichages prédéfinis ou définir des affichages personnalisés. Dans chaque affichage personnalisé, vous pouvez ajouter des groupes pour organiser les équipements dans des catégories plus précises. Configuration du contrôle du trafic réseau sur un équipement Vous pouvez définir la valeur maximale de sortie des données pour le récepteur et les équipements ACE, ELM, Nitro IPS, ADM et DEM. Cette fonctionnalité est utile si la bande passante est limitée et si vous souhaitez contrôler la quantité de données envoyées par chacun de ces équipements. Vous pouvez définir la valeur en kilobits (Kb), mégabits (Mb) et gigabits (Gb) par seconde. Soyez prudent lors de la configuration de cette fonctionnalité, car la limitation du trafic peut provoquer une fuite de données. 1 Dans l'arborescence de navigation des systèmes, sélectionnez l'équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur l'option Configuration de l'équipement, cliquez sur Interfaces, puis sur l'onglet Trafic. Le tableau affiche les contrôles existants. 3 Pour ajouter des contrôles à un équipement, cliquez sur Ajouter, entrez l'adresse réseau et le masque réseau, définissez le débit, puis cliquez sur OK. Si vous définissez le masque sur la valeur zéro (0), toutes les données envoyées sont contrôlées. 4 Cliquez sur Appliquer. La vitesse du trafic sortant de l'adresse réseau que vous avez définie est contrôlée. Configuration de l'équipement La page Configuration de chaque équipement fournit des options permettant de configurer les paramètres d'équipement, tels que l'interface réseau, les notifications SNMP, les paramètres NTP et la journalisation ELM. Configuration des interfaces réseau Les paramètres d'interface déterminent la façon dont ESM se connecte à l'équipement. Vous devez les définir pour chaque équipement. 38 McAfee Enterprise Security Manager Guide Produit

39 Configuration de l'esm Gestion des équipements 3 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur l'option Configuration de l'équipement, puis sur Interfaces. 3 Entrez les données demandées, puis cliquez sur Appliquer. Toutes les modifications sont diffusées sur l'équipement et entrent immédiatement en vigueur. Dès l'application des modifications, l'équipement est réinitialisé, ce qui provoque la perte de toutes les sessions actuelles. Gestion des interfaces réseau La communication avec un équipement peut avoir lieu à l'aide des interfaces publiques et privées des chemins d'accès de trafic. En d'autres termes, l'équipement est invisible sur le réseau, car il ne nécessite pas d'adresse IP. Interface de gestion Les administrateurs réseau peuvent également configurer une interface de gestion avec une adresse IP destinée à la communication entre ESM et l'équipement. Les fonctionnalités suivantes d'un équipement requièrent l'utilisation d'une interface de gestion : Contrôle total des cartes réseau de contournement Utilisation de la synchronisation de l'heure des serveurs NTP Syslog généré par l'équipement Notifications SNMP Les équipements sont pourvus au moins d'une interface de gestion, qui leur attribue une adresse IP. Pourvu d'une adresse IP, l'équipement est directement accessible à ESM sans diriger la communication vers une autre adresse IP cible ou un autre nom d'hôte. Ne connectez pas l'interface réseau de gestion à un réseau public, car elle sera visible sur le réseau public, et sa sécurité pourrait être compromise. Un équipement s'exécutant en mode Nitro IPS doit disposer de deux interfaces pour chaque chemin d'accès du trafic réseau. Pour le mode IDS, l'équipement doit posséder un minimum de deux interfaces réseau. Vous pouvez configurer plusieurs interfaces réseau de gestion dans l'équipement. Carte d'interface réseau de contournement Un équipement en mode de contournement permet la transmission de tout le trafic, y compris le trafic malveillant. Dans des circonstances normales, vous pouvez avoir une perte de connexion de une à trois secondes lorsque l'équipement passe en mode de contournement et de 18 secondes lorsqu'il le quitte. La connexion à certains commutateurs, comme certains modèles de Cisco Catalyst, peut modifier ces valeurs. Le cas échéant, vous pouvez avoir une perte de connexion de 33 secondes lorsque l'équipement passe en mode de contournement et lorsqu'il le quitte. Si vous êtes dans le cas où le rétablissement des communications dure 33 secondes, vous pouvez activer rapidement le port sur le port de commutateur, puis définir manuellement la vitesse et le duplex pour faire repasser les temps en mode normal. Veillez à définir l'ensemble des quatre ports McAfee Enterprise Security Manager Guide Produit 39

40 3 Configuration de l'esm Gestion des équipements (celui du commutateur, les deux de Nitro IPS et celui de l'autre équipement) sur le même paramètre, faute de quoi vous pourriez faire face à un problème de négociation en mode de contournement (voir Configuration des cartes d'interface réseau de contournement). Les options de contournement disponibles dépendent du type de carte d'interface réseau de contournement de l'équipement : type 2 ou 3. Ajout d'itinéraires statiques Un itinéraire statique est un ensemble d'instructions relatives à la procédure à suivre pour atteindre un hôte ou un réseau qui n'est pas disponible via la passerelle par défaut. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Configuration Interfaces. 3 En regard de la table Itinéraires statiques, cliquez sur Ajouter. 4 Entrez les informations, puis cliquez sur OK. Carte d'interface réseau de contournement Dans des circonstances normales, vous pouvez avoir une perte de connexion de une à trois secondes lorsque l'équipement passe en mode de contournement et de 18 secondes lorsqu'il le quitte. La connexion à certains commutateurs, comme certains modèles de Cisco Catalyst, peut modifier ces valeurs. Le cas échéant, vous pouvez avoir une perte de connexion de 33 secondes lorsque l'équipement passe en mode de contournement et lorsqu'il le quitte. Si vous êtes dans le cas où le rétablissement des communications dure 33 secondes, vous pouvez activer rapidement le port sur le port de commutateur, puis définir manuellement la vitesse et le duplex pour faire repasser les temps en mode normal. Veillez à définir l'ensemble des quatre ports (celui du commutateur, les deux de Nitro IPS et celui de l'autre équipement) sur le même paramètre, faute de quoi vous pourriez faire face à un problème de négociation en mode de contournement. Les options de contournement disponibles dépendent du type de carte d'interface réseau de contournement de l'équipement : type 2 ou 3. Configuration des cartes d'interface réseau de contournement Sur les équipements IPS, vous pouvez définir les paramètres des cartes d'interface de contournement pour autoriser l'ensemble du trafic. Les équipements ADM et DEM sont toujours en mode IDS. Vous pouvez afficher leur type d'interface réseau de contournement mais pas modifier leurs paramètres. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Configuration Interfaces. 3 Dans la page Paramètres de l'interface réseau, accédez à la section Configuration de la carte d'interface réseau de contournement située dans sa partie inférieure. 40 McAfee Enterprise Security Manager Guide Produit

41 Configuration de l'esm Gestion des équipements 3 4 Afficher le type et l'état ou, sur un équipement IPS, modifier les paramètres. 5 Cliquez sur OK. Ajout de réseaux locaux virtuels et d'alias Ajouter des réseaux locaux virtuels (VLAN) et des alias (paires adresse IP/masque réseau affectées que vous ajoutez si vous avez un équipement réseau avec plusieurs adresses IP) à une interface ACE ou ELM. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Configuration, sur Interfaces et sur Avancé. 3 Cliquez sur Ajouter un réseau local virtuel (VLAN), entrez les informations demandées, puis cliquez sur OK. 4 Sélectionnez le réseau local virtuel auquel vous souhaitez ajouter l'alias, puis cliquez sur Ajouter un alias. 5 Entrez les informations demandées, puis cliquez sur OK. Configuration des notifications SNMP Pour configurer des notifications SNMP générées par l'équipement, vous devez définir les interruptions à envoyer et leurs destinations. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Configuration SNMP. 3 Définissez les paramètres, puis cliquez sur OK. Configuration du protocole NTP dans un équipement Synchronisez l'heure de l'équipement avec ESM à l'aide d'un serveur NTP (Network Time Protocol). 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Configuration NTP. 3 Renseignez les informations demandées, puis cliquez sur OK. s Affichage du statut des serveurs NTP, page 174 Affichez le statut de tous les serveurs NTP dans ESM. McAfee Enterprise Security Manager Guide Produit 41

42 3 Configuration de l'esm Gestion des équipements Synchronisation d'un équipement avec ESM Si vous devez remplacer votre ESM, importez la clé de chaque équipement afin de restaurer les paramètres. Si vous ne disposez pas de sauvegarde de base de données actuelle, vous devez également synchroniser les paramètres de source de données, d'équipement virtuel et de serveur de base de données avec ESM afin qu'ils puissent reprendre l'extraction des événements. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Configuration Synchroniser l'équipement. 3 Lorsque la synchronisation est terminée, cliquez sur OK. Configuration de la communication avec ELM Si vous envoyez les données depuis cet équipement vers ELM, les champs IP ELM et Synchroniser ELM s'affichent dans la page Configuration de l'équipement, vous permettant ainsi de mettre à jour l'adresse IP et de synchroniser ELM avec l'équipement. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Configuration, puis effectuez l'une des actions suivantes : Cliquez sur... Pour... IP ELM Mettre à jour l'adresse IP de l'elm auquel l'équipement est lié. Vous devez procéder ainsi si vous modifiez l'adresse IP d'elm ou si vous modifiez l'interface de gestion d'elm via la voie de communication de cet équipement avec ELM. Synchroniser ELM Synchroniser ELM avec l'équipement si l'un d'eux a été remplacé. Si vous utilisez cette fonctionnalité, la communication SSH entre les deux équipements est rétablie à l'aide de la clé du nouvel équipement avec les paramètres précédents. Définition du pool de journalisation par défaut Si votre système contient un équipement ELM, vous pouvez configurer un équipement afin que les données d'événement qu'il reçoit soient envoyées vers l'équipement ELM. Pour ce faire, vous devez configurer le pool de journalisation par défaut. L'équipement n'envoie pas d'événement à ELM tant que sa période d'agrégation n'a pas expiré. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Configuration Journalisation. 3 Sélectionnez les options appropriées dans les pages qui s'ouvrent. Vous êtes informé de l'activation de la journalisation des données de cet équipement dans ELM. 42 McAfee Enterprise Security Manager Guide Produit

43 Configuration de l'esm Gestion des équipements 3 Informations et paramètres généraux des équipements Chaque équipement possède une page qui contient des informations générales sur celui-ci, par exemple son numéro de série et sa version de logiciel. Vous pouvez également définir des paramètres pour l'équipement. Vous pouvez par exemple sélectionner la zone et synchroniser l'horloge. Affichage des journaux de messages et des statistiques d'équipement Vous pouvez afficher les messages générés par le système, afficher les statistiques sur les performances de l'équipement ou télécharger un fichier.tgz contenant les informations de statut d'équipement. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Gestion de l'équipement, puis sélectionnez l'une des options suivantes : Option Afficher le journal Afficher les statistiques Données d'équipement Description Cliquez pour afficher les messages qui ont été enregistrés par le système. Cliquez sur Télécharger tout le fichier pour télécharger les données dans un fichier. Cliquez pour afficher les statistiques relatives aux performances de l'équipement, par exemple l'interface Ethernet, ifconfig et le filtre iptables. Cliquez pour télécharger un fichier.tgz contenant des données sur l'état de votre équipement. Vous pouvez utiliser cette option lorsque vous contactez le support technique McAfee pour résoudre un problème sur votre système. Mise à jour du logiciel dans un équipement Si le logiciel de votre équipement est obsolète, chargez-en une nouvelle version depuis un fichier d'esm ou de votre ordinateur local. Avant de commencer Si vous possédez votre système depuis plus de 30 jours, vous devez obtenir et installer vos informations d'identification permanentes pour accéder aux mises à jour (consultez la section Obtention et ajout des informations d'identification pour la mise à jour des règles). Si vous devez respecter les réglementations FIPS et Critères courants, ne mettez pas à jour l'esm de cette manière. Pour obtenir une mise à jour certifiée, contactez le support technique McAfee. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Gestion Mettre à jour l'équipement. 3 Sélectionnez une mise à jour dans le tableau ou cliquez sur Parcourir pour la localiser dans votre système local. L'équipement redémarre avec la version du logiciel mis à jour. McAfee Enterprise Security Manager Guide Produit 43

44 3 Configuration de l'esm Gestion des équipements Entrée de commandes Linux pour un équipement Utilisez l'option Terminal pour entrer des commandes Linux sur un équipement. Cette fonctionnalité est destinée aux utilisateurs expérimentés et elle ne doit être utilisée qu'en cas d'urgence et selon les instructions du support technique McAfee. Comme cette option n'est pas conforme à FIPS, elle est désactivée en mode FIPS. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Gestion Terminal. 3 Entrez le mot de passe système, puis cliquez sur OK. 4 Entrez les commandes Linux, exportez les fichiers ou transférez-les. 5 Cliquez sur Fermer. Octroi de l'accès à votre système Si vous passez un appel téléphonique au support technique McAfee, vous devrez peut-être octroyer l'accès à l'ingénieur du support technique afin qu'il puisse voir votre système. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Gestion de l'équipement Connecter. Le bouton est remplacé par le bouton Déconnecter, et votre adresse IP est indiquée. 3 Indiquez l'adresse IP à l'ingénieur du support technique. Il se peut que vous deviez fournir des informations supplémentaires telles que le mot de passe. 4 Cliquez sur Déconnecter pour mettre un terme à la connexion. Surveillance du trafic Si vous devez surveiller le trafic d'un équipement DEM, ADM ou IPS, vous pouvez utiliser Vidage TCP pour télécharger une instance du programme Linux s'exécutant sur cet équipement. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Gestion de l'équipement. 3 Dans la section Vidage TCP de la page, exécutez la procédure pour télécharger l'instance. 44 McAfee Enterprise Security Manager Guide Produit

45 Configuration de l'esm Gestion des équipements 3 Affichage des informations de l'équipement Affichez les informations générales relatives à un équipement. Ouvrez la page Informations de l'équipement pour consulter l'id de système, le numéro de série, le modèle, la version, la build, etc. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Consultez les informations disponibles, puis cliquez sur OK. Démarrage, arrêt, redémarrage ou actualisation d'un équipement Démarrez, arrêtez, redémarrez ou actualisez un équipement dans la page Informations. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Vérifiez que l'option Informations de l'équipement est sélectionnée, puis cliquez sur Démarrer, Arrêter, Redémarrer ou Actualiser. Modification du nom d'équipement Lorsque vous ajoutez un équipement à l'arborescence des systèmes, vous lui attribuez un nom, qui s'affiche dans l'arborescence. Ce nom, le nom du système, l'url et la description peuvent être modifiés. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Nom et description, puis modifiez le nom, le nom du système, l'url et la description ou affichez le numéro ID d'équipement. 3 Cliquez sur OK. Ajouter un lien URL Pour afficher les informations de l'équipement dans une URL, vous pouvez configurer le lien dans la page Nom et description de chaque équipement. Lorsqu'il est ajouté, ce lien est accessible dans les vues Analyse d'événement et Analyse de flux de chaque équipement en cliquant sur l'icône Lancer l'url de l'équipement située en bas des composants de vue. McAfee Enterprise Security Manager Guide Produit 45

46 3 Configuration de l'esm Gestion des équipements 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Nom et description, puis entrez l'url. 3 Cliquez sur OK pour enregistrer les modifications. Modification de la connexion à ESM Si vous ajoutez un équipement à l'esm, vous devez configurer sa connexion avec l'esm. Vous pouvez modifier l'adresse IP et le port, puis désactiver la communication SSH et vérifier l'état de la connexion. La modification de ces paramètres n'a pas d'incidence sur l'équipement proprement dit. Elle concerne uniquement la façon dont l'esm communique avec l'équipement. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Connexion, puis apportez les modifications. 3 Cliquez sur Appliquer. Evénements, flux et journaux Les équipements IPS et ADM ainsi que le récepteur collectent des événements, des flux et des journaux, les équipements ACE et DEM collectent des événements et des journaux et les équipements ELM collectent des journaux. Définissez chaque équipement pour qu'il effectue cette recherche automatiquement ou manuellement. Par ailleurs, vous pouvez agréger les événements ou les flux générés par un équipement. Configuration des téléchargements d'événements, de flux et de journaux Recherchez manuellement les événements, les flux et les journaux ou définissez l'équipement pour qu'il procède automatiquement à cette recherche. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Evénements, flux et journaux, Evénements et journaux ou Journaux. 3 Configurez les téléchargements, puis cliquez sur Appliquer. Définition des paramètres de géolocalisation et ASN L'option Géolocalisation indique l'emplacement géographique réel des ordinateurs connectés à Internet. Le Numéro de système autonome (ASN) est un numéro qui est affecté à un système autonome et qui identifie de façon unique chaque réseau sur Internet. Ces deux types de données peuvent vous aider à identifier l'emplacement physique d'une menace. Les données de géolocalisation sources et de destination peuvent être collectées pour des événements. 46 McAfee Enterprise Security Manager Guide Produit

47 Configuration de l'esm Gestion des équipements 3 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Evénements, flux et journaux ou Evénements et journaux, puis sur Géolocalisation. 3 Sélectionnez les options appropriées pour générer les informations nécessaires, puis cliquez sur OK. Vous pouvez filtrer les données d'événement à l'aide de ces informations. Agrégation des événements ou des flux Un événement ou un flux peut potentiellement être généré des milliers de fois. Au lieu de vous forcer à examiner des milliers d'événements identiques, l'agrégation vous permet de les afficher sous la forme d'un événement ou d'un flux unique accompagné d'un nombre indiquant le nombre d'occurrences. L'agrégation permet d'utiliser l'espace disque de façon plus efficace à la fois sur l'équipement et sur l'esm, car elle permet d'éviter le stockage de chaque paquet. Cette fonctionnalité s'applique uniquement aux règles pour lesquelles l'agrégation est activée dans l'editeur de stratégie. Adresse IP source et de destination Les valeurs non définies ou agrégées des adresses IP sources et de destination s'affichent sous la forme «::» et non sous la forme « » dans tous les ensembles de résultats. Par exemple : ::ffff: est inséré sous la forme 0:0:0:0:0:FFFF:A00:C07 (A00:C07 is ). ::0000: équivaut à Evénements et flux agrégés Les événements et flux agrégés utilisent les champs de début, de fin et de totalité pour indiquer la durée et la valeur de l'agrégation. Exemple : si un même événement se produit 30 fois au cours des 10 premières minutes après midi, le champ Première fois contient l'heure 12:00 (heure de la première instance de l'événement), le champ Dernière fois contient l'heure 12:10 (heure de la dernière instance de l'événement) et le champ Total contient la valeur 30. Vous pouvez modifier les paramètres d'agrégation des événements ou des flux par défaut pour l'ensemble de l'équipement. S'il s'agit d'événements, vous pouvez ajouter des exceptions aux paramètres de l'équipement pour les règles individuelles (voir Gestion des exceptions à l'agrégation d'événements). L'agrégation dynamique est également activée par défaut. Si elle est sélectionnée, elle remplace les paramètres de l'agrégation de Niveau 1 et augmente les paramètres des Niveau 2 et Niveau 3. Elle récupère les enregistrements en fonction du paramètre de récupération des événements, flux et journaux. S'il est défini sur la récupération automatique, l'équipement compresse un enregistrement uniquement jusqu'à sa première extraction par ESM. S'il est défini sur la récupération manuelle, un enregistrement est compressé jusqu'à 24 heures ou tant qu'aucun nouvel enregistrement n'a été extrait manuellement, et ce, quel que soit ce premier événement. Si la durée de la compression atteint la limite de 24 heures, un nouvel enregistrement est extrait, et la compression commence dans ce nouvel enregistrement. McAfee Enterprise Security Manager Guide Produit 47

48 3 Configuration de l'esm Gestion des équipements Modification des paramètres d'agrégation des événements ou des flux L'agrégation des événements et l'agrégation des flux sont activées par défaut. Elles sont définies sur Elevée. Vous pouvez modifier les paramètres comme il vous convient. Les performances de chaque paramètre sont décrites dans la page Agrégation. Avant de commencer Pour modifier ces paramètres, vous devez avoir des privilèges Administrateur de stratégie et Gestion des équipements ou bien Administrateur de stratégie et Règles personnalisées. L'agrégation des événements est disponible uniquement pour les équipements ADM, IPS et pour le récepteur alors que l'agrégation des flux est disponible pour l'équipement IPS et le récepteur. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Agrégation d'événements ou Agrégation des flux. 3 Définissez les paramètres, puis cliquez sur OK. Gestion des exceptions à l'agrégation d'événements Vous pouvez afficher la liste des exceptions à l'agrégation d'événements qui ont été ajoutées au système. Vous pouvez également modifier ou supprimer une exception. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Agrégation d'événements, puis sur Afficher en bas de l'écran. 3 Apportez les modifications nécessaires, puis cliquez sur Fermer. Ajout d'exceptions aux paramètres d'agrégation des événements Les paramètres d'agrégation s'appliquent à tous les événements générés par un équipement. Vous pouvez créer des exceptions pour chaque règle si les paramètres généraux ne s'appliquent pas aux événements générés par la règle. 1 Sur le volet des vues, sélectionnez un événement généré par la règle pour laquelle vous souhaitez ajouter une exception. 2 Cliquez sur l'icône Menu, puis sélectionnez Modifier les paramètres d'agrégation. 48 McAfee Enterprise Security Manager Guide Produit

49 Configuration de l'esm Gestion des équipements 3 3 Sélectionnez les types de champ que vous souhaitez agréger dans les listes déroulantes Champ 2 et Champ 3. Les champs sélectionnés dans Champ 2 et Champ 3 doivent être de types différents, sinon une erreur est générée. Lorsque vous sélectionnez ces types de champ, la description de chaque niveau d'agrégation est modifiée pour refléter vos sélections. Les limites de temps de chaque niveau dépend des paramètres d'agrégation des événements que vous avez définis pour l'équipement. 4 Cliquez sur OK pour enregistrer les paramètres, puis cliquez sur Oui pour continuer. 5 Désélectionnez les équipements sur lesquels vous ne souhaitez pas déployer les modifications. 6 Cliquez sur OK pour déployer les modifications sur les équipements sélectionnés. La colonne Statut indique le statut de la mise à jour au fur et à mesure du déploiement des modifications. Equipements virtuels Vous pouvez ajouter des équipements virtuels à certains modèles d'équipement Nitro IPS et ADM pour surveiller le trafic, comparer des modèles de trafic et générer des rapports. Objectifs et avantages Les équipements virtuels peuvent être utilisés dans différents buts : Comparer les modèles de trafic aux ensembles de règles. Par exemple, pour comparer le trafic web aux règles web, vous pouvez configurer un équipement virtuel qui recherche uniquement les ports de trafic web, puis configurer une stratégie dans laquelle vous pouvez activer ou désactiver différentes règles. Génération de rapports. Cette utilisation est similaire au filtrage automatique. Surveiller plusieurs circuits de trafic en même temps. L'utilisation d'un équipement virtuel vous permet d'utiliser différentes stratégies pour les circuits de trafic et trier les différents trafics dans différentes stratégies. Nombre maximal d'équipements par modèle Le nombre d'équipements virtuels que vous pouvez ajouter à un équipement ADM ou Nitro IPS dépend du modèle de l'équipement : Nombre d'équipements maximal Modèle 2 APM-1225 NTP-1225 APM-1250 NTP APM-2230 NTP-2230 NTP-2600 APM-3450 NTP-3450 McAfee Enterprise Security Manager Guide Produit 49

50 3 Configuration de l'esm Gestion des équipements Nombre d'équipements maximal Modèle 8 NTP-2250 NTP-4245 NTP APM-VM NTP-VM Comment les règles sont-elles utilisées Les règles de sélection sont utilisées en tant que filtres pour déterminer les paquets qu'un équipement virtuel doit traiter. Pour qu'un paquet concorde avec une règle de sélection, tous les critères de filtre définis par cette règle doivent concorder. Si les informations du paquet concordent avec tous les critères de filtre d'une règle de sélection, elles sont traitées par l'équipement virtuel qui contient la règle de sélection concordante. Sinon, elles sont transmises à l'équipement virtuel suivant de la liste. Si aucune règle de sélection ne concorde sur les équipements virtuels, les informations sont traitées par l'équipement ADM ou Nitro IPS lui-même (configuration par défaut). Points à noter concernant les équipements virtuels IPv4 : Tous les paquets d'une connexion sont triés uniquement en fonction du premier paquet de la connexion. Si le premier paquet d'une connexion concorde avec une règle de sélection du troisième équipement virtuel de la liste, tous les paquets suivants de cette connexion sont transmis à ce troisième équipement, même si les paquets concordent avec un équipement virtuel placé avant dans la liste. Les paquets non valides (un paquet qui n'établit pas de connexion ou ne fait pas partie d'une connexion établie) sont transmis à l'équipement de base. Par exemple, un équipement virtuel recherche les paquets dont le port source ou destination est 80. Si un paquet avec port source ou destination 80 est non valide, il est transmis à l'équipement de base au lieu de l'équipement virtuel qui recherche le trafic du port 80. Par conséquent, il peut vous sembler que des événements transmis à l'équipement de base auraient dû être transmis à un équipement virtuel. L'ordre des règles de sélection est important, car lors de la première concordance entre un paquet et une règle, ce paquet est automatiquement acheminé vers cet équipement virtuel pour être traité. Par exemple, vous ajoutez quatre règles de sélection et la quatrième est le filtre qui se déclenche le plus fréquemment. Cela signifie que chaque paquet doit passer par les autres filtres de cet équipement virtuel avant d'accéder à la règle de sélection la plus fréquemment déclenchée. Pour améliorer l'efficacité du traitement, placez le filtre le plus fréquemment déclenché en première position et pas en dernière position. Ordre des équipements virtuels L'ordre dans lequel les équipements virtuels sont vérifiés est important, car les paquets arrivant sur l'équipement ADM ou Nitro IPS sont comparés aux règles de sélection de chaque équipement virtuel dans l'ordre dans lequel les équipements virtuels sont configurés. Le paquet est comparé aux règles de sélection du deuxième équipement virtuel uniquement s'il ne correspond à aucune règle de sélection du premier équipement virtuel. Pour changer la position d'un équipement ADM, accédez à la page Modifier l'équipement virtuel (Propriétés ADM Equipements virtuels Modifier) et utilisez les flèches pour choisir l'ordre approprié. Pour changer la position d'un équipement Nitro IPS, utilisez les flèches de la page Equipements virtuels (Propriétés IPS Equipements virtuels). 50 McAfee Enterprise Security Manager Guide Produit

51 Configuration de l'esm Gestion des équipements 3 Equipements virtuels ADM Les équipements virtuels ADM surveillent le trafic sur une interface. Vous pouvez avoir jusqu'à quatre filtres d'interface ADM sur votre système. Chaque filtre ne peut être appliqué qu'à un seul équipement virtuel ADM à la fois. Si un filtre est attribué à un équipement virtuel ADM, il ne s'affiche dans la liste des filtres disponibles qu'après avoir été supprimé de cet équipement. Les paquets non valides (un paquet qui n'établit pas de connexion ou ne fait pas partie d'une connexion établie) sont transmis à l'équipement de base. Par exemple, un équipement virtuel ADM recherche les paquets dont le port source ou destination est 80. Si un paquet avec port source ou destination 80 est non valide, il est transmis à l'équipement de base au lieu de l'équipement virtuel ADM qui recherche le trafic du port 80. Par conséquent, les événements que vous voyez sur l'équipement de base peuvent sembler avoir été transmis à un équipement virtuel ADM. Gestion des règles de sélection Les règles de sélection sont utilisées comme filtres pour déterminer les paquets qu'un équipement virtuel doit traiter. Vous pouvez ajouter, modifier et supprimer les règles de sélection. L'ordre des règles de sélection est important, car lors de la première concordance entre un paquet et une règle, ce paquet est automatiquement acheminé vers cet équipement virtuel pour être traité. 1 Sélectionnez un nœud d'équipement IPS ou ADM, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Equipements virtuels, puis sur Ajouter. La fenêtre Ajouter un équipement virtuel s'affiche. 3 Vous pouvez ajouter, modifier ou supprimer les règles de sélection dans la table, ainsi que modifier leur ordre. Ajout d'un équipement virtuel Vous pouvez ajouter un équipement virtuel à certains équipements ADM et IPS, en définissant les règles de sélection qui déterminent les paquets que chaque équipement doit traiter. Avant de commencer Vérifiez qu'il est possible d'ajouter des équipements virtuels à l'équipement sélectionné (consultez la section A propos des équipements virtuels). 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement ADM ou IPS, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Equipements virtuels Ajouter. 3 Entrez les informations demandées, puis cliquez sur OK. 4 Cliquez sur Ecrire pour ajouter les paramètres à l'équipement. Gestion des types d'affichage personnalisés Vous pouvez définir l'organisation des équipements dans l'arborescence de navigation du système en ajoutant, en modifiant ou en supprimant des types d'affichage personnalisés. McAfee Enterprise Security Manager Guide Produit 51

52 3 Configuration de l'esm Gestion des équipements 1 Sur le volet de navigation du système, cliquez sur la flèche déroulante Type d'affichage. 2 Effectuez l une des procédures suivantes : Pour... Ajouter un type d'affichage personnalisé Modifier un type d'affichage personnalisé Procédez ainsi... 1 Cliquez sur Ajouter un affichage. 2 Renseignez les champs, puis cliquez sur OK. 1 Cliquez sur l'icône Modifier située à côté du type d'affichage à modifier. 2 Effectuez les modifications, puis cliquez sur OK. Supprimer un type d'affichage personnalisé Cliquez sur l'icône Supprimer supprimer. située à côté du type d'affichage à Sélection d'un type d'affichage Choisir la manière d'afficher les équipements dans l'arborescence de navigation du système. Avant de commencer Pour sélectionner un affichage personnalisé, vous devez d'abord l'ajouter au système (voir Gestion des types d'affichage personnalisés). 1 Sur le volet de navigation du système, cliquez sur la flèche déroulante du champ Type d'affichage. 2 Sélectionnez l'un des types d'affichage. L'organisation des équipements dans l'arborescence de navigation est modifiée pour refléter le type que vous avez sélectionné pour la session de travail actuelle. Gestion d'un groupe dans un type d'affichage personnalisé Vous pouvez utiliser des groupes dans un type d'affichage personnalisé pour organiser vos équipements en groupements logiques. Avant de commencer Ajoutez un type d'affichage personnalisé (voir Gestion des types d'affichage personnalisés). 1 Sur le volet de navigation du système, cliquez sur la liste déroulante Type d'affichage. 2 Sélectionnez l'affichage personnalisé, puis effectuez l'une des procédures suivantes : 52 McAfee Enterprise Security Manager Guide Produit

53 Configuration de l'esm Gestion des équipements 3 Pour... Ajouter un nouveau groupe Procédez ainsi... 1 Cliquez sur un nœud Système ou Groupe, puis sur l'icône Ajouter un groupe dans la barre d'outils Actions. 2 Remplissez les champs, puis cliquez sur OK. 3 Dans l'affichage, effectuez un glisser-déplacer des équipements pour les ajouter au groupe. Si l'équipement fait partie d'une arborescence dans l'affichage, un nœud Equipement en double est créé. Vous pouvez alors supprimer le doublon dans l'arborescence des systèmes. Modifier un groupe Sélectionnez le groupe, cliquez sur l'icône Propriétés, puis apportez les modifications à la page Propriétés de groupe. Supprimer un groupe Sélectionnez le groupe, puis cliquez sur l'icône Supprimer le groupe. Le groupe et les équipements qu'il contient sont supprimés de l'affichage personnalisé, mais les équipements ne sont pas supprimés du système. Voir aussi Gestion des types d'affichage personnalisés, page 25 Suppression des équipements en double dans l'arborescence de navigation des systèmes Les nœuds Equipement en double peuvent s'afficher dans l'arborescence de navigation des systèmes lorsque vous effectuez un glisser-déplacer des équipements depuis une arborescence des systèmes vers un groupe ou si vous avez configuré des groupes avant de mettre à niveau le logiciel ESM. Il est conseillé de les supprimer pour éviter toute confusion. 1 Sur le volet de navigation du système, cliquez sur la liste déroulante Type d'affichage. 2 Cliquez sur l'icône Modifier située en regard de l'affichage qui inclut les équipements en double. 3 Désélectionnez les équipements en double, puis cliquez sur OK. Les équipements qui possédaient des doublons sont désormais répertoriés uniquement dans leurs groupes affectés. Gestion de plusieurs équipements L'option Gestion multi-équipement vous permet de démarrer, arrêter et redémarrer plusieurs équipements en même temps, ainsi que de mettre à jour leurs logiciels. McAfee Enterprise Security Manager Guide Produit 53

54 3 Configuration de l'esm Gestion des équipements 1 Dans l'arborescence de navigation du système, sélectionnez les équipements que vous souhaitez gérer. 2 Cliquez sur l'icône Gestion multi-équipement dans la barre d'outils des actions. 3 Sélectionnez l'opération à effectuer et les équipements sur lesquels l'effectuer, puis cliquez sur Démarrer. Gestion des liens URL de tous les équipements Vous pouvez configurer un lien pour chaque équipement afin d'afficher les informations de l'équipement dans une URL. Avant de commencer Configurez l'url du site de l'équipement. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Paramètres personnalisés Liens d'équipement. 2 Pour ajouter ou modifier une URL, surlignez l'équipement, cliquez sur Modifier, puis entrez l'url. Le champ URL ne peut pas contenir plus de 512 caractères. 3 Cliquez sur OK. Vous pouvez accéder à l'url en cliquant sur l'icône Lancer l'url de l'équipement d'événement et Analyse de flux de chaque équipement. en bas des vues Analyse Affichage des rapports de synthèse des équipements Les rapports de synthèse des équipements indiquent les types et le nombre d'équipements sur l'esm ainsi que l'heure du dernier événement reçu sur chacun d'eux. Vous pouvez exporter ces rapports au format CSV (valeurs séparées par une virgule). 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Informations système Afficher les rapports. 2 Afficher ou exporter le rapport Nombre de types d'équipement et Heure de l'événement. 3 Cliquez sur OK. Affichage d'un journal de système ou d'équipement Les journaux de système et d'équipement indiquent les événements qui se sont produits sur les équipements. Vous pouvez afficher la page de synthèse, qui indique le nombre d'événements et l'heure du premier et du dernier événement sur ESM ou l'équipement, ou bien afficher la liste détaillée des événements sur la page Journal système ou Journal de l'équipement. 54 McAfee Enterprise Security Manager Guide Produit

55 Configuration de l'esm Gestion des équipements 3 1 Afficher une synthèse des données d'événement : Données système : dans Propriétés du système, cliquez sur Journal système. Données d'équipement : sur la page Propriétés de l'équipement, cliquez sur Journal de l'équipement. 2 Pour afficher le journal des événements, entrez une période, puis cliquez sur Afficher. La page Journal système ou Journal de l'équipement affiche tous les événements générés durant la période que vous avez indiquée. Rapports d'état d'intégrité des équipements Des indicateurs d'état d'intégrité blancs (informatifs), jaunes (état d'inactivité ou d'équipement) ou rouges (critiques) s'affichent en regard des nœuds système, groupe ou équipement dans l'arborescence de navigation des systèmes lorsqu'un rapport d'état d'intégrité est disponible. Si vous McAfee Enterprise Security Manager Guide Produit 55

56 3 Configuration de l'esm Gestion des équipements cliquez sur l'indicateur, la page Alertes de statut d'équipement indique les options permettent d'afficher les informations et de résoudre les problèmes. Un indicateur sur ce type de nœud... Système ou groupe Equipement Ouvre... La page Synthèse des alertes de statut d'équipement, qui est une synthèse des alertes relatives à l'état des équipements associés au système ou au groupe. Elle peut afficher les alertes d'état suivantes : Partition supprimée : une table de base de données contenant les données d'événement, de flux ou de journal a atteint sa taille maximale et a supprimé une partition pour ajouter de l'espace pour les nouveaux enregistrements. Les données d'événement, de flux et de journal peuvent être exportées afin d'éviter une perte permanente. Espace disque : un disque dur est plein ou sur le point de manquer d'espace. Il peut s'agir du disque dur d'esm, de l'esm redondant ou du point de montage à distance. Critique : l'équipement ne fonctionne pas correctement et doit être réparé. Avertissement : un élément de l'équipement ne fonctionne pas comme il le devrait. Informations : l'équipement fonctionne correctement, mais son niveau de statut a changé. Désynchronisé : les paramètres d'équipement virtuel, de source de données ou du serveur de base de données d'esm sont désynchronisés avec ce qui réside réellement sur l'équipement. Renouvelé : comme la table des journaux de cet équipement manquait d'espace, elle s'est renouvelée. En d'autres termes, les nouveaux journaux sont écrits au-dessus des anciens. Inactif : l'équipement n'a pas généré d'événements ou de flux au cours de la période de seuil d'inactivité. Inconnu : ESM n'a pas pu se connecter à l'équipement. Les indicateurs Partition supprimée, Espace disque, Renouvelé et Informations peuvent être effacés en activant les cases à cocher situées en regard et en cliquant sur Effacer la sélection ou Effacer tout. La page Alertes de statut d'équipement, qui dispose de boutons qui vous renvoient vers les emplacements appropriés pour résoudre le problème. Elle peut inclure les boutons suivants : Journal : la page Journal système (pour ESM local) ou Journal de l'équipement affiche une synthèse de toutes les actions qui ont eu lieu dans le système ou l'équipement. Equipements virtuels, Sources de données, Sources VA ou Serveurs de base de données : répertorie les équipements de ce type dans le système, ce qui vous permet de vérifier les problèmes. Inactif : la page Seuil d'inactivité affiche les paramètres de seuil pour tous les équipements. Cet indicateur montre que l'équipement n'a pas généré d'événement au cours de l'intervalle de temps spécifié. Un indicateur informatif s'affiche lorsqu'un sous-système récupère d'un statut d'avertissement ou critique. Le tableau ci-après répertorie les descriptions de chaque type d'indicateur informatif. 56 McAfee Enterprise Security Manager Guide Produit

57 Configuration de l'esm Gestion des équipements 3 Statut Mode de contournement Non-exécution du programme d'inspection approfondie des paquets Non-exécution du programme d'agrégation des alertes de pare-feu (ngulogd) Non-exécution de la base de données Mode Surabonnement Non-exécution du canal de contrôle Non-exécution des programmes RDEP ou Syslog Echec de communication du programme de surveillance d'état avec le programme d'inspection approfondie des paquets Non-exécution de l'enregistreur d'événements système Espace libre faible dans la partition du disque dur Alerte de vitesse de ventilateur Alerte de température Erreurs réseau Description et instructions La carte d'interface réseau (NIC) est en mode de contournement. Les motifs possibles sont l'échec d'un processus système critique, la définition manuelle de l'équipement en mode de contournement ou un autre échec. Pour que l'équipement quitte le mode de contournement, sélectionnez Propriétés Configuration Interfaces. Le programme d'inspection approfondie des paquets connaît un dysfonctionnement. Il devrait pouvoir récupérer sans intervention. Dans le cas contraire, redémarrez l'équipement. Le programme d'agrégation des alertes de pare-feu connaît un dysfonctionnement. Il devrait pouvoir récupérer sans intervention. Dans le cas contraire, redémarrez l'équipement. Le serveur McAfee Extreme Database (EDB) connaît un dysfonctionnement. Le redémarrage de l'équipement devrait résoudre le problème, mais il se peut que la base de données doive être reconstruite. Si l'activité du réseau surveillé est supérieure à la capacité de gestion de Nitro IPS, il se peut que des paquets de réseau ne soient pas inspectés. Le programme de surveillance d'état génère une alerte qui indique que Nitro IPS est surchargé. Par défaut, la valeur du mode surabonnement est définie sur abandonner. Pour modifier cette valeur, sélectionnez Editeur de stratégies, cliquez sur Variable dans le volet Types de règle, développez la variable packet_inspection, puis sélectionnez Hériter pour la variable OVERSUBSCRIPTION_MODE. Les valeurs Pass (Transmettre) et Drop (Abandonner) sont autorisées pour cette variable. Le processus qui assure le fonctionnement du canal de communication avec ESM a échoué. Un redémarrage de l'équipement peut résoudre le problème. En cas de dysfonctionnement lié au sous-système qui gère les sources de données tierces (par exemple Syslog ou SNMP), une alerte critique est générée. Une alerte de niveau avertissement est générée si le collecteur n'a pas reçu de données de la source de données tierce pendant un certain laps de temps. Cela indique que la source de données est peut-être à l'arrêt ou qu'elle n'envoie pas de données au récepteur comme prévu. Le programme de surveillance d'état ne peut pas communiquer avec le programme d'inspection approfondie des paquets pour récupérer son statut. Il se peut que le programme d'inspection ne s'exécute pas et que le trafic réseau ne passe pas via Nitro IPS. La réapplication de la stratégie peut résoudre le problème. L'enregistreur d'événements système ne répond pas. Un redémarrage de l'équipement peut résoudre le problème. La quantité d'espace disque libre est très faible. Les ventilateurs tournent très lentement ou pas du tout. Tant qu'ils n'ont pas été remplacés, conservez l'équipement dans une pièce à air conditionné afin d'empêcher tout dommage. La température des composants essentiels est supérieure à un certain seuil. Conservez l'équipement dans une pièce à air conditionné afin de prévenir tout dommage irréversible. Vérifiez que rien ne bloque la circulation de l'air dans l'équipement. Des erreurs réseau ou des collisions excessives se sont produites sur le réseau. Cela peut être causé par un domaine de collision important ou des câbles réseau incorrects. McAfee Enterprise Security Manager Guide Produit 57

58 3 Configuration de l'esm Gestion des équipements Statut Problème lié à un point de montage à distance Espace disque disponible faible du point de montage à distance Les collecteurs de toutes les sources de données n'ont pas reçu de communication provenant d'une source de données pendant au moins 10 minutes. Non-exécution du collecteur des sources de données Impossible pour le programme de surveillance d'état d'obtenir un statut valide d'un sous-système Récupération du sous-système depuis un statut d'avertissement ou critique Description et instructions Un problème lié à un point de montage à distance existe. L'espace disque disponible du point de montage à distance est faible. Le récepteur n'a pas reçu de communication d'une source de données pendant au moins 10 minutes. Il existe un dysfonctionnement lié au sous-système qui gère les sources de données tierces spécifiques (par exemple Syslog ou SNMP). Le collecteur n'a pas reçu de données de la source de données tierce pendant une certaine durée. La source de données est peut-être à l'arrêt ou elle n'envoie pas de données au récepteur comme prévu. Le programme de surveillance d'état n'a pas pu obtenir un statut valide d'un sous-système. Si le programme de surveillance d'état est démarré et arrêté, une alerte informative est générée. S'il a des problèmes pour communiquer avec les autres sous-systèmes des équipements, une alerte est également générée. L'affichage du journal des événements peut fournir des détails sur les motifs des alertes d'avertissement et critiques. Suppression d'un groupe ou d'un équipement Si un équipement ne fait plus partie du système ou si vous n'utilisez plus un groupe, vous devez les supprimer de l'arborescence de navigation des systèmes. 1 Surlignez le nœud correspondant à l'élément que vous souhaitez supprimer, puis cliquez sur l'icône Supprimer dans la barre d'outils Actions. 2 Lorsque vous êtes invité à confirmer, cliquez sur OK. Actualisation des équipements Vous pouvez manuellement mettre à jour les équipements du système afin que leurs informations correspondent à celles de l'esm. Sur la barre d'outils des actions, cliquez sur l'icône Actualiser les équipements. 58 McAfee Enterprise Security Manager Guide Produit

59 Configuration de l'esm Configuration des équipements 3 Configuration des équipements Connectez les équipements physiques et virtuels à McAfee ESM pour permettre l'analyse temps réel, la surveillance des applications et des base de données, la corrélation avancée basée sur les règles et sur les risques et la génération de rapports de conformité. Sommaire Fonctions des équipements Paramètres Event Receiver Paramètres d'enterprise Log Manager (ELM) Paramètres liés au moteur ACE (Advanced Correlation Engine) Paramètres de Application Data Monitor (ADM) Paramètres de Database Event Monitor (DEM) Paramètres de Distributed ESM (DESM) Paramètres epolicy Orchestrator Paramètres de Nitro Intrusion Prevention System (Nitro IPS) Paramètres McAfee Vulnerability Manager Paramètres McAfee Network Security Manager McAfee Enterprise Security Manager Guide Produit 59

60 3 Configuration de l'esm Configuration des équipements Fonctions des équipements L'ESM vous permet de gérer, d'administrer et d'interagir avec tous les équipements physiques et virtuels de votre environnement de sécurité. Voir aussi Paramètres Event Receiver, page 61 Paramètres d'enterprise Log Manager (ELM), page 116 Paramètres de Application Data Monitor (ADM), page 136 Paramètres de Database Event Monitor (DEM), page 151 Paramètres liés au moteur ACE (Advanced Correlation Engine), page 132 Paramètres de Distributed ESM (DESM), page 158 Paramètres epolicy Orchestrator, page 159 Paramètres de Nitro Intrusion Prevention System (Nitro IPS), page McAfee Enterprise Security Manager Guide Produit

61 Configuration de l'esm Configuration des équipements 3 Paramètres Event Receiver Event Receiver permet de collecter des données d'événements de sécurité et de flux de réseau à partir de sources de différents fournisseurs, notamment des pare-feu, des réseaux privés virtuels (VPN), des routeurs, des équipements Nitro IPS/IDS, NetFlow, sflow, etc. Le récepteur Event Receiver permet de collecter ces données et de les normaliser dans une solution centralisée simple à gérer. Cela vous permet de visualiser l'ensemble des équipements des différents fournisseurs tels que Cisco, Check Point et Juniper, ainsi que de collecter des données d'événements et de flux issues d'équipements Nitro IPS et de routeurs qui envoient des flux de données au récepteur. Les récepteurs haute disponibilité peuvent être utilisés en mode principal et secondaire, chaque récepteur pouvant remplir la fonction de récepteur de secours pour l'autre. Le récepteur secondaire (B) surveille le récepteur principal (A) en continu et les nouvelles informations de configuration ou de stratégie sont envoyées aux deux équipements. Lorsque le récepteur B identifie une défaillance du récepteur A, il déconnecte du réseau la carte d'interface réseau de la source de données du récepteur A, puis il prend le rôle de récepteur principal. Il remplit le rôle de récepteur principal jusqu'à votre intervention manuelle pour restaurer le récepteur A dans le rôle de récepteur principal. Affichage des événements en flux continu La Visionneuse en flux continu affiche la liste des événements au fur et à mesure qu'ils sont générés par McAfee epo, McAfee Network Security Manager, le récepteur, la source de données, la source de données enfant ou le client que vous avez sélectionné. Vous pouvez filtrer la liste et sélectionner un événement à afficher dans une vue. 1 Dans l'arborescence de navigation du système, sélectionnez l'équipement à afficher, puis cliquez sur l'icône Afficher les événements en flux continu dans la barre d'outils des actions. 2 Cliquez sur Démarrer pour lancer l'affichage en flux continu et sur Arrêter pour l'arrêter. 3 Sélectionnez l'une des actions disponibles dans la visionneuse. 4 Cliquez sur Fermer. Récepteurs haute disponibilité Les récepteurs haute disponibilité sont utilisés en mode principal et secondaire : le récepteur secondaire peut rapidement prendre en charge les fonctions du récepteur principal en cas de défaillance de celui-ci. La continuité de la collecte des données est ainsi mieux assurée qu'avec un seul récepteur. La fonctionnalité de récepteurs haute disponibilité n'est pas conforme à FIPS. Si vous devez respecter les réglementations FIPS, n'utilisez pas cette fonctionnalité. Cette configuration est constituée de deux récepteurs : l'un d'eux est le récepteur principal (ou le récepteur principal préféré) et l'autre le récepteur secondaire. Le récepteur secondaire surveille le récepteur principal en continu. Si le récepteur secondaire identifie une défaillance du récepteur principal, il arrête le récepteur principal et il prend son rôle. Une fois réparé, le récepteur principal prend le rôle de récepteur secondaire ou il reprend le rôle de récepteur principal. Cela est déterminé par l'option sélectionnée dans le champ Equipement principal préféré sur l'onglet Récepteur haute disponibilité (voir Configuration des récepteurs haute disponibilité. McAfee Enterprise Security Manager Guide Produit 61

62 3 Configuration de l'esm Configuration des équipements La fonctionnalité de haute disponibilité peut être mise en place avec les modèles de récepteur suivants : ERC-1225-HA ERC-1250-HA ERC-2230-HA ERC-1260-HA ERC-2250-HA ERC-2600-HA ERC-4245-HA ERC-4600-HA ERC-4500-HA Ces modèles incluent un port IPMI (Intelligent Platform Management Interface) et au moins 4 cartes d'interface réseau (NIC), qui sont nécessaires pour la fonctionnalité de haute disponibilité (voir Ports réseau d'un récepteur haute disponibilité). Les cartes IPMI empêchent les deux cartes d'interface réseau DS d'utiliser les adresses IP et MAC partagées en même temps en arrêtant le récepteur défaillant. Les cartes IPMI sont raccordées à l'aide d'un câble croisé ou droit à l'autre récepteur. Les récepteurs sont raccordés à l'aide d'un câble croisé ou droit à la carte d'interface réseau de pulsation. Une carte d'interface réseau permet la communication avec l'esm, et l'autre carte d'interface réseau de source de données permet la collecte des données. Lorsque le récepteur principal fonctionne correctement et que le récepteur secondaire est en mode secondaire, voici ce qui se produit : Les récepteurs communiquent en continu via la carte d'interface réseau de pulsation dédiée et la carte d'interface réseau de gestion. Tous les certificats reçus, tels que OPSEC ou Estreamer, sont transmis à l'autre récepteur. Toutes les sources de données utilisent la carte d'interface réseau de source de données. Chaque récepteur surveille et indique sa propre intégrité. Cela inclut notamment l'intégrité interne (par exemple les erreurs de disque), les blocages de base de données et la perte de liaison sur les cartes d'interface réseau. L'ESM communique avec les récepteurs à intervalle régulier pour déterminer leur statut et leur intégrité. Toute nouvelle information de configuration est envoyée aux deux récepteurs (principal et secondaire). L'ESM envoie la stratégie aux deux récepteurs (principal et secondaire). Une opération de type arrêt, redémarrage, terminal, appel à distance est appliquée à chaque récepteur de façon indépendante. Les sections suivantes indiquent ce qui se produit en cas de problème avec un récepteur haute disponibilité. Défaillance du récepteur principal Le récepteur secondaire est chargé d'identifier la défaillance du récepteur principal. Il doit identifier la défaillance rapidement et avec précision pour éviter la fuite de données. Lors d'un basculement, toutes les données ultérieures au dernier envoi de données par le récepteur principal à ESM et ELM sont perdues. La quantité de données perdues dépend du débit du récepteur principal et de la fréquence à laquelle ESM extrait les données du récepteur. Il est important d'équilibrer ces processus concurrents pour optimiser la disponibilité des données. 62 McAfee Enterprise Security Manager Guide Produit

63 Configuration de l'esm Configuration des équipements 3 En cas de défaillance totale du récepteur principal (absence d'alimentation, défaillance processeur), il n'y a aucune communication de pulsation avec le récepteur principal. Corosync reconnaît la perte de communication et marque le récepteur principal comme défaillant. Pacemaker, situé sur le récepteur secondaire, demande à la carte IPMI du récepteur principal d'éteindre le récepteur principal. Le récepteur secondaire adopte les adresses IP et MAC partagées, puis il démarre tous les collecteurs. Défaillance du récepteur secondaire Lorsque le récepteur secondaire ne répond plus à la communication de pulsation, il est considéré comme défaillant. Cela signifie que les tentatives du système pour communiquer avec le récepteur via les interfaces de gestion et de pulsation ont échoué durant une période définie. Si le récepteur principal n'obtient pas les signaux de pulsation et d'intégrité, corosync marque le récepteur secondaire comme défaillant et Pacemaker l'éteint en utilisant la carte IPMI du récepteur secondaire. Problème lié à l'intégrité du récepteur principal L'intégrité du récepteur principal peut être gravement compromise. L'intégrité est gravement compromise par exemple en cas d'absence de réponse de la base de données ou d'une interface de source de données, ou lorsque le nombre d'erreurs disque est excessif. Lorsque le récepteur principal détecte une alerte healthmon pour l'une de ces conditions, il arrête les processus corosync et pacemaker et définit une alerte healthmon. L'arrêt de ces processus entraîne le transfert vers le récepteur secondaire des tâches de collecte de données. Problème lié à l'intégrité du récepteur secondaire Si l'intégrité du récepteur secondaire est compromise, voici ce qui se produit : Le récepteur secondaire signale les problèmes d'intégrité à l'esm lors de l'interrogation et il arrête les processus corosync et pacemaker. Si le récepteur secondaire fait encore partie du cluster, il se retire automatiquement du cluster et il devient indisponible en cas de défaillance du récepteur principal. Le problème d'intégrité est analysé et une tentative de réparation est effectuée. Si le problème d'intégrité est résolu, le récepteur est remis à l'état de fonctionnement normal via la procédure Remise en service. Si le problème d'intégrité n'est pas résolu, la procédure de Remplacement d'un récepteur défaillant est effectuée. Remise en service Lorsqu'un récepteur est remis en service après une défaillance (par exemple, redémarrage après une coupure d'alimentation, réparation de matériel ou du réseau), voici ce qui se produit : Les récepteurs en mode haute disponibilité n'effectuent pas la collecte des données au démarrage. Ils restent en mode secondaire jusqu'à ce qu'ils soient placés en mode principal. L'équipement principal préféré prend le rôle d'équipement principal et commence à utiliser l'adresse IP de la source de données partagée pour collecter les données. Si aucun équipement principal préféré n'est défini, l'équipement qui est en mode principal commence à utiliser la source de données partagée et collecte les données. Pour obtenir des informations sur cette procédure, voir Remplacement d'un récepteur défaillant. McAfee Enterprise Security Manager Guide Produit 63

64 3 Configuration de l'esm Configuration des équipements Mise à niveau d'un récepteur haute disponibilité La procédure de mise à niveau d'un récepteur haute disponibilité met à niveau les deux récepteurs, en commençant par le récepteur secondaire. Cette procédure est effectuée comme suit : 1 Le fichier tarball de mise à niveau est chargé sur l'esm et appliqué au récepteur secondaire. 2 Vous permutez les rôles du récepteur principal et du récepteur secondaire, via la procédure de Permutation des rôles des récepteurs haute disponibilité, afin que le récepteur mis à niveau devienne le récepteur principal et que celui qui n'a pas été mis à niveau devienne le récepteur secondaire. 3 Le fichier tarball de mise à niveau est appliqué au nouveau récepteur secondaire. 4 Vous permutez à nouveau le récepteur principal et le récepteur secondaire, en suivant la procédure de Permutation des rôles des récepteurs haute disponibilité, afin de rétablir le rôle initial de chaque récepteur. Lors de la mise à niveau, il est conseillé de ne pas définir de récepteur principal préféré. Consultez Si votre récepteur haute disponibilité est configuré avec un récepteur principal préféré, il est conseillé de changer ce paramètre avant d'effectuer la mise à niveau. Sur l'onglet Récepteur haute disponibilité (voir Configuration des récepteurs haute disponibilité), sélectionnez Aucun dans le champ Equipement principal préféré. Cela vous permet d'utiliser l'option Reprise automatique, laquelle n'est pas disponible si un équipement principal préféré est défini. Après la mise à niveau des deux récepteurs, vous pouvez à nouveau définir l'équipement principal préféré. Ports réseau sur les récepteurs haute disponibilité Ces schémas montrent comment connecter les ports réseau sur un récepteur haute disponibilité. ERC-1250-HA/1260-HA 1 IPMI 6 Gestion 2 2 Gestion 2 7 Gestion 3 3 Gestion 1 8 Flux de données 4 Carte d'interface réseau IPMI 9 IP gestion 1 5 Pulsation (HB) 64 McAfee Enterprise Security Manager Guide Produit

65 Configuration de l'esm Configuration des équipements 3 ERC-2600-HA et ERC-4600-HA 1 Carte d'interface réseau IPMI 6 Données 2 Pulsation 7 IPMI 3 Gestion 2 8 Gestion 1 4 Gestion 3 9 Flux de données 5 Gestion Configuration des récepteurs haute disponibilité Définir les paramètres des récepteurs haute disponibilité. Avant de commencer Ajoutez le récepteur qui joue le rôle d'équipement principal (consultez la section Ajout d'équipements à la console ESM). Il doit comporter au moins trois cartes d'interface réseau. La fonctionnalité de récepteurs haute disponibilité n'est pas conforme à FIPS. Si vous devez respecter les réglementations FIPS, n'utilisez pas cette fonctionnalité. McAfee Enterprise Security Manager Guide Produit 65

66 3 Configuration de l'esm Configuration des équipements 1 Dans l'arborescence de navigation du système, sélectionnez le récepteur à utiliser comme équipement haute disponibilité principal, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Configuration du récepteur, puis sur Interface. 3 Cliquez sur l'onglet Récepteur haute disponibilité, puis sélectionnez Configurer la haute disponibilité. 4 Renseignez les informations demandées, puis cliquez sur OK. Cela lance la procédure de configuration : attribution de la clé au récepteur secondaire, mise à jour de la base de données, application de globals.conf et synchronisation des deux récepteurs. Réinitialisation de l'équipement secondaire Si le récepteur secondaire est mis hors service pour une raison ou une autre, réinitialisez-le après sa réinstallation. 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur pour le récepteur principal, puis cliquez sur Configuration du récepteur Interface Récepteur haute disponibilité. 2 Vérifiez que l'adresse IP correcte est indiquée dans le champ IP de gestion secondaire. 3 Cliquez sur Réinitialiser secondaire. L'ESM exécute les étapes nécessaires pour réinitialiser le récepteur. Réinitialisation des équipements haute disponibilité Si vous devez réinitialiser des récepteurs haute disponibilité à l'état dans lequel ils se trouvaient avant d'être configurés pour la haute disponibilité, vous pouvez le faire sur la console ESM ou, en cas d'échec de la communication avec les récepteurs, via le menu de l'écran LCD. Effectuez l une des procédures suivantes : 66 McAfee Enterprise Security Manager Guide Produit

67 Configuration de l'esm Configuration des équipements 3 Pour... Réinitialiser un récepteur sur la console ESM Procédez ainsi... 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur, puis cliquez sur Configuration du récepteur Interface. 2 Désélectionnez Configurer la haute disponibilité, puis cliquez sur OK 3 Cliquez sur Oui sur la page d'avertissement, puis sur Fermer. Les deux récepteurs redémarrent après un délai d'environ cinq minutes et les valeurs initiales des adresses MAC sont restaurées. Réinitialiser le récepteur principal et secondaire sur le menu de l'écran LCD 1 Dans le menu LCD du récepteur, appuyez sur X. 2 Appuyez sur la flèche vers le bas pour afficher Disable HA (Désactiver la haute disponibilité). 3 Appuyez sur la flèche vers la droite une fois pour afficher Disable Primary (Désactiver principal) sur l'écran LCD. 4 Pour réinitialiser le récepteur principal, appuyez sur la coche. 5 Pour réinitialiser le récepteur secondaire, appuyez une fois sur la flèche vers le bas, puis sur la coche. Permutation des rôles des récepteurs haute disponibilité La procédure de basculement vous permet d'inverser les rôles du récepteur principal et du récepteur secondaire. Cette action est utile notamment pour mettre à niveau un récepteur, préparer un récepteur à renvoyer au fabricant ou déplacer les câbles d'un récepteur. La permutation permet de limiter la perte de données. Lorsqu'un collecteur (notamment l'équipement McAfee epo) est associé à un récepteur haute disponibilité, en cas de défaillance de ce récepteur, le collecteur ne peut pas communiquer avec lui jusqu'à ce que la nouvelle adresse MAC du récepteur soit l'adresse IP partagée, qui est attribuée durant le basculement. Selon la configuration du réseau, le délai peut être de quelques minutes à plusieurs jours. 1 Dans l'arborescence de navigation du système, sélectionnez le récepteur haute disponibilité principal, puis cliquez sur l'icône Propriétés. 2 Sélectionner Haute disponibilité Reprise automatique. Voici ce qui se produit : L'ESM indique au récepteur secondaire de démarrer en utilisant l'adresse IP de source de données partagée et de collecter les données. Le récepteur secondaire envoie une commande CRM (Cluster Resource Manager) pour changer les adresses IP et MAC partagées, puis il démarre les collecteurs. L'ESM extrait toutes les données d'alerte et de flux du récepteur principal. L'ESM marque le récepteur secondaire comme récepteur principal, et le récepteur principal comme récepteur secondaire. McAfee Enterprise Security Manager Guide Produit 67

68 3 Configuration de l'esm Configuration des équipements Mise à niveau des récepteurs haute disponibilité La procédure de mise à niveau des récepteurs haute disponibilité met à niveau les deux récepteurs l'un après l'autre, en commençant par le récepteur secondaire. Avant de lancer la mise à niveau, consultez la procédure Vérification du statut de haute disponibilité des récepteurs pour préparer les récepteurs haute disponibilité à la mise à niveau. Si vous ne faites pas cette vérification, la mise à niveau de l'équipement peut engendrer des problèmes et des temps d'arrêt. 1 Dans l'arborescence de navigation du système, sélectionnez le récepteur haute disponibilité principal, puis cliquez sur l'icône Propriétés. 2 Mettez à niveau le récepteur secondaire : a b Cliquez sur Gestion du récepteur, puis sélectionnez Secondaire. Cliquez sur Mettre à jour l'équipement, recherchez ou sélectionnez le fichier à utiliser, puis cliquez sur OK. Le récepteur redémarre et la version du logiciel est mise à jour. c d Dans Propriétés de récepteur, cliquez sur Haute disponibilité Remettre en service. Sélectionnez le récepteur secondaire, puis cliquez sur OK. 3 Faites passer le récepteur secondaire dans la fonction de récepteur principal en cliquant sur Haute disponibilité Reprise automatique. 4 Mettez à niveau le nouveau récepteur secondaire en effectuant à nouveau l'étape 2. Vérification du statut de haute disponibilité des récepteurs Déterminer le statut d'une paire de récepteurs haute disponibilité avant d'effectuer une mise à niveau. 1 Dans l'arborescence de navigation du système, sélectionnez le récepteur haute disponibilité principal, puis cliquez sur l'icône Propriétés. 2 Dans les champs Statut et Statut secondaire, vérifiez que le statut est OK ; Statut de la haute disponibilité : en ligne. 68 McAfee Enterprise Security Manager Guide Produit

69 Configuration de l'esm Configuration des équipements 3 3 Connectez-vous via Secure Shell (SSH) à chacun des récepteurs haute disponibilité et exécutez la commande ha_status sur les deux récepteurs via l'interface de ligne de commande. Les informations obtenues indiquent le statut de ce récepteur et le statut de l'autre récepteur déterminé par ce récepteur. Ces informations sont du type suivant : OK hostname=mcafee1 mode=primary McAfee1=online McAfee2=online sharedip=mcafee1 stonith=mcafee2 corosync=running hi_bit=no 4 Vérifiez les points suivants dans les informations ci-dessus : La première ligne de la réponse est OK. Le nom d'hôte Hostname est identique au nom d'hôte indiqué sur la ligne de commande, sauf le numéro de modèle du récepteur. Mode est le mode principal si la valeur de sharedip est le nom d'hôte de ce récepteur, sinon il s'agit du mode secondaire. Les deux lignes suivantes indiquent les noms d'hôte des récepteurs de la paire haute disponibilité, ainsi que le statut d'exécution de chaque récepteur. Le statut des deux est online (en ligne). corosync= indique le statut d'exécution de corosync, qui doit être running (en cours d'exécution). La valeur de hi_bit est no sur un récepteur et yes sur l'autre récepteur. Peu importe que ce soit l'un ou l'autre. Vérifiez qu'un seul des récepteurs haute disponibilité est défini avec la valeur hi_bit. Si les deux récepteurs haute disponibilité sont définis sur la même valeur, appelez le Support technique de McAfee avant d'effectuer la mise à niveau afin de corriger l'erreur de configuration de ce paramètre. 5 Connectez-vous via Secure Shell (SSH) à chacun des récepteurs haute disponibilité et exécutez la commande ifconfig sur les deux récepteurs via l'interface de ligne de commande. McAfee Enterprise Security Manager Guide Produit 69

70 3 Configuration de l'esm Configuration des équipements 6 Vérifiez les points suivants dans les données générées : Les adresses MAC sur eth0 et eth1 sont uniques sur les deux récepteurs. L'adresse IP partagée du récepteur principal est sur eth1 et le récepteur secondaire n'a pas d'adresse IP sur eth1. Si les deux récepteurs haute disponibilité sont définis sur la même valeur, appelez le support technique McAfee avant d'effectuer la mise à niveau afin de corriger l'erreur de configuration de ce paramètre. Cela permet de déterminer si le système est fonctionnel et de vérifier l'absence d'adresse IP en double. Si c'est le cas, vous pouvez mettre à niveau les équipements. Remplacement d'un récepteur défaillant Si un récepteur secondaire rencontre un problème d'intégrité impossible à résoudre, il peut être nécessaire de le remplacer. Lorsque vous recevez le nouveau récepteur, installez-le en suivant les procédures du McAfee ESM Setup and Installation Guide (Guide de configuration et d'installation de McAfee ESM). Si les adresses IP sont définies et les câbles sont branchés, vous pouvez remettre le récepteur dans le cluster haute disponibilité. 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur pour le récepteur haute disponibilité, puis cliquez sur Configuration du récepteur Interface. 2 Cliquez sur l'onglet Récepteur haute disponibilité, puis vérifiez que l'option Configurer la haute disponibilité est sélectionnée. 3 Vérifiez que les adresses IP sont correctes, puis cliquez sur Réinitialiser secondaire. Le nouveau récepteur est remis dans le cluster et le mode haute disponibilité est activé. Dépannage d'un récepteur défaillant En cas de défaillance d'un récepteur dans une configuration haute disponibilité, pour une raison ou une autre, l'écriture des données des sources de données, des paramètres globaux, des paramètres d'agrégation, etc. semble échouer et une erreur SSH s'affiche. En fait, les paramètres sont déployés sur le récepteur opérationnel, mais une erreur s'affiche, car il ne peut pas effectuer la synchronisation avec le récepteur défaillant. Toutefois, la stratégie n'est pas déployée. Dans cette situation, vous avez les options suivantes : Attendre jusqu'à ce que le récepteur secondaire soit à nouveau disponible et synchronisé pour déployer la stratégie. Supprimer le récepteur du mode haute disponibilité, ce qui engendre un temps d'arrêt de deux à cinq minutes du cluster haute disponibilité durant lequel aucun événement n'est collecté. Archivage des données brutes du récepteur Configurer le récepteur pour transférer une sauvegarde des données brutes vers votre équipement de stockage afin de les stocker à long terme. Les trois types de stockage pris en charge par ESM sont : SMB/CIFS (Server Message Block/Common Internet File System), NFS (Network File System) et le Transfert Syslog. SMB/CIFS et NFS permettent de stocker (sous forme de fichiers de données) une sauvegarde de toutes les données brutes envoyées au récepteur par les sources de données qui utilisent les protocoles de type , estream, http, SNMP, SQL, syslog et agent distant. Ces fichiers de données sont envoyés à l'archive toutes les cinq minutes. Le Transfert Syslog envoie les données brutes des protocoles syslog (sous forme de flux continu de messages syslog combinés) à l'équipement configuré dans la section Transfert Syslog de la 70 McAfee Enterprise Security Manager Guide Produit

71 Configuration de l'esm Configuration des équipements 3 page Paramètres d'archivage des données. Le récepteur peut transférer des données à un seul type de stockage à la fois. Vous pouvez configurer les trois types, mais activer un seul type pour l'archivage des données. Cette fonctionnalité ne prend pas en charge les types de source de données Netflow, sflow et IPFIX. Configuration des paramètres d'archivage Pour stocker les données brutes des messages Syslog, vous devez configurer les paramètres utilisés par le récepteur pour l'archivage. 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur, puis cliquez sur Configuration du récepteur Archivage des données. 2 Sélectionnez le type de partage et entrez les informations demandées. Le port 445 doit être ouvert sur le système contenant le partage CIFS pour permettre la connexion au partage CIFS. De même, le port 135 doit être ouvert sur le système contenant le partage SMB pour permettre la connexion au partage SMB. 3 Lorsque vous avez terminé et souhaitez appliquer les modifications à l'équipement récepteur, cliquez sur OK. Affichage des événements sources d'un événement de corrélation Vous pouvez afficher les événements sources d'un événement de corrélation sur la vue Analyse d'événement. Avant de commencer Une source de données de corrélation doit être préalablement présente sur l'esm (voir Source de données de corrélation et Ajout d'une source de données). 1 Dans l'arborescence de navigation du système, développez le récepteur, puis cliquez sur Moteur de corrélation. 2 Dans la liste des vues, cliquez sur Vues des événements, puis sélectionnez Analyse d'événement. 3 Sur la vue Analyse d'événement, cliquez sur le signe plus (+) dans la première colonne à côté de l'événement de corrélation. Un signe + s'affiche si l'événement de corrélation comporte des événements sources. Les événements sources sont répertoriés sous l'événement de corrélation. Affichage des statistiques de débit du récepteur Afficher les statistiques d'utilisation du récepteur, notamment les débits entrants (collecteur) et sortants (analyse syntaxique) des sources de données durant les 10 dernières minutes, la dernière heure et les dernières 24 heures. Avant de commencer Vérifiez que vous avez les privilèges Gestion des équipements. McAfee Enterprise Security Manager Guide Produit 71

72 3 Configuration de l'esm Configuration des équipements 1 Dans l'arborescence de navigation des systèmes, sélectionnez un récepteur, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Gestion du récepteur Afficher les statistiques Débit. 3 Consultez les statistiques du récepteur. Si des débits entrants dépassent le débit de sortie de 15 %, le système ajoute à la ligne un indicateur de type critique (les dernières 24 heures) ou avertissement (la dernière heure). 4 Filtrez la source des données en sélectionnant Tout, Critique ou Avertissement. 5 Sélectionnez l'unité dans laquelle afficher les données : nombre de kilo-octets (Ko) ou nombre d'enregistrements. 6 Pour actualiser les données automatiquement toutes les 10 secondes, sélectionnez l'option Actualisation automatique. 7 Triez les données en cliquant sur le titre de colonne souhaité. Sources de données de récepteur McAfee Event Receiver permet de collecter des données d'événement de sécurité et de flux de réseau à partir de sources de divers fournisseurs, notamment des pare-feu, des réseaux privés virtuels (VPN), des routeurs, des équipements Nitro IPS/IDS, NetFlow, sflow, etc. Les sources de données permettent de gérer la collecte des données d'événement et de journaux effectuée par le récepteur. Vous devez ajouter des sources de données et définir leurs paramètres afin qu'elles collectent les données dont vous avez besoin. La page Sources de données est le point de départ de la gestion des sources de données de votre équipement récepteur. Elle vous permet d'ajouter, de modifier et de supprimer des sources de données, ainsi que de les importer, les exporter et les faire migrer. Vous pouvez également ajouter des sources de données enfants et clientes. Ajout d'une source de données Configurer les paramètres des sources de données que vous ajoutez au récepteur pour collecter des données. 1 Dans l'arborescence de navigation du système, sélectionnez le récepteur auquel ajouter la source de données, puis cliquez sur l'icône Propriétés. 2 Dans Propriétés de récepteur, cliquez sur Sources de données Ajouter. 3 Sélectionnez le fournisseur et le modèle. Les champs à renseigner dépendent de vos sélections. 4 Renseignez les informations demandées, puis cliquez sur OK. La source de données est ajoutée à la liste des sources de données du récepteur, ainsi qu'à l'arborescence de navigation du système, sous le récepteur que vous avez sélectionné. 72 McAfee Enterprise Security Manager Guide Produit

73 Configuration de l'esm Configuration des équipements 3 Traitement de la source de données avec l'interruption SNMP La fonctionnalité d'interruption SNMP permet à une source de données d'accepter les interruptions SNMP standard issues de tout équipement réseau géré capable d'envoyer des interruptions SNMP. Les interruptions standard sont les suivantes : Echec d'authentification Liaison défaillante Démarrage à froid Liaison active et démarrage à chaud Perte voisin EGP Pour envoyer des interruptions SNMP via IPv6, vous devez indiquer l'adresse IPv6 en tant qu'adresse de conversion IPv4. Par exemple, la conversion de en IPv6 est du type suivant : 2001:470:B:654:0:0: ou 2001:470:B:654::A000:0254. Si vous sélectionnez Interruption SNMP, trois options sont disponibles : Si aucun profil n'a été sélectionné auparavant, la boîte de dialogue Profils de source de données SNMP qui s'ouvre vous permet de sélectionner le profil à utiliser. Si un profil a été sélectionné auparavant, la boîte de dialogue Profils de source de données SNMP s'ouvre. Pour modifier le profil, cliquez sur la flèche vers le bas dans le champ Profils système, puis sélectionnez un nouveau profil. Si un profil a été sélectionné auparavant et vous souhaitez le modifier, mais que la liste déroulante de la boîte de dialogue Profils de source de données SNMP n'inclut pas le profil souhaité, créez un profil de source de données SNMP. Gestion des sources de données Vous pouvez ajouter, modifier, supprimer, importer, exporter et faire migrer des sources de données, ainsi qu'ajouter des sources de données enfants et clientes, sur la page Sources de données. 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur, puis cliquez sur Sources de données. 2 Affichez la liste des sources de données présentes sur le récepteur et utilisez les options disponibles pour les gérer. 3 Cliquez sur Appliquer ou sur OK. SIEM Collector SIEM Collector envoie des journaux d'événements Windows à un récepteur, via une connexion chiffrée. En l'absence de SIEM Collector, la collecte d'événements Windows est limitée à l'utilisation du protocole WMI ou d'un agent tiers. Dans de nombreux environnements, la stratégie de sécurité bloque l'accès au système pour vous empêcher d'utiliser WMI. Le trafic WMI est en texte clair et ne permet l'accès qu'aux journaux écrits dans le journal des événements Windows. Vous ne pouvez pas accéder aux fichiers journaux créés par d'autres services, tels que DNS, DHCP et IIS, ou en utilisant un autre agent tiers. En utilisant SIEM Collector de façon autonome ou dans le cadre d'une implémentation McAfee epolicy Orchestrator existante, vous pouvez ajouter la fonctionnalité WMI aux agents McAfee existants. McAfee Enterprise Security Manager Guide Produit 73

74 3 Configuration de l'esm Configuration des équipements Vous pouvez également utiliser SIEM Collector comme concentrateur pour collecter des journaux d'autres systèmes, via RPC, sans ajouter le package SIEM Collector à chaque système. Les autres fonctionnalités sont notamment : Plug-in pour la collecte de base de données SQL définie par l'utilisateur (prend en charge SQL Server et Oracle). Plug-in pour l'analyse syntaxique d'événements Windows exportés au format.evt ou.evtx. Plug-in pour la prise en charge de l'audit C2 de SQL Server (format.trc). Intégration de données VA Vulnerability Assessment (VA) de l'équipement DEM et du récepteur vous permet d'intégrer des données qui peuvent être récupérées auprès de nombreux fournisseurs VA. Vous pouvez utiliser ces données de plusieurs façons : Augmenter la gravité d'un événement en fonction de la vulnérabilité connue du poste client à cet événement. Définir le système pour qu'il mémorise automatiquement les actifs et leurs attributs (système d'exploitation et services détectés). Créer et manipuler l'appartenance aux groupes d'actifs définis par l'utilisateur. Accéder aux informations de synthèse et détaillées des actifs du réseau. Modifier la configuration de l'editeur de stratégie, par exemple activer les signatures MySQL si un actif exécutant MySQL est découvert. Vous pouvez accéder aux données VA générées par le système dans les vues prédéfinies ou dans les vues personnalisées que vous créez. Les vues prédéfinies sont les suivantes : Vues des tableaux de bord Tableau de bord des vulnérabilités des actifs Vues de la conformité PCI Test des processus et systèmes de sécurité 11.2 Analyse des vulnérabilités du réseau Vues de gestion Vuln critique sur actifs régulés Pour créer une vue personnalisée, consultez Ajout d'une vue personnalisée. Si vous créez une vue qui inclut le composant Nombre total de vulnérabilités Nombre ou Numérotation, il se peut que le nombre de vulnérabilités affiché soit supérieur au nombre réel. Cela est dû au fait que le flux McAfee Threat Intelligence Services (MTIS) ajoute des menaces en fonction de la vulnérabilité d'origine fournie par la source VA (voir Evaluation des risques, actifs et menaces). L'équipe McAfee chargée des règles gère un fichier de règles qui mappe un ID de signature McAfee avec un numéro VIN, avec une ou plusieurs références, avec un ID CVE (Common Vulnerabilities and Exposure), un ID BugTraq, un IP OSVBD (Open Source Vulnerability Database) et/ou un ID Secunia. Comme ces fournisseurs indiquent les ID CVE et BugTraq dans leurs vulnérabilités, ces ID sont inclus dans cette version. Définition d'un profil système VA Lors de l'ajout d'une source eeye REM, la page Ajouter une source Vulnerability Assessment vous permet d'utiliser un profil système précédemment défini. Pour utiliser cette fonctionnalité, vous devez d'abord définir le profil. 74 McAfee Enterprise Security Manager Guide Produit

75 Configuration de l'esm Configuration des équipements 3 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement DEM ou un récepteur, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Vulnerability Assessment Ajouter. 3 Dans le champ Type de source VA, sélectionnez eeye REM. 4 Cliquez sur Utiliser le profil système. 5 Cliquez sur Ajouter, puis sélectionnez Vulnerability Assessment dans le champ Type de profil. 6 Dans le champ Agent de profil, sélectionnez la version SNMP de ce profil. Les champs de la page sont activés en fonction de la version sélectionnée. 7 Renseignez les informations demandées, puis cliquez sur OK. Ajout d'une source VA Pour communiquer avec des sources VA, vous devez ajouter la source au système, configurer les paramètres de communication du fournisseur VA, planifier les paramètres pour indiquer la fréquence de récupération des données et modifier les calculs de gravité des événements. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement DEM ou un récepteur, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Vulnerability Assessment. 3 Ajoutez, modifiez, supprimez ou récupérez les sources VA et écrivez les éventuelles modifications dans l'équipement. 4 Cliquez sur Appliquer ou sur OK. Récupération des données VA Une fois une source ajoutée, vous pouvez récupérer les données VA. Deux méthodes permettent de récupérer les données VA d'une source : méthode planifiée ou immédiate. Les deux types de récupération peuvent être effectuées sur l'ensemble des sources VA, à l'exception d'eeye REM, laquelle récupération doit être planifiée. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés DEM ou Propriétés de récepteur, puis cliquez sur Vulnerability Assessment. 2 Sélectionnez la source VA, puis sélectionnez l'une des options. McAfee Enterprise Security Manager Guide Produit 75

76 3 Configuration de l'esm Configuration des équipements Pour... Procéder à une récupération immédiate Procédez ainsi... Cliquez sur Récupérer. Le travail s'exécute en arrière-plan et vous êtes informé en cas de réussite de la récupération (consultez la section Résolution des problèmes liés à la récupération VA en cas d'échec). Planifier une récupération 1 Cliquez sur Modifier. 2 Dans le champ Planifier la récupération des données VA, sélectionnez la fréquence. 3 Cliquez sur OK. 4 Dans la page Vulnerability Assessment, cliquez sur Ecrire pour écrire les modifications dans l'équipement. 3 Cliquez sur OK. 4 Pour afficher les données, cliquez sur l'icône de lancement rapide d'asset Manager l'onglet Vulnerability Assessment., puis sur Résolution des problèmes liés à la récupération VA Vous êtes informé en cas d'échec de la récupération des données VA. Quelques-unes des raisons pouvant expliquer l'échec de la récupération sont indiquées ci-après. Cette ressource... Nessus, OpenVAS et Rapid7 Metasploit Pro Qualys, FusionVM et Rapid7 Nexpose Nessus Provoque... Un répertoire vide. Une erreur dans les paramètres. Des données obsolètes dans le répertoire puisqu'elles ont déjà été récupérées. Des données obsolètes dans le répertoire puisqu'elles ont déjà été récupérées. Si vous avez écrasé un fichier Nessus existant lors du chargement d'un nouveau fichier Nessus sur votre site FTP, la date du fichier reste identique. Par conséquent, si vous effectuez une récupération VA, aucune donnée n'est retournée, car les données sont perçues comme étant anciennes. Pour éviter cette situation, supprimez l'ancien fichier Nessus du site FTP avant de charger le nouveau ou utilisez un autre nom pour le fichier que vous chargez. Fournisseurs VA disponibles ESM peut s'intégrer à ces fournisseurs VA. fournisseur VA Version Digital Defense Frontline eeye REM (REM Events Server) McAfee Enterprise Security Manager Guide Produit

77 Configuration de l'esm Configuration des équipements 3 fournisseur VA eeye Retina Version , audits : 2400 La source VA eeye Retina est similaire à la source de données Nessus. Vous pouvez choisir d'utiliser scp, ftp, nfs ou cifs pour capturer les fichiers.rtd. Vous devez copier manuellement les fichiers.rtd dans un partage scp, ftp ou nfs pour les extraire. Les fichiers.rtd sont situés normalement dans le répertoire Retina Scans. McAfee Vulnerability Manager 6.8, 7.0 Critical Watch FusionVM LanGuard 10.2 Lumension ncircle Nessus NGS OpenVAS 3.0, 4.0 Qualys Rapid7 Nexpose Rapid7 Metasploit Pro Vous pouvez déduire la gravité d'un exploit Metasploit qui commence par le nom Nexpose en ajoutant une source VA Rapid7 au même récepteur. Si elle ne peut pas être déduite, la gravité par défaut est 100. Prise en charge de PatchLink Security Management Console, versions et ultérieures Prise en charge de Tenable Nessus, versions et 4.2 et des formats de fichier NBE,.nessus (XMLv2) et.nessus (XMLv1). Prise en charge également du format XML d'opennessus Update 1, format de fichier XML Saint Création automatique de sources de données Vous pouvez configurer le récepteur de façon à créer des sources de données automatiquement, en utilisant les 5 règles standard du récepteur ou bien des règles que vous créez. Avant de commencer Vérifiez que la vérification automatique est sélectionnée dans la boîte de dialogue Evénements, flux et journaux (Propriétés système Evénements, flux et journaux) ou cliquez sur l'icône Obtenir les événements et les flux événements et/ou les flux. dans la barre d'outils des actions pour extraire les McAfee Enterprise Security Manager Guide Produit 77

78 3 Configuration de l'esm Configuration des équipements 1 Dans Propriétés de récepteur, cliquez sur Sources de données Mémoriser automatiquement 2 Dans la fenêtre Mémoriser automatiquement, cliquez sur Configurer 3 Dans la fenêtre Editeur de règles d'ajout automatique, vérifiez que l'option Activer la création automatique est sélectionnée, puis sélectionnez les règles d'ajout automatique que le récepteur doit utiliser pour créer automatiquement des sources de données. 4 Cliquez sur Exécuter pour appliquer les règles sélectionnées aux données mémorisées automatiquement existantes, puis cliquez sur Fermer. Ajout de nouvelles règles de création automatique Vous pouvez ajouter des règles personnalisées que le récepteur va utiliser pour créer automatiquement des sources de données. 1 Dans Propriétés de récepteur, cliquez sur Sources de données Mémoriser automatiquement Configurer Ajouter 2 Dans la boîte de dialogue Configurer une règle d'ajout automatique, ajoutez les données nécessaires à définir la règle, puis cliquez sur OK. La nouvelle règle est ajoutée à la liste des règles d'ajout automatique dans la boîte de dialogue Editeur de règles d'ajout automatique. Vous pouvez ensuite la sélectionner pour que les sources de données soient créées lorsque les données automatiquement mémorisées correspondent aux critères définis dans la règle. Définition du format de la date des sources de données Sélectionner le format des dates incluses aux sources de données. 1 Dans l'arborescence de navigation du système, sélectionnez le récepteur, puis cliquez sur l'icône Ajouter une source de données. 2 Cliquez sur Avancé, puis effectuez une sélection dans le champ Ordre de date : Par défaut : le format de date par défaut est appliqué (le mois avant le jour). Lorsque vous utilisez des sources de données clientes, les clients qui utilisent ce paramètre héritent du format de date de la source de données parente. Le mois avant le jour : le mois est indiqué avant le jour (04/23/2014). Le jour avant le mois : le jour est indiqué avant le mois (23/04/2014). 3 Cliquez sur OK. 78 McAfee Enterprise Security Manager Guide Produit

79 Configuration de l'esm Configuration des équipements 3 Sources de données désynchronisées La configuration de différents paramètres peut entraîner la désynchronisation entre une source de données et ESM. Lorsqu'une source de données désynchronisée génère un événement, un indicateur rouge s'affiche à côté du récepteur dans l'arborescence de navigation des systèmes. Vous pouvez également configurer une alarme qui vous avertit lorsque cela se produit. Vous pouvez ensuite gérer les sources de données désynchronisées en accédant à la page Delta pour la date/heure (voir Gestion des sources de données désynchronisées). Les événements désynchronisés peuvent être des anciens événements ou des événements futurs. Les sources de données peuvent être désynchronisées avec ESM pour différentes raisons. 1 Le paramètre du fuseau horaire de l'esm est incorrect (voir Sélection des paramètres utilisateur). 2 Vous avez défini l'heure dans un fuseau horaire incorrect lors de l'ajout de la source de données (voir Ajout d'une source de données). 3 Le système est actif depuis une longue période et l'heure n'est plus synchronisée. 4 Vous avez configuré le système de cette manière intentionnellement. 5 Le système n'est pas connecté à Internet. 6 L'événement est désynchronisé lors de sa réception sur le récepteur. Voir aussi Ajout d'une source de données, page 72 Gestion des sources de données désynchronisées, page 79 Sélection des paramètres utilisateur, page 29 Gestion des sources de données désynchronisées Si des sources de données sont désynchronisées avec ESM, vous pouvez configurer une alarme pour vous avertir lorsque des événements sont générés par ces sources de données. Vous pouvez ensuite afficher la liste des sources de données, modifier leurs paramètres et exporter cette liste. 1 Configurez une alarme qui vous avertit lorsque le récepteur reçoit un événement généré par une source de données désynchronisée avec ESM. a Dans l'arborescence de navigation des systèmes, sélectionnez le système, puis cliquez sur l'icône Propriétés. b c d Cliquez sur Alarmes Ajouter, entrez les informations requises sur l'onglet Synthèse, puis cliquez sur Condition. Sélectionnez Delta pour l'événement dans le champ Type, sélectionnez la fréquence à laquelle ESM doit vérifier les sources de données désynchronisées, puis sélectionnez la différence de temps à appliquer pour le déclenchement de l'alarme. Renseignez les informations dans les autres onglets. 2 Affichez, modifiez ou exportez les sources de données désynchronisées. a b Dans l'arborescence de navigation des systèmes, cliquez sur le récepteur, puis cliquez sur l'icône Propriétés. Cliquez sur Gestion du récepteur, puis sélectionnez Delta pour la date/heure. McAfee Enterprise Security Manager Guide Produit 79

80 3 Configuration de l'esm Configuration des équipements Ajout d'une source de données enfant Vous pouvez ajouter des sources de données enfant pour organiser vos sources de données. 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur, puis cliquez sur Sources de données. 2 Dans le tableau des sources de données, cliquez sur la source de données à laquelle vous souhaitez ajouter une source de données enfant. 3 Cliquez sur Ajouter un enfant, puis remplissez les champs de la même manière que pour une source de données parent. 4 Cliquez sur OK. La source de données enfant est ajoutée sous la source de données parent dans le tableau ainsi que dans l'arborescence de navigation du système. Sources de données clientes Vous pouvez étendre le nombre de sources de données autorisées sur un récepteur en ajoutant des sources de données clientes. Pour les sources de données avec collecteur syslog, ASP, CEF, MEF, NPP et WMI, vous pouvez ajouter jusqu'à clients de source de données. Si la source de données est déjà un parent ou un enfant, ou si elle est une source de données WMI et Utiliser un appel de procédure distante (RPC) est sélectionné, cette option n'est pas disponible. Vous pouvez ajouter plusieurs sources de données clientes avec la même adresse IP et utiliser le numéro de port pour les différencier. Cela vous permet de séparer vos données en utilisant un port différent pour chaque type de données, puis transférer les données en utilisant le même port. Lorsque vous ajoutez une source de données cliente (voir Sources de données clientes et Ajout d'une source de données cliente), vous choisissez d'utiliser le port de la source de données parente ou un autre port. Caractéristiques des sources de données clientes : Elles n'ont pas de droits VIPS, Stratégie ou Agent. Elles ne s'affichent pas dans le tableau Sources de données. Elles s'affichent dans l'arborescence de navigation du système. Elles partagent la même stratégie et les mêmes droits que la source de données parente. Elles doivent être dans le même fuseau horaire, car elles utilisent la configuration du parent. Les sources de données WMI clientes peuvent avoir des fuseaux horaires indépendants, car le fuseau horaire est déterminé par la requêtes envoyée au serveur WMI. Ajout d'une source de données cliente Ajouter un client à une source de données existante pour augmenter le nombre de sources de données autorisées sur le récepteur. Avant de commencer Ajoutez la source de données au récepteur (consultez la section Ajout d'une source de données). 80 McAfee Enterprise Security Manager Guide Produit

81 Configuration de l'esm Configuration des équipements 3 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur, puis cliquez sur Sources de données. 2 Sélectionnez la source de données à laquelle vous souhaitez ajouter le client, puis cliquez sur Clients. La page Clients de source de données répertorie les clients actuellement inclus à la source de données sélectionnées. 3 Cliquez sur Ajouter, renseignez les informations demandées, puis cliquez sur OK. Les événements sont transmis à la source de données (parente ou cliente) la plus spécifique. Par exemple, vous avez deux sources de données clientes : une avec l'adresse IP et l'autre avec l'adresse IP /24, qui couvre un intervalle. Les deux sont du même type. Si un événement correspond à , il est transmis au premier client, car celui-ci est plus spécifique. Recherche d'un client La page Clients de source de données répertorie tous les clients du système. Comme vous pouvez avoir plus de clients, la fonctionnalité de recherche peut vous être utile pour trouver un client particulier. 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur, puis cliquez sur Sources de données Clients. 2 Entrez les informations à rechercher, puis cliquez sur Rechercher. Importation d'une liste de sources de données L'option Importer de la page Sources de données vous permet d'importer une liste de sources de données enregistrée au format.csv. Cela vous évite d'ajouter, de modifier ou de supprimer individuellement chaque source de données. Vous pouvez utiliser cette option dans deux cas : Pour importer des données de sources de données brutes copiées d'un récepteur situé dans un emplacement sécurisé vers un récepteur situé dans un emplacement non sécurisé. Si tel est le cas, consultez la section Déplacement de sources de données. Pour modifier les sources de données sur un récepteur, en ajoutant des sources de données à la liste existante, en modifiant des sources de données existantes ou en supprimant des sources de données existantes. Pour effectuer cela, suivez les étapes ci-dessous. 1 Exporter une liste de sources de données actuellement sur le récepteur. a b Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur, puis cliquez sur Sources de données. Cliquez sur Exporter, puis cliquez sur Oui pour confirmer le téléchargement. McAfee Enterprise Security Manager Guide Produit 81

82 3 Configuration de l'esm Configuration des équipements c Sélectionnez l'emplacement du téléchargement, au besoin modifiez le nom du fichier, puis cliquez sur Enregistrer. La liste des sources de données existantes est enregistrée. d Accédez à ce fichier et ouvrez-le. La feuille de calcul qui s'ouvre contient les données des sources de données actuellement sur le récepteur (voir Champs de la feuille de calcul d'importation de sources de données). 2 Ajoutez, modifiez ou supprimez les sources de données de la liste. a Dans la colonne A, indiquez l'action à effectuer sur la source de données : add (ajouter), edit (modifier) ou remove (supprimer). b Si vous ajoutez ou modifiez des sources de données, entrez les informations dans les colonnes de la feuille de calcul. Vous ne pouvez pas modifier la stratégie ni le nom de la source de données. c Enregistrez les modifications effectuées dans la feuille de calcul. Vous ne pouvez pas modifier une source de données pour la convertir en source de données cliente ni vice versa. 3 Importez la liste vers le récepteur. a Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur, puis cliquez sur Sources de données. b Cliquez sur Importer, puis sélectionnez le fichier et cliquez sur Charger. Vous ne pouvez pas modifier la stratégie ni le nom de la source de données. La page Importer des sources de données qui s'ouvre indique les modifications effectuées sur la feuille de calcul. c Pour importer les modifications, cliquez sur OK. Les modifications qui sont dans un format valide sont ajoutées. d e f g En cas d'erreurs liées au format des modifications, un Journal des messages décrit les erreurs. Cliquez sur Télécharger tout le fichier, puis cliquez sur Oui Sélectionnez l'emplacement d'enregistrement du téléchargement, au besoin modifiez le nom du fichier, puis cliquez sur Enregistrer. Ouvrez le fichier téléchargé. Il répertorie les sources de données qui présentent des erreurs. h i Corrigez les erreurs, puis enregistrez et fermez le fichier. Fermez le Journal des messages et la page Importer des sources de données, puis cliquez sur Importer et sélectionnez le fichier que vous avez enregistré. Importer des sources de données répertorie les sources de données que vous avez corrigées. j Cliquez sur OK. 82 McAfee Enterprise Security Manager Guide Produit

83 Configuration de l'esm Configuration des équipements 3 Champ de la feuille de calcul d'importation de sources de données La feuille de calcul que vous utilisez pour importer des sources de données comporte plusieurs colonnes : certaines sont requises et d'autres sont utilisées uniquement pour des types de sources de données particuliers. Champs requis pour toutes les sources de données Colonne Description op Opération à effectuer sur la source de données Détails Entrez l'une des fonctions suivantes dans la colonne op : add = ajouter une nouvelle source de données. edit : modifier une source de données existante. remove : supprimer sans réaffectation. Si cette colonne est laissée vide, aucune action n'est effectuée sur la source de données. rec_id ID de récepteur Ce numéro d'id de récepteur est indiqué sur la page Nom et description du récepteur. dsname Nom de la source de données Il doit être unique sur le récepteur. Champs utilisés pour toutes les sources de données Colonne Description Détails ip modèle fournisseur parent_id child_type Adresse IP valide pour la source de données ID de la source de données parente Type d'enfant de source de données Elle est requise sauf si protocol = corr La validation est effectuée uniquement pour les sources de données activées. Valeurs exclues : protocol : cifs, nfs, ftp, scp, http Collector = curl ou mount SNMPTrap - non valide si d'autres source de données utilisent des concordances IPAddress et d'interruption SNMP. nfxsql - non valide si la combinaison IPAddress, dbname et port est trouvée. netflow ou opsec - non valide si la combinaison IPAddress et port est trouvée. mef est le collecteur (si parser = mef, collector = mef automatiquement), non valide si mef et protocol sont trouvés. L'entrée doit être une concordance exacte, excepté pour les clients avec MatchByFlag = 1 (concordance par IPAddress) L'entrée doit être une concordance exacte, excepté pour les clients avec MatchByFlag = 1 (concordance par IPAddress) Requis si agent ou client. Si cet ID est un nom, une recherche est effectuée pour trouver le parent de la source de données portant ce nom qui est un enfant du récepteur indiqué. Requis : 0 = n'est pas un enfant, 1 = agent, 2 = client McAfee Enterprise Security Manager Guide Produit 83

84 3 Configuration de l'esm Configuration des équipements Colonne Description Détails match_type Concordance client Requis lors de l'ajout ou la modification de sources de données : 1 = concordance par adresse IP, 2 = concordance par type de tiers analyse syntaxique Indicateur d'activation de source de données Indicateur d'activation (yes/no), valeur par défaut : yes Champs utilisés par les sources de données qui ne sont pas des clients Colonne Description Détails snmp_trap_id ID de profil pour interruption snmp Valeur par défaut : 0. elm_logging Consignation vers elm (yes/no) Valeur par défaut : no. pool Nom du pool Elm Valeur par défaut : vide meta-vendor meta-product meta_version Valeur par défaut : vide Valeur par défaut : vide Valeur par défaut : vide url URL des détails sur l'événement Valeur par défaut : vide parser collector Méthode d'analyse syntaxique du format des données Méthode de récupération des données Valeur par défaut : Default. Valeur par défaut : Default. Si parser = mef, collector est défini sur mef. Scp, http, ftp, nfs, cifs : ok si le format de fichier plat est pris en charge pour le protocole. Champs requis si format = CEF ou MEF Colonne Description Détails chiffrer Indicateur de chiffrement de source de données hostname Nom d'hôte ou ID d'hôte Valeur par défaut = F Egalement utilisé si Format = Default, Retrieval = mef et Protocol = gsyslog. Le chiffrement doit être le même pour tous les mef ayant la même adresse IP. Valeur par défaut : vide Facultatif si Protocol = gsyslog ou syslog : il doit être unique. Facultatif si Protocol = nas. agréger Relais Syslog Les valeurs valides sont les suivantes : vide et syslogng. Valeur par défaut : vide Egalement utilisé si Format = Default, Retrieval = Default et Protocol = gsyslog. tz_id ID de fuseau horaire Valeur par défaut : vide Egalement utilisé si Format = Default et si l'une des conditions suivantes est vraie : Protocol = syslog et Model est différent de Adiscon Windows Events. Protocol = nfxsql. Protocol = nfxhttp. Protocol = . Protocol = estream. Egalement utilisé pour la prise en charge de certains fichiers plats 84 McAfee Enterprise Security Manager Guide Produit

85 Configuration de l'esm Configuration des équipements 3 Autres champs Colonne Description Détails profile_id Nom ou ID de profil Valeur par défaut : vide Si le nom du profil ne permet pas de trouver l'enregistrement du profil, une erreur est consignée. exportmcafeefile exportprofileid mcafee_formated_file Indicateur de transport de source de données Nom du profil de partage distant Indicateur d'analyse syntaxique de fichier de données brutes mcafee_formated_file_xsum Indicateur d'utilisation de somme de contrôle Valeur par défaut : no Si la valeur est "yes", cette source de données est incluse dans le transport de source de données. Valeur par défaut : vide Valeur par défaut : no Si la valeur est "yes", la méthode d'analyse syntaxique utilise le fichier de données brutes. Valeur par défaut : no Si la valeur est "yes", la somme de contrôle est utilisée avant l'analyse syntaxique du fichier de données brutes. mcafee_formated_file_ipsid ID Nitro IPS d'origine Requis en cas d'utilisation du fichier de données brutes. zoneid Nom de la zone Valeur par défaut : vide policy_name Nom ou ID de stratégie Valeur par défaut : vide Utilisé uniquement lors de l'ajout de nouvelles sources de données. Cette valeur n'est pas mise à jour lors d'une opération de modification. Champs validés pour les protocoles indiqués Le champ Protocol (Protocole) est déterminé par les champs Vendor (Fournisseur) et Model (Modèle), sauf si format = Default ou CEF et Retrieval (Récupération) est différent de Default ou MEF. Alors protocol est la valeur Retrieval. Ces champs sont validés pour le protocole indiqué, si aucun profil n'est indiqué. Tableau 3-2 Champs Netflow : à partir de la colonne AF Colonne Description Détails netflow_port Valeur par défaut : 9993 netflow_repeat_enabled Transfert activé Valeur par défaut : F netflow_repeat_ip Adresse IP de transfert Requis si repeat_enabled = T. Valeur par défaut : vide netflow_repeat_port Port de transfert Valeur par défaut : 9996 Tableau 3-3 Champs rdep : à partir de la colonne AJ Colonne Description Détails rdep_sdee_username rdep_sdee_password rdep_sdee_interval Requis Requis Valeur par défaut : 60 (en secondes) McAfee Enterprise Security Manager Guide Produit 85

86 3 Configuration de l'esm Configuration des équipements Tableau 3-4 Champs opsec : à partir de la colonne AM Colonne Description Détails opsec_parent opsec_authentication Indicateur de parent (type d'équipement) Utiliser l'indicateur d'authentification Requis (T/F). T = la source de données est un parent. F = la source de données n'est pas un parent Utilisé si parent = T, valeur par défaut : F opsec_appname Nom de l'application Requis si authentication = T, facultatif si F, valeur par défaut : vide opsec_actkey Clé d'activation Requis si authentication = T, facultatif si F, valeur par défaut : vide opsec_parent_id Nom du parent de la source de données Nom du parent - requis si parent = F. Une erreur est consignée si le nom de la source de données parente ne permet pas de trouver la source de données parente. opsec_port Utilisé si parent = T, valeur par défaut : opsec_encryption opsec_comm_method opsec_server_entity_dn Utiliser l'indicateur de chiffrement Méthode de communication Nom unique de l'entité serveur opsec_collect_audit_events Type de collecte opsec : événements d'audit opsec_collect_log_events Type de collecte opsec : événements de journalisation Utilisé si parent = T, valeur par défaut : F Utilisé si parent = T, valeur par défaut : vide Doit être une valeur valide : '' (vide) asym_sslca asym_sslca_com p asym_sslca_rc4 asym_sslca_rc4 _comp ssl_clear sslca sslca_clear sslca_comp sslca_rc4 "sslca_rc4_comp " Valeur par défaut : vide Utilisé si parent = T Requis si DeviceType = Log Server/CLM ou Secondary SMS/CMA. Utilisé si parent = T, valeur par défaut : yes Utilisé si parent = T, valeur par défaut : yes opsec_type Type d'équipement Requis. Valeurs valides pour ce champ : Valeur Nom dans la liste déroulante Thin Client 0 SMS/CMA 1 Equipement de sécurité 2 Log Server/CLM 3 Secondary SMS/CMA 86 McAfee Enterprise Security Manager Guide Produit

87 Configuration de l'esm Configuration des équipements 3 Tableau 3-5 Champs wmi : à partir de la colonne AY Colonne Description Détails wmi_use_rpc Utiliser l'indicateur RPC Valeur par défaut : no. wmi_logs Journaux des événements Valeur par défaut : SYSTEM,APPLICATION,SECURITY. wmi_nbname Nom NetBIOS Requis si Retrieval = Default, sinon facultatif. Valeur par défaut : vide wmi_username Nom d'utilisateur Requis si Retrieval = Default, sinon facultatif. Valeur par défaut : vide wmi_password Mot de passe Requis si Retrieval = Default, sinon facultatif. Valeur par défaut : vide wmi_interval Valeur par défaut : 600. wmi_version Valeur par défaut : 0. Tableau 3-6 Champs gsyslog : à partir de la colonne BF Colonne Description Détails gsyslog_autolearn Indicateur de prise en charge des messages Syslog génériques Valeurs valides : T, F, COUNT. Valeur par défaut = F gsyslog_type Affectation de règle générique Requis si autolearn = T, sinon facultatif. Valeur par défaut : gsyslog_mask Utilisé si Retrieval = Default. Valeur par défaut : 0. Tableau 3-7 Champ corr : colonne BI Colonne Description Détails corr_local Indicateur d'utilisation des données locales Tableau 3-8 Champs sdee : à partir de la colonne BJ Colonne Description Détails sdee_username sdee_password sdee_uri sdee_interval Valeur par défaut = F Si le modèle (model) du récepteur est ERC-VM-25 ou ERC-VM-500, la source de données n'est pas ajoutée. Sinon, aucune autre source de données ne peut utiliser ce protocole. Requis Requis Valeur par défaut : cgi-bin/sdee-server Valeur par défaut : 600 seconds. sdee_port Valeur par défaut : 443. sdee_proxy_port Valeur par défaut : sdee_use_ssl Valeur par défaut : T. sdee_proxy_ip sdee_proxy_username sdee_proxy_password sdee_use_proxy Requis si use_proxy = T. Valeur par défaut : vide Requis si use_proxy = T. Valeur par défaut : vide Requis si use_proxy = T. Valeur par défaut : vide Valeur par défaut = F Tableau 3-9 Champs mssql : à partir de la colonne BU Colonne Description Détails mssql_parent Type de périphérique Valeur par défaut : T. Serveur = T. Managed device = F mssql_port Utilisé si parent = T Valeur par défaut : McAfee Enterprise Security Manager Guide Produit 87

88 3 Configuration de l'esm Configuration des équipements Tableau 3-9 Champs mssql : à partir de la colonne BU (suite) Colonne Description Détails mssql_interval mssql_username mssql_password Utilisé si parent = T Valeur par défaut : 600 seconds. Requis si parent = T. Valeur par défaut : vide Requis si parent = T. Valeur par défaut : vide mssql_parent_id Nom du parent Requis si parent = F. Une erreur est consignée si le nom du parent ne permet pas de trouver la source de données. Tableau 3-10 Champs syslog : à partir de la colonne CA Colonne Description Détails syslog_untrust_iface syslog_burb syslog_sg_mc syslog_nsm syslog_wmi_syslog_format syslog_wmi_version Interface la moins fiable Nom de la bulle Internet Indicateur de centre de gestion Indicateur de gestionnaire de sécurité Requis si Vendor = CyberGuard. Requis si Vendor = McAfee et Model = McAfee Firewall Enterprise Facultatif si Vendor = Stonesoft Corporation, valeur par défaut : no Facultatif si Vendor = Juniper Networks et Model = Netscreen Firewall/Security Manager ou Netscreen IDP, valeur par défaut : no Facultatif si Vendor = Microsoft et Model = Adiscon Windows Events, valeur par défaut : 0 Facultatif si Vendor = Microsoft et Model = Adiscon Windows Events, valeur par défaut : Windows 2000 syslog_aruba_version Facultatif si Vendor = Aruba, valeur par défaut : 332 syslog_rev_pix_dir Inverser les valeurs du réseau Facultatif si Vendor = Cisco et Model = PIX/ASA ou Firewall Services Module, valeur par défaut : no syslog_aggregate Relais Syslog Valeurs valides : vide et Vendor. Valeur par défaut : vide syslog_require_tls T/F Indique si TLS est utilisé pour cette source de données. syslog_syslog_tls_port syslog_mask Masque pour l'adresse IP Port à utiliser pour TLS syslog si en cours d'utilisation. (Facultatif) Vous permet d'appliquer un masque à une adresse IP afin qu'une plage d'adresses IP puisse être acceptée. La valeur zéro (0) dans le champ signifie qu'aucun masque n'est utilisé. Valeur par défaut : McAfee Enterprise Security Manager Guide Produit

89 Configuration de l'esm Configuration des équipements 3 Tableau 3-11 Champs nfxsql : à partir de la colonne CM Colonne Description Détails nfxsql_port La valeur par défaut dépend des valeurs de vendor (fournisseur) et model (modèle) : Par défaut Fournisseur Modèle 9117 Enterasys Networks Dragon Sensor ou Dragon Squire 1433 IBM ISS Real Secure Desktop Protector ou ISS Real Secure Network ou ISS Real Secure Server Sensor 1433 McAfee epolicy Orchestrator ou epolicy Orchestrator Firewall ou epolicy Orchestrator Host IPS 3306 Symantec Symantec Mail Security for SMTP 1433 Websense Websense Enterprise 1433 Microsoft Operations Manager 1433 NetIQ NetIQ Security Manager 1433 Trend Micro Control Manager 1433 Zone Labs Integrity Server 1433 Cisco Security Agent 1127 Sophos Sophos Antivirus 1433 Symantec Symantec Antivirus Corporate Edition Server 443 Tous les autres nfxsql_userid nfxsql_password nfxsql_dbname nfxsql_splevel nfxsql_version Nom de la base de données Niveau du Service Pack Requis Requis (Facultatif) Valeur par défaut : vide. Utilisé si Vendor = IBM et Model = ISS Real Secure Desktop Protector ou ISS Real Secure Network ou ISS Real Secure Server Sensor. Valeur par défaut : SP4. (facultative) Valeur par défaut = 9i si Vendor = Oracle et Model = Oracle Audits. Valeur par défaut = 3.6 si Vendor = McAfee et Model = epolicy Orchestrator ou epolicy Orchestrator Firewall ou epolicy Orchestrator Host IPS. nfxsql_logtype nfxsql_sid Type de journalisation SID de la base de données Requis si Vendor = Oracle et Model = Oracle Audits (FGA, GA ou les deux). Facultatif si Vendor = Oracle et Model = Oracle Audits. Valeur par défaut : vide McAfee Enterprise Security Manager Guide Produit 89

90 3 Configuration de l'esm Configuration des équipements Tableau 3-12 Champs nfxhttp : à partir de la colonne CU Colonne Description Détails nfxhttp_port Valeur par défaut : 433. nfxhttp_userid Requis nfxhttp_password Requis nfxhttp_mode Valeur par défaut : secure. Tableau 3-13 Champs à partir de la colonne CY Colonne Description Détails _port Valeur par défaut : _mailbox Protocole de messagerie Valeur par défaut : imap pop3 _connection Type de connexion Valeur par défaut : ssl clear. _interval Valeur par défaut : 600 seconds. _userid Requis _password Requis Tableau 3-14 Champs estream : à partir de la colonne DE Colonne Description Détails Ces champs sont inclus à la feuille de calcul. Toutefois, un fichier de certification étant requis, ils sont actuellement ignorés. jestream_port Valeur par défaut : 993. jestream_password Requis jestream_estreamer_cert_file Requis jestream_collect_rna Tableau 3-15 Champs file source : à partir de la colonne DI Colonne Description Détails Utilisés pour les protocoles cifs, ftp, http, nfs, scp. fs_record_lines Nombre de lignes par enregistrement Utilisé si flat file support (prise en charge de fichier plat). Valeur par défaut : 1. fs_file_check Intervalle Valeur par défaut : 15 minutes. fs_file_completion fs_share_path fs_filename Expression générique Requis fs_share_name Valeur par défaut : 60 seconds. Valeur par défaut : vide Requis si Protocol = cifs ou nfs (sinon, non utilisé). fs_username Utilisé si Protocol = cifs, ftp ou scp. Valeur par défaut : vide fs_password Utilisé si Protocol = cifs, ftp ou scp. Valeur par défaut : vide fs_encryption Utilisé si Protocol = ftp ou http. Valeur par défaut : no. Egalement utilisé si flat file support et Protocol = ftp 90 McAfee Enterprise Security Manager Guide Produit

91 Configuration de l'esm Configuration des équipements 3 Tableau 3-15 Champs file source : à partir de la colonne DI (suite) Colonne Description Détails fs_port Utilisé si Protocol = ftp, valeur par défaut : 990. Si Protocol = http, valeur par défaut : 443. Egalement utilisé si flat file support et Protocol = ftp Valeur par défaut : 80. fs_verify_cert Vérifier le certificat SSL Utilisé si Protocol = ftp ou http. Valeur par défaut : no. Egalement utilisé si flat file support et Protocol = ftp fs_compression fs_login_timeout fs_copy_timeout Utilisé si Protocol = scp ou sftp. Valeur par défaut : no. Utilisé si Protocol = scp. Valeur par défaut : 1 second. Utilisé si Protocol = scp. Valeur par défaut : 1 second. fs_wmi_version Utilisé si flat file support et Vendor = Microsoft et Model = Adiscon Windows Events. Valeur par défaut : Windows fs_aruba_version fs_rev_pix_dir Inverser les valeurs du réseau Utilisé si flat file support et Vendor = Aruba Valeur par défaut : 332. Utilisé si flat file support et Vendor = Cisco et Model = PIX/ASA ou Firewall Services Module. Valeur par défaut : no. fs_untrust_iface Interface la moins fiable Requis si flat file support et Vendor = CyberGuard fs_burb Nom de la bulle Internet Requis si flat file support et Vendor = McAfee et Model = McAfee Firewall Enterprise. fs_nsm fs_autolearn fs_type fs_binary fs_protocol fs_delete_files Indicateur de gestionnaire de sécurité Prendre en charge les messages Syslog génériques Affectation de règle générique Facultatif si flat file support et Vendor = Juniper Networks et Model =Netscreen Firewall/Security Manager ou Netscreen IDP. Valeur par défaut : no. Facultatif si flat file support et Retrieval = gsyslog. Valeurs valides : T, F, COUNT. Valeur par défaut = F Requis si autolearn = T, sinon facultatif. Valeur par défaut : Valeur par défaut : no. Tableau 3-16 Champs sql_ms : à partir de la colonne EH Valeur par défaut : ' : utilisé si parser = Default et collector = nfs File Source. Colonne Description Détails sql_ms_port Valeur par défaut : sql_ms_userid sql_ms_password sql_ms_dbname Nom de la base de données Tableau 3-17 Champ nas : colonne EL Colonne Description Détails nas_type Tableau 3-18 Champ ipfix : colonne EM Colonne Description Détails ipfix_transport Requis Requis Valeur par défaut : (Défini par l'utilisateur 1). Ce champ est utilisé uniquement pour les sources de données McAfee/PluginProtocol. Requis. Valeurs valides : TCP et UDP. Valeur par défaut : TCP. McAfee Enterprise Security Manager Guide Produit 91

92 3 Configuration de l'esm Configuration des équipements Tableau 3-19 Champs snmp : à partir de la colonne EN Colonne Description Détails snmp_authpass Mot de passe d'authentification Requis si : traptype = v3trap et seclevel = authpriv ou authnopriv. traptype = v3inform et seclevel = authpriv ou authnopriv. snmp_authproto Protocole d'authentification Valeurs valides : MD5 ou SHA1. Requis si : traptype = v3trap et seclevel = authpriv ou authnopriv. traptype = v3inform et seclevel = authpriv ou authnopriv other traptypes. Valeur par défaut : MD5. snmp_community Nom de la communauté snmp_engineid snmp_privpass Mot de passe de confidentialité Requis si traptype = v1trap, v2trap, v2inform. Requis si traptype = v3trap Requis si : traptype = snmpv3trap et seclevel = authpriv traptype = snmpv3inform et seclevel = authpriv snmp_privproto Protocole de confidentialité Les valeurs valides sont les suivantes : DES et AES. Requis si : traptype = snmpv3trap et seclevel = authpriv traptype = snmpv3inform et seclevel = authpriv Autres types traptypes, valeur par défaut = DES. snmp_seclevel Niveau de sécurité Les valeurs valides sont les suivantes : noauthnopriv, authnopriv et authpriv. Requis si traptype = v3trap or v3inform. Autres types traptypes, valeur par défaut = noautnopriv. snmp_traptype snmp_username type snmp_version Affectation de règle par défaut Requis. Les valeurs valides sont les suivantes : v1trap, v2trap, v2inform, v3trap et v3inform. Requis si traptype = snmpv3 or snmpv3inform. Requis. Valeur par défaut : Automatiquement rempli. Tableau 3-20 sql_ws : à partir de la colonne EY Colonne Description Détails sql_ws_port sql_ws_userid sql_ws_password sql_ws_dbname sql_ws_db_instance Nom de l'instance de base de données (Facultatif) La valeur par défaut dépend de vendor (fournisseur). Valeur par défaut de Websense = Requis Requis (Facultatif) Valeur par défaut : vide. Requis 92 McAfee Enterprise Security Manager Guide Produit

93 Configuration de l'esm Configuration des équipements 3 Tableau 3-21 sql : à partir de la colonne FD Colonne Description Détails sql_port sql_userid sql_password sql_dbinstance sql_config_logging Port utilisé pour la connexion à la base de données ID d'utilisateur de base de données Mot de passe de base de données Nom de l'instance de base de données Valeurs valides : 0 (pour SQL Server Express Database) et 1 (pour SQL Database) sql_protocol Si la valeur de sql_config_logging = 1, cette valeur = gsql. sql_dbname Nom de la base de données Tableau 3-22 oracleidm : à partir de la colonne FK Colonne Description Détails oracleidm_port oracleidm_userid oracleidm_password Port utilisé pour la connexion à la base de données Oracle Identify Manager ID d'utilisateur pour la base de données Oracle Identify Manager Mot de passe pour la base de données Oracle Identify Manager oracleidm_ip_address Adresse IP pour la base de données Oracle Identify Manager oracleidm_dpsid Nom TNS de la connexion en cours d'utilisation Tableau 3-23 text : à partir de la colonne FP Colonne Description Détails Champs utilisés pour la source de données epolicy Orchestrator. text_dbinstance Instance de base de données dans laquelle la base de données epolicy Orchestrator est en cours d'exécution text_dbname text_password text_port text_userid Nom de la base de données epolicy Orchestrator Mot de passe pour la base de données epolicy Orchestrator Port utilisé pour la connexion à la base de données epolicy Orchestrator ID d'utilisateur pour la base de données epolicy Orchestrator Tableau 3-24 gsql : à partir de la colonne FU Colonne Description Détails gsql_port gsql_userid gsql_password gsql_dbname gsql_db_instance Nom de l'instance de base de données (Facultatif) La valeur par défaut dépend de vendor (fournisseur). Valeur par défaut de Websense = Requis Requis (Facultatif) Valeur par défaut : vide. Requis gsql_nsmversion Version NSM Requis. Si laissé vide, valeur par défaut : version 6.x. McAfee Enterprise Security Manager Guide Produit 93

94 3 Configuration de l'esm Configuration des équipements Migration de sources de données vers un autre récepteur Vous pouvez réallouer ou redistribuer des sources de données entre des récepteurs du même système. Cela est particulièrement utile lorsque vous achetez un nouveau récepteur et souhaitez équilibrer les sources de données et les données associées entre les deux récepteurs, ou bien lorsque vous achetez un récepteur de remplacement plus grand et souhaitez transférer les sources de données entre le récepteur actuel et le nouveau récepteur. 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur pour le récepteur contenant les sources de données, puis cliquez sur Sources de données. 2 Sélectionnez les sources de données à migrer, puis cliquez sur Migrer. 3 Sélectionnez le nouveau récepteur dans le champ Récepteur de destination, puis cliquez sur OK. Déplacement de sources de données vers un autre système Pour déplacer des sources de données d'un récepteur vers un autre système, vous devez sélectionner les sources de données à déplacer, enregistrer ces sources de données et leurs données brutes dans un emplacement à distance, puis les importer vers l'autre récepteur. Avant de commencer Pour utiliser cette fonction, vous devez avoir des droits de gestion des équipements sur les deux récepteurs. Utilisez cette procédure pour déplacer des sources de données d'un récepteur situé dans un emplacement sécurisé vers un récepteur situé dans un emplacement non sécurisé. L'exportation d'informations de sources de données est soumise à quelques limites : 94 McAfee Enterprise Security Manager Guide Produit

95 Configuration de l'esm Configuration des équipements 3 Vous ne pouvez pas transférer des sources de données de flux (par exemple, IPFIX, NetFlow ou sflow). Les événements sources des événements corrélés ne s'affichent pas. Si vous effectuez une modification sur les règles de corrélation du second récepteur, le moteur de corrélation ne traite pas ces règles. Lors du transfert des données de corrélation, il insère ces événements à partir du fichier. Pour... Sélectionnez les sources de données et l'emplacement à distance Procédez ainsi... 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur, puis cliquez sur Source de données. 2 Sélectionnez la source de données, puis cliquez sur Modifier. 3 Cliquez sur Avancé, puis sélectionnez Exporter vers NitroFile. 4 Cliquez sur OK. Les données sont exportées vers un emplacement à distance et configurées avec le profil. Créer un fichier de données brutes Dorénavant, les données brutes générées par cette source de données sont copiées sur l'emplacement de partage à distance. 1 Accédez à l'emplacement de partage à distance où sont enregistrées les données brutes. 2 Enregistrez les données brutes générées dans un emplacement qui vous permette de déplacer le fichier vers le second récepteur (par exemple un lecteur amovible que vous pouvez déplacer dans l'emplacement non sécurisé). Créer un fichier de description des source de données 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur, puis cliquez sur Source de données Importer. 2 Recherchez le fichier de sources de données que vous avez déplacé et cliquez sur Charger. 3 Dans la liste Profil de partage à distance, sélectionnez l'emplacement où vous avez enregistré les fichiers de données brutes. Si le profil ne figure pas dans la liste, cliquez sur Profil de partage à distance et ajoutez le profil. 4 Cliquez sur OK. Les sources de données sont ajoutées au second récepteur et elles accèderont aux données brutes via le profil de partage à distance. Importer des données brutes et des fichiers de sources de données 1 Dans l'arborescence de navigation du système, accédez à Sources de données sur le second récepteur, puis cliquez sur Importer. 2 Recherchez le fichier de sources de données que vous avez déplacé et cliquez sur Charger. La page Importer des sources de données répertorie les sources de données à importer. 3 Dans la liste Profil de partage à distance, sélectionnez l'emplacement où vous avez enregistré les fichiers de données brutes. Si le profil ne figure pas dans la liste, cliquez sur Profil de partage à distance et ajoutez le profil (consultez la section Configuration des profils). 4 Cliquez sur OK. McAfee Enterprise Security Manager Guide Produit 95

96 3 Configuration de l'esm Configuration des équipements Configuration de la mémorisation automatique de sources de données Configurer ESM pour mémoriser automatiquement des adresses IP. Avant de commencer Vérifiez que les ports sont définis pour Syslog, MEF et les flux (consultez la section Configuration des interfaces réseau). Le pare-feu du récepteur s'ouvre durant la configuration, ainsi le système peut mémoriser un ensemble d'adresses IP inconnues. Vous pouvez ensuite les ajouter au système en tant que sources de données. Lorsque vous effectuez la mise à niveau, les résultats de la mémorisation automatique sont supprimés de la page Mémoriser automatiquement. Si vous n'avez pas effectué d'action pour certains résultats de mémorisation automatique avant la mise à niveau, vous devez exécuter la mémorisation automatique après la mise à niveau pour collecter à nouveau ces résultats. 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur, puis cliquez sur Sources de données Mémoriser automatiquement. 2 Définissez les paramètres nécessaires, puis cliquez sur Fermer. Affichage des fichiers générés par des sources de données Pour afficher les fichiers générés par des sources de données, accédez à la page Afficher les fichiers. Vous ne pouvez pas les afficher sur un vue ESM. 1 Dans l'arborescence de navigation du système, sélectionnez la source de données McAfee. 2 Sur la barre d'outils des actions, cliquez sur l'icône Afficher les fichiers. 3 Effectuez l'une des actions suivantes : Entrez un nom de fichier dans le champ Filtre de nom de fichier pour trouver un fichier particulier. Modifiez les paramètres du champ Période pour afficher uniquement les fichiers générés durant une période. Cliquez sur Actualiser pour mettre à jour la liste de fichiers. Sélectionnez un fichier dans la liste, puis cliquez sur Télécharger pour télécharger le fichier. 4 Cliquez sur Annuler pour fermer la page. Types de source de données définis par l'utilisateur Le tableau ci-dessous répertorie les types définis par l'utilisateur ainsi que le nom ou l'entrée correspondant, qui s'affichent dans l'éditeur de sources de données. ID Modèle de l'équipement Fournisseur Protocole Préfixe du nom de règle Défini par l'utilisateur 1 N/D syslog UserDefined1_ Generic Défini par l'utilisateur 2 N/D syslog UserDefined2_ Generic Défini par l'utilisateur 3 N/D syslog UserDefined3_ Generic Type d'éditeur de règle 96 McAfee Enterprise Security Manager Guide Produit

97 Configuration de l'esm Configuration des équipements 3 ID Modèle de l'équipement Fournisseur Protocole Préfixe du nom de règle Défini par l'utilisateur 4 N/D syslog UserDefined4_ Generic Défini par l'utilisateur 5 N/D syslog UserDefined5_ Generic Défini par l'utilisateur 6 N/D syslog UserDefined6_ Generic Défini par l'utilisateur 7 N/D syslog UserDefined7_ Generic Défini par l'utilisateur 8 N/D syslog UserDefined8_ Generic Défini par l'utilisateur 9 N/D syslog UserDefined9_ Generic Défini par l'utilisateur 10 N/D syslog UserDefined10_ Generic Sources de données prises en charge Type d'éditeur de règle McAfee développe régulièrement la prise en charge de nouvelles sources de données. Les récepteurs peuvent contenir jusqu'à 2000, 200 ou 50 sources de données. Pour afficher la liste des sources de données actuellement prises en charge, consultez https:// kc.mcafee.com/corporate/index?page=content&id=pd25060 Vous pouvez associer jusqu'à 2000 sources de données aux équipements suivants : ERC-1225 ENMELM-5600 ERC-1250 ENMELM-5750 ERC-2230 ENMELM-6000 ERC-2250 ELMERC-2230 ERC-2600 ELMERC-2250 ERC-3450 ELMERC-2600 ERC-4245 ELMERC-4245 ERC-4600 ELMERC-4600 ENMELM-2250 ESMREC-4245 ENMELM-4245 ESMREC-5205 ENMELM-4600 ESMREC-5510 ENMELM-5205 ERC-110 permet seulement 50 sources de données et tous les autres peuvent en contenir jusqu'à 200. Correspondance des plages de sources de données : Types de source de données : 1 48,999 Types définis par l'utilisateur : 49,001 49,999 Réservé à McAfee (par exemple, les ensembles de règles) : 50,001 65,534 Si vous utilisez McAfee Firewall Enterprise Event Reporter (ERU), seules les sources de données McAfee sont disponibles. McAfee Enterprise Security Manager Guide Produit 97

98 3 Configuration de l'esm Configuration des équipements Configuration de sources de données spécifiques Certaines sources de données requièrent davantage d'informations et des paramètres de configuration spéciaux. Pour obtenir des informations, consultez les sections suivantes de cette annexe. Check Point BigFix IBM Internet Security Systems SiteProtector Common Event Format McAfee epolicy Orchestrator ArcSight epolicy Orchestrator 4.0 Security Device Event Exchange (SDEE) NSM-SEIM Analyseur syntaxique de fichiers Syslog avancé Prise en charge des relais Syslog Journal des événements WMI Adiscon Journal des événements WMI WMI est l'implémentation Microsoft de WBEM (Web-Based Enterprise Management) telle que définie par l'organisme de normalisation DMTF (Distributed Management Task Force). Il s'agit de la principale technologie de gestion utilisée sur les systèmes d'exploitation Windows pour partager des informations de gestion entre les applications de gestion. WMI est notamment très utile pour obtenir les données de gestion des ordinateurs distants. WMI n'est pas conforme à FIPS Si vous devez respecter les réglementations FIPS, n'utilisez pas cette fonctionnalité. Les journaux d'événements WMI sont configurés en tant que source de données et envoyés via le récepteur. Le récepteur interroge le serveur Windows selon un intervalle défini et il collecte les événements. Le collecteur WMI peut collecter des événements de tout journal d'événements de l'équipement Windows. Par défaut, le récepteur collecte des journaux de sécurité, d'administration et d'événements. Vous pouvez entrer d'autres fichiers journaux, par exemple d'un Service d'annuaire ou d'exchange. Les données des journaux d'événements sont collectées dans les données de paquet et vous pouvez les consulter dans les détails du tableau des événements. Vous devez avoir des privilèges d'administrateur ou d'opérateur de sauvegarde pour accéder aux journaux des événements WMI, sauf si vous utilisez Windows 2008 ou 2008 R2 à condition que la source de données et l'utilisateur soient correctement configurés (consultez la section Configuration de l'extraction de journaux de sécurité Windows). Les équipements supplémentaires suivants sont pris en charge par la source de données WMI : McAfee Antivirus Microsoft SQL Server Windows RSA Authentication Manager Microsoft ISA Server Symantec Antivirus Microsoft Active Directory Microsoft Exchange Pour obtenir des instructions sur la configuration de Syslog WMI via Adiscon, voir Configuration d'adiscon. Lorsque vous configurez une source de données WMI, le fournisseur (vendor) est Microsoft et le modèle (model) est WMI Event Log. 98 McAfee Enterprise Security Manager Guide Produit

99 Configuration de l'esm Configuration des équipements 3 Configuration de l'extraction des journaux de sécurité Windows Si vous utilisez Windows 2008 ou 2008 R2, les utilisateurs peuvent extraire les journaux de sécurité Windows sans avoir des droits d'administrateur si la source de données WMI Event Log (Journal des événements WMI) et l'utilisateur sont correctement configurés. 1 Créez un nouvel utilisateur sur le système Windows 2008 ou 2008 R2 sur lequel vous souhaitez permettre la consultation des journaux d'événements. 2 Affectez l'utilisateur au groupe Lecteurs des journaux d'événements sur le système Windows. 3 Créez une nouvelle source de données WMI Event Log (Journal des événements) Microsoft sur McAfee Event Receiver, en entrant les informations d'identification de l'utilisateur créé à l'étape 1 (consultez la section Ajout d'une source de données). 4 Sélectionnez la case Utiliser un appel de procédure distante (RPC), puis cliquez sur OK Source de données de corrélation Une source de données de corrélation analyse les données issues d'un ESM, détecte les schémas suspects dans un flux de données, génère des alertes de corrélation qui représentent ces schémas et insère ces alertes dans la base de données d'alertes du récepteur. Un schéma suspect est représenté par des données interprétées par des règles de stratégie de corrélation, que vous pouvez créer et modifier. Les règles de ce type sont différentes et séparées des règles Nitro IPS ou de pare-feu et leur fonctionnement est défini par des attributs. Vous pouvez configurer une seule source de données de corrélation sur un récepteur, de façon similaire à la configuration de syslog ou OPSEC. Une fois que vous avez configuré la source de données de corrélation d'un récepteur, vous pouvez déployer la stratégie par défaut de la corrélation, modifier les règles de base de cette stratégie par défaut de la corrélation ou ajouter des règles personnalisées et des composants, puis déployer la stratégie. Vous pouvez activer ou désactiver chaque règle et définir la valeur de chacun des paramètres de la règle définis par l'utilisateur. Pour obtenir des informations détaillées sur la stratégie de corrélation, voir Règles de corrélation. Lorsque vous ajoutez une source de données de corrélation, le fournisseur est McAfee et le modèle est Correlation Engine. Si la source de données de corrélation est activée, l'esm envoie des alertes au moteur de corrélation sur le récepteur. McAfee Enterprise Security Manager Guide Produit 99

100 3 Configuration de l'esm Configuration des équipements Correspondance de la gravité et des actions L'utilisation des paramètres de la gravité est légèrement différente de l'utilisation des paramètres des actions. L'objectif est d'établir une correspondance entre une valeur d'un message syslog et une valeur qui s'adapte au schéma du système. severity_map : la gravité est indiquée sous forme de valeur comprise entre 1 (gravité la plus faible) et 100 (gravité la plus élevée) attribuée aux événements qui concordent avec la règle. Dans certains cas, l'équipement qui envoie le message peut indiquer la gravité sous forme de nombre compris entre 1 et 10 ou de texte (élevée, moyenne, faible). Dans ce cas, la gravité ne peut pas être capturée et il est nécessaire de créer un mappage. Par exemple, voici un message issu de McAfee IntruShield qui indique la gravité sous forme de texte. <113>Apr 21 07:16:11 SyslogAlertForwarder: Attack NMAP: XMAS Probe (Medium)\000 La syntaxe d'une règle qui utilise la mise en correspondance de la gravité serait du type suivant (la mise en correspondance de la gravité est mise en caractères gras uniquement pour l'identifier dans cet exemple) : alert any any any -> any any (msg:"mcafee Traffic"; content:"syslogalertforwarder"; severity_map:high=99,medium=55,low=10; pcre:"(syslogalertforwarder)\x3a\s+attack\s+ ([^\x27]+)\x27([^\x28]+)\x28"; raw; setparm:application=1; setparm:msg=2; setparm:severity=3; adsid:190; rev:1;) severity_map : High=99,Medium=55,Low=10. Cela permet de faire correspondre le texte à un nombre dans un format que nous pouvons utiliser. setparm : severity=3. Indique de prendre la troisième capture et de définir sa valeur égale à la gravité. Tous les modificateurs setparm fonctionnent de cette manière. action_map : utilisé comme la gravité. L'action représente l'action qui a été effectuée par l'équipement tiers. L'objectif avec l'action est de créer un mappage utile pour l'utilisateur final. Par exemple, voici un message d'échec de connexion issu d'openssh. Dec 6 10:27:03 nina sshd[24259]: Failed password for root from port ssh2 alert any any any -> any any (msg:"ssh Login Attempt"; content:"sshd"; action_map:failed=9,accepted=8; pcre:"sshd\x5b\d+\x5d\x3a\s+((failed Accepted)\s+password)\s+for\s+((invalid illegal)\s+user\s+)?(\s+)\s+from\s+(\s+)(\s+(\s+)\s+port\s+(\d+))?"; raw; setparm:msg=1; setparm:action=2; setparm:username=5; setparm:src_ip=6; adsid:190; rev:1;) L'action (Failed) est mappée à un nombre. Ce nombre représente les différentes actions que nous pouvons utiliser sur notre système. La liste ci-dessous indique les types d'action qui peuvent être utilisés. 0 = nul 20 = arrêter 1 = transmettre 21 = constaté 2 = rejeter 22 = approuvé 3 = abandonner 23 = non approuvé 4 = sdrop 24 = faux positif 5 = alerte 25 = alerte-rejeter 6 = par défaut 26 = alerte-abandonner 100 McAfee Enterprise Security Manager Guide Produit

101 Configuration de l'esm Configuration des équipements 3 7 = erreur 27 = alerte-sdrop 8 = opération réussie 28 = redémarrer 9 = échec 29 = bloquer 10 = urgence 30 = nettoyer 11 = critique 31 = nettoyage-échec 12 = avertissement 32 = continuer 13 = informations 33 = infecté 14 = déboguer 34 = déplacer 15 = intégrité 35 = déplacer-échec 16 = ajouter 36 = quarantaine 17 = modifier 37 = quarantaine-échec 18 = supprimer 38 = supprimer-échec 19 = démarrer 39 = refusé Dans cet exemple, Failed est mappé avec 9 dans le message syslog, ce que le système signale comme un échec (Failure). Voici la structure détaillée d'une règle. Alert any any any -> any any (msg: Login Attempt ; content: sshd ; action_map or severity_map (si nécessaire); pcre: your regular expression goes here ; raw; setparm:data_tag_goes_here; adsid:190; rev:1;) Analyseur syntaxique de fichiers Syslog avancé L'analyseur syntaxique de fichiers Syslog avancé (ASP) permet d'analyser la syntaxe des données des messages Syslog en fonction de règles définies par l'utilisateur. Les règles indiquent à l'analyseur comment reconnaître un message donné et où se trouvent les données d'événement dans ce message, par exemple les ID de signature, les adresses IP, les ports, les noms d'utilisateur et les actions. Cet analyseur peut être utilisé pour les équipements Syslog qui ne sont pas spécifiquement identifiés sur la page Ajouter une source de donnée ou lorsque l'analyseur propre à la source n'interprète pas correctement les messages ou n'interprète pas intégralement les points de données relatifs aux événements reçus. Il est également idéal pour trier des sources de journalisation complexes telles que des serveurs Linux et UNIX. Pour utiliser cette fonctionnalité, vous devez écrire des règles personnalisées pour votre environnement Linux ou UNIX (consultez la section Ajout d'une règle ASP personnalisée). Vous pouvez ajouter une source de données ASP au récepteur en sélectionnant Syslog comme fournisseur (consultez la section Ajout d'une source de données). Une fois que vous avez effectué cela, suivez les instructions du fabricant de l'équipement pour configurer votre équipement Syslog de façon à envoyer des données Syslog à l'adresse IP du récepteur. McAfee Enterprise Security Manager Guide Produit 101

102 3 Configuration de l'esm Configuration des équipements Lorsque vous ajoutez une source ASP, vous devez appliquer une stratégie avant de collecter les données d'événement. Si vous activez la Prise en charge des messages Syslog génériques, vous pouvez appliquer une stratégie sans utiliser de règles et commencer à collecter des données d'événements génériques. Certaines sources de données, telles que les serveurs Linux et UNIX, peuvent générer de grandes quantités de données non uniformes pouvant affecter la capacité du récepteur à regrouper correctement des occurrences d'événements similaires. Cela peut donner l'impression d'avoir une grande variété d'événements différents alors qu'en réalité le même événement est simplement répété, mais avec différentes données Syslog envoyées au récepteur. L'ajout de règles à votre analyseur ASP vous permet d'optimiser l'exploitation des données d'événement. L'analyseur ASP utilise un format très similaire à Snort. ACTION Protocol Src_ip Src_port -> Dst_ip Dst_port (keyword: option; keyword: option;...;) Lors de la concaténation d'une valeur de littéral avec une sous-capture PCRE dans la version et ultérieure, placez les littéraux entre guillemets s'ils contiennent des espaces ou d'autres caractères, et laissez les références de sous-capture PCRE sans guillemets. Les règles sont définies comme suit. Section Champ Description En-tête de règle L'en-tête de règle contient l'action d'alerte et le format any any any. La règle est la suivante : ALERT any any any -> any any Action Que faire avec l'événement en cas de concordance. Les options sont les suivantes : ALERT : journaliser l'événement DROP : journaliser l'événement, mais ne pas le transférer SDROP : ne pas journaliser ni transférer l'événement PASS : transférer si défini, mais ne pas journaliser Corps de la règle Protocole Src/Dst IP Src/Dst Port msg content Si l'événement définit un protocole, filtrer la concordance en fonction du protocole. Si l'événement définit une adresse IP source ou de destination, filtrer la concordance en fonction de cette adresse. Si l'événement définit un port source ou destination, filtrer la concordance en fonction de ce port. Le corps de la règle contient la plupart des critères de concordance. Il définit la manière d'effectuer l'analyse syntaxique des données et de consigner les données dans la base de données ESM. Les éléments du corps de la règle sont définis dans des paires mot clé-option. Certains mots clés ne sont pas suivis d'une option. (Requis) Message à associer à cette règle. Cette chaîne s'affiche dans ESM Thin Client pour la génération de rapports, sauf si elle est remplacée par un message pcre/setparm détecté (consultez la section ci-dessous). msg indique d'abord le nom de la catégorie, puis le message réel (msg : "category rule message"). (Facultatif : un ou plusieurs) Le mot-clé content est un qualificateur de texte non générique pour pré-filtrer les événements qui passent par le jeu de règles, qui peut également contenir des espaces (par exemple, content: "search 1"; content "something else") 102 McAfee Enterprise Security Manager Guide Produit

103 Configuration de l'esm Configuration des équipements 3 Section Champ Description Marqueur procname adsid sid rev gravité pcre nocase nomatch raw setparm Description Sur de nombreux systèmes UNIX et Linux, le nom du processus (et l'id de processus) fait partie de l'en-tête de message Syslog normalisé. Le mot-clé procname peut être utilisé pour filtrer les concordances d'événement pour la règle. Il permet d'exclure ou de filtrer les concordances d'événement lorsque deux processus sur un serveur Linux ou UNIX ont des textes de message identiques ou similaires. ID de source de données à utiliser. Cette valeur remplace l'affectation de règle par défaut dans l'éditeur de source de données. ID de signature de la règle. ID de concordance utilisé dans ESM Thin Client, sauf s'il est remplacé par un sid pcre/setparm détecté. Révision de la règle. Permet de suivre les modifications. Valeur comprise entre 1 (gravité la plus faible) et 100 (gravité la plus élevée) attribuée aux événements qui concordent avec la règle. Le mot-clé PCRE (Perl Compatible Regular Expression) est la concordance d'une expression régulière compatible Perl avec les événements entrants. Le mot-clé PCRE est délimité par des guillemets et toute occurrence de "/" est traitée comme un caractère normal. Le contenu entre parenthèses est conservé pour l'utilisation du mot-clé setparm. Le mot-clé PCRE peut être modifié par les mots-clés nocase, nomatch, raw et setparm. Fait concorder le contenu PCRE quelle que soit la casse. Inverse la concordance PCRE (équivalent à!~ en Perl). Compare le mot-clé PCRE à l'ensemble du message Syslog, y compris les données d'en-tête (installation, démon, date, hôte/ip, nom et ID du processus). En principe, l'en-tête n'est pas utilisé dans la concordance PCRE. Peut se produire plusieurs fois. Un nombre est attribué à chaque ensemble de parenthèses du mot-clé PCRE, par ordre d'occurrence. Ces nombres peuvent être attribués aux marqueurs de données (par exemple : setparm:username=1). Le texte capturé est placé dans le premier ensemble de parenthèses et il est attribué au marqueur de données du nom d'utilisateur. Les marqueurs reconnus sont répertoriées dans le tableau ci-dessous. * sid Ce paramètre capturé remplace le sid de la règle qui concorde. * msg Ce paramètre capturé remplace le message ou le nom de la règle qui concorde. * action Ce paramètre capturé indique quelle action a effectué l'équipement tiers. * protocol * src_ip Remplace l'ip de la source Syslog qui est l'ip source par défaut d'un événement. * src_port * dst_ip * dst_port * src_mac * dst_mac * dst_mac * genid Permet de modifier le sid stocké dans la base de données, qui est utilisé pour les concordances Snort non McAfee dans les pré-processeurs Snort. * url Réservé, mais pas encore utilisé. McAfee Enterprise Security Manager Guide Produit 103

104 3 Configuration de l'esm Configuration des équipements Marqueur Description * src_username Premier nom d'utilisateur ou nom d'utilisateur source. * username Autre nom pour src_username. * dst_username Deuxième nom d'utilisateur ou nom d'utilisateur de destination. * domain * hostname * application * severity Doit être un nombre entier. * action map Vous permet d'établir une correspondance entre les actions spécifiques de votre produit et les actions McAfee. La mise en correspondance des actions tient compte de la casse. Exemple : alert any any any -> any any (msg:"openssh Accepted Password"; content:"accepted password for "; action_map:accepted=8, Blocked=3; pcre:"(accepted)\s+password\s+for\s+(\s+)\s+from\s+(\d+\.\d+\. \d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;)). Pour plus d'informations, voir Correspondance de la gravité et des actions. * severity map Vous permet d'établir une correspondance entre les gravités spécifiques de votre produit et les gravités McAfee. La mise en correspondance des gravités tient compte de la casse, comme pour les actions. Exemple : alert any any any -> any any (msg:"openssh Accepted Password"; content:"accepted password for "; severity_map:high=99, Low=25, 10=99, 1=25; pcre:"(accepted)\s+password\s +for\s+(\s+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;))pri(?:\x3d \x3a)\s*(?:p\x5f)?([^\x2c]+). Pour plus d'informations, voir Correspondance de la gravité et des actions. * var Autre façon d'utiliser setparms. Toutefois, il est préférable de créer une valeur à partir de captures de plusieurs PCRE. Vous pouvez créer plusieurs PCRE qui capturent uniquement une petite partie de votre chaîne plutôt qu'un grand PCRE avec plusieurs captures. Voici un exemple représentant la capture du nom d'utilisateur et du domaine, ainsi que la création d'une adresse pour le stockage dans le champ objectname. Syntaxe = var:field=${pcre:capture} PCRE = pas le PCRE lui-même, mais le numéro du pcre. Si votre règle comporte deux PCRE, vous auriez un PCRE égal à 1 ou 2. Capture = pas le PCRE lui-même, mais le numéro (première, deuxième ou troisième capture [1,2,3]). Exemple de message : Un homme nommé Jim travaille pour McAfee. PCRE : (Jim).*?(McAfee) Règle : alert any any any -> any any (msg:"var User Jim"; content:"jim"; pcre:"(jim)"; pcre:"(mcafee)"; var:src_username=${1:1}; var:domain=${2:1}; raw; classtype:unknown; adsid:190; sev: 25; sid: ; rev:1; normid: ; gensys:t;) Utilisateur source mis en correspondance : Jim Domaine mis en correspondance : McAfee objectname mis en correspondance : * sessionid Il s'agit d'un nombre entier. * commandname Il s'agit d'une valeur de chaîne. * objectname Il s'agit d'une valeur de chaîne. 104 McAfee Enterprise Security Manager Guide Produit

105 Configuration de l'esm Configuration des équipements 3 Marqueur Description * event_action Ce marqueur permet de définir une action par défaut. Vous ne pouvez pas utiliser event_action et action_map dans la même règle. Par exemple, si vous avez un événement pour une connexion réussie, vous pouvez utiliser le marqueur event_action et définir l'action par défaut sur la réussite (par exemple, event_action:8;). * firsttime_fmt Permet de définir la première occurrence de l'événement. Voir la liste des formats. * lasttime_fmt Permet de définir la dernière occurrence de l'événement. Voir la liste des formats. Vous pouvez l'utiliser avec setparm ou var (var:firsttime="${1:1}" ou setparm:lasttime="1"). Par exemple : alert any any any -> any any (msg:"ssh Login Attempt"; content:"content"; firsttime_fmt:"%y-%m-%dt%h:%m:%s.%f"; lasttime_fmt:"%y-%m-%dt%h: %M:%S.%f" pcre:"pcre goes here; raw; setparm:firsttime=1; setparm:lasttime=1; adsid:190; rev:1;) Pour plus d'informations sur les formats pris en charge, voir pubs.opengroup.org/onlinepubs/ /functions/strptime.html %Y - %d - %m %H : %M : %S %m - %d - %Y %H : %M : %S %b %d %Y %H : %M : %S %b %d %Y %H - %M - %S %b %d %H : %M : %S %Y %b %d %H - %M - %S %Y %b %d %H : %M : %S %b %d %H - %M - %S %Y %H : %M : %S %Y %H - %M - %S %m - %d - %Y %H : %M : %S %H - %M - %S %Y est l'année en 4 chiffres %m est le numéro du mois (1-12) %d est la date (1-31) %H indique les heures (1-24) %M indique les minutes (0-60) %S indique les secondes (0-60) %b est l'abréviation du mois (dec, jan) Voici un exemple de règle qui identifie un mot de passe basé sur la connexion OpenSSH et extrait de l'événement l'adresse IP, l'adresse IP source, le port source et le nom d'utilisateur : alert any any any -> any any (msg:"openssh Accepted Password";content:"Accepted password for ";pcre:"accepted\s+password\s+for\s+(\s+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s +port\s+(\d+)";setparm:username=1;setparm:src_ip=2;setparm:src_port=3;sid:31;rev:1;) Pour accéder aux ressources en ligne relatives à PCRE, consultez McAfee Enterprise Security Manager Guide Produit 105

106 3 Configuration de l'esm Configuration des équipements Ajout d'une source de données ASP avec un codage différent ESM lit les données codées avec UTF-8. Si une source de données ASP (analyseur syslog avancé) génère des données avec un codage différent, vous devez l'indiquer lors de l'ajout de la source de données. 1 Dans l'arborescence de navigation du système, cliquez sur le récepteur, puis sur l'icône Ajouter une source de données. 2 Sélectionnez Générique dans le champ Fournisseur de la source de données, puis Analyseur syslog avancé dans le champ Modèle de source de données. 3 Entrez les informations demandées et sélectionnez le codage correct dans le champ Codage. Les données de cette source de données sont mises dans un format qui permet au récepteur de les lire lorsqu'il les reçoit. Security Device Event Exchange (SDEE) Le format SDEE constitue une méthode standard qui permet de représenter des événements générés par différents types d'équipements de sécurité. La spécification SDEE indique que les événements SDEE sont transférés via le protocole HTTP ou HTTPS. Les serveurs HTTP qui utilisent le format SDEE pour fournir les informations des événements aux clients sont appelés fournisseurs SDEE, tandis que les déclencheurs de requêtes HTTP sont appelés clients SDEE. Cisco a défini plusieurs extensions à la norme SDEE et a créé la norme CIDEE. Le récepteur peut jouer le rôle d'un client SDEE qui demande les données CIDEE générées par les systèmes de prévention des intrusions de Cisco. Contrairement à certains autres types de sources de données pris en charge par le récepteur, le format SDEE utilise un modèle d'extraction (pull) plutôt qu'un modèle de diffusion (push). Cela signifie que le récepteur contacte régulièrement le fournisseur SDEE et demande les nouveaux événements générés depuis la dernière extraction d'événements. Lors de chaque demande d'événements auprès du fournisseur SDEE, les événements sont traités et stockés dans la base de données d'événement du récepteur, puis ils peuvent être récupérés par l'esm. Vous pouvez ajouter un fournisseur SDEE à un récepteur en tant que source de données en sélectionnant Cisco comme fournisseur et IOS IPS (SDEE) comme modèle de source de données (consultez la section Ajout d'une source de données). Le récepteur peut extraire les informations ci-dessous à partir d'un événement SDEE/CIDEE : Adresses IP source et de destination Ports source et de destination Protocole Heure de l'événement Nombre d'événements (CIDEE fournit un type d'agrégation d'événements qui est reconnu par le récepteur) ID signature et sous-id 106 McAfee Enterprise Security Manager Guide Produit

107 Configuration de l'esm Configuration des équipements 3 L'ID d'événement ESM est calculé à partir de l'id de signature SDEE et l'id de sous-signature CIDEE ID avec la formule suivante : ID ESMI = (ID SDEE * 1000) + Sous-ID CIDEE Par conséquent, si l'id de signature SDEE est 2000 et l'id de sous-signature CIDEE est 123, l'id d'événement ESMI serait Réseau local virtuel (VLAN) Gravité Description de l'événement Contenu du paquet (si disponible). Lorsque le récepteur se connecte au fournisseur SDEE pour la première fois, la date et l'heure actuelles constituent le point de départ de la demande d'événements. Lors des connexions suivantes, tous les événements générés depuis la précédente extraction réussie sont demandés. Configuration d'epolicy Orchestrator 4.0 Désormais, la source de données McAfee Event Receiver pour epolicy Orchestrator prend en charge epolicy Orchestrator 4.0. epolicy Orchestrator 4.0 stocke les événements dans la base de données SQL Server. La source de données epolicy Orchestrator se connecte à cette base de données SQL Server via JDBC pour extraire les informations d'événements. Vous devez créer un nom d'utilisateur (ID) et un mot de passe dans la base de données epolicy Orchestrator à utiliser avec la source de données de epolicy Orchestrator. 1 Connectez-vous au serveur de base de données epolicy Orchestrator. 2 Lancez SQL Server Enterprise Manager en sélectionnant Démarrer Tous les programmes Microsoft SQL Server Enterprise Manager. 3 Développez le nœud racine de la Console plusieurs fois pour afficher les éléments situés sous le dossier Sécurité. 4 Cliquez avec le bouton droit sur l'icône Connexions, puis sélectionnez Nouvelle connexion dans le menu. 5 Sur la page Propriétés de connexion à SQL Server - Nouvelle connexion, indiquez les informations suivantes sur l'onglet Général : a b c Dans le champ Nom, entrez le nom d'utilisateur à utiliser pour la connexion entre la source de données de epolicy Orchestrator et la base de données epolicy Orchestrator (par exemple, nfepo). Dans Authentification, sélectionnez Mot de passe d'authentification SQL Server, puis entrez le mot de passe. Dans Valeurs par défaut, sélectionnez la base de données epolicy Orchestrator (epo4_<nom_hôte>) dans la liste déroulante Base de données. Si vous laissez la Base de données par défaut comme base de données maître, la source de données de epolicy Orchestrator ne peut pas extraire les événements. 6 Dans l'onglet Accès à la base de données, sélectionnez l'option Autoriser associée à la base de données epolicy Orchestrator. McAfee Enterprise Security Manager Guide Produit 107

108 3 Configuration de l'esm Configuration des équipements 7 Pour Autoriser dans Rôle de base de données, sélectionnez db_datareader, puis cliquez sur OK 8 Confirmez le nouveau mot de passe, puis cliquez sur OK. Ajout d'une source de données ArcSight Ajouter des sources de données pour un équipement ArcSight. 1 Dans l'arborescence de navigation du système, sélectionnez le nœud Récepteur. 2 Cliquez sur l'icône Ajouter une source de données dans la barre d'outils des actions. 3 Sélectionnez ArcSight dans le champ Fournisseur de la source de données, puis sélectionnez CEF (Common Event Format) dans le champ Modèle de source de données. 4 Entrez un nom pour la source de données, puis entrez l'adresse IP ArcSight. 5 Remplissez les autres champs (consultez la section Ajout d'une source de données). 6 Cliquez sur OK. 7 Configurez une source de données pour chaque source qui transfère des données à l'équipement ArcSight. La syntaxe des données reçues d'arcsight est analysée pour permettre l'affichage des données sur la console ESM. CEF (Common Event Format) Actuellement, ArcSight convertit les événements de 270 sources de données au format d'événement commun appelé CEF (Common Event Format) en utilisant des connecteurs intelligents. Le format CEF est une norme d'interopérabilité pour les équipements qui génèrent des événements ou des journaux. Il contient les informations essentielles des équipements et facilite l'analyse syntaxique et l'utilisation des événements. Il n'est pas nécessaire que le message relatif à un événement soit explicitement généré par le producteur de l'événement. La mise en forme du message est effectuée avec un préfixe commun composé de champs délimités par une barre verticale ( ). Le préfixe est obligatoire et tous les champs définis doivent être présents. Des champs supplémentaires sont définis dans l'extension. Le format est le suivant : CEF:Version Fournisseur d'équipement Produit équipement Version d'équipement IDClasseEvénementEquipement Nom Gravité Extension La partie Extension du message est un espace réservé pour des champs supplémentaires. Voici la définition des champs du préfixe : Version : nombre entier qui indique la version du format CEF. Les consommateurs de l'événement utilisent cette information pour déterminer ce que représentent les champs. Actuellement, seule la version 0 (zéro) est établie dans le format ci-dessus. L'expérience peut montrer que d'autres champs doivent être ajoutés au préfixe, ce qui requiert la modification du numéro de version. L'ajout de nouveaux formats est géré via l'organisme de normalisation. Fournisseur d'équipement, Produit équipement et Version d'équipement : chaînes qui identifient de façon unique le type de l'équipement qui est à l'origine de l'envoi. Deux produits ne peuvent pas utiliser la même paire équipement-fournisseur et équipement-produit. Aucune autorité centrale ne gère ces paires. Les producteurs d'événements doivent veiller à attribuer des paires de noms uniques. 108 McAfee Enterprise Security Manager Guide Produit

109 Configuration de l'esm Configuration des équipements 3 IDClasseEvénementEquipement : identificateur unique par événement-type. Il peut s'agir d'une chaîne ou d'un nombre entier. IDClasseEvénementEquipement identifie le type d'événement signalé. Dans le cadre d'un système de détection des intrusions (IDS), un IDClasseEvénementEquipement est attribué à chaque signature ou règle qui détecte certaines activités. Cet identificateur est obligatoire pour d'autres types d'équipement également, car il aide les moteurs de corrélation à gérer les événements. Nom : chaîne représentant une description de l'événement lisible par l'utilisateur. Le nom de l'événement ne doit pas contenir d'informations spécifiquement mentionnées dans d'autres champs. Par exemple : «Port scan from targeting » n'est pas un nom d'événement approprié. Il doit être : «Port scan» Les autres informations sont redondantes et peuvent provenir des autres champs. Gravité : nombre entier qui indique l'importance de l'événement. Seuls les nombres 0 à 10 sont autorisés, où 10 indique l'événement le plus important. Extension : ensemble de paires clé-valeur. Les clés font partie d'un ensemble prédéfini. La norme permet d'inclure des clés supplémentaires comme décrit plus loin. Un événement peut contenir tout nombre de paires clé-valeur dans n'importe quel ordre, séparées par un espace. Si un champ contient un espace, par exemple un nom de fichier, cela est accepté et journalisé tel quel. Par exemple : filename=c:\program Files\ArcSight is a valid token. Voici un exemple de message : Sep 19 08:26:10 zurich CEF:0 security threatmanager worm successfully stopped 10 src= dst= spt=1232 Si vous utilisez NetWitness, votre équipement doit être correctement configuré pour envoyer le CEF au récepteur. Par défaut, le format CEF est du type suivant lors de l'utilisation de NetWitness : CEF:0 Netwitness Informer 1.6 {name} {name} Medium externalid={#sessionid} proto={#ip.proto} categorysignificance=/normal categorybehavior=/authentication/verify categorydevicegroup=/os categoryoutcome=/attempt categoryobject=/host/application/ Service act={#action} devicedirection=0 shost={#ip.host} src={#ip.src} spt={#tcp.srcport} dhost={#ip.host} dst={#ip.dst} dport={#tcp.dstport} duser={#username} dproc=27444 filetype=security cs1={#did} cs2={#password} cs3=4 cs4=5 cn1={#rid} cn2=0 cn3=0 Pour obtenir le format correct, vous devez remplacer «dport» par «dpt». Configuration d'adiscon Syslog WMI est pris en charge via Adiscon. La chaîne au format ci-dessous doit être utilisée dans Event Reporter pour que la source de données d'événement Windows Microsoft Adiscon fonctionne correctement : %sourceproc%,%id%,%timereported:::uxtimestamp%,%user%,%category%,%param0%;%param1%; %Param2%;%Param3%;%Param4%;%Param5%;%Param6%;%Param7%;%Param8%;%Param9%;%Param10%; %Param11%;%Param12%;%Param13%;%Param14%;%Param15% McAfee Enterprise Security Manager Guide Produit 109

110 3 Configuration de l'esm Configuration des équipements Prise en charge des relais Syslog Le transfert d'événements au récepteur depuis divers équipements via un serveur de relais Syslog requiert des étapes supplémentaires. Vous devez ajouter une seule source de données de relais Syslog pour accepter le flux de données et les sources de données supplémentaires. Cela permet au récepteur de répartir le flux de données entre les sources de données d'origine. Sylog-ng et Splunk sont pris en charge. Ce scénario est représenté dans le diagramme suivant : 1 Equipement Cisco ASA 5 Source de données 1 : relais Syslog 2 Equipement SourceFire Snort 6 Source de données 2 : Cisco ASA 3 Equipement TippingPoint 7 Source de données 3 : sourcefire Snort 4 Relais Syslog 8 Source de données 4 : TippingPoint En suivant cet exemple de scénario, vous devez configurer la source de données de relais Syslog (5) pour recevoir le flux de données du relais Syslog (4), en sélectionnant syslog dans le champ Relais Syslog. Une fois la source de données de relais Syslog configurée, ajoutez les sources de données pour chaque équipement particulier (6, 7, et 8), en sélectionnant Aucun dans le champ Relais Syslog, car cet équipement n'est pas un serveur de relais Syslog. La fonctionnalité Chargement de messages Syslog ne fonctionne pas dans une configuration de relais Syslog. L'en-tête du message Syslog doit être configuré pour qu'il soit du type suivant : 1 <123> 345 Oct 7 12:12: mcafee.com httpd[123] où 1 = version syslog (facultatif) 345 = longueur du message Syslog (facultatif) <123> = installation (facultatif) Oct 7 12:12: = mcafee.com httpd = date ; des centaines de formats sont pris en charge (obligatoire) nom d'hôte ou adresse IP (ipv4 ou ipv6) (obligatoire) nom de l'application (facultatif) [123] PID de l'application (facultatif) : = le signe deux-points (facultatif) Le nom d'hôte et les champs de données peuvent s'afficher dans n'importe quel ordre. Une adresse IPv6 peut être mise entre crochets [ ]. 110 McAfee Enterprise Security Manager Guide Produit

111 Configuration de l'esm Configuration des équipements 3 Exécution de l'outil de configuration NSM-SIEM Avant de configurer une source de données NSM, vous devez exécuter l'outil de configuration NSM-SIEM. 1 Téléchargez l'outil de configuration. a b c d e Accédez au site web de téléchargement de produits McAfee. Dans la zone de recherche Télécharger mes produits, entrez le numéro de client (Grant Number) qui vous a été fourni. Cliquez sur Recherche. Les fichiers de mise à jour des produits se trouvent sous le lien de téléchargements MFE <nom produit> <version>. Lisez l'accord de licence utilisateur final McAfee (EULA) et cliquez sur J'accepte. Téléchargez les fichiers de l'outil de configuration NSM-SIEM. 2 Exécutez l'outil de configuration sur le serveur NSM. L'outil doit trouver le chemin d'accès par défaut de NSM. S'il ne le trouve pas, sélectionnez-le. 3 Entrez l'utilisateur NSM SQL, ainsi que le mot de passe et le nom de la base de données saisis lors de l'installation de NSM. 4 Entrez le nom d'utilisateur et le mot de passe SIEM sur la source de données, ainsi que l'adresse IP du récepteur où est ajoutée la source de données. Ces informations sont saisies sur l'écran de la source de données. Configuration d'epolicy Orchestrator Vous pouvez configurer plusieurs sources de données epolicy Orchestrator pour les faire pointer vers la même adresse IP avec différents noms dans le champ du nom de la base de données. Cela vous permet de configurer autant de sources de données epolicy Orchestrator que vous souhaitez et de les faire pointer vers une autre base de données de votre serveur central. Dans les champs ID d'utilisateur et Mot de passe indiquez les informations d'accès à la base de données epolicy Orchestrator, puis dans le champ Version indiquez la version de l'équipement epolicy Orchestrator. Le numéro de port par défaut est Le Nom de la base de données est requis. Si le nom de la base de données contient un tiret, vous devez mettre le nom entre crochets (par exemple, [epo4_win ]). L'option Requête epo vous permet d'effectuer une requête sur l'équipement epolicy Orchestrator et de créer des sources de données clientes. Si l'option par défaut Faire concorder par type est sélectionnée dans le champ Utiliser les sources de données clientes et que vous cliquez sur Requête epo, une requête est envoyée à l'équipement epolicy Orchestrator et tous les produits epolicy Orchestrator pris en charge sont ajoutés en tant que sources de données clientes. Les produits suivants sont pris en charge s'ils sont entièrement intégrés à epolicy Orchestrator : ANTISPYWARE MNAC DLP POLICYAUDITOR EPOAGENT SITEADVISOR GSD VIRUSCAN McAfee Enterprise Security Manager Guide Produit 111

112 3 Configuration de l'esm Configuration des équipements GSE SOLIDCORE HOSTIPS Si l'option Faire concorder par IP est sélectionnée, une requête est envoyée à l'équipement epolicy Orchestrator et celui-ci crée des sources de données clientes pour tous les postes clients de la base de données epolicy Orchestrator. Si le nombre de postes clients de la base de données epolicy Orchestrator est supérieur à 256, plusieurs sources de données sont créées avec des clients. Les données d'évaluation des risques par McAfee sont acquises à partir des serveurs epolicy Orchestrator. Vous pouvez définir plusieurs serveurs epolicy Orchestrator à partir desquels acquérir des données McAfee Risk Advisor. Les données McAfee Risk Advisor sont acquises via une requête de base de données issue de la base de données SQL Server epolicy Orchestrator. La requête de base de données génère une liste de résultats indiquant l'adresse IP et le score de réputation, ainsi que des valeurs constantes pour la réputation élevée ou faible. Les listes epolicy Orchestrator et McAfee Risk Advisor sont fusionnées et le score le plus élevé est attribué aux adresses IP en double. Cette liste fusionnée est envoyée, avec les valeurs faibles et élevées, à tous les équipements ACE pour l'évaluation des champs IP source (SrcIP) et IP destination (DstIP). Lorsque vous ajoutez une source de données epolicy Orchestrator et cliquez sur OK pour l'enregistrer, un message vous demande si vous souhaitez utiliser cette source de données pour configurer les données McAfee Risk Advisor. Si vous cliquez sur Oui, une règle d'enrichissement des données et deux règles de score ACE (le cas échéant) sont créées et déployées. Pour les afficher, consultez les pages Activer l'enrichissement des données et Score de la corrélation des risques. Pour utiliser les règles de score, vous devez créer un gestionnaire de corrélation des risques (voir Ajout d'un gestionnaire de corrélation des risques). IBM Internet Security System SiteProtector Le récepteur peut récupérer des événements issus d'un serveur SiteProtector ISS (Internet Security Systems) en effectuant une requête sur le serveur Microsoft SQL Server de la base de données SiteProtector qui stocke ses événements. Contrairement à certains autres types de sources de données pris en charge par le récepteur, la récupération d'événements sur un serveur SiteProtector est effectuée en utilisant un modèle d'extraction (pull) plutôt qu'un modèle de diffusion (push). Cela signifie que le récepteur contacte régulièrement la base de données SiteProtector et demande les nouveaux événements qui ont été générés depuis la dernière extraction d'événements. Après chaque extraction d'événements du serveur SiteProtector, les événements sont traités et stockés dans la base de données d'événement du récepteur, puis ils peuvent être récupérés par l'esm. Deux options de type d'équipement sont disponibles : Serveur et Equipement managé. La configuration d'une source de données avec le type d'équipement Serveur sélectionné est la condition minimale pour la collecte d'événements sur un serveur SiteProtector. Une fois que vous avez configuré une source de données de serveur SiteProtector, tous les événements collectés issus du serveur SiteProtector s'affichent comme appartenant à cette source de données, quel que soit l'actif qui a signalé l'événement au serveur SiteProtector. Pour identifier les événements en fonction de l'actif qui a signalé l'événement à SiteProtector, vous pouvez configurer d'autres sources de données SiteProtector en sélectionnant le type d'équipement Equipement managé. L'option Avancé au bas de la page vous permet de définir une URL qui permet de lancer des URL particulières lors de la visualisation de données d'événement. Vous pouvez également définir un fournisseur, un produit et une version à utiliser pour le transfert d'événements au format CEF (Common Event Format). Ces paramètres sont facultatifs. 112 McAfee Enterprise Security Manager Guide Produit

113 Configuration de l'esm Configuration des équipements 3 Pour que le récepteur interroge la base de données SiteProtector pour récupérer les événements, l'installation de Microsoft SQL Server hébergeant la base de données utilisée par SiteProtector doit accepter les connexions du protocole TCP/IP. Pour savoir comment activer ce protocole et définir le port utilisé pour ces connexions (le port par défaut est 1433), consultez la documentation de Microsoft SQL Server. Lorsque le récepteur se connecte pour la première fois à la base de données SiteProtector, les nouveaux événements générés après l'heure actuelle sont récupérés. Lors des connexions suivantes, il récupère tous les événements qui se sont produits après la précédente récupération réussie. Le récepteur extrait les informations suivantes d'un événement SiteProtector : Adresses IP source et de destination (IPv4) Nombre d'événements Ports source et de destination Réseau local virtuel (VLAN) Protocole Gravité Heure de l'événement Description de l'événement Configuration de Check Point Configurer des sources de données qui couvrent Provider 1, Check Point High Availability et la plupart des environnements Check Point standards. La première étape consiste à ajouter la source de données Check Point parente (consultez la section Ajout d'une source de données). Vous devez ajouter une source de données pour le serveur de journaux si la source de données parente ne remplit pas la fonction de serveur de journaux et si vous avez un serveur de journaux dédié. Ajoutez également des sources de données enfants selon les besoins. Dans le cas d'un environnement à haute disponibilité, vous devez ajouter une source de données enfant pour chaque SMS/CMA secondaire. 1 Ajouter une source de données parente pour votre SMS/CMA où est stocké l'application ou le certificat OPSEC, ou bien, dans le cas d'un récepteur haute disponibilité, votre SMS/CMA principal. OPSEC n'est pas conforme à FIPS Si vous devez respecter les réglementations FIPS, n'utilisez pas cette fonctionnalité (consultez la section Annexe A). 2 Cliquez sur Options. 3 Sur la page Paramètres avancés, sélectionnez la méthode de communication, puis entrez le Nom unique de l'entité serveur de cette source de données. 4 Cliquez deux fois sur OK. 5 Procédez comme suit, si nécessaire : McAfee Enterprise Security Manager Guide Produit 113

114 3 Configuration de l'esm Configuration des équipements Erreur SIC Error for lea (Erreur SIC pour lea) : Client could not choose an authentication method for service lea (le client n'a pas pu choisir de méthode d'authentification pour lea) Action à effectuer 1 Vérifiez que vous avez sélectionné les paramètres corrects pour Utiliser l'authentification et Utiliser le chiffrement lorsque vous avez ajouté la source de données Check Point. Si vous avez sélectionné Utiliser l'authentification uniquement, le client OPSEC tente de communiquer avec le serveur de journaux en utilisant «sslca_clear». Si vous avez sélectionné Utiliser l'authentification et Utiliser le chiffrement, le client OPSEC tente de communiquer avec le serveur de journaux en utilisant «sslca». Si vous n'avez sélectionné ni l'un ni l'autre, le client OPSEC tente de communiquer avec le serveur de journaux en utilisant «none». 2 Vérifiez que dans l'application OPSEC que vous utilisez pour communiquer avec le serveur de journaux Check Point, LEA est sélectionné dans la section Client Entities (Entités client). 3 Si la vérification de ces deux étapes est correcte, recherchez le fichier sic_policy.conf sur votre installation du serveur de journaux Check Point. Par exemple, sur un système R65 Linux, le fichier se trouve dans /var/opt/cpshrd-r65/conf. 4 Lorsque vous déterminez la méthode de communication (méthode d'authentification dans le fichier) qui autorise la méthode de communication LEA sur le serveur de journaux, sélectionnez cette méthode de communication sur la page Paramètres avancés dans Méthode de communication. SIC Error for lea (Erreur SIC pour lea) : Peer sent wrong DN (l'homologue a envoyé un nom unique (DN) incorrect) : <dn attendu> Indiquez une chaîne pour la zone de texte Nom unique de l'entité serveur en entrant la chaîne qui représente «<dn attendu>» dans le message d'erreur. Une alternative consiste à chercher le nom unique du serveur de journaux Check Point en cherchant l'objet réseau du serveur de journaux Check Point sur l'interface utilisateur Smart Dashboard. Le nom unique (DN) de SMS/CMA est similaire au nom unique de l'application OPSEC, il suffit de remplacer la première entrée par CN=cp_mgmt. Prenons par exemple une application OPSEC avec le nom unique (DN) CN=mcafee_OPSEC,O=r75..n55nc3. Le nom unique (DN) de SMS/CMA serait CN=cp_mgmt,O=r75..n55nc3. Le nom unique (DN) du serveur de journaux serait du type CN=CPlogserver,O=r75..n55nc3. 6 Ajoutez une source de données enfant pour chaque pare-feu, serveur de journaux ou SMS/CMA secondaire géré par la source de données parente que vous configurez (consultez la section Ajout d'une source de données enfant). Le type d'équipement pour toutes les sources de données pare-feu/passerelle est Equipement de sécurité. La Console de rapport parente est par défaut la source de données parente. Jeux de règles McAfee Ce tableau répertorie les jeux de règles McAfee ainsi que les identificateurs des sources de données externes. ID de source de données Nom d'affichage RSID correspondant Plage de règles Pare-feu 0 2,000,000 2,099, Pare-feu personnalisé 0 2,200,000 2,299, Signatures personnalisées 0 5,000,000 5,999, McAfee Enterprise Security Manager Guide Produit

115 Configuration de l'esm Configuration des équipements 3 ID de source de données Nom d'affichage RSID correspondant Plage de règles Interne 0 3,000,000 3,999, Vulnérabilité et exploit 2 N/D Contenu adulte 5 N/D Chat 8 N/D Stratégie 11 N/D Peer to Peer 14 N/D Multimédia 17 N/D Alpha 25 N/D Virus 28 N/D Perimeter Secure Application 31 N/D Passerelle 33 N/D Logiciel malveillant (malware) 35 N/D SCADA 40 N/D MCAFEESYSLOG 41 N/D Sources d'actifs de récepteur Un actif est un équipement du réseau qui dispose d'une adresse IP. L'onglet Actif dans Asset Manager vous permet de créer des actifs, de modifier leurs marqueurs, de créer des groupes d'actifs, d'ajouter des sources d'actif et d'attribuer un actif à un groupe d'actifs. Il permet également de gérer les actifs issus des fournisseurs de VA. La fonctionnalité Sources d'actif dans Propriétés de récepteur vous permet de récupérer des données de votre annuaire Active Directory, le cas échéant. Une fois cette procédure effectuée, vous pouvez filtrer les données d'événement en sélectionnant les utilisateurs ou les groupes récupérés dans les champs de filtrage de vues Utilisateur source et Utilisateur de destination. Cette procédure améliore votre aptitude à fournir des données de conformité pour les exigences telles que PCI. Un ESM peut avoir une seule source d'actif. Les récepteurs peuvent avoir plusieurs sources d'actif. Si deux sources de découverte d'actifs (par exemple Vulnerability Assessment et Découverte du réseau) trouvent le même actif, l'actif ajouté au tableau est celui qui a été découvert par la méthode de découverte ayant la priorité la plus élevée. Si deux sources de découverte ont la même priorité, celle qui a découvert l'actif en dernier a la priorité sur celle qui l'a découvert en premier. Ajout d'une source d'actif Pour récupérer les données d'un annuaire Active Directory, vous devez configurer un récepteur. 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés de récepteur, puis cliquez sur Sources d'actif. 2 Cliquez sur Ajouter, puis indiquez les informations demandées. 3 Cliquez sur OK, puis sur Ecrire sur la page Sources d'actif. McAfee Enterprise Security Manager Guide Produit 115

116 3 Configuration de l'esm Configuration des équipements Paramètres d'enterprise Log Manager (ELM) ELM prend en charge le stockage et la gestion des données de journal, la génération des rapports correspondants et l'accès aux données de journal. Les données reçues par l'elm sont organisées en pools de stockage, chacun étant composé d'équipements de stockage. Une durée de conservation est appliquée à chaque pool de stockage : les données du pool sont conservées pendant la période définie. Il est nécessaire de stocker les journaux durant différentes périodes pour répondre aux diverses exigences des réglementations du gouvernement, de l'industrie et des entreprises. ELM permet de configurer des travaux de recherche et de vérification de l'intégrité. Chacun de ces travaux accède aux journaux stockés et récupère ou vérifie les données que vous définissez dans le travail. Vous pouvez ensuite afficher les résultats et exporter les informations. Les informations fournies s'appliquent à tous les modèles d'équipement ELM suivants : ENMELM-5205 (équipement combiné ESM/Log Manager) ENMELM-5510 (équipement combiné ESM/Log Manager) ENMELM-4245 (équipement combiné ESM/Log Manager) ELM-5205 ELM-5510 ELM-5750 ELMERC-4245 (équipement combiné Récepteur/Log Manager) ELMERC-2250 (équipement combiné Récepteur/Log Manager) LMERC-2230 (équipement combiné Récepteur/Log Manager) Pour configurer un ELM, vous devez connaître : Les sources qui stockent des journaux dans ELM Les pools de stockage qui sont requis et la durée de conservation de leurs données Les équipements de stockage qui sont requis pour stocker les données En général, il est simple d'identifier les sources qui stockent des journaux sur l'elm, ainsi que les pools de stockage requis. Il est plus difficile de déterminer les équipements de stockage nécessaires au stockage des données. Pour le savoir, voici la meilleure façon de procéder : 1 Effectuez une estimation des besoins de stockage. Depuis la version 9.0.0, les pools de stockage ELM requièrent 10 % de l'espace alloué pour la mise en miroir de la surcharge. Tenez compte de ces 10 % lors du calcul de l'espace nécessaire. 2 Configurez les équipements de stockage ELM pour satisfaire aux besoins estimés. 3 Obtenez des journaux sur l'elm durant une période courte. 4 Utilisez les informations des statistiques de stockage ELM pour modifier la configuration des équipements de stockage afin de répondre aux besoins réels de stockage des données. 116 McAfee Enterprise Security Manager Guide Produit

117 Configuration de l'esm Configuration des équipements 3 Préparation du stockage des données dans ELM Vous devez prendre plusieurs mesures pour configurer un ELM afin qu'il stocke des données. Etape Action 1 Définir les durées de conservation des données 2 Définir les sources des données de journal 3 Définir les pools de stockage Description En fonction des exigences de l'installation ELM, vous pouvez définir différentes durées de conservation des données. Les durées de conservation courantes des données sont les suivantes : SOX : 7 ans PCI : 1 an GLBA : 6 ans Directive européenne de conservation des données : 2 ans Basel II : 7 ans HIPAA : 6 ou 7 ans NERC : 3 ans FISMA : 3 ans L'objectif ici est de définir l'ensemble des sources des journaux qui sont stockés dans ELM et d'estimer la taille moyenne des journaux (en octets) et le nombre moyen de journaux générés par jour, et ce pour chaque source. Il doit s'agir uniquement d'une estimation. Il est peut-être plus facile d'estimer la taille moyenne des journaux (en octets) et le nombre moyen de journaux générés par jour pour les types de source (par exemple le pare-feu, le routeur, Nitro IPS, ADM, DEM, ELM), puis d'estimer le nombre de sources pour chaque type. Comme l'étape suivante nécessite l'association de chaque source à une durée de conservation définie à l'étape 1, veillez à la prendre en compte lors de l'estimation des types de source (par exemple, pare-feu SOX, PCI DEM). En fonction des exigences de l'installation ELM, associez chaque source de journaux, ou source, à une durée de conservation des données en définissant l'ensemble des pools de stockage requis pour l'installation ELM. McAfee Enterprise Security Manager Guide Produit 117

118 3 Configuration de l'esm Configuration des équipements Etape Action 4 Estimer les besoins en taille des pools de stockage 5 Créer des équipements de stockage initial 6 Créer des pools de stockage 7 Démarrer la journalisation des données 8 Affiner les estimations des besoins en taille des pools de stockage Description Estimez les besoins de stockage de chaque pool de stockage à l'aide de l'une des équations suivantes : Utilisation des sources individuelles : IRSGB = 0,1*(DRTD*SUM(DSAB*DSALPD))/(1 024*1 024*1 024) Où IRSGB = Stockage requis initial en gigaoctets DRTD = Durée de conservation des données en jours SUM() = Somme de toutes les sources de données DSAB = Nombre d'octets moyen de source de données par journal DSALPD = Moyenne des journaux de source de données par jour Utilisation des types de source : IRSGB = 0,1*(DRTD*SUM(NDS*DSTAB*DSTALPD))/(1 024*1 024*1 024) Où IRSGB = Stockage requis initial en gigaoctets DRTD = Durée de conservation des données en jours NDS = Nombre de sources de données d'un type donné SUM() = Somme de tous les types de source de données DSTAB = Nombre d'octets moyen de type de source de données par journal DSTALPD = Moyenne des journaux de type de source de données par jour Créez un ou plusieurs équipements de stockage ELM afin qu'ils soient suffisamment importants pour stocker chaque valeur IRSGB de données (consultez la section Ajout d'un équipement de stockage à lier à un pool de stockage). Pour chaque pool de stockage défini à l'étape 3, créez un pool de stockage ELM en utilisant la durée de conservation associée de l'étape 1, les valeurs IRSGB associées de l'étape 4 et les équipements de stockage associés de l'étape 5 (consultez la section Ajout ou modification d'un pool de stockage). Configurez des sources pour qu'elles envoient leurs journaux vers ELM et laissez-les procéder ainsi pendant un ou deux jours. Pour chaque pool de stockage créé à l'étape 6, affinez l'estimation de ses besoins de stockage en vous appuyant sur l'équation suivante : RSGB = 1,1*DRTD*SPABRPD/(1 024*1 024*1 024) Où RSGB = Stockage requis en gigaoctets DRTD = Durée de conservation des données en jours SPABRPD = Valeur du débit d'octets moyen quotidien du pool de stockage à partir de son rapport statistique 118 McAfee Enterprise Security Manager Guide Produit

119 Configuration de l'esm Configuration des équipements 3 Etape Action 9 Modifier ou créer des équipements de stockage 10 Modifier les pools de stockage Description Pour chaque valeur RSGB de l'étape 8, modifiez ou créez des équipements de stockage ELM afin qu'ils soient suffisamment importants pour stocker la valeur RSGB de données. Si nécessaire, modifiez chaque pool de stockage créé à l'étape 6 en ajoutant les équipements de stockage créés à l'étape 9 ou augmentez l'allocation des équipements de stockage existante. Configuration du stockage ELM Pour stocker des journaux, ELM doit avoir accès à un ou plusieurs équipements de stockage. Les besoins de stockage d'une installation ELM sont fonction du nombre de sources de données, de leurs caractéristiques de journalisation et de leurs exigences en termes de durée de conservation des données. Les besoins de stockage varient au fil du temps, car tous sont susceptibles de changer au cours de la vie d'une installation ELM. Pour plus d'informations sur l'estimation et l'ajustement des besoins de stockage de votre système, consultez la section Paramètres ELM. Terminologie relative au stockage ELM Passez en revue ces termes à utiliser avec le stockage ELM : Equipement de stockage : équipement de stockage de données accessible à un ELM. Certains modèles ELM offrent un équipement de stockage intégré, d'autres offrent une fonctionnalité de connexion SAN, et d'autres encore proposent les deux. Tous les modèles ELM offrent une fonctionnalité de connexion NAS. Allocation de stockage : quantité spécifique de stockage de données d'un équipement de stockage de données (par exemple, 1 To dans un équipement de stockage NAS). Durée de conservation des données : durée de stockage d'un journal. Pool de stockage : une ou plusieurs allocations de stockage, qui spécifient ensemble la quantité totale de stockage, associée à une durée de conservation des données qui spécifie le nombre maximal de jours pendant lesquels un journal doit être stocké. Source de journalisation : toute source de journal stocké par un ELM. Types d'équipement de stockage ELM Lorsque vous ajoutez un équipement de stockage dans un ELM, vous devez sélectionner le type d'équipement dont il s'agit. Lorsque vous ajoutez ou modifiez un équipement, vous devez garder à l'esprit quelques éléments. McAfee Enterprise Security Manager Guide Produit 119

120 3 Configuration de l'esm Configuration des équipements Type d'équipement NFS CIFS Détails Si vous devez modifier le point de montage à distance de l'équipement de stockage qui contient la base de données de gestion ELM, utilisez l'option Migrer la base de données pour déplacer la base de données vers un autre équipement de stockage (consultez la section Migration de la base de données ELM). Vous pouvez ensuite modifier en toute sécurité le champ Point de montage à distance et déplacer de nouveau la base de données vers l'équipement de stockage mis à jour. L'utilisation du type de partage CIFS avec les versions de serveur Samba supérieures à la version 3.2 peut provoquer la fuite de données. Lorsque vous vous connectez à un partage CIFS, n'utilisez pas de virgules dans votre mot de passe. Si vous utilisez un ordinateur Windows 7 en tant que partage CIFS, consultez la section Désactivation du partage de fichiers Groupe résidentiel. iscsi Lorsque vous vous connectez à un partage iscsi, n'utilisez pas de virgules dans votre mot de passe. Si vous essayez de relier plusieurs équipements à un nom IQN, cela peut entraîner la fuite de données et d'autres problèmes de configuration. SAN L'option SAN est disponible uniquement si une carte SAN est installée dans ELM et si des volumes SAN sont disponibles. Désactivation du partage de fichiers Groupe résidentiel Windows 7 nécessite que vous utilisiez le partage de fichiers Groupe résidentiel, qui fonctionne avec les autres ordinateurs Windows 7, mais pas avec Samba. Pour utiliser un ordinateur Windows 7 en tant que partage CIFS, vous devez désactiver le partage de fichiers Groupe résidentiel. 1 Ouvrez le Panneau de configuration Windows 7, puis sélectionnez Centre Réseau et partage. 2 Cliquez sur Modifier les paramètres de partage avancés. 3 Cliquez sur le profil Résidentiel ou professionnel et assurez-vous qu'il est étiqueté en tant que votre profil actuel. 4 Activez la découverte du réseau, le partage de fichiers et d'imprimantes, et le dossier Public. 5 Accédez au dossier que vous souhaitez partager à l'aide de CIFS (essayez d'abord le dossier Public), puis cliquez dessus avec le bouton droit. 6 Sélectionnez Propriétés, puis cliquez sur l'onglet Partage. 7 Cliquez sur Partage avancé, puis sélectionnez Partager ce dossier. 8 (Facultatif) Modifiez le nom du partage, puis cliquez sur Autorisations. Vérifiez que les autorisations dont vous disposez sont définies comme vous le souhaitez (une coche dans Modification = accessible en écriture). Si vous avez activé des partages protégés par un mot de passe, vous devez modifier des paramètres ici pour vous assurer que votre utilisateur Ubuntu est inclus dans l'autorisation. 120 McAfee Enterprise Security Manager Guide Produit

121 Configuration de l'esm Configuration des équipements 3 Ajout d'un équipement de stockage à lier à un pool de stockage Pour ajouter un équipement de stockage à la liste des emplacements de stockage, vous devez définir ses paramètres. Si vous modifiez un équipement de stockage, vous pouvez augmenter sa taille, mais pas la réduire. Un équipement ne peut pas être supprimé s'il stocke des données. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM, puis cliquez sur Pools de stockage. 2 Cliquez sur Ajouter en regard du tableau supérieur. 3 Dans la page Ajouter un équipement de stockage, renseignez les informations demandées. 4 Cliquez sur OK pour enregistrer les paramètres. L'équipement est ajouté à la liste des équipements de stockage ELM disponibles. Vous pouvez modifier ou supprimer les équipements de stockage dans le tableau de la page Pools de stockage. Ajout ou modification d'un pool de stockage Un pool de stockage inclut une ou plusieurs allocations de stockage ainsi qu'une durée de conservation des données. Ajoutez-les dans ELM pour définir l'emplacement de stockage des journaux ELM et la durée pendant laquelle ces derniers doivent être conservés. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM, puis cliquez sur Pool de stockage. 2 Cliquez sur les options Ajouter ou Modifier situées en regard du tableau inférieur, puis renseignez ou modifiez les informations demandées. 3 Cliquez sur OK. Vous pouvez modifier les paramètres une fois qu'ils ont été enregistrés et vous pouvez supprimer un pool de stockage tant que ni les équipements qui lui sont alloués ni le pool proprement dit ne stockent de données. Déplacement d'un pool de stockage Vous pouvez déplacer un pool de stockage d'un équipement à un autre. Avant de commencer Configurez l'équipement de stockage dans lequel vous souhaitez déplacer le pool de stockage en tant que miroir de l'équipement qui contient actuellement le pool (consultez la section Ajout d'un équipement de stockage des données ELM en miroir). McAfee Enterprise Security Manager Guide Produit 121

122 3 Configuration de l'esm Configuration des équipements 1 Dans l'arborescence de navigation des systèmes, sélectionnez l'équipement ELM qui contient le pool de stockage, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Pools de stockage. 3 Dans la table Pools de stockage, cliquez sur les équipements en miroir répertoriés dans le pool à déplacer. 4 Cliquez sur Modifier, puis, dans la liste déroulante Equipements de stockage de données, sélectionnez l'équipement qui met en miroir le pool de stockage à déplacer. Il est désormais le principal équipement de stockage de données. 5 Pour mettre en miroir le nouvel équipement de stockage de données, sélectionnez un équipement dans la liste déroulante Equipement de stockage de données en miroir, puis cliquez sur OK. Réduction de la taille d'allocation du stockage Si un équipement de stockage est plein en raison de l'espace alloué aux pools de stockage, il se peut que vous deviez réduire la quantité d'espace définie pour chaque allocation. Cette procédure peut être nécessaire pour allouer de l'espace dans cet équipement à davantage de pools de stockage ou à l'indexeur de texte intégral. Si la réduction de la taille de l'allocation affecte des données, celles-ci sont déplacées vers d'autres allocations du pool si de l'espace est disponible. En cas d'indisponibilité, les données les plus anciennes sont supprimées. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM, puis cliquez sur Pool de stockage. 2 Dans la table inférieure, sélectionnez le pool à réduire, puis cliquez sur Réduire la taille. 3 Entrez la quantité souhaitée de réduction du stockage, puis cliquez sur OK. Mise en miroir du stockage des données ELM Vous pouvez configurer un second équipement de stockage ELM pour mettre en miroir les données collectées dans l'équipement principal. Si l'équipement principal s'arrête pour une raison quelconque, l'équipement de sauvegarde continue de stocker les données à mesure qu'elles entrent. Lorsque l'équipement principal revient en ligne, il est automatiquement synchronisé avec l'équipement de sauvegarde, puis reprend le stockage des données à mesure qu'elles arrivent. S'il s'arrête définitivement, vous pouvez réaffecter l'équipement de sauvegarde pour qu'il devienne l'équipement principal dans ESM, puis désigner un autre équipement et le mettre en miroir. Lorsque l'un des équipements s'arrête, un indicateur d'état d'intégrité l'équipement ELM dans l'arborescence de navigation des systèmes. s'affiche en regard de Un pool de stockage en miroir peut perdre sa connexion avec son équipement de stockage pour les raisons suivantes : 122 McAfee Enterprise Security Manager Guide Produit

123 Configuration de l'esm Configuration des équipements 3 Le serveur de fichiers ou le réseau existant entre ELM et le serveur de fichiers ont cessé de fonctionner. Le serveur de fichiers ou le réseau sont arrêtés à des fins de maintenance. Un fichier d'allocation a été supprimé accidentellement. En cas de problème avec le miroir, les équipements de stockage affichent une icône d'avertissement le réparer. dans la table Pools de stockage. Vous pouvez alors utiliser la fonction Reconstruire pour Ajout d'un équipement de stockage des données ELM en miroir Tout équipement de stockage qui a été ajouté à la liste des équipements disponibles et qui dispose de l'espace nécessaire peut être utilisé pour mettre en miroir les données enregistrées sur un équipement de stockage ELM. Avant de commencer Ajoutez les deux équipements que vous souhaitez mettre en miroir à ESM. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM, puis cliquez sur Pools de stockage. 2 Cliquez sur Ajouter en regard du tableau inférieur. 3 Dans la page Ajouter un pool de stockage, entrez les informations demandées, puis cliquez sur Ajouter pour sélectionner l'équipement de stockage et l'équipement de mise en miroir. Un équipement peut être affecté à plusieurs pools à la fois. 4 Cliquez deux fois sur OK. Reconstruction d'un pool de stockage en miroir Si un pool de stockage en miroir perd sa connexion avec ses équipements de stockage, vous pouvez utiliser la fonction Reconstruire pour le réparer. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM, puis cliquez sur Pool de stockage. 2 Pointez avec la souris sur les équipements en miroir qui affichent une icône d'avertissement. Une info-bulle vous informe de la reconstruction de l'allocation ELM ou indique que l'équipement en miroir doit être reconstruit. 3 Pour reconstruire les équipements en miroir, cliquez sur les équipements, puis sur Reconstruire. A l'issue du processus, vous êtes informé de la réussite de la reconstruction de l'allocation. Désactivation d'un équipement de mise en miroir Pour arrêter d'utiliser un équipement comme équipement de mise en miroir de pool de stockage, vous devez sélectionner un autre équipement pour le remplacer ou sélectionner Aucun. McAfee Enterprise Security Manager Guide Produit 123

124 3 Configuration de l'esm Configuration des équipements 1 Dans l'arborescence de navigation des systèmes, sélectionnez l'elm qui contient actuellement le pool de stockage de mise en miroir, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Pools de stockage, puis sélectionnez les équipements en miroir dans la table Pool de stockage et cliquez sur Modifier. 3 Effectuez l'une des procédures suivantes : Si l'équipement sélectionné dans le champ Equipement de stockage de données en miroir est celui que vous souhaitez désactiver, cliquez sur la flèche déroulante de ce champ, puis sélectionnez un autre équipement pour mettre en miroir l'équipement de stockage de données ou sélectionnez Aucun. Si l'équipement sélectionné dans le champ Equipements de stockage de données est celui que vous souhaitez désactiver, cliquez sur la flèche déroulante de ce champ, puis sélectionnez un autre équipement à utiliser comme équipement de stockage de données. 4 Cliquez sur OK pour enregistrer les modifications. L'équipement n'est plus un équipement de mise en miroir, mais il reste affiché dans la table Equipement de stockage. Configuration du stockage externe des données Trois types de stockage externe peuvent être configurés pour stocker les données ELM : iscsi, SAN et DAS. Après avoir connecté ces types de stockage externe à l'elm, vous pouvez les configurer pour stocker des données issues de l'elm. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM, puis cliquez sur Stockage de données. 2 Cliquez sur l'onglet iscsi, SAN ou DAS, puis suivez les étapes requises. 3 Cliquez sur Appliquer ou sur OK. Ajout d'un équipement iscsi Pour utiliser un équipement iscsi comme stockage ELM, vous devez configurer des connexions avec l'équipement. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM, puis cliquez sur Stockage de données. 2 Dans l'onglet iscsi, cliquez sur Ajouter. 124 McAfee Enterprise Security Manager Guide Produit

125 Configuration de l'esm Configuration des équipements 3 3 Entrez les informations demandées, puis cliquez sur OK. Si la connexion est établie, l'équipement et ses noms IQN sont ajoutés à la liste Configuration iscsi ainsi qu'à la liste Type d'équipement de la page Ajouter un équipement de stockage (voir Ajout d'un équipement de stockage). Si un nom IQN commence à stocker des journaux ELM, la cible iscsi ne peut pas être supprimée. En raison de cette limitation, veillez à configurer votre cible iscsi avec suffisamment d'espace pour le stockage ELM. 4 Avant d'utiliser un nom IQN pour le stockage ELM, sélectionnez-le dans la liste, puis cliquez sur Format. 5 Pour vérifier son statut lors de son formatage, cliquez sur Vérifier le statut. 6 Pour découvrir ou redécouvrir les noms IQN, cliquez sur l'équipement iscsi, puis sur Découvrir. Les tentatives d'affectation de plusieurs équipements à un nom IQN peuvent entraîner une fuite de données. Formatage d'un équipement de stockage SAN pour y stocker les données ELM Si votre système dispose d'une carte SAN, vous pouvez l'utiliser pour y stocker les données ELM. Avant de commencer Installez une carte SAN sur votre système (voir Installation de la carte réseau SAN qlogic QLE2460 dans le Guide d'installation de McAfee ESM ou contactez le support technique McAfee). 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM, puis cliquez sur Stockage de données. 2 Cliquez sur l'onglet SAN, puis vérifiez l'état des volumes SAN qui ont été détectés. Format requis : le volume doit être formaté et n'est pas affiché dans la liste des volumes disponibles de la page Ajouter un équipement de stockage. Formatage : le volume est en cours de formatage et n'est pas affiché dans la liste des volumes disponibles. Prêt : le volume est formaté et possède un système de fichiers connu. Ces volumes peuvent être utilisés pour stocker les données ELM. 3 Si un volume n'est pas formaté et si vous souhaitez y stocker des données, cliquez dessus, puis sur Formater. Lorsque vous formatez un volume, toutes les données stockées sont supprimées. 4 Pour vérifier si le formatage est terminé, cliquez sur Actualiser. Si le formatage est terminé, le statut est modifié et défini sur Prêt. 5 Pour afficher les détails d'un volume en bas de la page, cliquez sur le volume. A présent, vous pouvez configurer le volume SAN formaté en tant qu'équipement de stockage pour le stockage ELM. McAfee Enterprise Security Manager Guide Produit 125

126 3 Configuration de l'esm Configuration des équipements Affectation d'un équipement DAS pour le stockage des données Vous pouvez affecter des équipements DAS disponibles pour y stocker des données ELM. Avant de commencer Configurez des équipements DAS. 1 Dans l'arborescence de navigation des systèmes, sélectionnez l'elm auquel vous allez affecter l'équipement DAS, puis cliquez sur l'icône Propriétés. Dans un équipement tout-en-un, vous pouvez affecter DAS à ESM en sélectionnant ESM, puis en cliquant sur l'icône Propriétés. 2 Cliquez sur Stockage de données, puis sur l'onglet DAS. La table DAS répertorie les équipements qui sont disponibles pour le stockage. 3 Dans la table, cliquez sur l'un des équipements qui n'a pas été affecté pour le stockage des données ELM ou ESM. 4 Dans la page d'avertissement, cliquez sur Affecter, puis sur Oui. Une fois que vous avez affecté un équipement, vous ne pouvez pas en changer. ELM redémarre. Redondance des ELM Vous pouvez mettre en place la redondance pour la journalisation en ajoutant un ELM de secours à l'elm autonome actuel de votre système. Pour activer la redondance, définissez l'adresse IP et les autres informations réseau sur les deux ELM (voir Configuration de la redondance des ELM). L'ELM de secours doit être associé à des équipements de stockage afin d'obtenir un espace de stockage total suffisant correspondant au stockage de l'elm actif. Une fois la configuration effectuée, les paramètres des deux ELM sont synchronisés et l'elm de secours assure la synchronisation des données entre les deux équipements. Si vous utilisez la redondance des ELM, vous pouvez effectuer différentes actions avec les ELM : permuter, remettre en service, supprimer, suspendre et afficher l'état. Toutes les actions sont accessibles sur la page Propriétés ELM Redondance des ELM. Permuter Si l'elm principal devient inactif ou doit être remplacé, sélectionnez Permuter les ELM. L'ELM de secours devient actif et le système lui associe tous les équipements de journalisation. Les actions de journalisation et de configuration sont verrouillées lors de la permutation. Remettre en service Si l'elm de secours devient inactif, vous devez le remettre en service lorsqu'il est à nouveau disponible. Si aucune modification n'est détectée dans les fichiers de configuration, la redondance est appliquée comme précédemment. Si des différences sont détectées dans les fichiers, la redondance est appliquée aux pools de stockage exempts de problème, et une erreur indique qu'un ou plusieurs pools sont exclus de la redondance. Vous devez corriger ces pools manuellement. 126 McAfee Enterprise Security Manager Guide Produit

127 Configuration de l'esm Configuration des équipements 3 Si l'elm de secours est remplacé ou reconfiguré, le système le détecte et il vous invite à réactiver la clé de cet ELM. L'ELM actif synchronise ensuite tous les fichiers de configuration sur l'elm de secours et la redondance est appliquée comme précédemment. Suspendre Vous pouvez suspendre la communication avec l'elm de secours s'il devient ou va devenir inactif pour une raison ou une autre. Toutes les communications sont interrompues et les notifications d'erreur liées à la redondance sont masquées. Lorsque l'elm de secours est disponible, suivez la procédure de remise en service. Désactiver la redondance sur l'elm Pour désactiver la redondance des ELM, sélectionnez Supprimer. L'ELM actif enregistre une copie des fichiers de configuration de la redondance. Si ce fichier de sauvegarde est détecté lors de l'activation de la redondance des ELM, vous devez indiquer si vous souhaitez restaurer les fichiers de configuration enregistrés. Afficher l'état Pour afficher les informations d'état de la synchronisation des données entre l'elm actif et l'elm de secours, sélectionnez Etat. Configuration de la redondance des ELM Si vous avez un équipement ELM autonome sur votre système, vous pouvez mettre en place la redondance pour la journalisation en ajoutant un ELM de secours. Avant de commencer Vous devez au préalable installer un ELM autonome (voir le Guide d'installation de McAfee Enterprise Security Manager 9.5.0) et l'ajouter à la console ESM (voir Ajout d'équipements dans la console ESM). Vous devez également installer un ELM de secours mais sans l'ajouter dans la console. Assurez-vous que l'elm de secours ne contient pas de données. Si vous devez rétablir les paramètres d'usine, contactez le support technique McAfee. 1 Dans l'arborescence de navigation des systèmes, cliquez sur l'elm, puis sur l'icône Propriétés. 2 Dans la page Propriétés ELM, cliquez sur Redondance des ELM, puis sur Activer. 3 Entrez l'adresse IP et le mot de passe de l'elm de secours, puis cliquez sur OK. 4 Dans la page Propriétés ELM, cliquez sur Pools de stockage et vérifiez que l'onglet Actif est sélectionné. 5 Ajoutez des équipements de stockage sur l'elm actif (voir Ajout d'un équipement de stockage à lier à un pool de stockage). 6 Cliquez sur l'onglet Veille, puis ajoutez les équipements de stockage nécessaires pour obtenir un espace de stockage total suffisant correspondant au stockage de l'elm actif. 7 Ajoutez un ou plusieurs pools de stockage à chaque ELM (voir Ajout ou modification d'un pool de stockage). La configuration sur les deux ELM est maintenant synchronisée et l'elm de secours assure la synchronisation des données entre les deux équipements. McAfee Enterprise Security Manager Guide Produit 127

128 3 Configuration de l'esm Configuration des équipements Gestion de la compression ELM Compressez les données entrant dans ELM pour libérer de l'espace disque ou traiter davantage de journaux par seconde. Les trois options sont Faible (par défaut), Moyen et Elevé. Ce tableau affiche les détails de chaque niveau. Niveau Taux de compression Pourcentage de compression maximale Faible 14:1 72% 100% Moyen 17:1 87% 75% Elevé 20:1 100% 50% Pourcentage maximal de journaux traités par seconde Les taux de compression réels varient en fonction du contenu des journaux. Si la libération de l'espace disque vous préoccupe davantage que le nombre de journaux que vous pouvez traiter par seconde, sélectionnez la compression élevée. Si le traitement d'un plus grand nombre de journaux par seconde vous préoccupe davantage que la libération de l'espace disque, sélectionnez la compression faible. Définition de la compression ELM Sélectionnez le niveau de compression des données entrant dans ELM pour libérer de l'espace disque ou traiter davantage de journaux. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM, puis cliquez sur Configuration ELM Compression. 2 Sélectionnez le niveau de compression ELM, puis cliquez sur OK. Vous êtes averti de la mise à jour du niveau. Affichage des résultats d'une recherche ou d'une vérification de l'intégrité Lorsqu'un travail de recherche ou de vérification de l'intégrité est terminé, vous pouvez en afficher les résultats. Avant de commencer Exécutez un travail de recherche ou de vérification de l'intégrité qui produit des résultats. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM. 2 Cliquez sur Données, puis sur l'onglet Rechercher dans les journaux et fichiers ou Vérification de l'intégrité. 3 Surlignez le travail que vous souhaitez afficher dans la table Résultats de la recherche, puis cliquez sur Afficher. La page Résultats de recherche ELM affiche les résultats du travail. Si vous supprimez simultanément plusieurs lecteurs supplémentaires de la machine virtuelle dans ESM, toutes les recherches ELM risquent d'être perdues. Pour éviter la perte des résultats, exportez les résultats de la recherche ELM. 128 McAfee Enterprise Security Manager Guide Produit

129 Configuration de l'esm Configuration des équipements 3 Sauvegarde et restauration d'elm En cas de défaillance du système ou de fuite de données, vous devez sauvegarder les paramètres actuels des équipements ELM. Tous les paramètres de configuration, notamment ceux de la base de données de journalisation ELM, sont enregistrés. Les journaux réels qui sont stockés dans ELM ne sont pas sauvegardés. Il est conseillé de mettre en miroir la base de données de gestion ELM et les équipements qui stockent les données de journal dans ELM. La fonctionnalité de mise en miroir fournit une sauvegarde des données de journal en temps réel. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM. 2 Vérifiez que l'option Informations ELM est sélectionnée, puis cliquez sur Sauvegarde et restauration. 3 Effectuez l'une des actions suivantes : Pour... Sauvegarder ELM maintenant Sauvegarder automatiquement les paramètres ELM Restaurer la sauvegarde maintenant Procédez ainsi... Indiquez les informations demandées, puis cliquez sur Sauvegarder maintenant. Sélectionnez la fréquence et indiquez les informations. Cliquez sur Restaurer une sauvegarde maintenant. La base de données ELM est restaurée vers les paramètres d'une sauvegarde précédente. Restauration des données de base de données de gestion et de journal ELM Pour remplacer un équipement ELM, restaurez les données de base de données de gestion et de journal dans le nouvel équipement ELM. Pour que cette procédure fonctionne, les données de base de données et de journal doivent être mises en miroir. Pour restaurer les données d'un ancien ELM dans un nouvel ELM, ne créez pas d'elm à l'aide de l'assistant Ajout d'équipement. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM pour l'elm qui doit être remplacé. Une page d'avertissement vous informe que le système ne peut pas localiser l'elm. 2 Fermez la page d'avertissement, puis cliquez sur Connexion. 3 Entrez l'adresse IP du nouvel ELM, puis cliquez sur Gestion des clés Activer la clé de l'équipement. Lorsque l'activation de la clé du nouvel équipement est effectuée, une notification vous l'indique. 4 Entrez le mot de passe que vous souhaitez associer à cet équipement, puis cliquez sur Suivant. 5 Cliquez sur Informations ELM Sauvegarde et restauration Restaurer ELM. 6 Resynchronisez la journalisation de chaque équipement avec ELM en cliquant sur Synchroniser ELM dans la page Propriétés Configuration de chaque équipement. Les données de base de données de gestion et de journal ELM sont restaurées dans le nouvel ELM. Ce processus peut prendre plusieurs heures. McAfee Enterprise Security Manager Guide Produit 129

130 3 Configuration de l'esm Configuration des équipements Activation des recherches ELM plus rapides Le moteur d'indexation de texte intégral indexe les journaux ELM. S'il est activé, il fournit des vitesses de recherche ELM plus rapides, car il limite le nombre de fichiers dans lesquels effectuer la recherche. Avant de commencer Définissez l'équipement de stockage et l'espace alloué à l'indexeur. Le nombre de journaux ELM pouvant être indexés varie en fonction de l'espace que vous allouez à l'indexeur. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM, puis cliquez sur Configuration ELM Index de texte intégral. 2 Sélectionnez les options requises dans la page Sélectionner l'emplacement de l'indexeur de texte intégral. 3 Cliquez sur OK pour enregistrer les paramètres. Affichage de l'utilisation du stockage ELM L'affichage de l'utilisation du stockage dans ELM peut vous aider à prendre les décisions appropriées relatives à l'allocation de l'espace dans l'équipement. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM, puis cliquez sur Gestion ELM. 2 Cliquez sur Afficher l'utilisation. La page Statistiques d'utilisation s'ouvre et affiche les statistiques correspondant à l'équipement et aux pools de stockage d'elm. 3 Cliquez sur OK. Migration de la base de données ELM La base de données de gestion ELM stocke les enregistrements qui effectuent le suivi des journaux envoyés vers ELM. La quantité d'espace disque disponible dans votre équipement ELM pour stocker la base de données de gestion dépend du modèle. Si vous ajoutez d'abord l'équipement, le système vérifie s'il possède un espace disque suffisant pour le stockage des enregistrements. Dans le cas contraire, vous êtes invité à définir un autre emplacement pour le stockage de la base de données de gestion. Si l'équipement dispose d'un espace disque suffisant, mais que vous préférez enregistrer la base de données dans un autre emplacement, vous pouvez utiliser l'option Migrer la base de données de la page Propriétés ELM pour configurer cet emplacement. L'option Migrer la base de données peut être utilisée à tout moment. Néanmoins, si vous migrez la base de données de gestion une fois qu'elle contient des enregistrements, la session ELM est placée en attente pendant plusieurs heures tant que la migration n'est pas terminée, en fonction du nombre d'enregistrements contenus. Il est conseillé de définir cet autre emplacement si vous configurez d'abord l'équipement ELM. 130 McAfee Enterprise Security Manager Guide Produit

131 Configuration de l'esm Configuration des équipements 3 Définition d'un autre emplacement de stockage Pour stocker des enregistrements de base de données de gestion ELM dans un emplacement autre qu'elm, vous devez définir un autre emplacement de stockage. Vous pouvez également sélectionner un second équipement pour mettre en miroir ce qui est stocké. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM, puis cliquez sur Configuration ELM Migrer la base de données. 2 Sélectionnez l'équipement de stockage ainsi qu'un équipement mis en miroir. 3 Cliquez sur OK. Remplacement d'une base de données de gestion ELM en miroir Si un équipement de stockage de base de données de gestion en miroir rencontre un problème, vous devez peut-être le remplacer. 1 Dans l'arborescence de navigation des systèmes, sélectionnez l'équipement ELM et l'équipement de stockage de base de données de gestion qui rencontre le problème, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Configuration ELM, puis sélectionnez Migrer la base de données. 3 Dans le champ Equipements de stockage de données, sélectionnez l'équipement indiqué dans la liste déroulante Equipement de stockage de données en miroir. 4 Sélectionnez un nouvel équipement dans le champ Equipement de stockage de données en miroir ou sélectionnez Aucun pour arrêter la mise en miroir. Si l'équipement souhaité n'est pas répertorié dans la liste déroulante, ajoutez-le d'abord à la table Equipement de stockage. Récupération des données ELM Pour récupérer les données d'elm, vous devez créer des travaux de recherche et de vérification de l'intégrité dans la page Données. Un travail de vérification de l'intégrité vérifie si les fichiers que vous définissez ont été modifiés depuis leur stockage d'origine. Ce travail peut vous avertir en cas de modification non autorisée des fichiers critiques du système ou de contenu. Les résultats de cette vérification affichent les fichiers qui ont été modifiés. Si aucun fichier n'a été modifié, une notification vous indique la réussite de la vérification. Le système est limité à un total de 50 travaux de recherche et de vérification de l'intégrité simultanés. Si plus de 50 travaux sont exécutés sur le système, vous êtes informé que votre recherche ne peut pas être effectuée. Vous pouvez supprimer des recherches existantes sur le système afin que la nouvelle recherche soit effectuée. Si le système n'en contient pas, l'administrateur système supprime les travaux de recherche et de vérification de l'intégrité initiés par d'autres utilisateurs afin que votre recherche soit effectuée. Une fois que vous avez lancé une recherche, elle est exécutée jusqu'à ce qu'elle soit terminée ou qu'elle atteigne l'une des limites que vous avez définies, même si vous fermez la page Données. Vous pouvez revenir à cet écran pour vérifier l'état, qui s'affiche dans la table Résultats de la recherche. McAfee Enterprise Security Manager Guide Produit 131

132 3 Configuration de l'esm Configuration des équipements Création d'un travail de recherche Pour rechercher dans ELM des fichiers qui concordent avec vos critères, vous devez définir un travail de recherche dans la page Données. Aucun champ de cet écran n'est obligatoire, mais mieux vous définissez votre recherche, plus vous êtes susceptible de récupérer les données nécessaires en un minimum de temps. La vitesse de la recherche ELM a été accélérée dans la version Pour que cette accélération soit appliquée lors de la mise à niveau des versions antérieures à vers les versions ultérieures, vous devez activer le système Indexeur de texte intégral. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM, puis cliquez sur Données. 2 Dans l'onglet Rechercher dans les journaux et fichiers, renseignez les informations demandées, puis cliquez sur Rechercher. Création d'un travail de vérification de l'intégrité Pour vérifier si des fichiers ont été modifiés depuis leur stockage d'origine, créez un travail de vérification de l'intégrité dans la page Données. Aucun champ de l'onglet Vérification de l'intégrité n'est obligatoire, mais si vous définissez une recherche précise, la vérification de l'intégrité des données sera plus rapide. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ELM, puis cliquez sur Données. 2 Cliquez sur l'onglet Vérification de l'intégrité, sélectionnez les options requises, puis cliquez sur Rechercher. Paramètres liés au moteur ACE (Advanced Correlation Engine) McAfee Advanced Correlation Engine (ACE) identifie et évalue les événements de menace en temps réel, en utilisant à la fois la logique basée sur des règles et la logique basée sur les risques. Identifiez ce que vous souhaitez évaluer (utilisateurs ou groupes, applications, serveurs ou sous-réseaux particuliers) ainsi que les alertes ACE en cas de menace pour l'actif. Les pistes d'audit et la consultation des historiques prennent en charge les analyses, la conformité et l'ajustement des règles. Configurez ACE en utilisant les modes temps-réel et historique : Mode temps réel : les événements sont analysés à mesure qu'ils sont collectés afin de permettre la détection des menaces et des risques immédiats. Mode historique : permet la consultation des données disponibles collectées via l'un des moteurs de corrélation ou des deux afin de détecter les menaces et les risques antérieurs. Si ACE découvre une nouvelle attaque «jour zéro», il détermine si votre organisation a été exposée à cette attaque par le passé, pour permettre la détection des menaces émergentes. Les équipements ACE complètent les fonctionnalités de corrélation des événements existantes d'esm en fournissant deux moteurs de corrélation dédiés. Configurez chaque équipement ACE avec ses propres paramètres de stratégie, connexion et récupération des événements et des journaux ainsi que ses gestionnaires des risques. 132 McAfee Enterprise Security Manager Guide Produit

133 Configuration de l'esm Configuration des équipements 3 Corrélation des risques : génère le score des risques en fonction d'une corrélation sans règles. La corrélation basée sur des règles ne détecte que les modèles de menace connus. Pour être efficace, elle requiert donc le réglage constant des signatures ainsi que des mises à jour fréquentes. La corrélation sans règles remplace la détection par une configuration unique : vous identifiez ce qui est important pour votre activité (par exemple, une application ou un service particulier, un groupe d'utilisateurs ou des types de données spécifiques). La Corrélation des risques effectue alors le suivi de toutes les activités associées à ces éléments en créant un score des risques dynamique qui augmente ou diminue en fonction de l'activité en temps réel. Lorsque le score des risques dépasse un certain seuil, ACE génère un événement et vous avertit de l'intensification des conditions liées aux menaces. Ou bien, le moteur de corrélation traditionnel basé sur des règles peut utiliser l'événement comme condition d'un incident plus ample. ACE conserve une piste d'audit complète des scores des risques afin de permettre l'analyse et l'examen de toutes les conditions de menace dans le temps. Corrélation basée sur des règles : détecte les menaces en utilisant la corrélation traditionnelle pour analyser les informations collectées en temps réel. ACE met en corrélation tous les journaux, événements et flux de réseau avec les informations contextuelles telles que les identités, les rôles, les vulnérabilités, etc. pour détecter les modèles indiquant une menace plus importante. Les récepteurs Event Receiver permettent de prendre en charge la corrélation basée sur des règles à l'échelle du réseau. ACE enrichit cette fonctionnalité en fournissant une ressource de traitement dédiée pour mettre en corrélation des volumes de données plus importants, soit en complétant les rapports de corrélation existants ou bien en transférant complètement la charge. Configurez chaque équipement ACE avec ses propres paramètres de stratégie, connexion et récupération des événements et des journaux ainsi que ses gestionnaires des risques. Sélection du type de données ACE ESM collecte aussi bien les données d'événement que de flux. Sélectionnez les données à envoyer à ACE. Par défaut, il s'agit uniquement des données d'événement. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ACE, puis cliquez sur Configuration ACE. 2 Cliquez sur Données, puis sélectionnez Données d'événement, Données de flux ou les deux. 3 Cliquez sur OK. Ajout d'un gestionnaire de corrélation Pour utiliser la corrélation des règles ou des risques, vous devez ajouter des gestionnaires de corrélation des règles ou des risques. Avant de commencer Un équipement ACE doit être installé sur l'esm (voir Ajout d'équipements à la console ESM). 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ACE, puis cliquez sur Gestion de la corrélation. 2 Sélectionnez le type de gestionnaire à créer, puis cliquez sur OK. McAfee Enterprise Security Manager Guide Produit 133

134 3 Configuration de l'esm Configuration des équipements 3 Si vous avez sélectionné Corrélation des règles, renseignez les onglets Principal et Filtres. Si vous avez sélectionné Corrélation des risques, renseignez les onglets Principal Champs, Seuils et Filtres. 4 Cliquez sur Terminer. Ajout d'un gestionnaire de corrélation des risques Vous devez ajouter des gestionnaires pour vous aider à calculer les niveaux de risque des champs que vous désignez. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ACE, puis cliquez sur Gestion de la corrélation des risques. 2 Cliquez sur Ajouter, puis renseignez les informations demandées dans chaque onglet. 3 Cliquez sur Terminer, puis sur Ecrire pour écrire les gestionnaires dans l'équipement. Ajout d'un score de corrélation des risques Vous devez ajouter des instructions conditionnelles qui affectent un score à un champ ciblé. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ACE, puis cliquez sur Score de la corrélation des risques. 2 Cliquez sur Ajouter, puis renseignez les informations demandées. 3 Cliquez sur OK. Utilisation de la corrélation historique L'option Corrélation historique vous permet de mettre en corrélation des événements passés. Si une nouvelle vulnérabilité est découverte, il est important de vérifier les événements historiques et les journaux pour voir si votre système a été exploité dans le passé. La fonctionnalité de relecture facile du réseau d'ace permet de lire les événements historiques par le biais du moteur de corrélation sans règles Corrélation des risques et du moteur de corrélation standard des événements basé sur des règles. Vous pouvez ainsi examiner les événements historiques par rapport au paysage des menaces actuel. Cela peut être utile dans les situations suivantes : Vous n'avez pas configuré de corrélation au moment du déclenchement de certains événements et vous remarquez que leur mise en corrélation risque d'avoir révélé des informations importantes. Vous configurez une nouvelle corrélation basée sur les événements déclenchés dans le passé et souhaitez la tester afin de vérifier qu'elle fournit les résultats souhaités. Tenez compte des faits suivants lorsque vous utilisez la corrélation historique : La corrélation en temps réel est interrompue tant que vous n'avez pas désactivé la corrélation historique. La distribution des risques est faussée par l'agrégation des événements. Si vous replacez le gestionnaire des risques en corrélation des risques en temps réel, les seuils doivent être paramétrés. 134 McAfee Enterprise Security Manager Guide Produit

135 Configuration de l'esm Configuration des équipements 3 Pour configurer et exécuter une corrélation historique, vous devez : 1 Ajouter un filtre de corrélation historique. 2 Exécuter une corrélation historique. 3 Télécharger et afficher les événements historiques mis en corrélation. Ajout et exécution d'une corrélation historique Pour mettre en corrélation des événements passés, vous devez configurer un filtre de corrélation historique, puis exécuter la corrélation. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ACE, puis cliquez sur Historique. 2 Cliquez sur Ajouter, renseignez les informations demandées, puis cliquez sur OK. 3 Sélectionnez Activer la corrélation historique, puis cliquez sur Appliquer. La corrélation en temps réel est interrompue tant que vous n'avez pas désactivé la corrélation historique. 4 Sélectionnez les filtres que vous souhaitez exécuter, puis cliquez sur Exécuter maintenant. ESM vérifie les événements, applique les filtres, puis met en package les événements qui s'appliquent. Téléchargement et affichage des événements de corrélation historique Une fois que vous avez exécuté la corrélation historique, vous pouvez télécharger et afficher les événements qu'elle a générés. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ACE, puis cliquez sur Evénements et journaux Obtenir les événements. Les événements résultant de l'exécution de la corrélation historique sont téléchargés sur ESM. 2 Fermez Propriétés ACE. 3 Pour afficher les données : a b Dans l'arborescence de navigation des systèmes, sélectionnez l'équipement ACE dont vous venez d'exécuter les données historiques. Dans la liste déroulante Période de la barre d'outils Vues, sélectionnez la période que vous avez spécifiée lors de la configuration de l'exécution. Le volet Vues affiche les résultats de la requête. McAfee Enterprise Security Manager Guide Produit 135

136 3 Configuration de l'esm Configuration des équipements Paramètres de Application Data Monitor (ADM) McAfee Application Data Monitor (ADM) surveille l'utilisation des données confidentielles sur le réseau, en analysant les protocoles sous-jacents, l'intégrité des sessions et le contenu des applications. Si ADM détecte une violation, il conserve tous les détails de la session d'application concernée pour les utiliser dans le cadre de la réponse aux incidents et des analyses ou pour respecter les exigences des audits de conformité. En parallèle, ADM permet de voir les menaces dissimulées sous l'apparence d'applications légitimes. ADM peut détecter l'envoi d'informations confidentielles dans les pièces-jointes des s, les messages instantanés, les transferts de fichiers, les requêtes HTTP POST ou d'autres applications. Personnalisez les fonctionnalités de détection d'adm en définissant vos propres dictionnaires d'informations confidentielles. ADM peut alors détecter ces types de données confidentielles, avertir les personnes appropriées et consigner la transgression pour conserver une piste d'audit. ADM surveille, décode et détecte les anomalies dans les protocoles d'application suivants : Transfert de fichiers : FTP, HTTP, SSL (uniquement la configuration et les certificats) SMTP, POP3, NNTP, MAPI Chat : MSN, AIM/Oscar, Yahoo, Jabber, IRC Messagerie web : Hotmail, Hotmail DeltaSync, Yahoo! Mail, AOL Mail, Gmail P2P : Gnutella, BitTorrent Shell : SSH (uniquement la détection), Telnet ADM accepte les expressions de règle et les teste par rapport au trafic surveillé, en insérant des enregistrements dans la table des événements de la base de données correspondant à chaque règle déclenchée. Il stocke le paquet qui a déclenché la règle dans le champ Paquet de la table des événements. Il ajoute également des métadonnées de niveau application dans les tables de sessions de base de données et de requêtes correspondant à chaque règle déclenchée. Il stocke une représentation textuelle de la pile de protocole dans le champ Paquet de la table des requêtes. ADM peut générer les types d'événement suivants : Métadonnées : ADM génère un événement de métadonnées pour chaque transaction réseau, avec des détails tels que les adresses, le protocole, le type de fichier et le nom du fichier. L'application place les événements de métadonnées dans la table des requêtes et les regroupe via la table des sessions. Par exemple, si une session FTP transfère 3 fichiers, ADM les regroupe ensemble. Anomalie de protocole : les anomalies de protocole sont codées en dur dans les modules de protocole et incluent des événements, par exemple un paquet TCP (Transmission Control Protocol) trop court pour contenir un en-tête valide et un serveur SMTP (Simple Mail Transfer Protocol) retournant un code de réponse non valide. Les événements d'anomalie de protocole sont rares et insérés dans la table des événements. Déclencheur de règles : les expressions des règles génèrent des événements de déclenchement, ce qui permet la détection des anomalies dans les métadonnées générées par le moteur ICE (Internet Communications Engine). Ces événements peuvent inclure des anomalies telles que les protocoles utilisés en dehors des heures normales ou un serveur SMTP qui utilise le protocole FTP de façon inhabituelle. Les événements déclencheurs de règles sont rares et insérés dans la table des événements. La table des événements contient un enregistrement pour chaque anomalie de protocole détectée ou événement déclencheur de règles. Les enregistrements d'événement sont liés aux tables des sessions et des requêtes via l'id de session lorsque davantage de détails sur les transferts réseau (événements 136 McAfee Enterprise Security Manager Guide Produit

137 Configuration de l'esm Configuration des équipements 3 de métadonnées) ayant déclenché l'événement sont disponibles. Chaque événement est également lié à la table des paquets lorsque les données brutes du paquet ayant déclenché l'événement sont disponibles. La table des sessions contient un enregistrement par groupe de transferts associés sur le réseau (par exemple un groupe de transferts de fichiers FTP d'une même session). Les enregistrements de session sont liés à la table des requêtes via l'id de session si plus de détails sur les transferts réseau individuels (événements de métadonnées) sont disponibles. Par ailleurs, si un transfert de la session provoque une anomalie de protocole ou déclenche une règle, il existe un lien vers la table des événements. La table des requêtes contient un enregistrement par événement de métadonnées (transferts de contenu qui ont lieu sur le réseau). Les enregistrements de requête sont liés à la table des sessions à l'aide de l'id de session. Si le transfert réseau représenté par l'enregistrement déclenche une anomalie de protocole ou une règle, il existe un lien vers la table des événements. Il existe également un lien vers la table des paquets utilisant le champ de texte si une représentation textuelle du protocole complet ou de la pile de contenu est disponible. Définition du fuseau horaire ADM L'équipement ADM est défini sur GMT, mais le code ADM suppose que l'équipement est défini sur votre fuseau horaire. En conséquence, les règles utilisent le déclencheur de temps comme si vous étiez en GMT et non lorsque vous le supposez. Vous pouvez définir l'adm sur le fuseau horaire prévu. Ce dernier est ensuite pris en compte lors de l'évaluation des règles. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ADM, puis cliquez sur Configuration ADM. 2 Cliquez sur Fuseau horaire, puis sélectionnez votre fuseau horaire. 3 Cliquez sur OK. Affichage du mot de passe dans la Visionneuse des sessions La Visionneuse des sessions vous permet de consulter les détails des dernières requêtes ADM d'une session. Les règles de certains événements peuvent être associées à des mots de passe. Vous pouvez choisir d'afficher ou non les mots de passe dans la Visionneuse des sessions. Par défaut, ils ne sont pas affichés. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés ADM, puis cliquez sur Configuration ADM. L'option Mots de passe indique que la journalisation est Désactivée. 2 Cliquez sur Mots de passe, sélectionnez Activer la journalisation de mot de passe, puis cliquez sur OK. Le système exécute la commande et vous informe de la fin de son exécution. L'option Mots de passe indique maintenant que la journalisation est Activée. McAfee Enterprise Security Manager Guide Produit 137

138 3 Configuration de l'esm Configuration des équipements Dictionnaires d'adm (Application Data Monitor) Lors de l'écriture de règles ADM, utilisez des dictionnaires qui convertissent les clés capturées sur le réseau en valeur définie. Vous pouvez également répertorier les clés sans valeur qui sont définies par défaut sur la valeur booléenne True en présence de clés. Les dictionnaires ADM vous permettent de définir les clés d'un fichier rapidement au lieu d'écrire une règle particulière pour chaque mot. Par exemple, vous configurez une règle pour sélectionner les s contenant des mots spécifiques, vous compilez le dictionnaire avec ces mots, puis vous importez ce dictionnaire. Vous pouvez créer une règle du type ci-dessous pour rechercher les s dont le contenu inclut l'un des mots du dictionnaire : protocol == && naughtywords[objcontent] Lors de l'écriture de règles à l'aide de l'éditeur de règles ADM, vous pouvez sélectionner le dictionnaire à associer à la règle. Les dictionnaires prennent en charge jusqu'à des millions d'entrées. L'ajout d'un dictionnaire à une règle implique les étapes suivantes : 1 La configuration et l'enregistrement d'un dictionnaire qui répertorie les clés et, au besoin, les valeurs. 2 Gestion du dictionnaire dans ESM. 3 L'affectation du dictionnaire à une règle. Configuration d'un dictionnaire ADM Un dictionnaire est un fichier texte brut constitué d'une entrée par ligne. Il existe des dictionnaires à une colonne et à deux colonnes. Ceux à deux colonnes contiennent une clé et une valeur. Les clés peuvent être une adresse IPv4 ou MAC, un nombre, une expression régulière et une chaîne. Les valeurs sont de type booléen, IPv4, IPv6, MAC, nombre et chaîne. Elles sont facultatives et définies par défaut sur la valeur booléenne true en l'absence d'autres valeurs. Les valeurs d'un dictionnaire à une colonne et à deux colonnes doivent être de l'un des types pris en charge par ADM : chaîne, expression régulière, nombre, IPv4, IPv6 ou MAC. Le formatage des dictionnaires ADM doit respecter les instructions suivantes : 138 McAfee Enterprise Security Manager Guide Produit

139 Configuration de l'esm Configuration des équipements 3 Type Règles de syntaxe Exemples Contenu correspondant Chaîne Les chaînes doivent être placées entre guillemets. Les guillemets insérés dans une chaîne doivent être placés dans une séquence d'échappement en plaçant une barre oblique inverse devant chacun d'eux. "Contenu incorrect" "Il a dit, \"contenu incorrect\"" Contenu incorrect Il a dit, "contenu incorrect" Expression régulière Les expressions régulières sont placées entre des barres obliques uniques. Les barres obliques et les caractères réservés insérés dans l'expression régulière doivent être placés dans une séquence d'échappement à l'aide d'une barre oblique inverse. /[Pp]omme/ /pomme/i / [0-9]{1,3}\.[0-9]{1,3}\. [0-9]\.[0-9]/ /1\/2 sur tout/ Pomme ou pomme Pomme ou pomme Adresses IP : /2 sur tout Nombres Valeurs décimales (0-9) Valeurs hexadécimales (0x0-9a-f) Valeurs octales (0-7) Valeur décimale Valeur hexadécimale Valeur octale 123 0x12ab 0127 Booléens Peuvent être de type true ou false. Tout en minuscule Littéraux booléens true false IPv4 Peut être écrite sous forme de notation standard de chiffres décimaux séparés par des points / / [0 255] [0 255] Peut être écrite sous forme de notation CIDR. Peut être écrite dans un format long avec des masques complets. Les déclarations suivantes relatives aux dictionnaires sont vraies : Les listes (plusieurs valeurs séparées par des virgules et placées entre crochets) ne sont pas autorisées dans les dictionnaires. Une colonne ne peut être constituée que d'un type ADM pris en charge. En d'autres termes, il n'est pas possible de combiner et d'associer différents types (chaîne, expression régulière, IPv4) dans un même fichier dictionnaire ADM. Ils peuvent contenir des commentaires. Toutes les lignes commençant par le caractère dièse (#) sont considérées comme des commentaires dans un dictionnaire ADM. Les noms ne peuvent être constitués que de caractères alphanumériques et de traits de soulignement. Ils peuvent contenir au total 20 caractères au plus. McAfee Enterprise Security Manager Guide Produit 139

140 3 Configuration de l'esm Configuration des équipements Les listes ne sont pas prises en charge dans les dictionnaires. S'ils sont antérieurs à ADM 8.5.0, ils doivent être modifiés ou créés à l'extérieur d'esm dans un éditeur de texte de votre choix. Ils peuvent être importés dans ESM ou exportés depuis ESM pour faciliter la modification ou la création de dictionnaires ADM. Exemples de dictionnaire ADM Le moteur ADM peut faire correspondre le contenu d'un objet ou toute autre mesure ou propriété à un dictionnaire à colonne unique sur true ou false (existe dans le dictionnaire ou n'existe pas dans le dictionnaire). Tableau 3-25 Exemples de dictionnaire à colonne unique Type de dictionnaire Dictionnaire de chaînes contenant des mots indésirables courants Dictionnaire d'expressions régulières correspondant aux mots clés autorisés Dictionnaire de chaînes contenant les valeurs de hachage des exécutables incorrects connus Adresses IP des actifs critiques Exemple «Cialis» «cialis» «Viagra» «viagra» «web adulte» «Web adulte» «agissez maintenant! N'hésitez pas!» /(mot de passe)[^a-z0-9]{1,3}(admin connexion mot de passe utilisateur)/i /(client)[^a-z0-9]{1,3}compte[^a-z0-9]{1,3}numéro/i /fonds[^a-z0-9]{1,3}transaction/i /fonds[^a-z0-9]{1,3}transfert[^a-z0-9]{1,3}[0-9,.]+/i «fec72ceae15b6f60cbf269f99b9888e9» «fed472c13c1db095c4cb0fc54ed28485» «feddedb f9428a59eb5ee22a» «ff3cb87742f9b56dfdb9a49b31c1743c» «ff45e471aa68c9e2b6d62a82bbb6a82a» «ff669082faf0b5b976cec c» «ff7025e261bd bc9efdfc6c7c» / / / / McAfee Enterprise Security Manager Guide Produit

141 Configuration de l'esm Configuration des équipements 3 Tableau 3-26 Exemples de dictionnaire à deux colonnes Type de dictionnaire Dictionnaire de chaînes contenant des mots et des catégories indésirables courants Dictionnaire d'expressions régulières correspondant aux mots clés et catégories autorisés Dictionnaire de chaînes contenant les valeurs de hachage des exécutables et catégories incorrects connus Adresses IP des actifs et groupes critiques Exemple «Cialis» «pharmaceutique» «cialis» «pharmaceutique» «Viagra» «pharmaceutique» «viagra» «pharmaceutique» «web adulte» «adulte» «Web adulte» «adulte» «agissez maintenant! N'hésitez pas!» «hameçonnage» /(mot de passe)[^a-z0-9]{1,3}(admin connexion mot de passe utilisateur)/i «informations d'identification» /(client)[^a-z0-9]{1,3}compte[^a-z0-9]{1,3}numéro/i «pii» /fonds[^a-z0-9]{1,3}transaction/i «sox» /fonds[^a-z0-9]{1,3}transfert[^a-z0-9]{1,3}[0-9,.]+/i «sox» «fec72ceae15b6f60cbf269f99b9888e9» «cheval de Troie» «fed472c13c1db095c4cb0fc54ed28485» «logiciel malveillant (malware)» «feddedb f9428a59eb5ee22a» «virus» «ff3cb87742f9b56dfdb9a49b31c1743c» «logiciel malveillant (malware)» «ff45e471aa68c9e2b6d62a82bbb6a82a» «logiciel publicitaire (adware)» «ff669082faf0b5b976cec c» «cheval de Troie» «ff7025e261bd bc9efdfc6c7c» «virus» «actifs critiques» /24 «réseau local» / «réseau local» /27 «DMZ» / «actifs critiques» Gestion des dictionnaires ADM Une fois que vous avez configuré et enregistré un nouveau dictionnaire, vous devez l'importer dans ESM. Vous pouvez également l'exporter, le modifier et le supprimer. 1 Dans l'editeur de stratégies, cliquez sur Outils, puis sélectionnez Gestionnaire de dictionnaires ADM. L'écran Gérer les dictionnaires ADM répertorie les quatre dictionnaires par défaut (botnet, foullanguage, icd9_desc et spamlist) et les éventuels dictionnaires importés dans le système. 2 Effectuez l'une des actions disponibles, puis cliquez sur Fermer. McAfee Enterprise Security Manager Guide Produit 141

142 3 Configuration de l'esm Configuration des équipements Référencement d'un dictionnaire ADM Lorsqu'un dictionnaire est importé dans ESM, vous pouvez vous y référer lors de l'écriture des règles. Avant de commencer Importez le dictionnaire dans ESM. 1 Dans le panneau Types de règle de l'editeur de stratégies, cliquez sur Nouveau Règle ADM. 2 Ajoutez les informations demandées et effectuez un glisser-déplacer d'un élément logique vers la zone Logique d'expression. 3 Effectuez un glisser-déplacer de l'icône Composant d'expression dans l'élément logique. 4 Dans la page Composant d'expression, sélectionnez le dictionnaire dans le champ Dictionnaire. 5 Remplissez les champs restants, puis cliquez sur OK. Informations de référence des règles ADM Cette annexe contient des informations qui peuvent vous aider lors de l'ajout de règles ADM à l'editeur de stratégies. Syntaxe des règles ADM Les règles ADM sont très proches des expressions C. La principale différence est que les règles ADM sont un ensemble plus complet de littéraux (nombres, chaînes, expressions régulières, adresses IP, adresses MAC et booléens). Les termes de type chaîne peuvent être comparés aux littéraux de type chaîne et expression régulière afin de tester leur contenu, mais ils peuvent également être comparés à des nombres pour tester leur longueur. Les termes de type nombre, adresse IP et adresse MAC ne peuvent être comparés qu'au même type de valeur de littéral. La seule exception tient au fait que tous les éléments peuvent être traités comme des booléens afin de tester leur existence. Certains termes peuvent disposer de plusieurs valeurs. Par exemple, la règle suivante se déclenche pour les fichiers PDF contenus dans les fichiers.zip : type = = application/zip && type = = application/pdf. Tableau 3-27 Opérateurs Opérateur Description Exemple && AND logique protocol = = http && type = = image/gif OR logique time.hour < 8 time.hour > 18 ^ ^ XOR logique .from = = ^^ .to = = NOT unaire! (protocol = = http protocol = = ftp) = = Egal type = = application/pdf! = Différent de srcip! = /16 > Supérieur objectsize > 100M > = Supérieur ou égal à time.weekday > = McAfee Enterprise Security Manager Guide Produit

143 Configuration de l'esm Configuration des équipements 3 Tableau 3-27 Opérateurs (suite) Opérateur Description Exemple < Inférieur à objectsize < 10K < = Inférieur ou égal à time.hour < = 6 Tableau 3-28 Littéraux Littéral Nombre Chaîne Expression régulière Exemple 1234, 0x1234, 0777, 16K, 10M, 2G "une chaîne" /[A-Z] [a-z]+/ IPv , /16, / MAC Booléen aa:bb:cc:dd:ee:ff true, false Tableau 3-29 Compatibilité des types d'opérateur Type Opérateurs Notes Nombre = =,! =, >, > =, <, < = Chaîne = =,! = Comparaison du contenu d'une chaîne avec une chaîne/ expression régulière Chaîne >, > =, <, <= Comparaison de la longueur de chaîne IPv4 = =,! = MAC = =,! = Booléen = =,! = Comparaison à true/false. Prise en charge aussi d'une comparaison implicite avec true. Exemple : la syntaxe suivante permet de tester l'existence du terme .bcc : .bcc Tableau 3-30 Grammaire des expressions régulières ADM Opérateurs de base Alternative (ou) * Zéro ou plus + Un ou plus? Zéro ou un ( ) Groupement (a b) { } Intervalle répétitif {x}, {,x}, {x,} ou {x,y} [ ] Intervalle [0-9a-z] [abc] [^ ] Intervalle exclusif [^abc] [^0-9]. Tout caractère \ Caractère d'échappement McAfee Enterprise Security Manager Guide Produit 143

144 3 Configuration de l'esm Configuration des équipements Echappements \d Chiffre [0-9] \D Autre que chiffre [^0-9] \e Echappement (0x1B) \f Saut de page (0x0C) \n Saut de ligne (0x0A) \r Retour chariot (0x0D) \s Espace blanc \S Autre qu'espace blanc \t Tabulation (0x09) \v Tabulation verticale (0x0B) \w Mot [A-Za-z0-9_] \W Autre que mot \x00 Représentation hexadécimale \0000 Représentation octale ^ S Début de ligne Fin de ligne Les ancres de début et de fin de ligne (^ et $) ne fonctionnent pas pour la propriété objcontent. Classes de caractères POSIX [:alunum:] Chiffres et lettres [:alpha:] [:ascii:] [:blank:] [:cntrl:] [:digit:] [:graph:] [:lower:] [:print:] [:punct:] [:space:] [:upper:] Toutes les lettres Caractères ASCII Espace et tabulation Caractères de contrôle Chiffres Caractères visibles Lettres minuscules Caractères et espaces visibles Ponctuation et symboles Tous les caractères d'espace blanc Caractères majuscules 144 McAfee Enterprise Security Manager Guide Produit

145 Configuration de l'esm Configuration des équipements 3 Classes de caractères POSIX [:word:] [:xdigit:] Caractères de mot Chiffre hexadécimal Types de terme des règles ADM Tous les termes d'une règle ADM sont d'un type spécifique. Chaque terme est une adresse IP, une adresse MAC, un nombre, une chaîne ou une valeur booléenne. En outre, il existe deux types de littéral supplémentaires : les expressions régulières et les listes. Généralement, un terme d'un type spécifique ne peut être comparé qu'à un littéral ou à une liste de littéraux du même type (ou une liste de listes de...). Trois exceptions à cette règle existent : 1 Un terme de type chaîne peut être comparé à un littéral numérique afin de tester sa longueur. La règle suivante se déclenche si un mot de passe contient moins de 8 caractères (le mot de passe est un terme de type chaîne) : password < 8 2 Un terme de type chaîne peut être comparé à une expression régulière. La règle suivante se déclenche si un mot de passe ne contient que des lettres minuscules : password == /^[a-z]+$/ 3 Tous les termes peuvent être comparés à des littéraux booléens afin de tester s'ils surviennent ou non. La règle suivante se déclenche si un possède une adresse CC ( .cc est un terme de type chaîne) : .cc == true Type Adresses IP Description du format Les littéraux de type adresse IP sont écrits sous forme de notation standard de chiffres décimaux séparés par des points ; ils ne sont pas entourés de guillemets : Les adresses IP peuvent disposer d'un masque écrit en notation CIDR standard. Aucun espace blanc ne doit exister entre l'adresse et le masque : /24 Les adresses IP peuvent également disposer de masques écrits dans un long format : / Adresses MAC Nombres A l'instar des adresses IP, les littéraux de type adresse MAC sont écrits à l'aide d'une notation standard et ne sont pas placés entre guillemets : aa:bb:cc:dd:ee:ff Tous les nombres des règles ADM sont des nombres entiers 32 bits. Ils peuvent être écrits au format décimal : 1234 Ils peuvent être écrits au format hexadécimal : 0xabcd Ils peuvent être écrits au format octal : 0777 Ils peuvent disposer d'un multiplicateur ajouté pour multiplier par (K), (M) ou (G) : 10 M McAfee Enterprise Security Manager Guide Produit 145

146 3 Configuration de l'esm Configuration des équipements Type Chaînes Description du format Les chaînes sont placées entre guillemets : "c'est une chaîne" Les chaînes peuvent utiliser des séquences d'échappement C standard : "\tc'est une \"chaîne\" qui contient\x20séquences d'échappement\n" Si vous comparez un terme à une chaîne, l'intégralité du terme doit correspondre à la chaîne. Si un est pourvu de l'adresse d'expéditeur la règle suivante ne se déclenche pas : .from == Pour ne faire concorder qu'une partie d'un terme, un littéral de type expression régulière doit être utilisé. Les littéraux de type chaîne doivent être utilisés dans la mesure du possible, car ils sont plus efficaces. Comme tous les termes des adresses et des URL sont normalisés avant la concordance, il n'est pas nécessaire de tenir compte d'éléments tels que les commentaires dans les adresses . Booléens Les littéraux de type booléen sont true et false. 146 McAfee Enterprise Security Manager Guide Produit

147 Configuration de l'esm Configuration des équipements 3 Type Expressions régulières Description du format Les littéraux de type expression régulière utilisent la même notation que les langages, par exemple Javascript et Perl, l'expression régulière étant placée entre des barres obliques : /[a-z]+/ Les expressions régulières peuvent être suivies d'indicateurs modificateurs standard, même si «i» est le seul caractère actuellement reconnu (non-respect de la casse) : /[a-z]+/i Les littéraux de type expression régulière doivent utiliser la syntaxe POSIX étendue. Actuellement, les extensions Perl fonctionnent pour tous les termes, excepté le terme de contenu, mais cela pourrait changer dans les versions futures. Lorsqu'un terme est comparé à une expression régulière, toute sous-chaîne incluse au terme est prise en compte dans la concordance, sauf si les opérateurs d'ancrage sont appliqués dans l'expression régulière. La règle suivante se déclenche lors de la détection d'un contenant l'adresse : .from == Listes Les littéraux de type liste sont constitués d'un ou plusieurs littéraux placés entre crochets et séparés par des virgules : [1, 2, 3, 4, 5] Les listes peuvent contenir toute sorte de littéral, notamment d'autres listes : [ , [ /8, /24]] Les listes ne doivent contenir qu'une sorte de littéral ; il n'est pas valide de combiner des chaînes et des nombres, des chaînes et des expressions régulières, et des adresses IP et MAC. Si une liste est utilisée avec un opérateur relationnel autre que différent de (!=), l'expression est vraie si le terme correspond à tout littéral de la liste. La règle suivante se déclenche si l'adresse IP source correspond à l'une des adresses IP de la liste : srcip == [ , , ] Cela équivaut à : srcip == srcip == srcip == Lorsqu'elle est utilisée avec l'opérateur différent de (!=), l'expression est vraie si le terme ne correspond pas à tous les littéraux de la liste. La règle suivante se déclenche si l'adresse IP source n'est pas ou : srcip!= [ , ] Cela équivaut à : srcip!= && srcip!= Les listes peuvent également être utilisées avec les autres opérateurs relationnels même si cela n'a pas beaucoup de sens. La règle suivante se déclenche si la taille de l'objet est supérieure à 100 ou 200 : objectsize > [100, 200] Cela équivaut à : objectsize > 100 objectsize > 200 Références métriques des règles ADM Voici la liste des références métriques des expressions de règle ADM qui sont disponibles dans la page Composant d'expression lorsque vous ajoutez une règle ADM. La valeur du type de paramètre que vous pouvez entrer pour chacune des propriétés et anomalies courantes est affichée entre parenthèses après la référence métrique. Propriétés courantes Propriété ou terme Protocole (nombre) Contenu d'objet (chaîne) Description Protocole d'application (HTTP, FTP, SMTP). Contenu d'un objet (texte d'un document, d'un , d'un message de chat). La correspondance de contenu n'est pas disponible pour les données binaires, mais les objets binaires peuvent être détectés à l'aide de la propriété Type d'objet (objtype). McAfee Enterprise Security Manager Guide Produit 147

148 3 Configuration de l'esm Configuration des équipements Propriété ou terme Type d'objet (nombre) Taille d'objet (nombre) Hachage d'objet (chaîne) Adresse IP source d'objet (nombre) Adresse IP de destination d'objet (nombre) Port source d'objet (nombre) Port de destination d'objet (nombre) Adresse IPv6 source d'objet (nombre) Adresse IPv6 de destination d'objet (nombre) Adresse MAC source d'objet (nom MAC) Adresse MAC de destination d'objet (nom MAC) Adresse IP source de flux (IPv4) Adresse IP de destination de flux (IPv4) Port source de flux (nombre) Port de destination de flux (nombre) Adresse IPv6 source de flux (nombre) Adresse IPv6 de destination de flux (nombre) Adresse MAC source de flux (nom MAC) Adresse MAC de destination du flux (nom MAC) Réseau local virtuel (nombre) Description Spécifie le type de contenu tel qu'il est déterminé par ADM (documents Office, messages, vidéos, audio, images, archives, exécutables). Taille de l'objet. Les multiplicateurs numériques K, M et G peuvent être ajoutés après le nombre (10 K, 10 M, 10 G). Hachage du contenu (MD5 actuellement). Adresse IP source du contenu. L'adresse IP peut être spécifiée au format , /24, / Adresse IP de destination du contenu. L'adresse IP peut être spécifiée au format , /24, / Port TCP/UDP source du contenu. Port TCP/UDP de destination du contenu. Adresse IPv6 source du contenu. Adresse IPv6 de destination du contenu. Adresse MAC source du contenu (aa:bb:cc:dd:ee:ff). Adresse MAC de destination du contenu (aa:bb:cc:dd:ee:ff). Adresse IP source du flux. L'adresse IP peut être spécifiée au format , /24, / Adresse IP de destination du flux. L'adresse IP peut être spécifiée au format , /24, / Port TCP/UDP source du flux Port TCP/UDP de destination du flux Adresse IPv6 source du flux Adresse IPv6 de destination du flux Adresse MAC source du flux Adresse MAC de destination du flux ID de réseau local virtuel Jour de la semaine (nombre) Jour de la semaine. Les valeurs valides sont comprises entre 1 et 7, 1 correspondant à lundi. Heure de la journée (nombre) Type de contenu déclaré (chaîne) Mot de passe (chaîne) URL (chaîne) Heure de la journée définie sur GMT. Les valeurs valides sont les suivantes : Type de contenu tel qu'il est spécifié par le serveur. En théorie, la propriété Type d'objet (objtype) est toujours le type réel et la propriété Type de contenu déclaré (content-type) n'est pas digne de confiance, car elle peut être usurpée par le serveur/l'application. Mot de passe utilisé par l'application à des fins d'authentification. URL de site web. S'applique uniquement au protocole HTTP. 148 McAfee Enterprise Security Manager Guide Produit

149 Configuration de l'esm Configuration des équipements 3 Propriété ou terme Nom de fichier (chaîne) Nom d'affichage (chaîne) Nom d'hôte (chaîne) Description Nom du fichier transféré. Nom d'hôte tel qu'il est spécifié dans la recherche DNS. Anomalies courantes Utilisateur déconnecté (booléen) Erreur d'autorisation (booléen) Réussite d'autorisation (booléen) Echec d'autorisation (booléen) Propriétés propres aux protocoles En plus de fournir les propriétés communes à la plupart des protocoles, ADM fournit également des propriétés propres à chaque protocole que vous pouvez utiliser avec les règles ADM. Toutes les propriétés propres aux protocoles sont également disponibles sur la page Composant d'expression lors de l'ajout d'une règle ADM. Exemples de propriétés propres aux protocoles Ces propriétés s'appliquent aux tableaux suivants : * Détection uniquement ** Pas de déchiffrement, capture des certificats X.509 et des données chiffrées *** Via le module RFC822 Tableau 3-31 Modules de protocoles de transfert de fichier FTP HTTP SMB* SSL** Nom d'affichage Nom de fichier Nom d'hôte URL Nom d'affichage Nom de fichier Nom d'hôte Referer Nom d'affichage Nom de fichier Nom d'hôte Nom d'affichage Nom de fichier Nom d'hôte URL Tous les en-têtes HTTP Tableau 3-32 Modules de protocoles de messagerie DeltaSync MAPI NNTP POP3 SMTP Cci*** Cci Cci*** Cci*** Cci*** Cc*** Cc Cc*** Cc*** Cc*** Nom d'affichage Nom d'affichage Nom d'affichage Nom d'affichage Nom d'affichage De*** De De*** De*** De*** Nom d'hôte Nom d'hôte Nom d'hôte Nom d'hôte Nom d'hôte Objet*** Objet Objet*** Objet*** A*** A*** A A*** A*** Objet*** Nom de l'utilisateur Nom de l'utilisateur McAfee Enterprise Security Manager Guide Produit 149

150 3 Configuration de l'esm Configuration des équipements Tableau 3-33 Modules de protocoles de messagerie web AOL Gmail Hotmail Yahoo Nom de pièce jointe Nom de pièce jointe Nom de pièce jointe Nom de pièce jointe Cci*** Cci*** Cci*** Cci*** Cc*** Cc*** Cc*** Cc*** Nom d'affichage Nom d'affichage Nom d'affichage Nom d'affichage Nom de fichier Nom de fichier Nom de fichier Nom de fichier Nom d'hôte Nom d'hôte Nom d'hôte Nom d'hôte De*** De*** De*** De*** Objet*** Objet*** Objet*** Objet*** A*** A*** A*** A*** Protocole, anomalies Outre les propriétés communes et les propriétés propres aux protocoles, ADM détecte également des centaines d'anomalies dans les protocoles de bas niveau, de transport et d'application. Toutes les propriétés des anomalies de protocole sont de type Booléen et sont disponibles sur la page Composant d'expression lorsque vous ajoutez une règle ADM. Tableau 3-34 IP Terme ip.too-small ip.bad-offset ip.fragmented ip.bad-checksum ip.bad-length Description Paquet IP trop petit pour contenir un en-tête valide. Décalage de données IP au-delà de la fin du paquet. Paquet IP fragmenté. La somme de contrôle du paquet IP ne concorde pas avec les données. Champ totlen du paquet IP au-delà de la fin du paquet. Tableau 3-35 TCP Terme tcp.too-small tcp.bad-offset tcp.unexpected-fin tcp.unexpected-syn tcp.duplicate-ack tcp.segment-outsidewindow Description Paquet TCP trop petit pour contenir un en-tête valide. Décalage des données du paquet TCP au-delà de la fin du paquet. Indicateur FIN TCP défini dans un état non établi. Indicateur SYN TCP défini dans un état établi. Les données ACK du paquet TCP ont déjà un accusé de réception ACK. Le paquet TCP est en dehors de la fenêtre (petite fenêtre du module TCP, pas la fenêtre réelle). tcp.urgent-nonzero-withouturg- flag Le champ urgent TCP est différent de zéro, mais l'indicateur URG n'est pas défini. 150 McAfee Enterprise Security Manager Guide Produit

151 Configuration de l'esm Configuration des équipements 3 Tableau 3-36 DNS Terme dns.too-small dns.question-name-past-end dns.answer-name-past-end Description Paquet DNS trop petit pour contenir un en-tête valide. Nom de question DNS au-delà de la fin du paquet. Nom de réponse DNS au-delà de la fin du paquet. dns.ipv4-address-length-wrong La longueur de l'adresse IPv4 dans la réponse DNS n'est pas 4 octets. dns.answer-circular-reference La réponse DNS contient une référence circulaire. Paramètres de Database Event Monitor (DEM) McAfee Database Event Monitor (DEM) regroupe les activités liées aux bases de données dans un référentiel d'audit central. Il fournit également la normalisation, la corrélation, l'analyse et les rapports relatifs à ces activités. Si l'activité du réseau ou du serveur de base de données correspond à des modèles connus indiquant un accès malveillant à des données, DEM génère une alerte. Par ailleurs, toutes les transactions sont consignées en vue d'une utilisation conforme. DEM vous permet de gérer, modifier et ajuster les règles de surveillance des bases de données sur la même interface qui fournit l'analyse et les rapports. Vous pouvez facilement ajuster des profils de surveillance de base de données spécifiques (quelles règles appliquer, quelles transactions consigner), ce qui réduit les faux-positifs et améliore globalement la sécurité. DEM effectue un audit non intrusif des interactions entre les utilisateurs/applications et les bases de données en surveillant les paquets du réseau à l'instar des systèmes de détection des intrusions. Pour surveiller toutes les activités du serveur de base de données sur le réseau, vous devez coordonner le déploiement DEM initial avec vos équipes chargées de la mise en réseau, la sécurité, la conformité et des bases de données. Les équipes chargées du réseau utilisent des ports SPAN sur les commutateurs, des connexions de réseau ou des concentrateurs pour répliquer le trafic des bases de données. Ce processus vous permet d'écouter ou de surveiller le trafic sur vos serveurs de base de données et de créer un journal d'audit. Consultez le site web McAfee pour obtenir des informations sur la prise en charge des plateformes et des versions de serveur de base de données. Système d'exploitation Base de données Appliance DEM Agent DEM Windows (toutes les versions) Windows, UNIX/Linux (toutes les versions) Windows, UNIX/Linux (toutes les versions) Microsoft SQL Server¹ MSSQL 7, 2000, 2005, 2008, 2012 Oracle² Oracle 8.x, 9.x, 10 g, 11 g (c), 11 g R2³ MSSQL 2000 (SP4), 2005, 2008 Oracle , 9.x, 10.x, 11.x Sybase 11.x, 12.x, 15.x 11.x, 12.x, 15.x DB2 8.x, 9.x, 10.x 7.1.x, 8.x, 9.x Informix (disponible dans les versions et ultérieures) MySQL Oui, 4.x, 5.x, 6.x Oui, x, 5.0.3x PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x -- Teradata 12.x, 13.x, 14.x -- InterSystems Caché x -- McAfee Enterprise Security Manager Guide Produit 151

152 3 Configuration de l'esm Configuration des équipements Système d'exploitation Base de données Appliance DEM Agent DEM UNIX/Linux (toutes les versions) Greenplum Vertica Mainframe DB2/zOS Toutes les versions Option Partner agent (Agent partenaire) AS/400 DB2 Toutes les versions -- 1 La prise en charge du déchiffrement des paquets pour Microsoft SQL Server est disponible dans les versions et ultérieures. 2 La prise en charge du déchiffrement des paquets pour Oracle est disponible dans les versions et ultérieures. 3 Oracle 11 g est disponible dans les versions et ultérieures. Les déclarations suivantes s'appliquent à ces serveurs et ces versions : Les versions 32 bits et 64 bits des systèmes d'exploitation et des plates-formes de base de données sont prises en charge. MySQL est pris en charge uniquement sur les plates-formes Windows 32 bits. Le déchiffrement des paquets est pris en charge pour MSSQL et Oracle. Mise à jour de la licence DEM DEM est fourni avec une licence par défaut. Si vous modifiez les fonctionnalités de DEM, McAfee vous envoie une nouvelle licence dans un et vous devez procéder à sa mise à jour. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés DEM, puis cliquez sur Configuration DEM. 2 Cliquez sur Licence Mettre à jour la licence, puis collez les informations que McAfee vous a envoyées dans le champ. 3 Cliquez sur OK. Le système procède à la mise à jour de la licence et vous informe lorsqu'elle est terminée. 4 Déployez la stratégie sur DEM. Synchronisation des fichiers de configuration DEM Si les fichiers de configuration DEM sont désynchronisés avec l'équipement DEM, vous devez les écrire dans DEM. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés DEM, puis cliquez sur Configuration DEM. 2 Cliquez sur Synchroniser les fichiers. Un message affiche le statut de la synchronisation. 152 McAfee Enterprise Security Manager Guide Produit

153 Configuration de l'esm Configuration des équipements 3 Configuration des paramètres DEM avancés Ces paramètres avancés modifient ou augmentent les performances de DEM. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés DEM, puis cliquez sur Configuration DEM. 2 Cliquez sur Avancé, puis définissez les paramètres ou désélectionnez des options si vous faites face à une charge élevée sur DEM. 3 Cliquez sur OK. Application des paramètres de configuration DEM Les modifications apportées aux paramètres de configuration DEM doivent être appliquées à DEM. Si vous deviez omettre d'appliquer des modifications de configuration, l'option Appliquer de la page Configuration DEM vous permet d'effectuer cette procédure pour tous les paramètres de configuration DEM. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés DEM, puis cliquez sur Configuration DEM. 2 Cliquez sur Appliquer. Un message vous informe de l'écriture des paramètres de configuration dans DEM. Définition des actions pour les événements DEM Les paramètres Gestion des actions dans DEM définissent des actions et des opérations pour les événements, qui sont utilisées dans les règles de filtrage et les stratégies d'accès aux données DEM. Vous pouvez ajouter des actions personnalisées et définir l'option Opération pour les actions par défaut et personnalisées. DEM est fourni avec des actions par défaut que vous pouvez visualiser en cliquant sur Modifier globalement dans la page Gestion des actions, ainsi que ces opérations par défaut : aucun scripts ignorer réinitialiser abandonner Si vous sélectionnez l'opération Script, un nom d'alias (SCRIPT ALIAS) est requis pointant vers le script réel (SCRIPT NAME) qui doit être exécuté lorsque l'événement de criticité se produit. Le script transmet deux variables d'environnement, ALERT_EVENT et ALERT_REASON. ALERT_EVENT contient une liste de mesures séparées par des deux-points. DEM fournit un exemple de script bash, /home/ auditprobe/conf/sample/process_alerts.bash, pour montrer comment l'action de criticité peut être capturée dans un script. Lorsque vous utilisez des actions et des opérations, n'oubliez pas les points suivants : Les actions sont indiquées par ordre de priorité. Un événement n'entreprend pas d'action telle que l'envoi d'une interruption ou d'une page SNMP à moins que vous ne spécifiiez cela comme action d'alerte. McAfee Enterprise Security Manager Guide Produit 153

154 3 Configuration de l'esm Configuration des équipements Si une règle peut bénéficier de plusieurs niveaux d'alerte, seule l'alerte de niveau supérieur entraîne une action. Les événements sont écrits dans un fichier d'événements quelle que soit l'action. La seule exception est l'opération Abandonner. Ajout d'une action DEM Si vous ajoutez une action à la gestion des actions DEM, elle s'affiche dans la liste des actions disponibles pour une règle DEM dans l'editeur de stratégies. Vous pouvez alors sélectionner l'action pour l'associer à une règle. 1 Dans l'arborescence de navigation des systèmes, cliquez sur l'icône Editeur de stratégies Outils Gestionnaire d'actions DEM. La page Gestion des actions DEM répertorie les actions existantes par ordre de priorité., puis sur Vous ne pouvez pas modifier l'ordre de priorité des actions par défaut. 2 Cliquez sur Ajouter, puis entrez le nom et la description de cette action. Vous ne pouvez pas supprimer une action personnalisée une fois que vous l'avez ajoutée. 3 Cliquez sur OK. La nouvelle action est ajoutée à la liste de Gestion des actions DEM. L'opération par défaut pour une action personnalisée est Aucune. Pour modifier cela, voir Définition de l'opération d'une action DEM. Modification d'une action personnalisée DEM Une fois que vous aurez ajouté une action à la liste de gestion des actions DEM, il se peut que vous deviez modifier son nom ou sa priorité. 1 Dans l'arborescence de navigation des systèmes, cliquez sur l'icône Editeur de stratégies Outils Gestionnaire d'actions DEM., puis sur 2 Cliquez sur l'action personnalisée que vous devez modifier et exécutez l'une des étapes suivantes : Pour modifier l'ordre de priorité, cliquez sur les flèches vers le haut ou vers le bas jusqu'à ce qu'elle atteigne sa position correcte. Pour changer le nom ou la description, cliquez sur Modifier. 3 Cliquez sur OK pour enregistrer vos paramètres. Définition de l'opération d'une action DEM Toutes les actions de règle sont pourvues d'une opération par défaut. Si vous ajoutez une action DEM personnalisée, l'opération par défaut est Aucune. Vous pouvez modifier l'opération de toute action et la définir sur Ignorer, Abandonner, Script ou Réinitialiser. 154 McAfee Enterprise Security Manager Guide Produit

155 Configuration de l'esm Configuration des équipements 3 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés DEM, puis cliquez sur Gestion des actions. 2 Surlignez l'action que vous souhaitez modifier, puis cliquez sur Modifier. 3 Sélectionnez une opération, puis cliquez sur OK. Utilisation des masques de données confidentielles Les masques de données confidentielles empêchent l'affichage non autorisé des données confidentielles en les remplaçant par une chaîne générique, appelée masque. Trois masques de données confidentielles standard sont ajoutés à la base de données ESM lorsque vous ajoutez un équipement DEM au système, mais vous pouvez en ajouter des nouveaux et modifier ou supprimer ceux qui existent. Masques standard : Nom du masque de données confidentielles : masque de numéro de carte de crédit Expression : ((4\d{3}) (5[1-5]\d{2}) (6011))-?\d{4}-?\d{4}-?\d{4} 3[4,7]\d{13} Index des sous-chaînes : \0 Modèle de masquage : ####-####-####-#### Nom du masque de données confidentielles : masquer les 5 premiers caractères du numéro de sécurité sociale Expression : (\d\d\d-\d\d)-\d\d\d\d Index des sous-chaînes : \1 Modèle de masquage : ###-## Nom du masque de données confidentielles : masquer le mot de passe utilisateur dans l'instruction SQL Expression : create\s+user\s+(\w+)\s+identified\s+by\s+(\w+) Index des sous-chaînes : \2 Modèle de masquage : ******** Gestion des masques de données confidentielles Pour protéger les informations confidentielles entrées dans le système, vous pouvez ajouter des masques de données confidentielles ou modifier ou supprimer ceux qui existent. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés DEM, puis cliquez sur Masques de données confidentielles. 2 Sélectionnez une option, puis entrez les informations demandées. 3 Cliquez sur OK, puis sur Ecrire pour ajouter les paramètres dans DEM. McAfee Enterprise Security Manager Guide Produit 155

156 3 Configuration de l'esm Configuration des équipements Gestion de l'identification des utilisateurs Une grande partie de la sécurité repose sur le principe simple selon lequel les utilisateurs doivent être identifiés et distingués les uns des autres. Néanmoins des noms d'utilisateur génériques sont souvent utilisés pour accéder à la base de données. La gestion des identificateurs permet de capturer le nom d'utilisateur réel s'il existe dans la requête, à l'aide des modèles REGEX. Les applications peuvent être utilisées facilement pour tirer parti de cette fonctionnalité de sécurité. Deux règles d'identificateur définies sont ajoutées à la base de données ESM lorsque vous ajoutez un équipement DEM au système. Nom de règle d'identificateur : Get User Name from SQL Stmt (Obtenir le nom de l'utilisateur à partir d'une instruction SQL) Expression : select\s+username=(\w+) Application : Oracle Index des sous-chaînes : \1 Nom de règle d'identificateur : Get User Name from Stored Procedure (Obtenir le nom de l'utilisateur à partir d'une procédure stockée) Expression Application : MSSQL Index des sous-chaînes : \2 La corrélation avancée des utilisateurs est possible en mettant en corrélation les journaux DEM, d'application, de serveur web, système et de gestion des identités et des accès dans ESM. Ajout d'une règle d'identificateur d'utilisateur Pour associer des requêtes de base de données à des personnes, vous pouvez utiliser les règles d'identificateur d'utilisateur existantes ou en ajouter une nouvelle. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés DEM, puis cliquez sur Gestion des identificateurs. 2 Cliquez sur Ajouter, puis entrez les informations demandées. 3 Cliquez sur OK, puis sur Ecrire pour écrire les paramètres dans DEM. A propos des serveurs de base de données Les serveurs de base de données surveillent l'activité des bases de données. Si une activité observée sur un serveur de base de données correspond à un modèle connu qui indique un accès aux données 156 McAfee Enterprise Security Manager Guide Produit

157 Configuration de l'esm Configuration des équipements 3 malveillant, une alerte est générée. Chaque DEM peut surveiller un maximum de 255 serveurs de base de données. DEM prend actuellement en charge ces serveurs de base de données et ces versions : SE Base de données Appliance DEM Agent DEM Windows (toutes les versions) Windows, UNIX/ Linux (toutes les versions) UNIX/Linux (toutes les versions) Microsoft SQL Server¹ MSSQL 7, 2000, 2005, 2008, 2012 Oracle² Oracle 8.x, 9.x, 10g, 11g³, 11g R2 MSSQL 2000 (SP4), 2005, 2008 Oracle , 9.x, 10.x, 11.x Sybase 11.x, 12.x, 15.x 11.x, 12.x, 15.x DB2 8.x, 9.x, 10.x 7.1.x, 8.x, 9.x Informix (reportez-vous à la note 4) MySQL Oui, 4.x, 5.x, 6.x Oui, x, 5.0.3x PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x -- Teradata 12.x, 13.x, 14.x -- InterSystems Caché x -- Greenplum Vertica Mainframe DB2/zOS Toutes les versions Option Partner agent (Agent partenaire) AS/400 DB2 Toutes les versions -- 1 La prise en charge du déchiffrement des paquets pour Microsoft SQL Server est disponible dans les versions et ultérieures. 2 La prise en charge du déchiffrement des paquets pour Oracle est disponible dans les versions et ultérieures. 3 Oracle 11g est disponible dans les versions et ultérieures. 4 La prise en charge d'informix est disponible dans les versions et ultérieures. Les versions 32 bits et 64 bits des systèmes d'exploitation et des plates-formes de base de données sont prises en charge. Les agents DEM sont pris en charge sur toutes les versions des systèmes d'exploitation Windows, UNIX et Linux. Les agents DEM nécessitent une machine virtuelle Java. MySQL est pris en charge uniquement sur les plates-formes Windows 32 bits. Le déchiffrement des paquets est pris en charge pour MSSQL et Oracle. Gestion des serveurs de base de données La page Serveur de base de données est le point de départ pour gérer les paramètres de tous les serveurs de base de données de votre équipement DEM. McAfee Enterprise Security Manager Guide Produit 157

158 3 Configuration de l'esm Configuration des équipements 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés DEM, puis cliquez sur Serveurs de base de données. 2 Sélectionnez l'une des options disponibles. 3 Cliquez sur OK. Gestion des notifications de découverte de base de données DEM est pourvu d'une fonctionnalité de découverte de base de données qui fournit la liste des exceptions des serveurs de base de données qui ne sont pas surveillés. Cela permet à un administrateur de sécurité de découvrir les nouveaux serveurs de base de données ajoutés à l'environnement ainsi que les ports d'écoute interdits ouverts pour accéder aux données des bases de données. Si cette option est activée, vous recevez une notification d'alerte qui s'affiche dans la vue Analyse d'événement. Vous pouvez alors choisir d'ajouter le serveur à ceux qui sont surveillés dans votre système. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés DEM, puis cliquez sur Serveurs de base de données Activer. Vous êtes averti de leur activation. 2 Cliquez sur OK pour fermer la page Propriétés DEM. 3 Pour afficher les notifications, cliquez sur l'équipement DEM dans l'arborescence de navigation des systèmes, puis sélectionnez Vues des événements Analyse d'événement. 4 Pour ajouter le serveur à votre système, sélectionnez la vue Analyse d'événement, cliquez sur l'icône Menu et sélectionnez Ajouter un serveur. Paramètres de Distributed ESM (DESM) Distributed ESM (DESM) fournit une architecture distribuée qui permet à un ESM parent de se connecter à jusqu'à 100 équipements et d'y collecter des données. L'ESM parent extrait les données de l'équipement en fonction des filtres que vous avez définis. Par ailleurs, vous pouvez accéder directement aux détails des données qui proviennent de l'esm de l'équipement et y sont conservées. Le DESM doit approuver l'esm parent pour lui permettre d'extraire des événements. Le parent peut définir des filtres, synchroniser des sources de données et envoyer en mode Push ses types personnalisés. Il ne peut pas obtenir des règles ni des événements du DESM tant qu'il n'est pas approuvé. Si vous vous connectez avec des droits d'administrateur au DESM, une notification indique que «Cet ESM a été ajouté en tant qu'esm distribué sur un autre serveur. Attente de l'autorisation de connexion». Si vous cliquez sur Approuver les ESM hiérarchiques, vous pouvez sélectionner le type de communication à autoriser entre l'esm parent et le DESM. L'ESM parent ne gère pas les équipements qui appartiennent à l'esm de l'équipement. L'ESM parent affiche l'arborescence des systèmes de l'esm d'équipement directement connecté. Il n'extrait pas ni affiche les événements des ESM enfants des équipements. Les barres d'outils sont désactivées pour tous les DESM enfants. 158 McAfee Enterprise Security Manager Guide Produit

159 Configuration de l'esm Configuration des équipements 3 Le parent ne gère pas les données qui résident sur l'esm de l'équipement. Un sous-ensemble des données ESM de l'équipement est transféré et stocké sur l'esm parent en fonction des filtres que vous avez définis. Ajout de filtres DESM Les données transférées de l'équipement ESM vers l'équipement DESM parent dépendent des filtres définis par l'utilisateur. Si ces filtres sont enregistrés, cela équivaut à appliquer le filtre à l'équipement ESM afin que les hachages ou bits appropriés puissent être générés. Etant donné que l'objet de la fonctionnalité DESM est de vous permettre de collecter des données spécifiques de l'équipement ESM (pas TOUTES les données), vous devez définir des filtres pour les données à récupérer de l'équipement ESM. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés DESM, puis cliquez sur Filtres. 2 Entrez les données demandées, puis cliquez sur OK. Paramètres epolicy Orchestrator Vous pouvez ajouter un équipement epolicy Orchestrator à l'esm, avec ses applications répertoriés en tant qu'enfants dans l'arborescence de navigation du système. Une fois authentifié, vous pouvez accéder aux fonctions de l'esm et attribuer des marqueurs epolicy Orchestrator directement aux adresses IP source ou destination et aux événements générés par les alarmes. Vous devez associer epolicy Orchestrator à un récepteur, car les événements sont extraits du récepteur et non d'epolicy Orchestrator. Pour utiliser epolicy Orchestrator, vous devez avoir l'autorisation de lecture sur la base de données principale et la base de données epolicy Orchestrator. Si l'équipement McAfee epo est associé à un serveur McAfee Threat Intelligence Exchange, il est automatiquement ajouté lorsque vous ajoutez l'équipement McAfee epo à l'esm (consultez la section Intégration de Threat Intelligence Exchange). Lancement d'epolicy Orchestrator Si vous avez un équipement ou une source de données epolicy Orchestrator sur l'esm et si l'adresse IP d'epolicy Orchestrator est dans votre Réseau local, vous pouvez lancer l'interface d'epolicy Orchestrator à partir d'esm. Avant de commencer Ajoutez un équipement ou une source de données epolicy Orchestrator à l'esm. Cette fonctionnalité est disponible dans epolicy Orchestrator, versions 4.6 et ultérieures. 1 Dans l'arborescence de navigation des systèmes, sélectionnez une vue. 2 Sélectionnez un résultat dans un composant de barre, liste, secteur, graphique ou table qui retourne les données d'adresse IP source ou de destination. McAfee Enterprise Security Manager Guide Produit 159

160 3 Configuration de l'esm Configuration des équipements 3 Dans le menu du composant, cliquez sur Action Lancer epo. Si vous avez un seul équipement ou source de données epolicy Orchestrator sur le système et si vous avez sélectionné une adresse IP source ou de destination à l'étape 1, epolicy Orchestrator est lancé. Si vous avez plusieurs équipements ou sources de données epolicy Orchestrator sur le système, sélectionnez celui auquel vous souhaitez accéder, puis epolicy Orchestrator est lancé. Si vous avez sélectionné un événement ou un flux dans un composant de table à l'étape 1, indiquez si vous souhaitez accéder à l'adresse IP source ou de destination. epolicy Orchestrator est lancé ensuite. Authentification des équipements McAfee epo L'authentification est requise avant d'utiliser le marquage ou les actions McAfee epo ou encore McAfee Real Time for McAfee epo. Il existe deux types d'authentification : Compte global unique : si vous faites partie d'un groupe qui a accès à un équipement McAfee epo, vous pouvez utiliser ces fonctionnalités après avoir entré les informations d'identification globales. Compte distinct pour chaque équipement par utilisateur : vous devez avoir des privilèges vous permettant d'afficher l'équipement dans l'arborescence des équipements. Si vous utilisez des actions, des marqueurs ou McAfee Real Time for McAfee epo, utilisez la méthode d'authentification sélectionnée. Si les informations d'identification sont introuvables ou non valides, vous êtes invité à entrer des informations d'identification valides que vous devez enregistrer pour les communications futures avec l'équipement. L'exécution des rapports, l'enrichissement des données et les listes de valeurs dynamiques en arrière-plan via McAfee Real Time for McAfee epo utilisent les informations d'identification McAfee epo fournies à l'origine. Configuration de l'authentification d'un compte distinct L'authentification du compte global est le paramètre par défaut. Pour configurer l'authentification d'un compte distinct, vous devez effectuer deux actions : 1 Vérifiez que l'option Requérir l'authentification utilisateur est sélectionnée lors de l'ajout de l'équipement McAfee epo à l'esm ou lorsque vous configurez ses paramètres de connexion (voir Ajout d'équipements à la console ESM ou Modification de la connexion à ESM). 2 Entrez vos informations d'identification sur la page Options (voir Ajout des informations d'identification pour l'authentification McAfee epo). Ajout des informations d'identification pour l'authentification McAfee epo Avant d'utiliser le marquage ou les actions de McAfee epo, ou bien McAfee Real Time for McAfee epo, vous devez ajouter des informations d'identification pour l'authentification à l'esm. Avant de commencer Installez un équipement McAfee epo sur l'esm (voir Ajout d'équipements à la console ESM). Si vous n'avez pas le nom d'utilisateur et le mot de passe de l'équipement, contactez l'administrateur système. 160 McAfee Enterprise Security Manager Guide Produit

161 Configuration de l'esm Configuration des équipements 3 1 Dans la barre de navigation de la console ESM, cliquez sur Options, puis sur Informations d'identification epo. 2 Cliquez sur l'équipement, puis cliquez sur Modifier. 3 Indiquez le nom d'utilisateur et le mot de passe, puis cliquez sur Tester la connexion. 4 Cliquez sur OK. Affectation de marqueurs epolicy Orchestrator à une adresse IP L'onglet Marquage epo répertorie les marqueurs disponibles. Vous pouvez affecter des marqueurs aux événements générés par une alarme et voir si une alarme comporte des marqueurs epolicy Orchestrator. Vous pouvez également sélectionner un ou plusieurs marqueurs sur cette page et les appliquer à une adresse IP. Pour accéder à la fonctionnalité de marquage, vous devez disposer des autorisations Appliquer, exclure et effacer des marqueurs et Réactiver les agents et afficher le journal d'activité de l'agent sur epolicy Orchestrator. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés epo, puis cliquez sur Marquage. 2 Renseignez les informations demandées, puis cliquez sur Affecter. Les marqueurs sélectionnés sont appliqués à l'adresse IP. Acquisition des données McAfee Risk Advisor Vous pouvez spécifier plusieurs serveurs epolicy Orchestrator à partir desquels acquérir les données McAfee Risk Advisor. Les données sont acquises via une requête de la base de données epolicy Orchestrator SQL Server. La requête de base de données génère une liste de résultats indiquant l'adresse IP et le score de réputation, ainsi que des valeurs constantes pour la réputation élevée ou faible. Toutes les listes epolicy Orchestrator et McAfee Risk Advisor sont fusionnées, les IP en double obtenant le score le plus élevé. Cette liste fusionnée est envoyée, avec les valeurs faibles et élevées, vers tous les équipements ACE. Elle est utilisée pour les champs de notation IP source et IP de destination. Lorsque vous ajoutez epolicy Orchestrator, vous devez indiquer si vous souhaitez configurer les données McAfee Risk Advisor. Si vous cliquez sur Oui, une source d'enrichissement des données et deux règles de score ACE (si applicables) sont créées et déployées. Pour les afficher, accédez aux pages Enrichissement des données et Score de la corrélation des risques. Si vous souhaitez utiliser les règles de score, vous devez créer un gestionnaire de corrélation des risques. Activation de l'acquisition des données McAfee Risk Advisor Si vous activez l'acquisition des données McAfee Risk Advisor dans epolicy Orchestrator, une liste de scores est générée et envoyée vers tout équipement ACE à utiliser pour les champs de notation IP source et IP de destination. McAfee Enterprise Security Manager Guide Produit 161

162 3 Configuration de l'esm Configuration des équipements 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés epo Gestion des équipements, puis cliquez sur Activer. Vous êtes informé de l'activation de l'acquisition. 2 Cliquez sur OK. Exécution d'actions McAfee Real Time for McAfee epo Exécuter des actions McAfee Real Time for McAfee epo dans les résultats d'une question à partir d'esm et du composant qui affiche une adresse IP dans la vue. Avant de commencer Définissez et exécutez une question McAfee Real Time for McAfee epo (voir Exécution de requêtes McAfee epo pour le tableau de bord McAfee Real Time for McAfee epo). 1 Sur la console ESM, cliquez sur l'icône de menu dans un composant de vue qui affiche les résultats d'une question McAfee Real Time for McAfee epo. 2 Sélectionnez Actions, puis cliquez sur Actions Real Time for epo. 3 Dans l'onglet Equipements, sélectionnez l'équipement McAfee epo sur lequel exécuter l'action. 4 Dans l'onglet Actions, cliquez sur une action dans la liste des actions disponibles pour les équipements sélectionnés. 5 Dans l'onglet Filtres, définissez un ensemble de filtres à appliquer à la question, puis cliquez sur Terminer. Les filtres ne sont pas disponibles dans le tableau de bord ou les composants McAfee epo. Intégration de Threat Intelligence Exchange Threat Intelligence Exchange vérifie la réputation des programmes exécutables sur les postes clients connectés à ces fichiers. Lorsque vous ajoutez un équipement McAfee epo à ESM, le système détecte automatiquement si un serveur Threat Intelligence Exchange est connecté à l'équipement. Si c'est le cas, ESM commence l'écoute de DXL et la journalisation des événements. Si un serveur Threat Intelligence Exchange est détecté, les listes de valeurs, l'enrichissement des données et les règles de corrélation de Threat Intelligence Exchange sont automatiquement ajoutées et les alarmes de Threat Intelligence Exchange sont activées. Vous recevez une notification visuelle, qui inclut un lien vers la synthèse des modifications effectuées. Vous recevez également une notification si le serveur Threat Intelligence Exchange est ajouté au serveur McAfee epo après l'ajout de l'équipement à ESM. Une fois les événements Threat Intelligence Exchange générés, vous pouvez consulter l'historique d'exécution (voir Affichage de l'historique d'exécution de Threat Intelligence Exchange et configuration d'actions) et sélectionner les actions que vous souhaitez effectuer sur les données malveillantes. 162 McAfee Enterprise Security Manager Guide Produit

163 Configuration de l'esm Configuration des équipements 3 Règles de corrélation Six règles de corrélation sont optimisées pour les données Threat Intelligence Exchange. Elles génèrent des événements, sur lesquels vous pouvez effectuer une recherche ou un tri. TIE La réputation GTI est passée de bonne à mauvaise TIE Fichier malveillant (SHA-1) trouvé dans un nombre croissant d'hôtes TIE Nom de fichier malveillant trouvé dans un nombre croissant d'hôtes TIE Plusieurs fichiers malveillants trouvés sur le même hôte TIE La réputation TIE est passée de bonne à mauvaise TIE Augmentation du nombre de fichiers malveillants trouvés sur l'ensemble des hôtes Alarmes ESM comporte deux alarmes qui peuvent se déclencher lorsque des événements Threat Intelligence Exchange importants sont détectés. L'alarme Seuil de fichiers incorrects TIE dépassé se déclenche via la règle de corrélation TIE - Fichier malveillant (SHA-1) trouvé sur un nombre croissant d'hôtes. L'alarme Fichier inconnu TIE exécuté se déclenche via un événement TIE spécifique et elle ajoute les informations à la liste de valeurs IP de sources de données TIE. Liste de valeurs La liste de valeurs IP de sources de données TIE conserve la liste des systèmes qui ont déclenché l'alarme Fichier inconnu TIE exécuté. Cette liste de valeurs est statique et sans date d'expiration. Historique de l'exécution de Threat Intelligence Exchange Vous pouvez afficher l'historique d'exécution de tout événement Threat Intelligence Exchange (voir Affichage de l'historique d'exécution de Threat Intelligence Exchange et configuration d'actions), qui inclut la liste des adresses IP ayant tenté d'exécuter le fichier. Sur cette page, vous pouvez sélectionner un élément pour effectuer des actions : Créer une liste de valeurs. Ajouter des informations à une liste noire. Ajouter des informations à une liste de valeurs. Exporter les informations dans un fichier.csv. Créer une alarme. Affichage de l'historique d'exécution de Threat Intelligence Exchange et configuration d'actions La page de l'historique d'exécution de Threat Intelligence Exchange affiche la liste des systèmes qui ont exécuté le fichier associé à l'événement que vous avez sélectionné. Avant de commencer Un équipement epolicy Orchestrator relié à un serveur Threat Intelligence Exchange doit être présent sur l'esm. McAfee Enterprise Security Manager Guide Produit 163

164 3 Configuration de l'esm Configuration des équipements 1 Dans l'arborescence de navigation de la console ESM, cliquez sur epolicy Orchestrator. 2 Dans la liste déroulante des vues, sélectionnez Vues des événements Analyse d'événement, puis cliquez sur l'événement. 3 Cliquez sur l'icône de menu, puis sélectionnez Actions Historique de l'exécution TIE. 4 La page Historique de l'exécution TIE affiche les systèmes qui ont exécuté le fichier Threat Intelligence Exchange. 5 Pour ajouter ces données à votre workflow, cliquez sur un système, cliquez sur le menu déroulant Actions, puis sélectionnez une option pour ouvrir la page ESM correspondante. 6 Configurez l'action que vous avez sélectionnée (pour connaître la procédure, consultez l'aide en ligne). Exécution de requêtes sur des équipements McAfee epo pour un rapport ou une vue Vous pouvez exécuter des requêtes sur plusieurs équipements McAfee epo pour un rapport ou une vue si ces équipements sont intégrés à McAfee Real Time for McAfee epo. Avant de commencer Vérifiez que les équipements McAfee epo sur lesquels vous souhaitez exécuter des requêtes sont intégrés à McAfee Real Time for McAfee epo. 1 Dans l'arborescence de navigation des systèmes, cliquez sur le système, cliquez sur l'icône Propriétés, puis sur Rapports. 2 Cliquez sur Ajouter, indiquez les informations demandées dans les sections 1 à 4, puis cliquez sur Ajouter dans la section 5. 3 Dans l'éditeur Disposition de rapport, faites glisser un composant Table, Graphique à barres ou Graphique à secteurs. 4 Dans l'assistant Requête, sélectionnez Real Time for McAfee epo dans la liste déroulante, puis sélectionnez l'élément ou la question de la requête. 5 Cliquez sur Suivant, puis sur Equipements et sélectionnez les équipements McAfee epo sur lesquels exécuter la requête. 6 (Facultatif) Cliquez sur Filtres, ajoutez des valeurs de filtre pour la requête, puis cliquez sur OK. 7 Si vous avez sélectionné Question epo personnalisée dans la liste déroulante, cliquez sur Champs, sélectionnez les éléments à inclure à la question, puis cliquez sur OK. 8 Cliquez sur Terminer pour fermer l'assistant Requête, définissez les propriétés dans le volet Propriétés, puis enregistrez le rapport. 164 McAfee Enterprise Security Manager Guide Produit

165 Configuration de l'esm Configuration des équipements 3 Exécution de requêtes sur des équipements McAfee epo pour l'enrichissement des données Vous pouvez exécuter des requêtes sur plusieurs équipements McAfee epo pour l'enrichissement des données si ces équipements sont intégrés à McAfee Real Time for McAfee epo. Avant de commencer Vérifiez que les équipements McAfee epo sur lesquels vous souhaitez exécuter des requêtes sont intégrés à McAfee Real Time for McAfee epo. 1 Dans l'arborescence de navigation des systèmes, sélectionnez le système, puis cliquez sur l'icône Propriétés, puis sur Enrichissement des données. 2 Cliquez sur Ajouter, entrez un nom et sélectionnez les options souhaitées sur l'onglet Principal. 3 Dans l'onglet Source, sélectionnez McAfee Real Time for McAfee epo dans le champ Type, puis sélectionnez les équipements dans le champ Equipement. 4 Définissez les autres paramètres sur les onglets Requête, Score et Destination, puis cliquez sur Terminer. Exécution de requêtes sur des équipements McAfee epo pour le tableau de bord McAfee Real Time for McAfee epo Vous pouvez exécuter une requête sur plusieurs équipements McAfee epo dans la vue du tableau de bord McAfee Real Time for McAfee epo. Avant de commencer Vérifiez que les équipements McAfee epo sur lesquels vous souhaitez exécuter des requêtes sont intégrés à McAfee Real Time for McAfee epo. 1 Dans l'arborescence de navigation du système, cliquez sur les équipements McAfee epo sur lesquels effectuer la requête. 2 Sur la console ESM, cliquez sur la liste des vues, puis sélectionnez McAfee Real Time for McAfee epo. 3 Sélectionnez les filtres dans le volet Filtres : a Dans la section Eléments, cliquez sur le champ ouvert et sélectionnez les éléments à utiliser pour la requête. b c Dans la section Filtres, sélectionnez le type de filtre, puis entrez le filtre dans le champ ouvert. Sélectionnez l'action du filtre, puis entrez la valeur. 4 Cliquez sur l'icône Exécuter une requête. Paramètres de Nitro Intrusion Prevention System (Nitro IPS) L'équipement McAfee Nitro Intrusion Prevention System (Nitro IPS) détecte les tentatives d'intrusion sophistiquées sur le réseau, les enregistre et les contre activement. L'équipement Nitro IPS intègre un McAfee Enterprise Security Manager Guide Produit 165

166 3 Configuration de l'esm Configuration des équipements gestionnaire de données incorporé (utilisé pour l'administration, l'acquisition et l'analyse des données) ainsi que des fonctions avancées d'analyse des intrusions, notamment la détection des anomalies. L'équipement transmet, abandonne et consigne les paquets à mesure qu'ils arrivent de façon sélective en fonction d'un jeu de règles défini par l'utilisateur dans un langage de règle standard. Chaque équipement Nitro IPS contient également un composant de pare-feu entièrement fonctionnel qui est contrôlé par des règles de pare-feu standard, et qui fournit des fonctionnalités d'inspection de paquets de faible niveau et un journal système standard. Assistant Détection d'anomalies La détection d'anomalies est accessible aux équipements Nitro IPS ou virtuels, mais n'est utile qu'à ceux qui collectent des données de flux. L'Assistant Détection d'anomalies de débit affiche la liste et la description de l'ensemble des variables disponibles dans l'équipement sélectionné. Certaines règles de pare-feu sont basées sur le débit. Une règle basée sur le débit déclenche une alerte uniquement si votre trafic réseau dépasse les seuils définis par les variables de catégorie de pare-feu dans l'editeur de stratégie. Comme les valeurs par défaut de ces variables peuvent être inadaptées à votre trafic réseau, l'assistant Détection d'anomalies de débit permet d'analyser les graphiques des données de flux de votre réseau, car elles sont associées à ces paramètres. Vous pouvez alors sélectionner les valeurs par défaut, définir une valeur personnalisée ou laisser ESM analyser vos données et faire des hypothèses optimisées concernant ces valeurs en fonction de l'historique de votre trafic réseau. Comme chaque réseau est différent, il est conseillé d'examiner ces rapports d'analyse visuels et de choisir des valeurs qui répondent à vos besoins pour bien connaître votre trafic réseau. L'Assistant effectue de nombreux calculs complexes pour calculer les valeurs suggérées des paramètres d'anomalie de débit et pour vous présenter une analyse visuelle de vos modèles de trafic réseau. Si vos équipements Nitro IPS et virtuels, votre récepteur et vos sources de données possèdent une grande quantité de données de flux, il est conseillé de limiter la période utilisée dans ces calculs. Utilisez une activité réseau normale de quelques jours ou d'une semaine comme référence pour calculer ces valeurs. Si vous utilisez une période plus longue, ces calculs risquent de prendre plus de temps qu'escompté. Voici la liste des règles de pare-feu d'anomalie de débit et des variables relatives à leur fonctionnement : Règle Débit d'octets entrants important Octets entrants nombreux Vitesse des connexions réseau entrantes importante Débit de paquets entrants important Paquet entrant volumineux Débit d'octets sortants important Vitesse des connexions réseau sortantes importante Débit de paquets sortants important Variables LARGE_INBOUND_BYTE_RATE_LIMIT, LARGE_INBOUND_BYTE_RATE_SECONDS LARGE_INBOUND_BYTES_LIMIT LARGE_IB_CONN_RATE_BURST, LARGE_IB_CONN_RATE_LIMIT LARGE_INBOUND_PACKET_RATE_LIMIT, LARGE_INBOUND_PACKET_RATE_SECS LARGE_INBOUND_PACKETS_LIMIT LARGE_OUTBOUND_BYTE_RATE_LIMIT, LARGE_OUTBOUND_BYTE_RATE_SECONDS LARGE_OB_CONN_RATE_BURST, LARGE_OB_CONN_RATE_LIMIT LARGE_OUTBOUND_PACKET_RATE_LIMIT, LARGE_OUTBOUND_PACKET_RATE_SECS 166 McAfee Enterprise Security Manager Guide Produit

167 Configuration de l'esm Configuration des équipements 3 Règle Paquets sortants nombreux Durée de connexion longue Variables LARGE_OUTBOUND_PACKETS_LIMIT LONG_DURATION_SECONDS Modification des variables de détection d'anomalies L'Assistant Détection d'anomalies de débit répertorie les variables de détection d'anomalies et fournit plusieurs options qui vous permettent d'analyser les données de détection d'anomalies de débit. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement Nitro IPS ou un équipement virtuel qui collecte les données de flux, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Modifier dans le champ Assistant Détection d'anomalies. 3 Exécutez l'une des fonctions disponibles, puis cliquez sur OK. Génération d'un rapport d'analyse Le rapport d'analyse fournit une analyse visuelle des différents aspects de votre trafic réseau. Ce rapport vous permet d'avoir un aperçu visuel des modèles de trafic de votre réseau. Les données que vous collectez peuvent vous aider à prendre les bonnes décisions pour choisir les valeurs des paramètres des règles de détection d'anomalies de débit. Un rapport peut être généré si l'équipement a généré au moins flux. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un Nitro IPS qui collecte les données de flux, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Modifier dans le champ Assistant Détection d'anomalies. 3 Cliquez sur Analyse Rapport d'analyse, puis sélectionnez la période et la variable correspondant au rapport. 4 Cliquez sur OK. Le rapport est généré. Pour agrandir ou réduire les échelles verticale et horizontale, cliquez sur les icônes circulaires des axes de graphique (le cas échéant) et faites-les glisser. Accès aux règles de pare-feu et standard Les règles sont ajoutées et gérées dans l'editeur de stratégies. Néanmoins, vous pouvez lire, écrire, afficher, exporter et importer des règles de pare-feu et standard à partir d'ips ou de l'équipement virtuel IPS. Il convient de ne pas gérer régulièrement les règles à partir de cette page. La modification des règles de cette façon provoque la désynchronisation des paramètres de stratégie de l'équipement avec les paramètres de l'editeur de stratégies. McAfee Enterprise Security Manager Guide Produit 167

168 3 Configuration de l'esm Configuration des équipements 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés IPS, puis cliquez sur Règles de pare-feu ou Règles standard. 2 Sélectionnez l'une des options, puis cliquez sur OK. Liste de blocage d'ips ou d'un équipement virtuel La liste noire bloque le trafic qui passe par l'équipement avant qu'il ne soit analysé par le moteur d'inspection approfondie des paquets. L'Editeur de liste noire vous permet de gérer manuellement les sources et les destinations bloquées, ainsi que les paramètres d'exclusion de l'équipement. Vous pouvez également indiquer si vous souhaitez que cet équipement soit soumis aux paramètres de l'option Liste noire globale. La case à cocher Inclure une liste noire globale située dans la partie supérieure de l'éditeur doit être sélectionnée si vous souhaitez que cet équipement inclue ces paramètres. L'écran Editeur de liste noire contient trois onglets : Sources bloquées : effectue une concordance avec l'adresse IP source du trafic qui passe par l'équipement. Destinations bloquées : effectue une concordance avec l'adresse IP de destination du trafic qui passe par l'équipement. Exclusions : empêche l'ajout automatique à l'une ou l'autre des listes noires. Vous pouvez ajouter des adresses IP critiques (par exemple, serveurs DNS et autres serveurs ou postes de travail d'administrateur système) aux exclusions afin qu'elles ne soient jamais incluses automatiquement dans les listes noires, et ce quels que soient les événements qu'elles génèrent. Vous pouvez configurer les entrées des onglets Sources bloquées et Destinations bloquées pour limiter l'action de la liste noire à un port de destination spécifique. Vous pouvez également ajouter ou supprimer des hôtes manuellement dans la liste noire. Si l'un des onglets de l'editeur de liste noire est sélectionné, vous pouvez ajouter ou modifier une entrée. Les champs obligatoires pour l'ajout d'une entrée sont les suivants : Adresse IP, Port (versions 6.2.x et ultérieures) et Durée (permanente ou temporaire). Le champ Description est facultatif. Lorsque vous ajoutez des entrées, tenez compte des points suivants : Les options Ajouter et Modifier sont activées en fonction des informations que vous modifiez. Si vous changez l'adresse IP ou le port, l'option Ajouter est activée. Si vous modifiez la durée ou la description, l'option Modifier est activée. Les entrées des listes noires Sources bloquées et Destinations bloquées peuvent être configurées pour être appliquées à tous les ports ou à un port spécifique. Les entrées qui utilisent un intervalle masqué d'adresses IP doivent être configurées avec le port défini sur Tout (0) et une durée permanente. 168 McAfee Enterprise Security Manager Guide Produit

169 Configuration de l'esm Configuration des équipements 3 Les entrées peuvent être ajoutées de façon temporaire (spécifiées en minutes, heures ou jours) ou permanente. Néanmoins, les entrées de l'onglet Exclusions doivent être permanentes. Si ces listes requièrent un format d'adresse IP, un outil intégré permet d'ajouter une signification à ces adresses. Lorsque vous entrez une adresse IP ou un nom d'hôte dans le champ Adresse IP, le bouton situé en regard de ce champ indique Résoudre ou Rechercher en fonction de la valeur entrée. Si vous cliquez sur Résoudre, cela permet de résoudre le nom d'hôte entré. Le champ Adresse IP est rempli avec ces informations et le nom d'hôte est déplacé dans le champ Description. Si vous cliquez sur Rechercher, une recherche est effectuée sur l'adresse IP et le champ Description est rempli avec les résultats de la recherche. Certains sites web peuvent avoir plusieurs adresses IP ou des adresses IP qui ne sont pas toujours identiques. N'utilisez donc pas cet outil pour bloquer des sites web. Vous pouvez sélectionner des adresses IP dans la liste et afficher les événements générés dans un rapport de synthèse. Cela vous permet de consulter les événements déclenchés par les adresses IP incriminées, ceux qui ont été ajoutés à la liste de blocage ou les autres attaques qui peuvent avoir été fomentées avant l'inclusion dans la liste de blocage. L'Editeur de liste de blocage vous permet également d'appliquer, de recharger et de supprimer des événements. Gestion de la liste de blocage IPS Vous pouvez gérer la liste de blocage IPS dans l'editeur de liste de blocage. Vous pouvez ajouter, modifier ou supprimer des éléments, écrire des modifications dans la liste de blocage, lire les informations nouvelles et mises à jour de l'équipement, afficher les événements générés par les adresses IP incriminées ou rechercher ou résoudre un nom d'hôte ou une adresse IP. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés IPS, puis cliquez sur Liste de blocage Editeur. 2 Cliquez sur l'onglet Sources bloquées, Destinations bloquées ou Exclusions. 3 Exécutez les actions souhaitées, puis cliquez sur Fermer. Configuration de la liste de blocage automatique La page Paramètres de la liste de blocage automatique vous permet de gérer les paramètres de configuration de la liste de blocage automatique de l'équipement. La configuration de la liste de blocage automatique est effectuée équipement par équipement. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés IPS, puis cliquez sur Liste de blocage Paramètres. 2 Définissez les paramètres comme il vous convient, puis cliquez sur OK. Paramètres McAfee Vulnerability Manager Vous pouvez ajouter McAfee Vulnerability Manager à l'esm en tant qu'équipement, ce qui permet de lancer une analyse sur McAfee Vulnerability Manager à partir de l'esm. Cela est utile si vous avez acheté un équipement McAfee Vulnerability Manager et souhaitez l'exécuter à partir de l'esm. McAfee Vulnerability Manager doit être associé à un récepteur, car les événements sont extraits du récepteur, et non de McAfee Vulnerability Manager. McAfee Enterprise Security Manager Guide Produit 169

170 3 Configuration de l'esm Configuration des équipements Obtention d'un certificat McAfee Vulnerability Manager et d'une expression secrète Vous devez obtenir le certificat McAfee Vulnerability Manager et une expression secrète avant de configurer des connexions McAfee Vulnerability Manager. Cette tâche est effectuée sur l'esm. 1 Sur le serveur qui exécute Foundstone Certificate Manager, exécutez Foundstone Certificate Manager.exe. 2 Cliquez sur l'onglet Créer des certificats SSL. 3 Dans le champ Adresse de l'hôte, entrez le nom d'hôte ou l'adresse IP du système qui héberge l'interface web de McAfee Vulnerability Manager, puis cliquez sur Résoudre 4 Cliquez sur Créer le certificat en utilisant le nom commun pour générer l'expression secrète et un fichier.zip. 5 Chargez le fichier.zip et copiez l'expression secrète générée. Exécuter des analyses McAfee Vulnerability Manager La page Analyses affiche toutes les analyses de vulnérabilité en cours d'exécution ou déjà exécutées depuis McAfee Vulnerability Manager, ainsi que leur statut. Lorsque vous ouvrez cette page, une API vérifie la présence d'informations d'identification web par défaut. Si c'est le cas, la liste d'analyse est alimentée en fonction de ces informations d'identification et elle est mise à jour toutes les 60 secondes. Vous pouvez également lancer une nouvelle analyse à partir de cette page. 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés MVM, puis cliquez sur Analyses. 2 Cliquez sur Nouvelle analyse et entrez les informations demandées. 3 Cliquez sur OK. Une fois l'analyse terminée, elle est ajoutée à la liste des analyses. Configuration d'une connexion McAfee Vulnerability Manager Vous devez configurer la connexion entre McAfee Vulnerability Manager et la base de données pour extraire les données d'évaluation des vulnérabilités de McAfee Vulnerability Manager) ainsi que la connexion à l'interface utilisateur web pour effectuer des analyses sur McAfee Vulnerability Manager. Avant de commencer Vous devez obtenir un certificat McAfee Vulnerability Manager et une expression secrète La modification de ces paramètres ne concerne pas l'équipement proprement dit. Elle concerne uniquement la façon dont l'équipement communique avec ESM. 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés MVM, puis cliquez sur Connexion. 2 Renseignez les informations demandées, puis cliquez sur OK. 170 McAfee Enterprise Security Manager Guide Produit

171 Configuration de l'esm Configuration des équipements 3 Paramètres McAfee Network Security Manager Vous pouvez ajouter McAfee Network Security Manager à l'esm en tant qu'équipement, ce qui vous permet d'accéder aux fonctions à partir de l'esm. Cela est utile lorsque vous achetez un nouvel équipement et souhaitez y accéder à partir de l'esm. Lorsque vous ajoutez un équipement McAfee Network Security Manager à l'esm, les capteurs de l'équipement sont répertoriés en tant qu'enfants de l'équipement dans l'arborescence de navigation du système. L'équipement doit être associé à un récepteur, car les événements sont extraits du récepteur, et non de McAfee Network Security Manager. Ajout d'une entrée à une liste de blocage McAfee Network Security Manager applique l'ajout à la liste noire sur l'ensemble des capteurs. La page Liste noire affiche les entrées de liste noire qui ont été définies pour le capteur que vous avez sélectionné. Cette page vous permet d'ajouter, de modifier et de supprimer des éléments de la liste noire. Vous devez être super-utilisateur pour utiliser la fonction de liste noire. 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés NSM, cliquez sur Liste de blocage, puis sélectionnez un capteur. 2 Pour appliquer les entrées de la liste noire globale à ce capteur, sélectionnez Inclure une liste noire globale. L'élément de la liste noire globale est ajouté à la liste. En cas d'adresses IP en double, l'adresse de la liste noire globale remplace l'adresse de McAfee Network Security Manager. Une fois que vous avez sélectionné cette option, elle ne peut pas être annulée automatiquement. Vous devez supprimer les éléments manuellement. 3 Cliquez sur Ajouter, renseignez les informations demandées, puis cliquez sur OK. L'entrée s'affiche dans la liste de blocage jusqu'à l'expiration de sa durée. Ajout ou suppression d'une entrée de liste de blocage supprimée Toute entrée créée sur l'esm avec une durée qui n'a pas expiré, mais qui n'a pas été remise dans la liste des entrées de liste de blocage lors de l'interrogation de McAfee Network Security Manager (Manager), s'affiche avec le statut Supprimé et une icône d'indicateur. Cette condition se produit si l'entrée a été supprimée, mais que la suppression n'a pas été initiée sur l'esm. Vous pouvez à nouveau ajouter cette entrée ou la supprimer de la liste de blocage. 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés NSM, puis cliquez sur Liste de blocage. 2 Sélectionnez l'entrée supprimée dans la liste des entrées de liste de blocage, puis cliquez sur Ajouter ou sur Supprimer. 3 Cliquez sur Appliquer ou sur OK. McAfee Enterprise Security Manager Guide Produit 171

172 3 Configuration de l'esm Configuration des services auxiliaires Configuration des services auxiliaires Les services auxiliaires incluent les serveurs Remedy, les serveurs NTP (Network Time Protocol) et les serveurs DNS. Configurez ces serveurs pour qu'ils communiquent avec ESM. Sommaire Informations système générales Configuration des paramètres du serveur Remedy Définition des paramètres des messages Configuration du protocole NTP dans un équipement Configuration des paramètres réseau Synchronisation de l'heure système Installation d'un nouveau certificat Configuration des profils Configuration SNMP Informations système générales Sur la page Propriétés du système Informations système vous pouvez consulter des informations générales sur votre système et l'état de diverses fonctions. La page Journal système indique les événements qui se sont produits sur le système ou les équipements. Vous pouvez indiquer ces informations lorsque vous contactez le support technique McAfee concernant votre système, lorsque vous configurez des fonctionnalités telles que l'agrégation d'événements ou de flux, ou pour vérifier l'état d'une mise à jour de règles ou d'une sauvegarde du système. Système, ID de client, Matériel et Numéro de série indiquent des informations sur le système et son état de fonctionnement actuel. Statut de base de données s'affiche lorsque la base de données effectue d'autres fonctions (par exemple, une reconstruction de la base de données ou une reconstruction en arrière-plan) en indiquant le statut de ces fonctions. Le statut OK signifie que la base de données fonctionne normalement. Horloge système affiche la date et l'heure de la dernière ouverture ou actualisation des Propriétés du système. Mise à jour des règles, Evénements, flux et journaux et Sauvegarde et restauration indiquent la date de la dernière mise à jour des règles, la date de récupération des événements, des flux et des journaux et la date d'exécution d'une sauvegarde/restauration. Si le système fonctionne en mode FIPS, Auto-test FIPS et Statut indiquent la date du dernier auto-test FIPS effectué ainsi que son statut. Afficher les rapports affiche les rapports Nombre de types d'équipement ESM et Heure de l'événement. Configuration des paramètres du serveur Remedy Si vous avez configuré un système Remedy, vous devez configurer les paramètres de Remedy afin qu'esm puisse communiquer avec lui. Avant de commencer Configurez votre système Remedy. 172 McAfee Enterprise Security Manager Guide Produit

173 Configuration de l'esm Configuration des services auxiliaires 3 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Paramètres personnalisés Remedy. 2 Dans la page Configuration de Remedy, entrez les informations correspondant à votre système Remedy, puis cliquez sur OK. Lorsque vous sélectionnez Envoyer l'événement vers Remedy dans la vue Analyse d'événement, l' est renseigné avec les informations que vous avez entrées dans cette page. Définition des paramètres des messages Lorsque vous définissez les paramètres des actions relatives à une alarme ou lorsque vous configurez la méthode de remise d'un rapport, vous pouvez choisir d'envoyer un message. Pour ce faire, vous devez connecter l'esm à votre serveur de messagerie et configurer les destinataires auxquels vous souhaitez envoyer des messages , SMS, SNMP ou Syslog. Les notifications d'alarme peuvent être envoyées via le protocole SNMP v1. SNMP utilise le protocole de transport UDP (User Datagram Protocol) pour transférer les données entre les gestionnaires et les agents. Dans une configuration SNMP classique, un agent tel que ESM peut transférer des événements à un serveur SNMP (en général appelé [NMS] (Network Management Station) via des paquets de données appelés interruptions. Cela peut être utile si vous souhaitez recevoir des rapports d'événements envoyés par l'esm de la même façon que vous recevez les notifications des autres agents du réseau. Etant donné les limites liées à la taille des paquets d'interruptions SNMP, chaque ligne du rapport est envoyée dans une interruption distincte. Les rapports de requête CSV générés par l'esm peuvent également être envoyés via Syslog. Les rapports de requête CSV sont envoyés en insérant chaque ligne de résultats de la requête dans un message syslog, sous forme de champs séparés par une virgule. Connexion au serveur de messagerie Configurer les paramètres de connexion à votre serveur de messagerie afin d'envoyer des messages d'alarme et de rapport. 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés du système, cliquez sur Paramètres de messagerie, puis entrez l'hôte et le port de votre serveur de messagerie. 2 Indiquez les informations demandées pour vous connecter à votre serveur de messagerie. 3 Cliquez sur Appliquer ou sur OK pour enregistrer les paramètres. Voir aussi Gestion des destinataires, page 173 Gestion des destinataires Les messages d'alarme ou de rapport peuvent être envoyés dans différents formats, chacun étant associé à une liste de destinataires que vous pouvez gérer. Vous pouvez regrouper des adresses afin d'envoyer un message à plusieurs destinataires en même temps. McAfee Enterprise Security Manager Guide Produit 173

174 3 Configuration de l'esm Configuration des services auxiliaires 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés du système, puis cliquez sur Paramètres de messagerie. 2 Cliquez sur Configurer les destinataires, puis sélectionnez l'onglet dans lequel vous souhaitez les ajouter. 3 Cliquez sur Ajouter, puis entrez les informations demandées. 4 Cliquez sur OK. Le destinataire est ajouté à ESM et vous pouvez le sélectionner lorsqu'il est utilisé dans ESM. Configuration du protocole NTP dans un équipement Synchronisez l'heure de l'équipement avec ESM à l'aide d'un serveur NTP (Network Time Protocol). 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Configuration NTP. 3 Renseignez les informations demandées, puis cliquez sur OK. s Affichage du statut des serveurs NTP, page 174 Affichez le statut de tous les serveurs NTP dans ESM. Affichage du statut des serveurs NTP Affichez le statut de tous les serveurs NTP dans ESM. Avant de commencer Ajoutez des serveurs NTP sur l'esm ou les équipements (voir Synchronisation de l'heure système ou Configuration du protocole NTP dans un équipement). 1 Dans l'arborescence de navigation du système, effectuez l'une des actions suivantes : Sélectionnez Propriétés du système Informations système, puis cliquez sur Horloge système. Dans l'arborescence de navigation du système, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. Configuration NTP. 2 Cliquez sur Statut, affichez les données du serveur NTP, puis cliquez sur Fermer. Voir aussi Synchronisation de l'heure système, page 181 Configuration du protocole NTP dans un équipement, page McAfee Enterprise Security Manager Guide Produit

175 Configuration de l'esm Configuration des services auxiliaires 3 Configuration des paramètres réseau Configurer la façon dont ESM se connecte à votre réseau en ajoutant une passerelle de serveur ESM et les adresses IP des serveurs DNS, en définissant les paramètres du serveur proxy, en configurant SSH et en ajoutant des itinéraires statiques. 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés du système, puis cliquez sur Paramètres réseau. 2 Entrez les informations nécessaires à la configuration de la connexion à votre réseau. 3 Cliquez sur Appliquer ou sur OK. s Configuration du port IPMI sur l'esm ou les équipements, page 178 Configurer le réseau pour utiliser le port IPMI afin de configurer IPMI sur l'esm ou ses équipements. Configuration du contrôle du trafic réseau sur ESM, page 178 Définir la valeur maximale de sortie des données pour ESM. Configuration du protocole DHCP, page 180 Le protocole DHCP (Dynamic Host Configuration Protocol) est utilisé sur les réseaux IP pour la distribution dynamique des paramètres de configuration du réseau, tels que les adresses IP des interfaces et des services. Configuration du protocole DHCP sur un réseau local virtuel (VLAN), page 180 Le protocole DHCP (Dynamic Host Configuration Protocol) est utilisé sur les réseaux IP pour la distribution dynamique des paramètres de configuration du réseau, tels que les adresses IP des interfaces et des services. Gestion des interfaces réseau La communication avec un équipement peut avoir lieu à l'aide des interfaces publiques et privées des chemins d'accès de trafic. En d'autres termes, l'équipement est invisible sur le réseau, car il ne nécessite pas d'adresse IP. Interface de gestion Les administrateurs réseau peuvent également configurer une interface de gestion avec une adresse IP destinée à la communication entre ESM et l'équipement. Les fonctionnalités suivantes d'un équipement requièrent l'utilisation d'une interface de gestion : Contrôle total des cartes réseau de contournement Utilisation de la synchronisation de l'heure des serveurs NTP Syslog généré par l'équipement Notifications SNMP Les équipements sont pourvus au moins d'une interface de gestion, qui leur attribue une adresse IP. Pourvu d'une adresse IP, l'équipement est directement accessible à ESM sans diriger la communication vers une autre adresse IP cible ou un autre nom d'hôte. Ne connectez pas l'interface réseau de gestion à un réseau public, car elle sera visible sur le réseau public, et sa sécurité pourrait être compromise. McAfee Enterprise Security Manager Guide Produit 175

176 3 Configuration de l'esm Configuration des services auxiliaires Un équipement s'exécutant en mode Nitro IPS doit disposer de deux interfaces pour chaque chemin d'accès du trafic réseau. Pour le mode IDS, l'équipement doit posséder un minimum de deux interfaces réseau. Vous pouvez configurer plusieurs interfaces réseau de gestion dans l'équipement. Carte d'interface réseau de contournement Un équipement en mode de contournement permet la transmission de tout le trafic, y compris le trafic malveillant. Dans des circonstances normales, vous pouvez avoir une perte de connexion de une à trois secondes lorsque l'équipement passe en mode de contournement et de 18 secondes lorsqu'il le quitte. La connexion à certains commutateurs, comme certains modèles de Cisco Catalyst, peut modifier ces valeurs. Le cas échéant, vous pouvez avoir une perte de connexion de 33 secondes lorsque l'équipement passe en mode de contournement et lorsqu'il le quitte. Si vous êtes dans le cas où le rétablissement des communications dure 33 secondes, vous pouvez activer rapidement le port sur le port de commutateur, puis définir manuellement la vitesse et le duplex pour faire repasser les temps en mode normal. Veillez à définir l'ensemble des quatre ports (celui du commutateur, les deux de Nitro IPS et celui de l'autre équipement) sur le même paramètre, faute de quoi vous pourriez faire face à un problème de négociation en mode de contournement (voir Configuration des cartes d'interface réseau de contournement). Les options de contournement disponibles dépendent du type de carte d'interface réseau de contournement de l'équipement : type 2 ou 3. Configuration des interfaces réseau Les paramètres d'interface déterminent la façon dont ESM se connecte à l'équipement. Vous devez les définir pour chaque équipement. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur l'option Configuration de l'équipement, puis sur Interfaces. 3 Entrez les données demandées, puis cliquez sur Appliquer. Toutes les modifications sont diffusées sur l'équipement et entrent immédiatement en vigueur. Dès l'application des modifications, l'équipement est réinitialisé, ce qui provoque la perte de toutes les sessions actuelles. Ajout de réseaux locaux virtuels et d'alias Ajouter des réseaux locaux virtuels (VLAN) et des alias (paires adresse IP/masque réseau affectées que vous ajoutez si vous avez un équipement réseau avec plusieurs adresses IP) à une interface ACE ou ELM. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Configuration, sur Interfaces et sur Avancé. 3 Cliquez sur Ajouter un réseau local virtuel (VLAN), entrez les informations demandées, puis cliquez sur OK. 176 McAfee Enterprise Security Manager Guide Produit

177 Configuration de l'esm Configuration des services auxiliaires 3 4 Sélectionnez le réseau local virtuel auquel vous souhaitez ajouter l'alias, puis cliquez sur Ajouter un alias. 5 Entrez les informations demandées, puis cliquez sur OK. Ajout d'itinéraires statiques Un itinéraire statique est un ensemble d'instructions relatives à la procédure à suivre pour atteindre un hôte ou un réseau qui n'est pas disponible via la passerelle par défaut. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Configuration Interfaces. 3 En regard de la table Itinéraires statiques, cliquez sur Ajouter. 4 Entrez les informations, puis cliquez sur OK. Carte d'interface réseau de contournement Dans des circonstances normales, vous pouvez avoir une perte de connexion de une à trois secondes lorsque l'équipement passe en mode de contournement et de 18 secondes lorsqu'il le quitte. La connexion à certains commutateurs, comme certains modèles de Cisco Catalyst, peut modifier ces valeurs. Le cas échéant, vous pouvez avoir une perte de connexion de 33 secondes lorsque l'équipement passe en mode de contournement et lorsqu'il le quitte. Si vous êtes dans le cas où le rétablissement des communications dure 33 secondes, vous pouvez activer rapidement le port sur le port de commutateur, puis définir manuellement la vitesse et le duplex pour faire repasser les temps en mode normal. Veillez à définir l'ensemble des quatre ports (celui du commutateur, les deux de Nitro IPS et celui de l'autre équipement) sur le même paramètre, faute de quoi vous pourriez faire face à un problème de négociation en mode de contournement. Les options de contournement disponibles dépendent du type de carte d'interface réseau de contournement de l'équipement : type 2 ou 3. Configuration des cartes d'interface réseau de contournement Sur les équipements IPS, vous pouvez définir les paramètres des cartes d'interface de contournement pour autoriser l'ensemble du trafic. Les équipements ADM et DEM sont toujours en mode IDS. Vous pouvez afficher leur type d'interface réseau de contournement mais pas modifier leurs paramètres. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Configuration Interfaces. 3 Dans la page Paramètres de l'interface réseau, accédez à la section Configuration de la carte d'interface réseau de contournement située dans sa partie inférieure. McAfee Enterprise Security Manager Guide Produit 177

178 3 Configuration de l'esm Configuration des services auxiliaires 4 Afficher le type et l'état ou, sur un équipement IPS, modifier les paramètres. 5 Cliquez sur OK. Configuration du port IPMI sur l'esm ou les équipements Vous pouvez configurer le port IPMI sur l'esm ou sur l'un de ses équipements. Cela vous permet d'effectuer plusieurs actions : Connecter la carte d'interface réseau (NIC) IPMI à un commutateur pour qu'elle soit accessible pour les logiciels IPMI. Accéder à un KVM (Kernel-based Virtual Machine) basé sur IPMI. Définir le mot de passe IPMI pour l'utilisateur par défaut après la mise à niveau vers ESM Accéder aux commandes IPMI telles que la mise sous tension et l'état de l'alimentation. Réinitialiser la carte IPMI. Effectuer une réinitialisation à chaud et à froid. Configuration du port IPMI sur l'esm ou les équipements Configurer le réseau pour utiliser le port IPMI afin de configurer IPMI sur l'esm ou ses équipements. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un système ou l'un de ses équipements, puis cliquez sur l'icône Propriétés. 2 Accédez à l'onglet Paramètres réseau Avancé. Sur l'esm, cliquez sur Paramètres réseau Avancé. Sur un équipement, cliquez sur l'option Configuration de l'équipement, puis sur Interfaces Avancé 3 Sélectionnez Activer les paramètres IPMI, puis entrez le réseau local virtuel (VLAN), l'adresse IP, le masque réseau et la passerelle de l'interface IPMI. Si l'option Activer les paramètres IPMI est grisée dans le BIOS de l'équipement, vous devez mettre à jour le BIOS du système. Connectez-vous via SSH à l'équipement et ouvrez le fichier /etc/areca/ system_bios_update/contents README.txt. 4 Cliquez sur Appliquer ou sur OK. Si vous mettez à niveau votre équipement, en principe un message vous indique de changer le mot de passe et de réactiver la clé de l'équipement. Si vous obtenez ce message, changez le mot de passe du système ou réactivez la clé de l'équipement afin de définir un nouveau mot de passe pour configurer l'ipmi. Configuration du contrôle du trafic réseau sur ESM Définir la valeur maximale de sortie des données pour ESM. Cette fonctionnalité est utile si la bande passante est limitée et si vous souhaitez contrôler la quantité de données envoyées par chaque ESM. Vous pouvez définir la valeur en kilobits (Kb), mégabits (Mb) et gigabits (Gb) par seconde. Soyez prudent lors de la configuration de cette fonctionnalité, car la limitation du trafic peut provoquer une fuite de données. 178 McAfee Enterprise Security Manager Guide Produit

179 Configuration de l'esm Configuration des services auxiliaires 3 1 Dans l'arborescence de navigation des systèmes, sélectionnez le système, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Paramètres réseau, puis sur l'onglet Trafic. Le tableau affiche les contrôles existants. 3 Pour ajouter des contrôles à un équipement, cliquez sur Ajouter, entrez l'adresse réseau et le masque réseau, définissez le débit, puis cliquez sur OK. Si vous définissez le masque sur la valeur zéro (0), toutes les données envoyées sont contrôlées. 4 Cliquez sur Appliquer. La vitesse du trafic sortant de l'adresse réseau que vous avez définie est contrôlée. Utilisation des noms d'hôte Le nom d'hôte d'un équipement est généralement plus utile que l'adresse IP. Vous pouvez gérer les noms d'hôte afin qu'ils soient associés à leur adresse IP correspondante. La page Hôtes vous permet d'ajouter, modifier, supprimer, rechercher, mettre à jour et importer des noms d'hôte. Vous pouvez également y définir l'heure au terme de laquelle un nom d'hôte mémorisé automatiquement expirera. Lorsque vous consultez des données d'événement, vous pouvez afficher les noms d'hôte associés aux adresses IP dans l'événement en cliquant sur l'icône Afficher les noms d'hôte située en bas des composants de vue. Si les événements existants ne sont pas marqués avec un nom d'hôte, le système exécute une recherche dans la table des hôtes d'esm et marque les adresses IP avec leurs noms d'hôte. Si les adresses IP ne sont pas répertoriées dans la table des hôtes, le système exécute une recherche DNS (Domain Name System) pour localiser les noms d'hôte. Les résultats de la recherche sont alors affichés dans la vue, puis ajoutés à la table des hôtes. Dans la table des hôtes, ces données sont marquées comme Mémorisées automatiquement et expirent à l'issue de la période désignée dans le champ Les entrées arrivent à expiration après situé au-dessous de la table des hôtes dans la page Propriétés du système Hôtes. Si les données ont expiré, une autre recherche DNS est exécutée la prochaine fois que vous sélectionnez l'option Afficher les noms d'hôte dans une vue. La table des hôtes répertorie les noms d'hôte mémorisés automatiquement et ajoutés ainsi que leurs adresses IP. Vous pouvez y ajouter manuellement des informations en entrant un nom d'hôte et une adresse IP individuellement ou en important une liste de noms d'hôte et d'adresses IP délimitée par des tabulations. La durée des recherches DNS est inversement proportionnelle au nombre de données entrées de cette façon. Si vous entrez manuellement un nom d'hôte, ce dernier n'expire pas, mais vous pouvez le modifier ou le supprimer. Gestion des noms d'hôte Exécutez toutes les actions nécessaires à la gestion des noms d'hôte dans la page Hôtes. Vous pouvez par exemple en ajouter, les modifier, en importer, en supprimer ou les rechercher. Vous pouvez également définir l'heure d'expiration des hôtes mémorisés automatiquement. McAfee Enterprise Security Manager Guide Produit 179

180 3 Configuration de l'esm Configuration des services auxiliaires 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés du système, puis cliquez sur Hôtes. 2 Sélectionnez une option, puis entrez les informations demandées. 3 Cliquez sur Appliquer ou sur OK. Configuration du protocole DHCP Le protocole DHCP (Dynamic Host Configuration Protocol) est utilisé sur les réseaux IP pour la distribution dynamique des paramètres de configuration du réseau, tels que les adresses IP des interfaces et des services. Lorsque vous configurez ESM pour le déployer dans l'environnement cloud, le protocole DHCP est automatiquement activé et il attribue une adresse IP. Si vous n'utilisez pas l'environnement cloud, vous pouvez activer et désactiver les services DHCP sur ESM, un récepteur (non haut disponibilité), ACE et ELM à condition d'avoir des droits de gestion des équipements. Cela est utile si vous devez réinitialiser les adresses IP de votre réseau. Les alias sont désactivés lorsque DHCP est activé. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un système ou un équipement, puis cliquez sur l'icône Propriétés. 2 Effectuez l'une des actions suivantes : Pour ESM, cliquez sur Paramètres réseau, puis sur l'onglet Principal. Pour un équipement, sélectionnez l'option Configuration de l'équipement, cliquez sur Interfaces, puis sur l'onglet Réseau. 3 Cliquez sur Configuration pour le champ Interface 1, puis sélectionnez DHCP. Pour les équipements autres que les récepteurs, un message vous indique que les modifications requièrent le redémarrage du serveur ESM. 4 Cliquez sur OK. Configuration du protocole DHCP sur un réseau local virtuel (VLAN) Le protocole DHCP (Dynamic Host Configuration Protocol) est utilisé sur les réseaux IP pour la distribution dynamique des paramètres de configuration du réseau, tels que les adresses IP des interfaces et des services. Lorsque vous configurez ESM pour le déployer dans l'environnement cloud, le protocole DHCP est automatiquement activé et il attribue une adresse IP. Si vous n'utilisez pas l'environnement cloud, vous pouvez activer et désactiver les services DHCP sur les réseaux locaux virtuels (VLAN), ESM, un récepteur (non haut disponibilité), ACE et ELM à condition d'avoir des droits de gestion des équipements. Cela est utile si vous devez réinitialiser les adresses IP de votre réseau. 180 McAfee Enterprise Security Manager Guide Produit

181 Configuration de l'esm Configuration des services auxiliaires 3 1 Dans l'arborescence de navigation des systèmes, sélectionnez un système ou un équipement, puis cliquez sur l'icône Propriétés. 2 Effectuez l'une des actions suivantes : Pour ESM, cliquez sur Paramètres réseau, puis sur l'onglet Principal. Pour un équipement, sélectionnez l'option Configuration de l'équipement, cliquez sur Interfaces, puis sur l'onglet Réseau. 3 Cliquez sur Configuration pour le champ Interface 1, puis cliquez sur Avancé. 4 Cliquez sur Ajouter un réseau local virtuel (VLAN), entrez le Réseau local virtuel (VLAN) et sélectionnez DHCP. 5 Cliquez sur OK pour retourner sur la page Paramètres réseau, puis cliquez sur Appliquer. Pour les équipements autres que les récepteurs, un message vous indique que les modifications requièrent le redémarrage du serveur ESM. Synchronisation de l'heure système Comme les activités générées par l'esm et ses équipements sont horodatées, il est important que l'esm et les équipements soient synchronisés pour maintenir le cadre de référence pour les données qu'ils collectent. Vous pouvez définir l'heure système de l'esm ou bien choisir de synchroniser l'esm et les équipements sur un serveur NTP. Configuration de l'heure système Avant de commencer Si vous souhaitez ajouter des serveurs NTP à l'esm, configurez les serveurs NTP et récupérez leurs clés d'autorisation et leurs ID de clé. 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés du système et vérifiez que l'option Informations système est sélectionnée. 2 Cliquez sur Horloge système (GMT), définissez les paramètres, puis cliquez sur OK. Les adresses des serveurs NTP sur les équipements de classe IPS doivent être des adresses IP. Les informations du serveur sont enregistrées dans le fichier de configuration. Vous pouvez ensuite à nouveau accéder à la liste de serveurs NTP et vérifier leur statut. Synchronisation des horloges d'équipement Vous pouvez synchroniser les horloges des équipements avec l'horloge ESM afin d'harmoniser le réglage de l'heure pour les données générées par les différents systèmes. McAfee Enterprise Security Manager Guide Produit 181

182 3 Configuration de l'esm Configuration des services auxiliaires 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés du système ou Propriétés de l'équipement, puis cliquez sur Synchroniser dans le champ Synchroniser l'horloge d'équipement. Un message s'affiche lorsque la synchronisation est terminée ou en cas de problème. 2 Cliquez sur Actualiser pour mettre à jour les données de la page Informations système ou Informations de l'équipement. Installation d'un nouveau certificat ESM est fourni avec un certificat de sécurité autosigné par défaut pour esm.mcafee.local. La plupart des navigateurs web affichent un avertissement selon lequel l'authenticité du certificat ne peut pas être vérifiée. Une fois que vous avez obtenu la paire de certificat/clé SSL que vous souhaitez utiliser pour votre ESM, vous devez l'installer. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Gestion ESM. 2 Sur l'onglet Gestion des clés, cliquez sur Certificat. 3 Sélectionnez les options souhaitées, puis cliquez sur Fermer. Configuration des profils Définir des profils pour le trafic syslog en configurant des informations communes pour éviter de les saisir à chaque fois. Vous pouvez ajouter un profil de commandes à distance (URL ou Script) et l'utiliser sur une vue ou une alarme. 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés du système, puis cliquez sur Gestion de profils. 2 Pour ajouter un profil, cliquez sur Ajouter sur l'onglet Profils système, puis indiquez les données de profil. 3 Pour ajouter une commande à distance, cliquez sur Commande à distance, puis entrez les informations demandées. 4 Cliquez sur OK. Configuration SNMP Configurer les paramètres utilisés par ESM pour envoyer des interruptions de liaison active/défaillante et des interruptions de démarrage à chaud/à froid, à la fois à partir de l'esm et de chaque 182 McAfee Enterprise Security Manager Guide Produit

183 Configuration de l'esm Configuration des services auxiliaires 3 équipement, récupérer les tables d'interface et de système de la base MIB II (Management Information Base), ainsi que permettre la découverte de l'esm via la commande snmpwalk. SNMPv3 est pris en charge avec les options NoAuthNoPriv, AuthNoPriv et AuthPriv, en utilisant MD5 ou l'algorithme SHA (Secure Hash Algorithm) pour l'authentification, et DES (Data Encryption Standard) ou AES (Advanced Encryption Standard) pour le chiffrement (MD5 et DES ne sont pas disponibles en mode de conformité FIPS). Les requêtes SNMP peuvent être effectuées sur un ESM pour obtenir les informations d'intégrité des équipements ESM, d'un récepteur et d'un équipement Nitro IPS, et les interruptions SNMPv3 peuvent être envoyées à un ESM pour ajout à la liste noire d'un ou plusieurs de ses équipements Nitro IPS managés. Toutes les appliances McAfee peuvent également être configurées pour envoyer des interruptions de liaison active/défaillante et de démarrage à chaud/à froid à une ou plusieurs destinations de votre choix (voir SNMP et la base MIB McAfee). Configuration des paramètres SNMP Définir les paramètres utilisés par l'esm pour le trafic SNMP entrant et sortant. Les requêtes SNMP peuvent être effectuées uniquement par des utilisateurs dont le nom d'utilisateur n'inclut aucun espace. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Configuration SNMP. 2 Entrez les informations requises sur les onglets Requêtes SNMP et Interruptions SNMP. 3 Cliquez sur OK. Configuration d'une interruption SNMP pour la notification de panne d'alimentation Sélectionner une interruption SNMP qui vous avertit des pannes matérielles générales et des pannes d'alimentation DAS, pour éviter l'arrêt du système à cause d'une panne d'alimentation. 1 Dans l'arborescence de navigation des systèmes, sélectionnez le système, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Configuration SNMP, puis sur l'onglet Interruptions SNMP et sélectionnez Défaillance matérielle générale. 3 Cliquez sur Appliquer ou sur OK. Lors d'une panne d'alimentation, une interruption SNMP est envoyée et un indicateur d'état d'intégrité s'affiche à côté de l'équipement dans l'arborescence de navigation du système. Vous pouvez ajouter une alarme qui se déclenche lorsqu'une défaillance se produit (voir Ajout d'une alarme de notification de panne d'alimentation). McAfee Enterprise Security Manager Guide Produit 183

184 3 Configuration de l'esm Configuration des services auxiliaires Création d'une interruption SNMP à utiliser en tant qu'action d'une alarme Vous pouvez envoyer des interruptions SNMP en tant qu'action d'une alarme Avant de commencer Préparez le récepteur d'interruptions SNMP (requis uniquement si vous n'avez pas de récepteur d'interruptions SNMP). 1 Créez un profil SNMP pour indiquer à l'esm où envoyer les interruptions SNMP. a Dans l'arborescence de navigation des systèmes, sélectionnez le système, puis cliquez sur l'icône Propriétés. b c Cliquez sur Gestion des profils, puis sélectionnez Interruption SNMP dans le champ Type de profil. Renseignez les autres champs, puis cliquez sur Appliquer. 2 Configurez SNMP sur l'esm. a Dans Propriétés du système, cliquez sur Configuration SNMP, puis sur Interruptions SNMP. b c Sélectionnez le port, les types d'interruption à envoyer, puis le profil que vous avez ajouté à l'étape 1. Cliquez sur Appliquer. 3 Définissez une alarme en utilisant l'action Interruption SNMP. a Dans Propriétés du système, cliquez sur Alarmes, puis sur Ajouter. b c d e f Renseignez les informations demandées dans les onglets Synthèse, Condition et Equipements, en sélectionnant le type de condition Concordance d'événement interne, puis cliquez sur l'onglet Actions. Sélectionnez Envoyer un message, puis cliquez sur Configurer pour sélectionner ou créer un modèle de message SNMP. Sélectionnez Interruption SNMP de base dans le champ SNMP ou cliquez sur Modèles, puis cliquez sur Ajouter. Sélectionnez un modèle ou cliquez sur Ajouter pour définir un nouveau modèle. Retournez à la page Paramètres d'alarme, puis continuez la configuration de l'alarme. Ajout d'une alarme de notification de panne d'alimentation Ajout d'une alarme pour vous avertir en cas de défaillance de l'une des alimentations ESM. Avant de commencer Configurez une interruption SNMP de défaillance matérielle générale (voir Configuration d'une interruption SNMP de notification de panne d'alimentation). 184 McAfee Enterprise Security Manager Guide Produit

185 Configuration de l'esm Configuration des services auxiliaires 3 1 Dans l'arborescence de navigation des systèmes, sélectionnez le système, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Alarmes, puis sur Ajouter, ajoutez les données requises sur l'onglet Synthèse, puis cliquez sur l'onglet Condition. 3 Dans le champ Type, sélectionnez Concordance d'événement interne. 4 Dans le champ Champ, sélectionnez ID de signature, puis entrez dans le champ Valeur(s). 5 Renseignez les informations demandées sur chaque onglet, puis cliquez sur Terminer. Une alarme se déclenche en cas de panne d'alimentation. SNMP et la base MIB McAfee Différents aspects des produits McAfee sont accessibles via SNMP. La base MIB McAfee définit l'identificateur d'objet (OID) de chaque objet ou caractéristique pertinente. La base MIB définit les groupes d'objets pour les éléments suivants : Alertes : un ESM peut générer et envoyer des interruptions d'alerte en utilisant le Transfert d'événements. Un récepteur peut recevoir des interruptions d'alerte si vous configurez une source de données SNMP McAfee. Flux : un récepteur peut recevoir des interruptions de flux en configurant une source de données SNMP McAfee. Demandes d'intégrité ESM : un ESM peut recevoir des demandes d'intégrité relatives à lui-même et aux équipements qu'il gère, ainsi qu'y répondre. Liste noire : un ESM peut recevoir des interruptions qui définissent des entrées destinées aux listes noires et listes de mise en quarantaine, qu'il applique ensuite aux équipements Nitro IPS qu'il gère. La base MIB McAfee définit également des conventions textuelles (types énumérés) pour les valeurs, notamment : action effectuée lors de la réception d'une alerte direction et état du flux types de source de données actions liées aux listes noires La syntaxe de la base MIB McAfee est conforme à la norme SMI (Structure of Management Information) SNMPv2. Les produits McAfee qui utilisent SNMP peuvent être configurés pour fonctionner sur SNMPv1, SNMPv2c et SNMPv3 (y compris l'authentification et le contrôle d'accès). Les demandes d'intégrité sont effectuées via l'opération SNMP GET. L'opération SNMP GET est utilisée par les applications de type gestionnaire SNMP pour récupérer une ou plusieurs valeurs à partir des objets managés gérés par l'agent SNMP (dans ce cas, l'esm). En général, les applications effectuent une demande SNMP GET en indiquant le nom d'hôte de l'esm et des OID, ainsi que l'instance particulière de l'oid. L'ESM répond avec une valeur de retour ou une erreur. Par exemple, une requête d'intégrité et la réponse relative à l'intégrité de l'équipement Nitro IPS ayant l'identificateur Nitro IPS ID 2 serait du type suivant : McAfee Enterprise Security Manager Guide Produit 185

186 3 Configuration de l'esm Configuration des services auxiliaires OID demande et réponse Unités Valeur de la réponse Signification Nitro IPS interne Nom de l'équipement Nitro IPS Identificateur ESM unique de l'équipement Nitro IPS La communication avec Nitro IPS est disponible (1) ou non disponible (0) OK Etat de l'équipement Nitro IPS désactivé Etat des cartes d'interface réseau de contournement de l'équipement Nitro IPS Nitro IPS Mode Nitro IPS (Nitro IPS ou IDS) pourcentage 2 Charge instantanée du processeur en pourcentage combiné Mo 1010 Total RAM de l'équipement Nitro IPS Mo 62 RAM disponible Mo Espace total sur le disque dur partitionné pour la base de données Nitro IPS Mo Espace libre sur le disque dur disponible pour la base de données Nitro IPS secondes depuis le :00:00.0 (GMT) Heure système actuelle sur l'équipement Nitro IPS a Informations sur la version et le build du Nitro IPS ABCD:1234 ID de l'équipement Nitro IPS Nitro IPS Numéro de modèle Nitro IPS alertes par minute flux par minute 140 Taux d'alertes (par minute) durant les 10 dernières minutes 165 Taux de flux (par minute) durant les 10 dernières minutes Dans l'exemple ci-dessus, le gestionnaire SNMP envoie une demande à l'agent SNMP, l'esm. Signification des nombres : 186 McAfee Enterprise Security Manager Guide Produit

187 Configuration de l'esm Configuration des services auxiliaires : numéro McAfee de l'entreprise, attribué par l'iana (Internet Assigned Numbers Authority) : demande d'intégrité Nitro IPS Du deuxième au dernier nombre (1 17 ci-dessus) : demander les différents aspects de l'intégrité Nitro IPS. Dernier nombre (2) : instance spécifique de l'oid, l'id de l'équipement Nitro IPS. L'ESM répond en alimentant les liaisons OID avec les résultats de la demande d'intégrité. Les tableaux suivants indiquent la signification des OID de l'esm et du récepteur. Tableau 3-37 Intégrité ESM OID demande et réponse Unités Valeur de la réponse Signification pourcentage 4 Charge instantanée du processeur en pourcentage combiné Mo 3518 RAM totale Mo 25 RAM disponible Mo Espace total sur le disque dur partitionné pour la base de données ESM Mo Espace libre sur le disque dur disponible pour la base de données ESM secondes depuis le :00:0.0 (GMT) Heure système actuelle sur l'esm Version et build de l'esm EEE:6669 ID de l'équipement ESM ESM Numéro de modèle de l'esm Tableau 3-38 Intégrité du récepteur OID demande et réponse Unités Valeur de la réponse Signification récepteur Nom du récepteur Identificateur ESM unique du récepteur Indique si la communication avec le récepteur est disponible (1) ou non disponible (0) OK Indique le statut du récepteur pourcentage 2 Charge instantanée du processeur en pourcentage combiné McAfee Enterprise Security Manager Guide Produit 187

188 3 Configuration de l'esm Configuration des services auxiliaires Tableau 3-38 Intégrité du récepteur (suite) OID demande et réponse Unités Valeur de la réponse Signification Mo 7155 RAM totale Mo 5619 RAM disponible Mo Espace total sur le disque dur partitionné pour la base de données du récepteur Mo Espace libre sur le disque dur disponible pour la base de données du récepteur secondes depuis le :00:0.0 (GMT) Heure système actuelle sur le récepteur a Version et build du récepteur EEE:CCC6 ID de l'équipement récepteur Récepteur Numéro de modèle du récepteur alertes par minute 1 Taux d'alertes (par minute) durant les 10 dernières minutes flux par minute 2 Taux de flux (par minute) durant les 10 dernières minutes Les événements, les flux et les entrées de liste noire sont envoyés via des interruptions SNMP ou des demandes d'information. Une interruption d'alerte envoyée depuis un ESM configuré pour le transfert d'événement peut être du type suivant : OID Valeur Signification ID de l'alerte ESM ID de l'alerte de l'équipement Nitro IPS interne Nom d'équipement ID d'équipement IP source Port source AB:CD:EF:01:23:45 MAC source IP de destination Port de destination :23:45:AB:CD:EF Adresse MAC de destination Protocole 188 McAfee Enterprise Security Manager Guide Produit

189 Configuration de l'esm Configuration des services auxiliaires 3 OID Valeur Signification Réseau local virtuel (VLAN) Direction Nombre d'événements Première fois Dernière fois Dernière fois (microsecondes) ID de signature ANOMALY Inbound High to High Description de la signature Action entreprise Gravité Type de source de données ou résultat ID de signature normalisé :0:0:0:0:0:0:0 IP source IPv :0:0:0:0:0:0:0 IP de destination IPv Application Domaine Hôte Utilisateur (source) Utilisateur (destination) Commande Objet Numéro de séquence Indique si elle a été générée dans un environnement approuvé ou non approuvé ID de la session qui a généré l'alerte. Signification des nombres : : numéro McAfee de l'entreprise, attribué par l'iana 1.1 : demande d'intégrité Nitro IPS Dernier nombre (1 35) : indique les différentes caractéristiques de l'alerte. Pour obtenir des informations détaillées sur la définition de la base MIB McAfee, consultez https:// x.x.x.x/browsereference/nitrosecurity-base-mib.txt, où x.x.x.x est l'adresse IP de votre ESM. McAfee Enterprise Security Manager Guide Produit 189

190 3 Configuration de l'esm Gestion de la base de données Gestion de la base de données Gérez la base de données ESM pour fournir les informations et les paramètres à mesure que vous configurez les fonctionnalités de votre système. Vous pouvez gérer les paramètres d'index de base de données, afficher et imprimer des informations sur l'utilisation des événements et des flux dans la mémoire de la base de données, configurer les emplacements de stockage des partitions inactives, configurer la stratégie de conservation des données d'événement et de flux, et configurer la façon dont la base de données alloue un espace pour les données d'événement et de flux. Si vous possédez plus de quatre processeurs sur une machine virtuelle, vous pouvez utiliser l'espace de stockage supplémentaire pour le stockage système, le stockage des données et le stockage haute performance. Si vous supprimez simultanément plusieurs lecteurs de la machine virtuelle ESM, toutes les recherches ELM précédentes risquent d'être perdues. Pour éviter cela, exportez les résultats de recherche ELM avant d'exécuter cette procédure. Voir aussi Gestion de l'indexation du cumul, page 193 Gestion des paramètres d'index de base de données, page 192 Configuration des limites de conservation des données, page 192 Affichage de l'utilisation de la mémoire de la base de données, page 193 Configuration du stockage des données ESM Trois types de stockage externe peuvent être configurés pour stocker les données ESM : iscsi (Internet Small Computer System Interface), réseau SAN (Storage Area Network) et stockage DAS (Direct-attached storage). Une fois qu'ils sont connectés à ESM, vous pouvez les configurer afin de stocker les données d'esm. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Base de données Stockage des données. 2 Cliquez sur l'un des onglets, sélectionnez une action, puis renseignez les informations demandées. 3 Cliquez sur Annuler pour fermer la page. Voir aussi Configuration des limites de conservation des données, page 192 Configuration du stockage des données de machine virtuelle ESM Si votre machine virtuelle ESM comporte plus de quatre processeurs, l'option Données VM est disponible dans la page Base de données, vous permettant ainsi d'utiliser le stockage supplémentaire disponible pour le stockage système, le stockage des données et le stockage haute performance de la machine virtuelle. Chaque liste déroulante de la page Allocation des données inclut les lecteurs de stockage disponibles qui sont montés dans la machine virtuelle. 190 McAfee Enterprise Security Manager Guide Produit

191 Configuration de l'esm Gestion de la base de données 3 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Base de données Données VM. 2 Dans chaque champ, sélectionnez le lecteur sur lequel vous souhaitez stocker les données. Chaque lecteur ne peut être sélectionné qu'une fois. 3 Cliquez sur OK. Augmentation du nombre d'index de cumul disponibles Etant donné le nombre d'index standard activés sur l'esm, vous pouvez ajouter seulement 5 index à un champ de cumul. Si vous souhaitez en utiliser davantage, vous pouvez désactiver les index standard que vous n'utilisez pas, par exemple sessionid, src/dst mac, src/dst port, src/dst zone, src/dst geolocation (maximum 42). ESM utilise des index standard pour générer des requêtes, des rapports, des alarmes et des vues. Si vous désactivez un index, puis essayez de générer une requête, un rapport, une alarme ou une vue qui l'utilise, une notification vous indique que le traitement de votre demande est impossible, car un index a été désactivé. La notification n'indique pas quel index est concerné. Etant donné cette limitation, ne désactivez les index standard que si vous pensez que cela est indispensable. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Base de données. 2 Cliquez sur Paramètres, puis sur l'onglet Indexation du cumul. 3 Dans la liste déroulante, cliquez sur Index standard, puis sélectionnez Afficher les index standard. Les index standard sont affichés dans la zone Activé. 4 Cliquez sur les index standard à désactiver, puis cliquez sur la flèche pour les placer dans la zone Disponible. Le nombre indiqué dans la zone restant(s) dans le coin supérieur droit de la page augmente chaque fois que vous désactivez un index standard. Vous pouvez ensuite activer plus de 5 index de cumul pour le champ de cumul que vous sélectionnez (voir Gestion de l'indexation du cumul). Configuration de l'archivage des partitions inactives ESM répartit les données dans des partitions. Lorsqu'une partition atteint sa taille maximale, elle est alors inactive et supprimée. Vous pouvez configurer un emplacement de stockage pour les partitions inactives afin qu'elles ne soient pas supprimées. McAfee Enterprise Security Manager Guide Produit 191

192 3 Configuration de l'esm Gestion de la base de données 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Base de données Archivage. 2 Remplissez les champs qui varient en fonction du type sélectionné. 3 Cliquez sur OK pour enregistrer les paramètres. Lorsque les partitions sont inactives, elles sont copiées à cet emplacement et indiquées dans les onglets Partitions d'événement et Partitions de flux. Configuration des limites de conservation des données Si vous disposez d'une configuration qui envoie les données historiques vers le système, vous pouvez sélectionner la durée souhaitée pour la conservation des événements et des flux et limiter la quantité des données historiques insérées. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Base de données Conservation des données. 2 Sélectionnez la durée souhaitée pour la conservation des événements et des flux et indiquez si vous souhaitez restreindre les données historiques. 3 Cliquez sur OK. Voir aussi Configuration du stockage des données ESM, page 190 Définition des limites d'allocation des données Le nombre maximal d'enregistrements d'événement et de flux qui sont gérés par le système est une valeur fixe. L'allocation des données vous permet de définir la quantité d'espace qui doit être allouée à chacun et le nombre d'enregistrements dans lesquels effectuer des recherches en vue d'optimiser les requêtes. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Base de données Allocation des données. 2 Cliquez sur les marqueurs situés sur les lignes de nombres, puis effectuez un glisser-déplacer jusqu'aux nombres souhaités ou cliquez sur les flèches dans les champs Evénements et Flux. 3 Cliquez sur OK. Gestion des paramètres d'index de base de données Configurez les options d'indexation des champs de données spécifiques dans la base de données. Si des données ne sont pas indexées, elles sont stockées, mais pas affichées dans la plupart des résultats de requête. 192 McAfee Enterprise Security Manager Guide Produit

193 Configuration de l'esm Gestion de la base de données 3 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Base de données Paramètres. 2 Pour modifier les paramètres actuels des colonnes Evénements et Flux, cliquez sur l'élément que vous souhaitez modifier, puis sélectionnez un nouveau paramètre dans la liste déroulante. 3 Si vous sélectionnez Personnalisé dans les colonnes Port, l'écran Valeurs de port s'ouvre. Vous pouvez y sélectionner ou y ajouter une nouvelle valeur de port. 4 Cliquez sur OK. Gestion de l'indexation du cumul Si vous disposez de champs personnalisés qui extraient les données numériques d'une source, l'indexation du cumul peut effectuer des sommes ou des moyennes de ces données sur la durée. Vous pouvez cumuler plusieurs événements ensemble et calculer leur valeur moyenne ou générer une valeur des tendances. Avant de commencer Configurez un type personnalisé d'indexation du cumul (consultez la section Création de types personnalisés). 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Base de données. 2 Cliquez sur Paramètres, puis sur l'onglet Indexation du cumul. 3 Sélectionnez les index, puis cliquez sur OK. Vous pouvez alors configurer une requête de cumul pour afficher les résultats. Voir aussi Gestion des requêtes, page 283 Création de types personnalisés, page 297 Affichage de l'utilisation de la mémoire de la base de données Affichez et imprimez les tables qui détaillent l'utilisation de la mémoire de la base de données. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Base de données Utilisation de la mémoire. Les tables Evénements et Flux indiquent l'utilisation de la mémoire de la base de données. 2 Pour imprimer les rapports, cliquez sur l'icône Imprimer. McAfee Enterprise Security Manager Guide Produit 193

194 3 Configuration de l'esm Gestion des utilisateurs et des groupes Gestion des utilisateurs et des groupes Vous devez ajouter les utilisateurs et les groupes au système pour leur permettre d'accéder à l'esm, à ses équipements, à ses stratégies et aux privilèges associés. Si le mode FIPS est activé, ESM propose 4 rôles d'utilisateur : Utilisateur, Utilisateur avec pouvoir, Administrateur de clé et certificat et Administrateur d'audit. Si le mode FIPS n'est pas activé, 2 types de comptes utilisateur sont disponibles : Administrateur système et Utilisateur général. La page Utilisateurs et groupes contient deux sections : Utilisateurs : noms des utilisateurs, nombre de sessions actuellement ouvertes par chaque utilisateur et groupes auxquels ils appartiennent. Groupes : noms des groupes et description des privilèges attribués à chacun d'eux. Vous pouvez trier les tables en cliquant sur Nom de l'utilisateur, Sessions ou Nom du groupe. Privilèges de groupe Lorsque vous configurez un groupe, vous définissez les privilèges des membres du groupe. Si vous sélectionnez Limiter l'accès de ce groupe sur la page Privilèges de la section Ajouter un groupe (Propriétés du système Ajouter un groupe ), l'accès à ces fonctionnalités est limité. Alarmes : les utilisateurs du groupe n'ont pas accès aux destinataires, fichiers et modèles de gestion des alarmes. Ils ne peuvent pas créer, modifier, supprimer, activer ou désactiver des alarmes. Gestion des incidents : les utilisateurs peuvent accéder à toutes les fonctionnalités, à l'exception de l'option Organisation. ELM : les utilisateurs peuvent effectuer des recherches ELM avancées, mais ils ne peuvent pas les enregistrer ni accéder aux propriétés de l'équipement ELM. Rapports : les utilisateurs peuvent uniquement exécuter un rapport qu'ils reçoivent par . Listes de valeurs : les utilisateurs ne peuvent pas ajouter une liste de valeurs dynamique. Asset Manager et Editeur de stratégies : les utilisateurs ne peuvent pas accéder à ces fonctionnalités. Zones : les utilisateurs peuvent afficher uniquement les zones auxquelles ils ont accès dans leur liste de zones. Propriétés du système : les utilisateurs peuvent accéder uniquement aux Rapports et aux Listes de valeurs. Filtres : les utilisateurs ne peuvent pas accéder aux onglets de filtrage Normalisation de chaîne, Active Directory, Actifs, Groupes d'actifs ou Marqueurs. Barre d'outils des actions : les utilisateurs ne peuvent pas accéder à la gestion des équipements, à la gestion multi-équipement ni à la visionneuse des événements en flux continu. Ajout d'un utilisateur Si vous avez des privilèges d'administrateur système, vous pouvez ajouter des utilisateurs au système pour leur permettre d'accéder à l'esm, à ses équipements, à ses stratégies et aux privilèges associés. Une fois les utilisateurs ajoutés, vous pouvez modifier ou supprimer leurs paramètres. 194 McAfee Enterprise Security Manager Guide Produit

195 Configuration de l'esm Gestion des utilisateurs et des groupes 3 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système Utilisateurs et groupes. 2 Entrez le mot de passe de l'administrateur système, puis cliquez sur OK. 3 Dans la section Utilisateurs, cliquez sur Ajouter, puis entrez les informations requises. 4 Cliquez sur OK. Les utilisateurs sont ajoutés au système avec les privilèges attribués aux groupes auxquels ils appartiennent. Les noms d'utilisateur s'affichent dans la section Utilisateurs de la page Utilisateurs et groupes. A côté de chaque nom d'utilisateur, une icône indique si le compte est activé. Si l'utilisateur a des privilèges d'administrateur, l'icône s'affiche à côté de son nom. Sélection des paramètres utilisateur La page Paramètres utilisateur permet de modifier plusieurs paramètres par défaut. Vous pouvez modifier le fuseau horaire, le format de la date, le mot de passe, l'affichage par défaut et la langue de la console. Vous pouvez également activer et désactiver l'affichage des sources de données désactivées, de l'onglet Alarmes et de l'onglet Incidents. 1 Dans la barre de navigation du système de la console ESM, cliquez sur Options. 2 Vérifiez que Paramètres utilisateur est sélectionné. 3 Modifiez les paramètres selon les besoins, puis cliquez sur OK. L'affichage de la console est modifié en fonction de vos paramètres. Configuration de la sécurité Utilisez la sécurité de connexion pour configurer les paramètres de connexion standard et la liste de contrôle d'accès (ACL), et définir les paramètres CAC (Common Access Card). Vous pouvez également activer l'authentification RADIUS (Remote Authentication Dial In User Service), Active Directory et LDAP (Lightweight Directory Access Protocol) (uniquement disponible si vous disposez des privilèges Administrateur système). Fonctionnalités de sécurité ESM La famille McAfee des solutions Nitro IPS est conçue pour être difficile à détecter sur un réseau et encore plus difficile à attaquer. Par défaut, les équipements Nitro IPS sont dépourvus de pile IP. Les paquets ne peuvent donc pas être adressés directement au Nitro IPS. La communication avec un équipement Nitro IPS est établie via la technologie McAfee SEM (Secure Encrypted Management). SEM est un canal intrabande chiffré en AES qui réduit les risques de lecture ou les attaques de type intercepteur. Un équipement Nitro IPS communique uniquement lorsqu'il est géré par un ESM autorisé via le canal SEM. Il n'initie pas de communications de façon autonome. La communication entre un ESM et la console ESM est également établie via AES. McAfee Enterprise Security Manager Guide Produit 195

196 3 Configuration de l'esm Gestion des utilisateurs et des groupes ESM récupère les mises à jour de signatures et logicielles authentifiées et chiffrées à partir du serveur central McAfee via un mécanisme de communication chiffré. Des mécanismes, basés à la fois sur le matériel et les logiciels, permettent de veiller à ce que les équipements soient gérés uniquement à partir d'un ESM dûment autorisé. Définition des paramètres de connexion standard Ajustez les paramètres des procédures de connexion standard en définissant le nombre de tentatives de connexion qui peuvent être effectuées pendant une période spécifiée, la durée d'inactivité possible du système et les paramètres de mot de passe. Indiquez également si vous souhaitez afficher l'id du dernier utilisateur à la connexion. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Sécurité de connexion. 2 Définissez les options de l'onglet Standard. 3 Cliquez sur OK ou sur Appliquer. Configuration des paramètres du mot de passe de connexion Vous pouvez définir différents paramètres pour le mot de passe de connexion au système. Avant de commencer Vous devez disposer de droits d'administrateur système. 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés du système, puis cliquez sur Sécurité de connexion. 2 Cliquez sur l'onglet Mots de passe, sélectionnez les options, puis cliquez sur Appliquer ou sur OK. Configuration des paramètres d'authentification RADIUS Configurez l'esm afin d'authentifier les utilisateurs auprès d'un serveur RADIUS. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Sécurité de connexion. 2 Cliquez sur l'onglet RADIUS, puis remplissez les champs correspondant au serveur principal. Un serveur secondaire est facultatif. 3 Cliquez sur OK ou sur Appliquer. Si le serveur est activé, tous les utilisateurs à l'exception de l'administrateur système s'authentifient à l'aide du serveur RADIUS. Si l'authentification est désactivée, les utilisateurs qui sont configurés pour l'authentification RADIUS ne peuvent pas accéder à ESM. 196 McAfee Enterprise Security Manager Guide Produit

197 Configuration de l'esm Gestion des utilisateurs et des groupes 3 Configuration de la liste de contrôle d'accès Configurez la liste des adresses IP dont l'accès à votre ESM peut être autorisé ou bloqué. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Sécurité de connexion. 2 Cliquez sur Paramètres ACL, puis ajoutez les adresses IP à la liste. 3 Cliquez sur OK pour enregistrer les paramètres, puis fermez la Liste de contrôle d'accès (ACL). Vous pouvez modifier ou supprimer des adresses IP dans la liste ACL. Paramètres CAC Vous pouvez vous authentifier dans ESM en fournissant les informations d'identification CAC via le navigateur au lieu d'entrer un nom d'utilisateur et un mot de passe. Les cartes CAC contiennent un certificat client qui identifie l'utilisateur à l'instar d'un certificat de serveur qui identifie un site web. Si vous activez la fonctionnalité CAC, il est admis que vous maîtrisez l'authentification CAC. Vous connaissez les navigateurs qui prennent en charge cette fonctionnalité ainsi que l'identificateur EDI-PI (Electronic Data Interchange Personal Identifier) associé aux cartes CAC. Les certificats sont révoqués de temps en temps. Les listes de révocation de certificats permettent aux systèmes de connaître ces révocations. Vous pouvez charger manuellement un fichier.zip contenant les fichiers de liste de révocation de certificats. ActivClient est le seul intergiciel (middleware) CAC pris en charge sur Windows. Pour utiliser l'authentification CAC dans ESM à partir de Windows à l'aide d'internet Explorer, vous devez avoir installé ActivClient sur l'ordinateur client. Une fois installé, ActivClient permet de gérer les informations d'identification CAC et remplace le gestionnaire natif de cartes à puce virtuelles de Windows. Le logiciel ActivClient est probablement déjà installé si le client accède à d'autres sites web qui utilisent CAC. Pour obtenir des instructions sur la configuration d'activclient et le site de téléchargement du logiciel, consultez l'adresse ou sur le site intranet de votre organisation. Si vous utilisez la validation CAC pour l'authenticité des applications, la sécurité du système dépend de celle de l'autorité de certification. Si l'autorité de certification est compromise, les connexions activées CAC le sont également. Configuration d'une connexion CAC Pour configurer une connexion CAC, vous devez activer la fonctionnalité correspondante, charger la chaîne des certificats racines de l'autorité de certification et activer un utilisateur CAC en définissant le nom de l'utilisateur sur l'identificateur EPI-PI à 10 chiffres du détenteur de la carte. Une fois cette procédure effectuée, le détenteur de la carte peut accéder à ESM dans un navigateur compatible CAC sans devoir indiquer un nom d'utilisateur ou un mot de passe. ESM prend en charge le lecteur de carte Gemalto. Veuillez appeler le support technique McAfee si vous avez besoin d'aide pour utiliser votre lecteur de carte. McAfee Enterprise Security Manager Guide Produit 197

198 3 Configuration de l'esm Gestion des utilisateurs et des groupes 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Sécurité de connexion et sur l'onglet CAC. 2 Entrez les informations demandées, sélectionnez les options souhaitées, puis cliquez sur OK. 3 Activez chaque utilisateur CAC. a Dans la page Propriétés du système, cliquez sur Utilisateurs et groupes, puis entrez le mot de passe système. b c d Dans la table Utilisateurs, surlignez le nom de l'utilisateur, puis cliquez sur Modifier. Remplacez le nom indiqué dans le champ Nom de l'utilisateur par l'identificateur EDI-PI à 10 chiffres. (Facultatif) Entrez le nom de l'utilisateur dans le champ Alias de l'utilisateur, puis cliquez sur OK. Configuration des paramètres d'authentification Active Directory Vous pouvez configurer ESM pour que les utilisateurs s'authentifient auprès d'un service Active Directory. Si cette authentification est activée, tous les utilisateurs à l'exception de l'administrateur système s'authentifient à l'aide d'active Directory. Si elle est désactivée, les utilisateurs qui sont configurés pour l'authentification Active Directory ne peuvent pas accéder au système. Avant de commencer Configurez un service Active Directory accessible à partir de ESM. Créez un groupe (consultez la section Configuration des groupes d'utilisateurs) portant le même nom que le groupe Active Directory qui a accès à ESM. Par exemple, si vous nommez le groupe «Utilisateurs McAfee», sélectionnez Propriétés du système Utilisateurs et groupes et ajoutez un groupe nommé «Utilisateurs McAfee». 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Sécurité de connexion. 2 Cliquez sur l'onglet Active Directory, puis sélectionnez Activer l'authentification Active Directory. 3 Cliquez sur Ajouter, puis ajoutez les informations demandées pour configurer la connexion. 4 Cliquez sur OK dans la page Connexion à Active Directory. Configuration des informations d'identification de l'utilisateur pour McAfee epo. Vous pouvez restreindre l'accès à un équipement McAfee epo en configurant les informations d'identification de l'utilisateur. Avant de commencer L'équipement McAfee epo ne doit pas être configuré pour requérir l'authentification utilisateur globale (voir Authentification des équipements McAfee epo). 198 McAfee Enterprise Security Manager Guide Produit

199 Configuration de l'esm Gestion des utilisateurs et des groupes 3 1 Dans la barre de navigation de la console ESM, cliquez sur Options, puis sélectionnez Informations d'identification epo. 2 Cliquez sur l'équipement, puis cliquez sur Modifier. Si la colonne de l'état de l'équipement indique Non requis, l'équipement est configuré pour l'authentification utilisateur globale. Vous pouvez changer l'état sur la page Connexion de l'équipement (voir Modification de la connexion à ESM). 3 Entrez le nom d'utilisateur et le mot de passe, testez la connexion, puis cliquez sur OK. Pour accéder à cet équipement, les utilisateurs doivent entrer le nom d'utilisateur et le mot de passe que vous avez ajoutés. Désactivation ou réactivation d'un utilisateur Lorsqu'un utilisateur a dépassé le nombre d'échecs de tentatives de connexion autorisé durant la période définie dans Sécurité de connexion, cette fonctionnalité permet de réactiver son compte. Vous pouvez également utiliser cette fonctionnalité pour bloquer l'accès à un utilisateur de façon temporaire ou permanente sans supprimer l'utilisateur du système. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système Utilisateurs et groupes. 2 Dans le tableau Utilisateurs, sélectionnez le nom de l'utilisateur, puis cliquez sur Modifier. 3 Sélectionnez ou désélectionnez Désactiver le compte, puis cliquez sur OK L'icône située à côté du nom de l'utilisateur dans Utilisateurs et groupes indique le statut du compte. Authentification des utilisateurs auprès d'un serveur LDAP Vous pouvez configurer ESM pour que les utilisateurs s'authentifient auprès d'un serveur LDAP. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Sécurité de connexion. 2 Cliquez sur l'onglet LDAP. 3 Remplissez les champs, puis cliquez sur Appliquer ou sur OK. Si l'authentification est activée, tous les utilisateurs à l'exception de l'administrateur système doivent s'authentifier auprès du serveur LDAP. Si elle est désactivée, les utilisateurs qui sont configurés pour l'authentification LDAP ne peuvent pas accéder au système. Configuration de groupes d'utilisateurs Les groupes sont constitués d'utilisateurs qui héritent des paramètres du groupe. Lorsque vous ajoutez un groupe, vous devez attribuer des équipements, des stratégies et des privilèges. McAfee Enterprise Security Manager Guide Produit 199

200 3 Configuration de l'esm Sauvegarde et restauration des paramètres système 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Utilisateurs et groupes Ajouter. 2 Entrez les informations demandées sur chaque onglet, puis cliquez sur OK. Le groupe est ajouté au tableau Groupes de la page Utilisateurs et groupes. Ajout d'un groupe à accès limité Pour limiter l'accès de certains utilisateurs aux fonctionnalités de l'esm, créez un groupe incluant ces utilisateurs. Cette option permet de limiter leur accès aux alarmes, à la gestion des incidents, aux ELM, aux rapports, aux listes de valeurs, à la gestion des actifs, à l'éditeur de stratégies, aux zones, aux propriétés du système, aux filtres et à la barre d'actions (voir Gestion des utilisateurs et des groupes). Toutes les autres fonctionnalités sont désactivées. 1 Dans l'arborescence de navigation des systèmes, sélectionnez le système, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Utilisateurs et groupes, puis tapez le mot de passe système. 3 Effectuez l une des procédures suivantes : Si le groupe est déjà configuré, sélectionnez-le dans la table Groupe, puis cliquez sur Modifier. Si vous ajoutez un groupe, cliquez sur Ajouter en regard de la table Groupes, renseignez le nom et la description, puis sélectionnez les utilisateurs. 4 Cliquez sur Privilèges, puis sélectionnez Limiter l'accès de ce groupe. La plupart des privilèges sont désactivés. 5 Dans la liste de privilèges disponibles, sélectionnez ceux que vous souhaitez attribuer à ce groupe. 6 Cliquez sur chaque onglet et définissez les autres paramètres du groupe. Sauvegarde et restauration des paramètres système Enregistrez les paramètres actuels de configuration du système automatiquement ou manuellement afin qu'ils puissent être restaurés en cas de défaillance du système ou de fuite de données. Vous pouvez également configurer et enregistrer les paramètres actuels dans un ESM redondant. Une sauvegarde standard enregistre tous les paramètres de configuration, notamment les paramètres de stratégie, ainsi que les fichiers de configuration SSH, réseau et SNMP. Lorsque vous ajoutez un nouvel équipement ESM, la fonction Sauvegarde et restauration est activée pour effectuer une sauvegarde tous les 7 jours. Vous pouvez sauvegarder les événements, les flux et les journaux reçus par le 200 McAfee Enterprise Security Manager Guide Produit

201 Configuration de l'esm Sauvegarde et restauration des paramètres système 3 système. La première sauvegarde des données d'événements, de flux ou de journaux enregistre uniquement les données à partir du début du jour en cours. Les sauvegardes ultérieures enregistrent les données à partir de la dernière sauvegarde. Si vous sauvegardez des événements, des flux ou des journaux dans ESM, l'espace disque dans ESM diminue. Il est conseillé de télécharger ou de supprimer régulièrement des fichiers de sauvegarde de l'esm local. Pour restaurer le système, vous pouvez sélectionner un ou plusieurs fichiers de sauvegarde dans ESM, sur un ordinateur local ou à un emplacement à distance afin de rétablir l'ensemble de vos paramètres et données à un état précédent. Si vous exécutez cette fonction, toutes les modifications apportées aux paramètres après la création de la sauvegarde sont perdues. Exemple : si vous effectuez une sauvegarde quotidienne et souhaitez restaurer les données des trois derniers jours, sélectionnez les trois derniers fichiers de sauvegarde. Les événements, flux et journaux des trois fichiers de sauvegarde sont ajoutés aux événements, flux et journaux résidant actuellement dans ESM. Tous les paramètres sont alors remplacés par ceux de la dernière sauvegarde. Sauvegarde des paramètres ESM et des données système Plusieurs méthodes permettent de sauvegarder les données sur l'esm. Lorsque vous ajoutez un nouvel équipement ESM, la fonction Sauvegarde et restauration est activée pour effectuer une sauvegarde tous les 7 jours. Vous pouvez la désactiver ou modifier les paramètres par défaut. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Informations système Sauvegarde et restauration. 2 Définissez les paramètres de l'un de ces éléments : Sauvegarde automatique Sauvegarde manuelle ESM redondant Restauration d'une sauvegarde précédente du système 3 Cliquez sur OK pour fermer la page Sauvegarde et restauration. Voir aussi Restauration des paramètres ESM, page 201 Utilisation des fichiers de sauvegarde dans ESM, page 202 Restauration des paramètres ESM En cas de défaillance du système ou de fuite de données, vous pouvez restaurer votre système à un état antérieur en sélectionnant un fichier de sauvegarde. Si la base de données contient le nombre d'enregistrements maximal autorisé et que les enregistrements à restaurer se trouvent en dehors de la plage des données actuelles de l'esm, les enregistrement ne sont pas restaurés. Pour enregistrer des données hors de cette plage et y accéder, vous devez configurer l'archivage de partitions inactives (consultez la section Configuration des limites de conservation des données). McAfee Enterprise Security Manager Guide Produit 201

202 3 Configuration de l'esm Sauvegarde et restauration des paramètres système 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Informations système Sauvegarde et restauration Restaurer une sauvegarde. 2 Sélectionnez le type de restauration que vous souhaitez effectuer. 3 Sélectionnez le fichier à restaurer ou entrez les informations de l'emplacement à distance, puis cliquez sur OK. La restauration d'une sauvegarde peut prendre beaucoup de temps en fonction de la taille du fichier à restaurer. L'ESM est hors ligne jusqu'à la fin de la restauration. Durant cette opération, le système essaye de se connecter toutes les 5 minutes. Lorsque le processus est terminé, la page Connexion s'affiche. Voir aussi Configuration des limites de conservation des données, page 192 Restauration de fichiers de configuration sauvegardés Vous pouvez restaurer des fichiers de configuration (SSH, réseau, SNMP et autres) qui ont été sauvegardés sur l'esm de chaque équipement. Avant de commencer Sauvegardez les fichiers de configuration sur l'esm (voir Sauvegarde des paramètres ESM et des données système). 1 Dans l'arborescence de navigation des systèmes, cliquez sur l'équipement, puis sur l'icône Propriétés. 2 Cliquez sur l'option Configuration de l'équipement, cliquez sur Restaurer la configuration, puis cliquez sur Oui sur la page de confirmation. Utilisation des fichiers de sauvegarde dans ESM Les fichiers de sauvegarde qui ont été enregistrés dans ESM peuvent être téléchargés, supprimés ou affichés. Vous pouvez également charger des fichiers pour les ajouter à la liste des fichiers de sauvegarde. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Maintenance des fichiers. 2 Dans la liste déroulante Sélectionnez un type, sélectionnez Fichiers de sauvegarde. 3 Sélectionnez l'action que vous souhaitez effectuer. 4 Cliquez sur OK. Voir aussi Sauvegarde des paramètres ESM et des données système, page McAfee Enterprise Security Manager Guide Produit

203 Configuration de l'esm Sauvegarde et restauration des paramètres système 3 Gestion de la maintenance des fichiers ESM stocke les fichiers de sauvegarde et de mise à jour logicielle ainsi que les fichiers journaux d'alarme et de rapport. Vous pouvez télécharger, charger et supprimer des fichiers dans chacune de ces listes. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Maintenance des fichiers. 2 Dans le champ Sélectionnez un type de fichier, sélectionnez Fichiers de sauvegarde, Fichiers de mise à jour logicielle, Fichiers journaux d'alarme ou Fichiers de rapport. 3 Sélectionnez les fichiers, puis cliquez sur l'une des options. 4 Cliquez sur Appliquer ou sur OK. Voir aussi Sauvegarde des paramètres ESM et des données système, page 201 ESM redondant La fonctionnalité d'esm redondant vous permet d'enregistrer les paramètres actuels de l'esm sur un ESM redondant que vous pouvez convertir en ESM principal en cas défaillance du système ou de fuite de données. Cette fonctionnalité n'est disponible que pour les utilisateurs ayant des privilèges d'administrateur système. Après la configuration d'un ESM redondant, les données de configuration et de stratégie de l'esm principal sont automatiquement synchronisées toutes les cinq minutes avec l'esm redondant. Pour configurer un ESM redondant, vous devez définir les paramètres de l'équipement redondant (lequel reçoit les paramètres et les données de l'équipement principal) et définir les paramètres de l'équipement principal (lequel envoie les paramètres et les données de sauvegarde à l'équipement redondant). L'ESM redondant doit être configuré pour que l'esm puisse s'y connecter. La fonctionnalité de redondance de l'esm n'est pas disponible sur l'équipement ESMREC combiné. Configuration d'un ESM redondant Pour enregistrer les paramètres système sur un ESM redondant, vous devez configurer chacun des ESM pour qu'ils puissent communiquer entre eux. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Informations système Sauvegarde et restauration Redondance. 2 Dans le champ Type ESM, vérifiez que Principal est sélectionné. 3 Entrez les informations relatives à l'esm principal, puis sélectionnez ou ajoutez les ESM redondants. Vous pouvez ajouter jusqu'à cinq ESM redondants. 4 Sélectionnez la case d'option Redondant, entrez l'adresse IP de l'esmesm principal et sélectionnez le port SSH. McAfee Enterprise Security Manager Guide Produit 203

204 3 Configuration de l'esm Gestion de l'esm. 5 Cliquez sur OK. Un message vous indique que le redémarrage du service est nécessaire, ce qui va entraîner la perte de la communication entre l'esm et tous les utilisateurs. 6 Cliquez sur Oui pour poursuivre la synchronisation. Remplacement d'un ESM redondant Si un ESM redondant cesse de fonctionner, vous pouvez le remplacer par un nouveau. Avant de commencer Ajoutez le nouvel ESM redondant au système. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système et assurez-vous que l'option Informations système est sélectionnée. 2 Cliquez sur Sauvegarde et restauration Redondance, sélectionnez Principal, puis tapez la nouvelle adresse IP dans le champ Adresse IP d'esm redondant. 3 Sélectionnez Redondant et vérifiez que l'adresse IP de l'esm principal est correcte. 4 Sélectionnez Principal, puis cliquez sur Connecter pour vérifier que les deux équipements communiquent. 5 Sélectionnez Synchroniser tout ESM, puis cliquez sur OK. Gestion de l'esm. Vous pouvez effectuer plusieurs opérations pour gérer le logiciel, les journaux, les certificats, les fichiers de fonctionnalités et les clés de communication de l'esm. Onglet Option Description Configuration Gérer les journaux Configurer les types d'événements à consigner dans le journal des événements. Hiérarchie des ESM Brouillage Journalisation Paramètres régionaux système Mappage de nom Configurer les options relatives aux données si vous utilisez des équipements ESM hiérarchiques. Définir les paramètres globaux pour masquer les données sélectionnées de tout enregistrement d'alerte envoyé lors d'un transfert d'événement ou envoyé vers un ESM parent. Envoyer des événements internes à l'elm afin de les stocker. Ces données peuvent être utilisées pour les audits. Sélectionner la langue du système à utiliser pour la journalisation des événements, par exemple le journal du programme de surveillance d'état et le journal de l'équipement. Désélectionner les ports et les protocoles pour qu'ils s'affichent sous forme de chiffres bruts à la place de noms. Par exemple, si vous désélectionnez Port source ou Port de destination, s'affiche sous la forme 80. Si vous sélectionnez Protocoles, le nombre brut 17 s'affiche sous la forme udp. 204 McAfee Enterprise Security Manager Guide Produit

205 Configuration de l'esm Gestion de l'esm. 3 Onglet Option Description Gestion des clés Certificat Régénérer SSH Exporter toutes les clés Restaurer toutes les clés Installer un nouveau certificat SSL (Secure Socket Layer). Régénérer la paire de clés SSH privées ou publiques pour communiquer avec tous les équipements. Exporter les clés de communication de tous les équipements du système, au lieu de les exporter une à une. Restaurer les clés de communication de tous les équipements ou des équipements sélectionnés qui ont été exportées à l'aide de la fonction Exporter toutes les clés. Maintenance Mettre à jour ESM Mettre à jour le logiciel ESM à partir du serveur de règles et de mises à jour McAfee ou à l'aide d'un ingénieur en sécurité McAfee. Données ESM Gestionnaire de tâches Arrêter Redémarrer Terminal Télécharger un fichier.tgz qui contient les informations relatives à l'état de l'esm. Cet état peut permettre au support technique McAfee d'identifier et de résoudre les problèmes. Afficher les requêtes en cours d'exécution sur l'esm et les arrêter si nécessaire. Arrêter l'esm. Un message vous indique que cette action entraîne la perte de la communication avec l'esm pour tous les utilisateurs. Arrêter et redémarrer l'esm. Un message vous indique que cette action entraîne la perte de la communication avec l'esm pour tous les utilisateurs. Cette fonctionnalité est réservée aux utilisateurs expérimentés. Entrer des commandes Linux sur l'esm. Comme le terminal est uniquement un émulateur en mode batch partiel, toutes les commandes ne sont pas disponibles. Le terminal ne conserve pas de répertoire de travail. Vous ne pouvez pas utiliser la commande cd pour accéder à un autre répertoire. Vous devez utiliser des noms de chemin d'accès complets. Les opérateurs > ou >> ne fonctionnent pas. Tous les résultats sont renvoyés à l'écran. Obtenir les fonctionnalités Définir les fonctionnalités Si vous avez acheté des fonctionnalités supplémentaires, activez-les sur votre ESM en téléchargeant un fichier chiffré qui contient des informations sur les fonctionnalités prises en charge par votre ESM. Installer le fichier que vous avez téléchargé à l'aide de l'option Obtenir les fonctionnalités. McAfee Enterprise Security Manager Guide Produit 205

206 3 Configuration de l'esm Gestion de l'esm. Onglet Option Description Connecter Accorder au support technique McAfee l'accès à votre système lorsque vous l'appelez pour demander une assistance. Comme cette option n'est pas conforme à FIPS, elle n'est pas disponible en mode FIPS. Afficher les statistiques Accéder aux informations suivantes pour tout équipement ESM : Statistiques sur l'utilisation de la mémoire et l'espace d'échange. Utilisation des processeurs. Activités de basculement des systèmes. Statistiques sur la vitesse de transfert et les entrées/sorties. Valeurs moyennes de la longueur de la file d'attente et de la charge. Voir aussi Accès à un équipement à distance, page 210 Régénération de la clé SSH, page 208 Gestion des destinataires, page 173 Types d'événement, page 206 Gestion des journaux, page 206 Installation d'un nouveau certificat, page 182 Configuration de la journalisation ESM, page 207 Masquage des adresses IP, page 207 Exportation et restauration des clés de communication, page 208 Commandes Linux disponibles, page 211 Utilisation des commandes Linux, page 211 Gestion des journaux Plusieurs types d'événement sont générés dans ESM. Vous pouvez sélectionner ceux que vous souhaitez enregistrer dans le journal des événements. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Gestion ESM. 2 Cliquez sur Gérer les journaux, puis sélectionnez les types d'événement que vous souhaitez consigner. 3 Cliquez sur OK. Types d'événement Il s'agit des types de journal des événements générés dans ESM. Type d'événement Authentification Evénements consignés Connexion, déconnexion et modifications de compte d'utilisateur. Pour être conforme à la réglementation FIPS, le Mode d'authentification est toujours défini sur Aucun. Sauvegarde Processus de sauvegarde de la base de données. 206 McAfee Enterprise Security Manager Guide Produit

207 Configuration de l'esm Gestion de l'esm. 3 Type d'événement Liste noire Equipement Transfert des événements Programme de surveillance d'état Notifications Stratégie Serveur de règles Evénements consignés Entrées de liste noire envoyées à l'équipement. Modifications d'équipement ou communications, telles que l'obtention d'événements, de flux et de journaux. Modifications ou erreurs lors du transfert des événements. Evénements de statut des équipements. Modifications ou erreurs de notification. Gestion et application des stratégies. Téléchargement des règles à partir du serveur de règles et validation de ces règles. Si le système est en mode FIPS, les règles ne doivent pas être mises à jour via le serveur de règles. Système Vues Modification des paramètres système et journalisation de la substitution des tables. Modifications apportées aux vues et requêtes. Masquage des adresses IP Vous pouvez masquer des données spécifiques d'enregistrements d'événements envoyés lors du transfert d'événements ou envoyés à un ESM parent. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Gestion ESM Hiérarchie des ESM. 2 Sélectionnez Brouiller pour les ESM pour lesquels vous souhaitez masquer les données. La page Sélection des champs de brouillage s'ouvre. 3 Sélectionnez les champs à masquer. 4 Cliquez sur OK. Une fois cette configuration effectuée, si un ESM parent demande un paquet à un ESM enfant, les données que vous avez sélectionnées sont masquées. Configuration de la journalisation ESM Si votre système est pourvu d'un équipement ELM, vous pouvez configurer ESM afin que les données d'événement internes qu'il génère soient envoyées vers l'équipement ELM. Pour ce faire, vous devez configurer le pool de journalisation par défaut. Avant de commencer Ajoutez un équipement ELM à votre système. McAfee Enterprise Security Manager Guide Produit 207

208 3 Configuration de l'esm Gestion de l'esm. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Gestion ESM. 2 Dans l'onglet Configuration, cliquez sur Journalisation. 3 Sélectionnez les options demandées, puis cliquez sur OK. Modification de la langue des journaux des événements Lors de votre première connexion à ESM, vous avez sélectionné la langue à utiliser pour les journaux des événements, par exemple le journal du programme de surveillance d'état et le journal de l'équipement. Vous pouvez changer ce paramètre de langue. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système Gestion ESM. 2 Cliquez sur Paramètres régionaux système, sélectionnez une langue dans la liste déroulante, puis cliquez sur OK. Exportation et restauration des clés de communication Exportez les clés de communication de tous les équipements du système vers un fichier unique. Une fois que vous les avez exportées, vous pouvez les restaurer si nécessaire. Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système Gestion ESM, puis cliquez sur l'onglet Gestion des clés. Pour... Exporter toutes les clés de communication Procédez ainsi... 1 Cliquez sur Exporter toutes les clés. 2 Définissez le mot de passe du fichier de clés, puis cliquez sur OK. 3 Sélectionnez l'emplacement d'enregistrement du fichier, puis cliquez sur Enregistrer. Restaurer toutes les clés de communication 1 Cliquez sur Restaurer toutes les clés. 2 Localisez le fichier que vous avez configuré lors de l'exportation des clés, puis cliquez sur Ouvrir. 3 Cliquez sur Charger, puis entrez le mot de passe défini. 4 Sélectionnez les équipements que vous devez restaurer, puis cliquez sur OK. Régénération de la clé SSH Régénérez la paire de clés SSH privées ou publiques utilisée pour communiquer avec tous les équipements. 208 McAfee Enterprise Security Manager Guide Produit

209 Configuration de l'esm Gestion de l'esm. 3 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Gestion ESM. 2 Dans l'onglet Gestion des clés, cliquez sur Régénérer SSH. Vous êtes averti du remplacement de l'ancienne clé par la nouvelle. 3 Cliquez sur Oui. Lorsque la clé est régénérée, elle remplace l'ancienne paire de clés sur tous les équipements managés par l'esm. Gestionnaire de tâches pour les requêtes Si vous avez des droits d'administrateur ou d'utilisateur principal, vous pouvez accéder au Gestionnaire de tâches, qui affiche la liste des requêtes en cours d'exécution sur l'esm. Il vous permet de fermer des requêtes si elles affectent les performances du système. Les requêtes à exécution longue risquent davantage d'affecter les performances. Le rôle de cette fonctionnalité est la résolution des problèmes d'exécution sur l'esm, mais pas de fermer les requêtes. Pour utiliser cette fonctionnalité, demandez l'aide du support technique McAfee. Principales caractéristiques du gestionnaire de tâches : Vous pouvez fermer des requêtes de rapport, de vue, de liste de valeurs, d'exécution et d'exportation, d'alarme, et des requêtes API externes sur le système. Vous ne pouvez pas fermer des requêtes du système. Lorsque vous cliquez sur une requête, les détails s'affichent dans la zone Détails de la requête. Par défaut, la liste est automatiquement actualisée toutes les 5 secondes. Lorsque vous sélectionnez une requête, si la liste est actualisée, la requête reste sélectionnée et les détails sont mis à jour. Lorsque la requête est terminée, elle ne s'affiche plus dans la liste. Pour désactiver l'actualisation automatique de la liste, désélectionnez Actualiser automatiquement la liste. Pour afficher les tâches système (tâches qui n'ont pas encore été identifiées), désélectionnez Masquer les tâches système. Vous pouvez trier les données des colonnes de la table. Vous pouvez sélectionner et copier les données dans la zone Détails de la requête. L'icône de suppression dans la dernière colonne indique que vous pouvez fermer la requête. Lorsque vous cliquez dessus, une boîte de dialogue de confirmation s'affiche. Gestion des requêtes en cours d'exécution sur l'esm Le Gestionnaire de tâches affiche la liste des requêtes en cours d'exécution sur l'esm. Vous pouvez consulter leur état et supprimer celles qui affectent les performances du système. McAfee Enterprise Security Manager Guide Produit 209

210 3 Configuration de l'esm Gestion de l'esm. 1 Dans l'arborescence de navigation des systèmes, sélectionnez le système, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Gestion ESM, sur Maintenance, puis sur Gestionnaire de tâches. 3 Consultez la liste des requêtes en cours d'exécution et effectuez les actions souhaitées. Mise à jour d'un ESM principal ou redondant Pour mettre à jour un ESM principal ou redondant, vous devez suivre des étapes spécifiques afin d'éviter de perdre des données d'événements, de flux ou de journaux. 1 Désactivez la collecte des alertes, des flux et des journaux. a Dans l'arborescence de navigation des systèmes, sélectionnez Informations système, puis cliquez sur Evénements, flux et journaux. b Désactivez la case à cocher Vérifier automatiquement toutes les. 2 Mettez à jour l'esm principal. 3 Mettez à jour l'esm redondant. Cette opération est plus longue si des fichiers de redondance doivent être traités. 4 Activez la collecte des alertes, flux et journaux en sélectionnant Vérifier automatiquement toutes les. Si la mise à jour échoue, voir Mise à jour vers la version 9.3. Accès à un équipement à distance Si un équipement est configuré à un emplacement à distance, utilisez l'option Terminal pour exécuter des commandes Linux afin de voir l'équipement. Cette fonctionnalité est destinée aux utilisateurs avancés et doit être utilisée sous la direction du personnel du support technique McAfee dans les situations d'urgence. Comme cette option n'est pas conforme à FIPS, elle est désactivée en mode FIPS. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Gestion ESM. 2 Dans l'onglet Maintenance, cliquez sur Terminal. 3 Entrez le mot de passe système, puis cliquez sur OK. 210 McAfee Enterprise Security Manager Guide Produit

211 Configuration de l'esm Gestion de l'esm. 3 4 Entrez les commandes Linux nécessaires et procédez à une exportation afin d'enregistrer le contenu dans un fichier. L'exportation n'inclut pas les résultats qui ont été effacés de la page Terminal pendant la session terminal actuelle. 5 Cliquez sur Fermer. Voir aussi Commandes Linux disponibles, page 211 Utilisation des commandes Linux Vous pouvez utiliser l'option Terminal pour entrer des commandes Linux sur l'esm. Cette fonctionnalité est réservée aux utilisateurs expérimentés. Ne l'utilisez qu'en cas d'urgence, en suivant les instructions du support technique McAfee. Comme cette option n'est pas conforme à FIPS, elle est désactivée en mode FIPS. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Gestion ESM. 2 Dans l'onglet Maintenance, cliquez sur Terminal, entrez le mot de passe du système, puis cliquez sur OK. 3 Tapez les commandes Linux (consultez la section Commandes Linux disponibles). 4 Cliquez sur Effacer pour supprimer le contenu de la page si nécessaire. 5 (Facultatif) Cliquez sur Exporter pour enregistrer le contenu dans un fichier. L'exportation n'inclut pas les résultats qui ont été effacés de la page Terminal pendant la session terminal actuelle. Commandes Linux disponibles Il s'agit des commandes disponibles dans la page Terminal. commandes de la page Terminal getstatsdata echo ps date grep ethtool ifconfig df kill tar sensors netstat service sar cat tail rm locate McAfee Enterprise Security Manager Guide Produit 211

212 3 Configuration de l'esm Utilisation d'une liste globale de blocage iptables tcpdump -c -w updatedb ip6tables cp Il s'agit des commandes disponibles qui sont modifiées avant exécution. Cette commande... II A été remplacée par... ll--classify ping ping -c 1 ls ll--classify top top -b -n 1 ping6 ping6 -c 1 Pour plus d'informations sur la commande getstatsdata, consultez la section Collecte des données statistiques pour la résolution des problèmes de l'annexe D. Pour plus d'informations sur toutes les autres commandes, consultez le site web Utilisation d'une liste globale de blocage Une liste de blocage permet de bloquer le trafic existant dans un équipement Nitro IPS ou un équipement virtuel avant qu'il ne soit analysé par le moteur d'inspection approfondie de paquets. L'option Liste de blocage Nitro IPS permet de configurer une liste de blocage pour les équipements Nitro IPS individuels dans ESM. L'option Liste globale de blocage permet quant à elle de configurer une liste de blocage qui s'applique à tous les équipements Nitro IPS gérés par ESM. Cette fonctionnalité autorise uniquement des entrées de liste de blocage permanentes. Pour configurer des entrées temporaires, vous devez utiliser l'option Liste de blocage Nitro IPS. Chaque Nitro IPS et chaque équipement virtuel peuvent utiliser la liste globale de blocage. La fonctionnalité est désactivée dans tous les équipements tant que vous ne l'avez pas activée. La page Editeur de liste globale de blocage contient trois onglets : Sources bloquées : effectue une concordance avec l'adresse IP source du trafic traversant l'équipement. Destinations bloquées : effectue une concordance avec l'adresse IP de destination du trafic traversant l'équipement. Exclusions : empêche l'ajout automatique à l'une ou l'autre des listes de blocage. Vous pouvez ajouter des adresses IP critiques (par exemple, serveurs DNS et autres ou postes de travail des administrateurs système) aux exclusions afin de vous assurer qu'elles ne seront jamais incluses automatiquement dans les listes de blocage, et ce, quels que soient les événements qu'elles peuvent générer. Les entrées des onglets Sources bloquées et Destinations bloquées peuvent être configurées pour limiter l'effet de la liste de blocage à un port de destination spécifique. Lors de l'ajout d'entrées : L'option Ajouter est activée lorsque vous modifiez l'adresse IP ou le port. Les entrées des onglets Sources bloquées et Destinations bloquées peuvent être configurées pour être incluses dans la liste de blocage sur tous les ports ou sur un port spécifique. 212 McAfee Enterprise Security Manager Guide Produit

213 Configuration de l'esm Qu'est-ce que l'enrichissement des données? 3 Les entrées qui utilisent un intervalle masqué d'adresses IP doivent être configurées avec le port défini sur Tout (0) et une durée permanente. Si ces listes requièrent un format d'adresse IP, quelques outils inclus permettent d'ajouter une signification à ces adresses. Après que vous avez tapé une adresse IP ou un nom d'hôte dans le champ Adresse IP, le bouton situé en regard de ce contrôle indique Résoudre ou Recherche en fonction de la valeur entrée. S'il indique Résoudre, cliquer dessus permet de résoudre le nom d'hôte entré, de remplir le champ Adresse IP avec ces informations et de déplacer le nom d'hôte vers le champ Description. Cliquer sur Recherche permet d'exécuter une recherche dans l'adresse IP et de remplir le champ Description avec les résultats de cette recherche. Certains sites web peuvent posséder plusieurs adresses IP ou disposer d'adresses IP qui ne sont pas toujours identiques. N'utilisez pas cet outil pour bloquer les sites web. Configuration d'une liste globale de blocage Configurez une liste globale de blocage commune à tous les équipements que vous sélectionnez. De cette façon, vous n'avez pas à entrer les mêmes informations dans plusieurs équipements. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Liste globale de blocage. 2 Cliquez sur l'onglet Sources bloquées, Destinations bloquées ou Exclusions, puis gérez les entrées de la liste de blocage. 3 Sélectionnez les équipements qui doivent utiliser la liste globale de blocage. 4 Cliquez sur Appliquer ou sur OK. Qu'est-ce que l'enrichissement des données? Vous pouvez enrichir des événements envoyés par la source de données amont avec le contexte qui est absent de l'événement d'origine (par exemple une adresse , un numéro de téléphone ou des informations sur l'emplacement de l'hôte). Ces données enrichies font alors partie de l'événement analysé et elles sont stockées avec l'événement comme les champs d'origine. Pour configurer des sources d'enrichissement de données, vous devez indiquer comment établir la connexion à la base de données et accéder à une ou plusieurs colonnes de table de la base de données. Ensuite, vous devez indiquer quels équipements reçoivent les données et comment enrichir ces données (événements et flux). Vous pouvez également modifier ou supprimer des sources d'enrichissement des données, et exécuter une requête dans la page Enrichissement des données. Pour ce faire, sélectionnez la source, puis cliquez sur Modifier, Supprimer ou Exécuter maintenant. Les événements qui se déclenchent sur l'esm ne sont pas enrichis. L'acquisition des données est effectuée sur l'esm, mais pas sur les équipements. Hadoop HBase contient un connecteur à la source de données relationnelles qui permet d'effectuer l'enrichissement en utilisant les paires clé-valeur de la source. Le mappage des identités dans HBase peut être extrait régulièrement vers un récepteur afin d'enrichir les événements. McAfee Enterprise Security Manager Guide Produit 213

214 3 Configuration de l'esm Qu'est-ce que l'enrichissement des données? Ajout de sources d'enrichissement des données Ajoutez une source d'enrichissement des données et définissez les équipements qui reçoivent les données. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Enrichissement des données Ajouter. Les onglets et les champs de l'assistant Enrichissement des données varient en fonction du type d'enrichissement sélectionné. 2 Renseignez les champs de chaque onglet, puis cliquez sur Suivant. 3 Cliquez sur Terminer, puis sur Ecrire. 4 Sélectionnez les équipements dans lesquels vous souhaitez écrire les règles d'enrichissement des données, puis cliquez sur OK. Configuration de l'enrichissement des données McAfee Real Time for McAfee epo Lorsque vous sélectionnez la source McAfee Real Time for McAfee epo dans l'assistant Enrichissement des données, vous pouvez tester votre requête et choisir les colonnes pour la Recherche et l'enrichissement. 1 Dans l'arborescence de navigation des systèmes, sélectionnez le système, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Enrichissement des données, sur Ajouter, puis indiquez les informations demandées dans l'onglet Principal. 3 Dans l'onglet Source, sélectionnez Real Time for epo dans le champ Type, sélectionnez l'équipement, puis cliquez sur l'onglet Requête. 4 Ajoutez les informations demandées, puis cliquez sur Test. Si la requête ne génère pas les informations que vous recherchez, modifiez les paramètres. Ajout d'une source d'enrichissement de données Hadoop HBase Extraire le mappage des identités HBase via un récepteur pour enrichir les événements en ajoutant Hadoop HBase en tant que source d'enrichissement des données. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Enrichissement des données. 2 Dans l'assistant Enrichissement des données, remplissez les champs de l'onglet Principal, puis cliquez sur l'onglet Source. 3 Dans le champ Type, sélectionnez Hadoop HBase (REST), puis tapez le nom d'hôte, le port et le nom de la table. 214 McAfee Enterprise Security Manager Guide Produit

215 Configuration de l'esm Qu'est-ce que l'enrichissement des données? 3 4 Dans l'onglet Requête, renseignez la colonne de recherche et les informations de la requête : a Mettez Colonne de recherche au format famillecolonne:nomcolonne. b Renseignez la requête avec un filtre d'analyseur, où les valeurs sont codées en base 64. Par exemple : <Scanner batch="1024"> <filter> { "type": "SingleColumnValueFilter", "op": "EQUAL", "family": " ZW1wbG95ZWVJbmZv", "qualifier": "dxnlcm5hbwu=", "latestversion": true, "comparator": { "type": "BinaryComparator", "value": "c2nhcgvnb2f0" } } </filter> </Scanner> 5 Complétez les informations dans les onglets Score et Destination. Ajout d'une source d'enrichissement de données Hadoop Pig Vous pouvez exploiter les résultats de requêtes Apache Pig pour enrichir les événements Hadoop Pig. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système. 2 Cliquez sur Enrichissement des données, puis cliquez sur Ajouter. 3 Cliquez sur l'onglet Principal, remplissez les champs, puis cliquez sur l'onglet Source. Dans le champ Type, sélectionnez Hadoop Pig et indiquez les informations suivantes : Hôte Namenode, Port Namenode, Hôte Jobtracker et port Jobtracker. Les informations Jobtracker ne sont pas obligatoires. Si le champ des informations Jobtracker est vide, l'hôte et le port NodeName sont utilisés par défaut. 4 Dans l'onglet Requête, sélectionnez le mode De base et indiquez les informations suivantes : a Dans Type, sélectionnez le fichier texte et entrez le chemin d'accès du fichier dans le champ Source (par exemple, /user/default/fichier.csv). Ou sélectionnez Base de données de la ruche et entrez une table HCatalog (par exemple, sample_07). b Dans Colonnes, indiquez comment enrichir les données des colonnes. Par exemple, si le fichier texte contient des informations d'employés avec des colonnes pour le numéro de sécurité sociale, le nom, le sexe, l'adresse et le numéro de téléphone, entrez le texte suivant dans le champ Colonnes : emp_name:2, emp_phone:5. Pour la base de données de la ruche, utilisez les noms des colonnes de la table HCatalog. McAfee Enterprise Security Manager Guide Produit 215

216 3 Configuration de l'esm Qu'est-ce que l'enrichissement des données? c d Dans Filtre, vous pouvez utiliser toute expression intégrée Apache Pig pour filtrer les données. Voir la documentation Apache Pig. Si vous avez défini les valeurs des colonnes ci-dessus, vous pouvez regrouper et agréger les données de ces colonnes. Les informations Source et Colonnes sont obligatoires. Les autres champs peuvent être vides. Pour utiliser les fonctions d'agrégation, vous devez définir des groupes. 5 Dans l'onglet Requête, sélectionnez le mode Avancé et entrez un script Apache Pig. 6 Dans l'onglet Score, définissez le score de chaque valeur renvoyée par la requête à une seule colonne. 7 Dans l'onglet Destination, sélectionnez les équipements auxquels vous souhaitez appliquer l'enrichissement. Ajout de l'enrichissement des données Active Directory pour les noms d'utilisateur Vous pouvez exploiter Microsoft Active Directory pour ajouter aux événements Windows le nom d'affichage complet de l'utilisateur. Avant de commencer Vérifiez que vous avez les privilèges Gestion des systèmes. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système. 2 Cliquez sur Enrichissement des données, puis cliquez sur Ajouter. 3 Sur l'onglet Principal, entrez le Nom de l'enrichissement, décrivant l'enrichissement, au format Nom_complet_ID_utilisateur. 4 Définissez le Type de recherche et le Type d'enrichissement sur la valeur String. 5 Définissez Fréquence d'extraction sur quotidien, sauf si Active Directory est fréquemment mis à jour. 6 Cliquez sur Suivant ou sur l'onglet Source. a Dans le champ Type, sélectionnez LDAP. b Indiquez l'adresse IP, le nom d'utilisateur et le mot de passe. 7 Cliquez sur Suivant ou sur l'onglet Requête. a Dans le champ Attribut de recherche, entrez samaccountname. b c d Dans le champ Attribut d'enrichissement, entrez displayname. Dans le champ Requête, entrez (objectclass=person) pour obtenir la liste de tous les objets d'active Directory classés en tant que personne. Testez la requête, laquelle renvoie au maximum 5 valeurs, quel que soit le nombre d'entrées présentes. 216 McAfee Enterprise Security Manager Guide Produit

217 Configuration de l'esm Qu'est-ce que l'enrichissement des données? 3 8 Cliquez sur Suivant ou sur l'onglet Destination. a Cliquez sur Ajouter. b c Sélectionnez votre source de données Microsoft Windows. Dans le champ Champ de recherche, sélectionnez le champ Utilisateur source. Ce champ contient la valeur présente dans l'événement, qui est utilisée en tant que valeur d'index pour la recherche. d Sélectionnez le Champ d'enrichissement, où la valeur d'enrichissement est écrite sous la forme Pseudo_utilisateur ou Nom_contact. 9 Cliquez sur Terminer pour enregistrer. 10 Après l'écriture des paramètres de l'enrichissement sur les équipements, cliquez sur Exécuter maintenant pour récupérer les valeurs d'enrichissement depuis la source de données jusqu'à ce que la valeur Heure de déclenchement quotidien soit atteinte. Le Nom complet est écrit dans le champ Nom_contact. McAfee Enterprise Security Manager Guide Produit 217

218 3 Configuration de l'esm Qu'est-ce que l'enrichissement des données? 218 McAfee Enterprise Security Manager Guide Produit

219 4 Gestion de Cyber Threat McAfee ESM vous permet de récupérer des indicateurs de menaces (IOC) depuis des sources distantes et d'accéder rapidement à l'activité IOC correspondante de votre environnement. La gestion de Cyber Threat vous permet de configurer des flux automatiques qui génèrent des listes de valeurs, des alarmes et des rapports qui vous permettent de visualiser des données exploitables. Par exemple, vous pouvez configurer un flux qui ajoute automatiquement les adresses IP suspectes aux listes de valeurs afin de surveiller le trafic à venir. Ce flux peut générer et envoyer des rapports indiquant les activités antérieures. Les vues dans Vues des workflows d'événements > Indicateurs Cyber Threat permettent d'accéder rapidement à des événements et activités spécifiques de votre environnement. Sommaire Configurer la gestion de Cyber Threat Affichage des résultats du flux Cyber Threat Configurer la gestion de Cyber Threat Configurer des flux pour récupérer des indicateurs de menaces (IOC) des sources distantes. Vous pouvez ensuite utiliser ces flux pour générer des listes de valeurs, des alarmes et des rapports qui permettent aux utilisateurs d'accéder aux activités IOC correspondantes de votre environnement. Avant de commencer Vérifiez que vous avez les autorisations suivantes : Gestion de Cyber Threat : permet à l'utilisateur de définir un flux Cyber Threat. Utilisateur Cyber Threat : permet à l'utilisateur de visualiser les données générées par le flux. 1 Dans l'arborescence de navigation des systèmes, cliquez sur Propriétés du système. 2 Cliquez sur Flux Cyber Threat, puis cliquez sur Ajouter. 3 Sur l'onglet Principal, entrez le nom du flux. 4 Sur l'onglet Source, sélectionnez le type de données source et les informations d'identification pour la connexion. Cliquez sur Connecter pour tester la connexion. Les sources prises en charge sont notamment McAfee Advanced Threat Defense et MITRE Threat Information Exchange (TAXII). McAfee Enterprise Security Manager Guide Produit 219

220 4 Gestion de Cyber Threat Affichage des résultats du flux Cyber Threat 5 Sur l'onglet Fréquence, identifiez la fréquence d'extraction des fichiers IOC par le flux. Les fréquences d'extraction disponibles sont notamment : toutes les x minutes, quotidien, toutes les heures, toutes les semaines ou tous les mois. Définissez l'heure du déclenchement quotidien. 6 Sur l'onglet Liste de valeurs, sélectionnez la propriété ou le champ du fichier IOC à ajouter à une liste de valeurs existante. Vous pouvez ajouter des listes de valeurs pour toute propriété ou tout champ pris en charge. Si la liste de valeurs dont vous avez besoin n'existe pas, cliquez sur Créer une liste de valeurs. 7 Sur l'onglet Suivi arrière, identifiez les événements (par défaut) et flux à analyser, les données concordantes à analyser, et l'antériorité des données à analyser par rapport à ce flux. a b c d Indiquez si vous souhaitez analyser les événements, les flux ou les deux. Indiquez l'antériorité (en jours) pour l'analyse des événements et des flux. Indiquez l'action que ESM doit effectuer si lors du suivi arrière, une concordance de données est détectée. Pour les alarmes, sélectionnez un utilisateur affecté et une gravité. 8 Retournez à l'onglet Principal, puis sélectionnez Activé pour activer ce flux. 9 Cliquez sur Terminer. Voir aussi Affichage des résultats du flux Cyber Threat, page 220 Affichage des résultats du flux Cyber Threat Afficher les indicateurs de menaces (IOC) des sources de données externes, identifiées par les flux Cyber Threat de votre organisation. Vous pouvez accéder rapidement aux informations détaillées sur les menaces, aux descriptions des fichiers et aux événements correspondants pour chaque source d'indicateur. Avant de commencer Vérifiez que vous avez l'autorisation Utilisateur Cyber Threat, qui permet d'afficher les résultats des flux Cyber Threat de votre organisation. 1 Sur la console ESM, dans Synthèse par défaut, sélectionnez Vues des workflows d'événements Indicateurs Cyber Threat. 2 Sélectionnez la période de la vue. 3 Filtrez par nom de flux ou types de données IOC pris en charge. 4 Vous pouvez effectuer différentes actions, notamment : Créer ou ajouter une entrée dans une liste de valeurs. Créer une alarme. Exécuter une commande à distance. Créer un incident. 220 McAfee Enterprise Security Manager Guide Produit

221 Gestion de Cyber Threat Affichage des résultats du flux Cyber Threat 4 Effectuer une recherche dans une période ou consulter la dernière recherche dans une période. Exporter l'indicateur dans un fichier CSV ou HTML. 5 Accédez aux informations détaillées en utilisant les onglets Description, Détails, Evénements sources et Flux sources Voir aussi Configurer la gestion de Cyber Threat, page 219 McAfee Enterprise Security Manager Guide Produit 221

222 4 Gestion de Cyber Threat Affichage des résultats du flux Cyber Threat 222 McAfee Enterprise Security Manager Guide Produit

223 5 Utilisation 5 des packs de contenu Lorsqu'une situation de menace particulière se produit, vous pouvez réagir immédiatement en important et en installant le pack de contenu du serveur de règles. Les packs de contenu contiennent des règles de corrélation, des alarmes, des vues, des rapports, des variables ou des listes de valeurs basées sur des cas d'utilisation pour traiter l'activité liée à des logiciels malveillants ou des menaces spécifiques. Les packs de contenu vous permettent de répondre aux menaces sans passer du temps à créer des nouveaux outils. Importation de packs de contenu McAfee crée des packs de contenu basés sur des cas d'utilisation, contenant des règles de corrélation, des alarmes, des vues, des rapports, des variables ou des listes de valeurs pour traiter l'activité de logiciels malveillants spécifiques. Avant de commencer Vérifiez que vous avez les autorisations suivantes : Gestion des systèmes Administration des utilisateurs 1 Recherche des mises à jour des règles, page 23 Les utilisateurs en ligne reçoivent les packs de contenu disponibles automatiquement lors des mises à jour de règles. Les utilisateurs hors-ligne doivent télécharger et importer les packs de contenu particuliers sur le site hébergeant les règles. 2 Dans l'arborescence de navigation des systèmes, cliquez sur Propriétés du système. 3 Cliquez sur Packs de contenu. 4 Pour importer et installer un nouveau pack de contenu, cliquez sur Parcourir. Lors de la vérification des mises à jour des règles, tout nouveau pack ou toute mise à jour de pack est automatiquement téléchargé. a b Cliquez sur Importer et sélectionnez le fichier du pack de contenu à importer. Cliquez sur Charger. Un message indique l'état de l'importation. McAfee Enterprise Security Manager Guide Produit 223

224 5 Utilisation des packs de contenu Importation de packs de contenu c d Cliquez sur le pack de contenu pour savoir ce que contient le pack. Sélectionnez le pack souhaité, puis installez ce pack de contenu. 5 Pour mettre à jour ou désinstaller un pack de contenu existant, cochez le pack souhaité et cliquez sur Mettre à jour ou Désinstaller. Soyez prudent lors de la mise à jour des packs de contenu existants. Si vous avez personnalisé des éléments d'un pack de contenu, la mise à jour risque d'écraser ces éléments personnalisés. 6 Pour désinstaller un pack de contenu existant, cochez le pack souhaité et cliquez sur Désinstaller. 224 McAfee Enterprise Security Manager Guide Produit

225 6 Utilisation des alarmes Sommaire Fonctionnement des alarmes ESM Création d'une alarme Activation ou désactivation de la surveillance des alarmes Synthèse personnalisée pour les alarmes déclenchées et les incidents Gestion des modèles de message des alarmes Gestion des fichiers audio d'alarme Gestion des destinataires d'alarme Gestion des alarmes Fonctionnement des alarmes ESM Vous pouvez configurer le système pour qu'il fournisse des alarmes en temps réel. Lorsqu'une alarme est déclenchée, elle est automatiquement ajoutée au panneau Fichiers journaux d'alarme, situé au-dessous de l'arborescence de navigation des systèmes ainsi qu'à la vue Alarmes déclenchées. Vous pouvez également configurer une action d'alarme pour : Consigner un événement dans ESM Fournir une alerte visuelle et auditive. Créer un incident pour une personne ou un groupe spécifique. Exécuter un script. Mettre à jour une liste de valeurs. Envoyer un événement vers Remedy. Envoyer un texte ou un . Le panneau Fichiers journaux d'alarme affiche le nombre total des alarmes actuellement répertoriées par gravité : Symbole Gravité Intervalle élevée moyenne faible 1 32 McAfee Enterprise Security Manager Guide Produit 225

226 6 Utilisation des alarmes Création d'une alarme Une fois une alarme ajoutée, elle se déclenche lorsque les conditions sont remplies. Si vous définissez la Fréquence de déclenchement de condition maximale sur 15 minutes, l'alarme se déclenche la première fois lorsque le nombre d'événements indiqué dans le champ Nombre d'événements se produit dans une période de 15 minutes. Les événements qui surviennent pendant les 15 premières minutes ne déclenchent pas l'alarme. Vous pouvez reconnaître, supprimer et afficher les détails d'une des alarmes déclenchées. Si vous reconnaissez une alarme déclenchée, elle ne s'affiche plus dans le panneau Fichiers journaux d'alarme, mais elle est toujours répertoriée dans la vue Alarmes déclenchées. Si vous supprimez une alarme, elle est retirée du panneau Fichiers journaux d'alarme et de la vue Alarmes déclenchées. Si vous sélectionnez l'action Alerte visuelle dans la page Paramètres d'alarme, l'alerte visuelle est fermée après 30 secondes si elle n'a été ni fermée, ni reconnue, ni supprimée. L'alerte audio que vous sélectionnez est émise jusqu'au moment où vous fermez, acquittez ou supprimez l'alerte visuelle ou cliquez sur l'icône audio pour arrêter l'alerte audio. Vous pouvez choisir d'afficher le panneau Fichiers journaux d'alarme dans la page Options (consultez la section Préférences de la console). Voir aussi Sélection des paramètres utilisateur, page 29 Création d'une alarme Ajoutez une alarme afin qu'elle se déclenche lorsque les conditions définies sont remplies. Avant de commencer Vous devez disposer des droits Administrateur ou faire partie d'un groupe d'accès disposant du privilège Gestion des alarmes. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Alarmes Ajouter. 2 Complétez les informations des onglets Synthèse, Condition, Actions et d'escalade. Consultez la section Alarmes UCAPL pour obtenir la liste et la description des alarmes qui vous aideront à satisfaire aux exigences UCAPL (Unified Capabilities Approved Products List). 3 Cliquez sur Terminer. L'alarme est ajoutée à la liste de la page Alarmes et déclenchée lorsque les conditions sont remplies. 226 McAfee Enterprise Security Manager Guide Produit

227 Utilisation des alarmes Création d'une alarme 6 s Configuration d'une alarme de corrélation pour inclure des événements sources, page 229 Si vous ajoutez des marqueurs à une alarme Concordance d'événement interne qui utilise un événement de corrélation pour la concordance, les informations liées aux événements sources sont incluses aux résultats. Ajout d'une alarme Concordance de champ, page 230 Une alarme Concordance de champ est comparée à plusieurs champs d'un événement et elle se déclenche lorsqu'un équipement reçoit et analyse l'événement. Ajout d'une alarme à des règles, page 230 Pour être informé de la génération d'événements par des règles spécifiques, vous pouvez ajouter une alarme à ces règles. Création d'une interruption SNMP à utiliser en tant qu'action d'une alarme, page 184 Vous pouvez envoyer des interruptions SNMP en tant qu'action d'une alarme Ajout d'une alarme de notification de panne d'alimentation, page 184 Ajout d'une alarme pour vous avertir en cas de défaillance de l'une des alimentations ESM. Ajout d'une alarme d'événement du programme de surveillance d'état, page 232 Les règles du programme de surveillance d'état génèrent des événements qui s'affichent au-dessous d'un équipement de base dans l'arborescence de navigation des systèmes. Copie d'une alarme, page 243 Vous pouvez utiliser une alarme existante comme modèle d'une nouvelle alarme en la copiant et en l'enregistrant sous un autre nom. Alarmes UCAPL Vous pouvez ajouter plusieurs types d'alarme pour respecter les exigences UCAPL. Voir Création d'une alarme pour configurer les paramètres généraux d'une alarme, puis suivez les étapes du tableau ci-dessous. Type d'alarme Seuil réglable de connexions en échec atteint Seuil d'inactivité atteint Nombre de sessions simultanées autorisées atteint Echec de la vérification de l'intégrité des fichiers système Certificats sur le point d'expirer Description Pour déclencher une alarme lorsque le seuil réglable du nombre de connexions en échec est atteint pour un même utilisateur, créez une alarme Concordance d'événement interne avec la concordance sur ID de signature, puis entrez la valeur Pour déclencher une alarme lorsqu'un compte d'utilisateur est verrouillé après avoir atteint le seuil d'inactivité, créez une alarme Concordance d'événement interne avec la concordance sur ID de signature, puis entrez la valeur Pour déclencher une alarme lorsqu'un utilisateur tente de se connecter au système alors que le nombre de sessions simultanées autorisées est atteint, créez une alarme Concordance d'événement interne avec la concordance sur ID de signature, puis entrez la valeur Pour déclencher une alarme en cas d'échec de la vérification de l'intégrité des fichiers système, créez une alarme Concordance d'événement interne avec la concordance sur ID de signature, puis entrez la valeur Pour déclencher une alarme lorsque des certificats CAC (Common Access Card) ou de serveur web sont sur le point d'expirer, créez une alarme Concordance d'événement interne avec la concordance sur ID de signature, puis entrez la valeur , , ou L'alarme se déclenche 60 jours avant l'expiration, puis toutes les semaines. Pour le moment, le nombre de jours n'est pas configurable. McAfee Enterprise Security Manager Guide Produit 227

228 6 Utilisation des alarmes Création d'une alarme Type d'alarme Envoi d'interruption SNMP alors que l'état du système n'est pas approuvé Description Pour configurer une interruption SNMP en tant qu'action d'alarme afin qu'elle soit envoyée à la station de gestion réseau (NMS) lorsqu'elle détecte que le système ne fonctionne plus dans un état approuvé ou sécurisé, procédez comme suit : 1 Créez une alarme correspondant à une condition quelconque, puis, dans l'onglet Actions, sélectionnez Envoyer un message. 2 Cliquez sur Ajouter un destinataire SNMP, sélectionnez le destinataire, puis cliquez sur OK. 3 Dans le champ Envoyer un message, cliquez sur Configurer, sur Modèles, puis sur Ajouter. 4 Sélectionnez Modèle SNMP dans le champ Type, entrez le texte du message, puis cliquez sur OK. 5 Dans la page Gestion des modèles, sélectionnez le nouveau modèle, puis cliquez sur OK. 6 Complétez les paramètres d'alarme restants. Envoi de message syslog alors que l'état du système n'est pas approuvé Pour configurer un message syslog en tant qu'action d'alarme afin qu'il soit envoyé à la station de gestion réseau (NMS) si elle détecte que le système ne fonctionne plus dans un état approuvé ou sécurisé, procédez comme suit : 1 Créez une alarme associée à une condition, puis dans l'onglet Actions sélectionnez Envoyer un message. 2 Cliquez sur Ajouter un destinataire Syslog, sélectionnez le destinataire, puis cliquez sur OK. 3 Dans le champ Envoyer un message, cliquez successivement sur Configurer, Modèles et Ajouter. 4 Sélectionnez Modèle Syslog dans le champ Type, entrez le texte du message, puis cliquez sur OK. 5 Dans la page Gestion des modèles, sélectionnez le nouveau modèle, puis cliquez sur OK. 6 Complétez les paramètres d'alarme restants. Echec du journal de sécurité à enregistrer les événements requis Pour configurer une interruption SNMP à envoyer pour avertir un Centre d'exploitation réseau (NOC) approprié dans un délai de 30 secondes si un journal de sécurité ne parvient pas à enregistrer les événements requis, procédez comme suit : 1 Accédez à Propriétés du système Configuration SNMP Interruptions SNMP ou Propriétés de l'équipement Configuration de l'équipement SNMP. 2 Sélectionnez l'interruption d'échec de journal de sécurité, configurez un ou plusieurs profils pour les interruptions à envoyer, puis cliquez sur Appliquer. Les interruptions SNMP sont envoyées au destinataire de profil SNMP accompagnées d'un message indiquant l'échec de l'écriture dans le journal de sécurité. 228 McAfee Enterprise Security Manager Guide Produit

229 Utilisation des alarmes Création d'une alarme 6 Type d'alarme Démarrage ou arrêt des fonctions d'audit Existence d'une session pour chaque rôle d'administration Description Pour configurer une interruption SNMP à envoyer lors du démarrage ou l'arrêt des fonctions d'audit (par exemple la base de données, cpservice, IPSDBServer), sélectionnez Interruptions SNMP ou Paramètres SNMP (consultez la description précédente), puis sélectionnez Interruptions de base de données active/défaillante. Configurez un ou plusieurs profils pour les interruptions à envoyer, puis cliquez sur Appliquer. Pour déclencher une alarme en cas de session d'administration pour chacun des rôles d'administration définis, créez une alarme Concordance d'événement interne avec la concordance sur ID de signature, puis entrez la valeur pour l'administrateur d'audit, pour l'administrateur de cryptographie et pour l'utilisateur avec pouvoir. Vous pouvez également configurer des alarmes distinctes. Voir aussi Création d'une alarme, page 226 Configuration d'une alarme de corrélation pour inclure des événements sources Si vous ajoutez des marqueurs à une alarme Concordance d'événement interne qui utilise un événement de corrélation pour la concordance, les informations liées aux événements sources sont incluses aux résultats. 1 Dans l'arborescence de navigation des systèmes, sélectionnez le système, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Alarmes, cliquez sur l'onglet Paramètres puis sur Modèles. 3 Sur la page Gestion des modèles, cliquez sur Ajouter, puis renseignez les informations demandées. 4 Dans la section Corps du message, placez le curseur à l'endroit où vous souhaitez insérer les marqueurs, puis cliquez sur l'icône Insérer un champ et sélectionnez Bloc d'événement source. 5 Placez le curseur dans les marqueurs, cliquez à nouveau sur l'icône Insérer un champ, puis sélectionnez les informations que vous souhaitez inclure lors du déclenchement de l'alarme de corrélation. Si vous incluez au message l'ip source, l'ip de destination et la gravité de l'événement, le champ du corps de message sera du type suivant : Alarme : [$Alarm Name] Utilisateur affecté : [$Alarm Assignee] Date de déclenchement : [$Trigger Date] Synthèse : [$Alarm Summary] [$SOURCE_EVENTS_START] IP source : [$Source IP] IP de destination : [$Destination IP] Gravité : [$Average Severity] [$SOURCE_EVENTS_END] Si l'alarme n'est pas déclenchée par un événement mis en corrélation, le message n'inclut pas les données. McAfee Enterprise Security Manager Guide Produit 229

230 6 Utilisation des alarmes Création d'une alarme Ajout d'une alarme Concordance de champ Une alarme Concordance de champ est comparée à plusieurs champs d'un événement et elle se déclenche lorsqu'un équipement reçoit et analyse l'événement. La condition d'alarme auparavant appelée Concordance de champ est maintenant appelée Concordance d'événement interne. 1 Dans l'arborescence de navigation des systèmes, sélectionnez le système, cliquez sur l'icône Propriétés, puis sur Alarmes. 2 Cliquez sur Ajouter, entrez le nom de l'alarme et sélectionnez l'utilisateur affecté, puis cliquez sur l'onglet Condition. 3 Dans le champ Type, sélectionnez Concordance de champ, puis définissez les conditions de l'alarme. a Faites glisser l'icône AND ou OR (voir Eléments logiques dans le Guide Produit) pour définir la logique de la condition de l'alarme. b c Faites glisser l'icône Composant de concordance vers un élément logique, puis complétez la page Ajouter un champ de filtre. Dans le champ Fréquence de déclenchement de condition maximale, sélectionnez le temps à laisser entre chaque condition pour éviter un flux excessif de notifications. Chaque déclencheur contient uniquement le premier événement source qui correspond à la condition du déclencheur (et pas les événements survenus durant la période de la fréquence de déclenchement). Les nouveaux événéments correspondant à la condition du déclencheur n'entraînent pas le déclenchement de l'alarme jusqu'à la fin du temps indiqué pour la fréquence de déclenchement maximale. Si vous attribuez la valeur zéro, tous les événements génèrent une alarme. 4 Cliquez sur Suivant et sélectionnez les équipements à surveiller pour cette alarme. Ce type d'alarme prend en charge les équipements Récepteur, ELM (Receiver-Enterprise Log Manager), combinés Récepteur/ELM, ACE (Advanced Correlation Engine) et ADM (Application Data Monitor). 5 Cliquez sur les onglets Actions et d'escalade, définissez les paramètres, puis cliquez sur Terminer. L'alarme est écrite sur l'équipement. En cas d'échec d'écriture de l'alarme sur l'équipement, un indicateur de désynchronisation s'affiche en regard de l'équipement dans l'arborescence de navigation des systèmes. Cliquez sur l'indicateur, puis sur Synchroniser les alarmes. Ajout d'une alarme à des règles Pour être informé de la génération d'événements par des règles spécifiques, vous pouvez ajouter une alarme à ces règles. 230 McAfee Enterprise Security Manager Guide Produit

231 Utilisation des alarmes Création d'une alarme 6 1 Dans l'arborescence de navigation des systèmes, cliquez sur l'icône Editeur de stratégies barre d'outils Actions. dans la 2 Dans le panneau Types de règle, sélectionnez le type de règle. 3 Sélectionnez une ou plusieurs règles dans la zone Affichage des règles. 4 Cliquez sur l'icône Alarmes. 5 Définissez les paramètres de l'alarme. Voir aussi Création d'une alarme, page 226 Création d'une interruption SNMP à utiliser en tant qu'action d'une alarme Vous pouvez envoyer des interruptions SNMP en tant qu'action d'une alarme Avant de commencer Préparez le récepteur d'interruptions SNMP (requis uniquement si vous n'avez pas de récepteur d'interruptions SNMP). 1 Créez un profil SNMP pour indiquer à l'esm où envoyer les interruptions SNMP. a Dans l'arborescence de navigation des systèmes, sélectionnez le système, puis cliquez sur l'icône Propriétés. b c Cliquez sur Gestion des profils, puis sélectionnez Interruption SNMP dans le champ Type de profil. Renseignez les autres champs, puis cliquez sur Appliquer. 2 Configurez SNMP sur l'esm. a Dans Propriétés du système, cliquez sur Configuration SNMP, puis sur Interruptions SNMP. b c Sélectionnez le port, les types d'interruption à envoyer, puis le profil que vous avez ajouté à l'étape 1. Cliquez sur Appliquer. 3 Définissez une alarme en utilisant l'action Interruption SNMP. a Dans Propriétés du système, cliquez sur Alarmes, puis sur Ajouter. b c Renseignez les informations demandées dans les onglets Synthèse, Condition et Equipements, en sélectionnant le type de condition Concordance d'événement interne, puis cliquez sur l'onglet Actions. Sélectionnez Envoyer un message, puis cliquez sur Configurer pour sélectionner ou créer un modèle de message SNMP. McAfee Enterprise Security Manager Guide Produit 231

232 6 Utilisation des alarmes Création d'une alarme d e f Sélectionnez Interruption SNMP de base dans le champ SNMP ou cliquez sur Modèles, puis cliquez sur Ajouter. Sélectionnez un modèle ou cliquez sur Ajouter pour définir un nouveau modèle. Retournez à la page Paramètres d'alarme, puis continuez la configuration de l'alarme. Ajout d'une alarme de notification de panne d'alimentation Ajout d'une alarme pour vous avertir en cas de défaillance de l'une des alimentations ESM. Avant de commencer Configurez une interruption SNMP de défaillance matérielle générale (voir Configuration d'une interruption SNMP de notification de panne d'alimentation). 1 Dans l'arborescence de navigation des systèmes, sélectionnez le système, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Alarmes, puis sur Ajouter, ajoutez les données requises sur l'onglet Synthèse, puis cliquez sur l'onglet Condition. 3 Dans le champ Type, sélectionnez Concordance d'événement interne. 4 Dans le champ Champ, sélectionnez ID de signature, puis entrez dans le champ Valeur(s). 5 Renseignez les informations demandées sur chaque onglet, puis cliquez sur Terminer. Une alarme se déclenche en cas de panne d'alimentation. Ajout d'une alarme d'événement du programme de surveillance d'état Les règles du programme de surveillance d'état génèrent des événements qui s'affichent au-dessous d'un équipement de base dans l'arborescence de navigation des systèmes. Les ID de signature des événements du programme de surveillance d'état peuvent être utilisés dans le champ Valeurs d'une alarme Concordance d'événement interne pour générer une alarme en fonction des événements du programme de surveillance d'état. Le rapport Synthèse des événements du programme de surveillance d'état est ensuite généré comme action de l'alarme. Vous pouvez configurer une alarme d'événement du programme de surveillance d'état de deux manières. 232 McAfee Enterprise Security Manager Guide Produit

233 Utilisation des alarmes Création d'une alarme 6 Pour configurer une alarme... Avant qu'un événement du programme de surveillance d'état ne soit généré Procédez ainsi... 1 Suivez la procédure pour créer une alarme (consultez la section Création d'une alarme). 2 Dans l'arborescence de navigation du système, cliquez sur Condition, puis sélectionnez le type Concordance d'événement interne. 3 Dans la ligne Champ, sélectionnez ID de signature. 4 Dans le champ Valeurs, entrez l'id de signature des règles du programme de surveillance d'état (consultez la section ID de signature du programme de surveillance d'état). 5 Complétez les informations restantes conformément à la description de la section Création d'une alarme. Si un événement du programme de surveillance d'état existe déjà 1 Dans l'arborescence de navigation du système, cliquez sur l'équipement de base, puis sélectionnez une vue qui affiche l'événement du programme de surveillance d'état (Analyse d'événement ou Synthèse par défaut). 2 Cliquez sur l'événement, puis sur l'icône Menu. 3 Sélectionner Actions Créer une alarme depuis, puis cliquez sur ID de signature. 4 Complétez les paramètres restants de l'alarme. Voir aussi Création d'une alarme, page 226 ID de signature du programme de surveillance d'état Cette liste indique les règles du programme de surveillance d'état, ainsi que leur ID de signature, l'équipement et la gravité. Utilisez ces règles lors de la création d'une alarme qui indique qu'un événement de règle du programme de surveillance d'état a été généré. Nom de règle Une connexion à l'interface réseau physique a été établie ou supprimée Une erreur RAID s'est produite Compte désactivé pour cause d'inactivité Compte désactivé car le nombre maximal d'échecs de connexion a été atteint Ajout/modification de commande à distance ID de signature Description Type Equipement Gravité Paramètres de l'interface réseau modifiés, via une session SSH Erreurs RAID rencontrées Compte utilisateur désactivé pour cause d'inactivité Compte utilisateur désactivé car le nombre maximal d'échecs de connexion a été atteint Commande à distance d'alarme ajoutée ou supprimée. Surveillance des logiciels Surveillance du matériel Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels ESM Tous ESM ESM ESM Moyenne Elevée Moyenne Elevée Faible McAfee Enterprise Security Manager Guide Produit 233

234 6 Utilisation des alarmes Création d'une alarme Nom de règle Alerte de modification d'état du collecteur de l'analyseur syslog avancé ID de signature Description Type Equipement Gravité L'analyseur syslog avancé (ASP) s'est arrêté ou a démarré. Processus APM Distiller Le moteur d'extraction de texte PDF/DOC d'adm s'est arrêté ou a démarré. Non-concordance de configuration approuvée Modification de la configuration de l'archivage Alerte de modification d'état du processus d'archivage Evénement de vulnérabilité d'actif Nom de connexion de l'utilisateur administrateur d'audit Modification de la configuration de la sauvegarde Modification d'équipement de découverte du réseau approuvée Les paramètres d'archivage ESM ont été modifiés Le processus d'archivage du récepteur s'est arrêté ou a démarré , Evénement de vulnérabilité créé Evénement UCAPL, connexion de l'administrateur d'audit Paramètres de configuration de la sauvegarde ESM modifiés. Sauvegarde effectuée Sauvegarde effectuée sur le système. Alerte de l'analyseur syntaxique Blue Martini Alerte d'état de la carte d'interface réseau de contournement La certification CAC a expiré La certification CAC va bientôt expirer L'analyseur syntaxique Blue Martini s'est arrêté ou a démarré La carte d'interface réseau est passée à l'état de contournement ou a quitté cet état Certificat CAC ESM expiré Le certificat CAC ESM va bientôt expirer. Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Incident modifié Incident modifié. Surveillance des logiciels Etat d'incident ajouté/ modifié/supprimé Etat d'incident modifié. Surveillance des logiciels Récepteur APM ESM ESM APM/REC/IPS/ DBM ESM ESM ESM ESM Récepteur IPA/ADM/IPS ESM ESM ESM ESM Moyenne Moyenne Faible Faible Moyenne Faible Faible Faible Faible Moyenne Moyenne Elevée Moyenne Faible Faible 234 McAfee Enterprise Security Manager Guide Produit

235 Utilisation des alarmes Création d'une alarme 6 Nom de règle Alerte de modification d'état du canal de communication Echec de la capture de la configuration (erreur d'équipement) Echec de la capture de la configuration (équipement injoignable) ID de signature Description Type Equipement Gravité Le canal de contrôle s'est arrêté ou a démarré Erreur d'équipement de découverte du réseau Equipement de découverte du réseau injoignable. Configuration capturée Configuration de découverte du réseau vérifiée avec succès. Echec de stratégie de configuration Réussite de stratégie de configuration Modification de la configuration de l'allocation des données Alerte d'espace disque disponible des partitions de données Modification de la configuration de la conservation des données Alerte d'état des services de détection de base de données Alerte de modification d'état du programme d'inspection approfondie des paquets Suppression de commande à distance Non utilisé sur le système Non utilisé sur le système Les paramètres d'allocation des données ESM ont été modifiés L'espace disponible sur chaque partition devient faible (par exemple, hada_hd dispose de 10 % d'espace disponible) La configuration de la conservation des données ESM a été modifiée Le service de détection automatique DBM s'est arrêté ou a démarré Le moteur d'inspection approfondie des paquets sur l'équipement IPS ou ADM s'est arrêté ou a démarré Commande à distance d'alarme supprimée. Evénements supprimés L'utilisateur a supprimé des événements ESM. Flux supprimés L'utilisateur a supprimé des flux ESM. Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Tous ESM ESM ESM ESM ESM ESM Tous ESM Tous Tous ESM ESM ESM Moyenne Faible Faible Faible Faible Faible Elevée Moyenne Elevée Moyenne Moyenne Faible Faible Faible McAfee Enterprise Security Manager Guide Produit 235

236 6 Utilisation des alarmes Création d'une alarme Nom de règle ID de signature Ajout d'équipement Nouvel équipement ajouté au système. Suppression d'équipement Un équipement semble inactif Equipement supprimé du système. Description Type Equipement Gravité Evénement de découverte du réseau indiquant qu'un équipement. est peut-être inactif. Equipement injoignable Un équipement de découverte du réseau ajouté à ESM est injoignable. Alerte d'échec du lecteur de disque Alerte de modification d'état du processus d'archivage ELM Vérifie l'intégrité de tous les disques durs (internes et/ou DAS) Le moteur de compression ELM s'est arrêté ou a démarré. FTP ELM EDS Le programme SFTP d'elm s'est arrêté ou a démarré. Processus de fichier ELM Le moteur de réinsertion ELM s'est arrêté ou a démarré. En cas d'échec d'un journal pour une raison ou une autre, il tente à nouveau l'insertion. Si la réinsertion échoue, cette règle se déclenche. Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance du matériel Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels ESM ESM ESM ESM Tous APM/REC/IPS/ DBM ELM ELM Faible Faible Faible Faible Elevée Moyenne Moyenne Moyenne Alerte FTI ELM Le moteur d'indexation de texte intégral ELM s'est arrêté ou a démarré. Alerte de modification d'état du point de montage ELM Alerte de modification d'état du moteur de requête ELM Stockage redondant ELM Le stockage à distance ELM (CIFS, NFS, ISCSI, SAN) s'est arrêté ou a démarré Le traitement des travaux ELM (tous les travaux ELM tels que les requêtes et les insertions ELM) s'est arrêté ou a démarré. La mise en miroir ELM s'est arrêtée ou a démarré. Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels ELM ELM ELM ELM Moyenne Moyenne Moyenne Moyenne 236 McAfee Enterprise Security Manager Guide Produit

237 Utilisation des alarmes Création d'une alarme 6 Nom de règle Erreur de base de données système ELM Alerte de modification d'état du collecteur d' s Marqueurs EPO appliqués Erreur de communication avec ELM Erreur de communication SSH ID de signature Description Type Equipement Gravité La base de données ELM s'est arrêtée ou a démarré Le collecteur Cisco MARS s'est arrêté ou a démarré Marqueurs McAfee epo appliqués Echec de la communication avec ELM Problèmes sur l'équipement lors de la communication avec ELM (par exemple : différence de version, modification de clé). Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Redémarrage ESM ESM a redémarré. Surveillance des logiciels Arrêt ESM ESM a été arrêté. Surveillance des logiciels Alerte du collecteur estreamer Alerte de modification d'état du collecteur estreamer Détachement de partition d'événement Exécution de commande à distance Echec de connexion car le nombre maximal de sessions simultanées a été atteint Echec du formatage de l'équipement SAN Echec de connexion d'utilisateur Alerte de modification d'état du collecteur de fichiers Le collecteur estreamer s'est arrêté ou a démarré Le collecteur estreamer s'est arrêté ou a démarré Partition d'événement détachée Commande à distance d'alarme exécutée Echec de la connexion de l'utilisateur car le nombre maximal de sessions simultanées a été atteint Echec du formatage de l'équipement SAN sur ELM. L'utilisateur doit réessayer La connexion de l'utilisateur a échoué Le programme de collecte s'est arrêté ou a démarré. Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance du matériel Surveillance des logiciels Surveillance des logiciels ELM Récepteur ESM APM/REC/IPS/ DBM Tous ESM ESM Récepteur Récepteur ESM ESM ESM ESM ESM Récepteur Elevée Moyenne Faible Elevée Elevée Moyenne Moyenne Moyenne Moyenne Faible Faible Elevée Elevée Moyenne Moyenne McAfee Enterprise Security Manager Guide Produit 237

238 6 Utilisation des alarmes Création d'une alarme Nom de règle ID de signature Fichier supprimé Un fichier pouvant être ajouté ou supprimé, tel qu'un fichier audio ou journal d'esm, a été supprimé. Alerte de modification d'état du processus de filtrage Alerte de modification d'état du programme d'agrégation des alertes de pare-feu Détachement de partition de flux Echec d'obtention de données VA Réussite de l'obtention de données VA Alerte interne du programme de surveillance d'état Alerte de modification d'état du collecteur HTTP Modification de la configuration de l'indexation Description Type Equipement Gravité Le programme de filtrage sur l'équipement s'est arrêté ou a démarré (règles de filtre) Le programme d'agrégation de pare-feu sur l'équipement IPS ou ADM s'est arrêté ou a démarré Partition de flux détachée ESM n'a pas pu obtenir les données VA ESM a obtenu les données VA Le processus du programme de surveillance d'état s'est arrêté ou a démarré Le collecteur HTTP s'est arrêté ou a démarré Les paramètres d'indexation ESM ont été modifiés. Clé SSH non valide Problèmes sur l'équipement lors de la communication avec ELM (par exemple : différence de version, modification de clé). Alerte de modification d'état du collecteur IPFIX Nom de connexion de l'utilisateur administrateur de clés et certificats Partition de journaux réinitialisée Le collecteur IPFIX (flux) s'est arrêté ou a démarré Evénement UCAPL, connexion de l'administrateur de cryptographie Les partitions les plus anciennes de la base de données ont été réinitialisées. Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels ESM Récepteur IPS/ADM/IPS ESM ESM ESM Tous Récepteur ESM Tous Récepteur ESM ESM Faible Moyenne Moyenne Faible Moyenne Faible Moyenne Moyenne Moyenne Elevée Moyenne Faible Faible 238 McAfee Enterprise Security Manager Guide Produit

239 Utilisation des alarmes Création d'une alarme 6 Nom de règle Alerte d'espace disque disponible des partitions de journaux Alerte de modification d'état du serveur de base de données McAfee EDB Alerte du collecteur McAfee epo Alerte de modification d'état de McAfee Event Format Echec de communication de l'équipement McAfee SIEM Alerte Microsoft Forefront Threat Management Gateway Alerte de modification d'état du récupérateur MS-SQL Alerte de journal multi-événements ID de signature Description Type Equipement Gravité L'espace disponible sur la partition de journaux (/var) est faible La base de données s'est arrêtée ou a démarré Le collecteur McAfee epo s'est arrêté ou a démarré Le collecteur McAfee Event Format s'est arrêté ou a démarré ESM ne peut pas communiquer avec un autre équipement Le collecteur Forefront Threat Management Gateway s'est arrêté ou a démarré Le collecteur MS SQL s'est arrêté ou a démarré (toute source de données de MS SQL) Le collecteur j s'est arrêté ou a démarré. Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Analyse MVM initialisée Analyse MVM lancée. Surveillance des logiciels Alerte de modification d'état du collecteur NetFlow Nouveau compte utilisateur Alerte de modification d'état du collecteur NFS/ CIFS Alerte de modification d'état du collecteur NitroFlow Le collecteur NetFlow (flux) s'est arrêté ou a démarré Nouvel utilisateur ajouté au système Le montage à distance pour NFS ou CIFS s'est arrêté ou a démarré Le collecteur NitroFlow (flux sur l'équipement) s'est arrêté ou a démarré. Clé SSH introuvable Problèmes sur l'équipement lors de la communication avec ELM (par exemple : différence de version, modification de clé). Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Tous Tous Récepteur Récepteur ESM Récepteur Récepteur Récepteur ESM Récepteur ESM Récepteur Récepteur Tous Moyenne Moyenne Moyenne Moyenne Elevée Moyenne Moyenne Moyenne Faible Moyenne Faible Moyenne Moyenne Elevée McAfee Enterprise Security Manager Guide Produit 239

240 6 Utilisation des alarmes Création d'une alarme Nom de règle Ajout/modification dans la liste noire NSM Suppression d'entrée dans la liste noire NSM Alerte de modification d'état du récupérateur OPSEC Alerte de modification d'état du récupérateur OPSEC Alerte du collecteur Oracle IDM Alerte de surabonnement Alerte du collecteur/ analyseur syntaxique de plug-in ID de signature Description Type Equipement Gravité Entrée ajoutée ou modifiée dans la liste noire NSM Entrée de liste noire NSM supprimée Le collecteur OPSEC (Check Point) s'est arrêté ou a démarré Le collecteur OPSEC (Check Point) s'est arrêté ou a démarré Le collecteur Oracle IDM s'est arrêté ou a démarré L'équipement ADM ou IPS est passé en mode surabonnement ou a quitté ce mode Le collecteur/ analyseur syntaxique de plug-in s'est arrêté ou a démarré. Ajout de stratégie Stratégie ajoutée au système. Suppression de stratégie Stratégie supprimée du système. Modification de stratégie Stratégie modifiée sur le système. Non-concordance de configuration précédente Récepteur haute disponibilité Configuration du récepteur haute disponibilité Opsec ESM redondant désynchronisé Alerte de modification d'état du point de montage NFS à distance Alerte d'espace disque disponible du point de montage/partage à distance Configuration d'équipement de découverte du réseau modifiée Tous les processus haute disponibilité se sont arrêtés ou ont démarré (Corosync, script de contrôle de haute disponibilité). Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Non utilisé. Surveillance des logiciels ESM redondant désynchronisé Le montage ELM NFS s'est arrêté ou a démarré L'espace disque disponible sur le point de montage à distance est faible. Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels ESM ESM Récepteur Récepteur Récepteur IPS/ADM/IPS Récepteur ESM ESM ESM ESM Récepteur Récepteur ESM ELM ESM Faible Faible Moyenne Moyenne Moyenne Moyenne Moyenne Faible Faible Faible Faible Moyenne Faible Elevée Moyenne Moyenne 240 McAfee Enterprise Security Manager Guide Produit

241 Utilisation des alarmes Création d'une alarme 6 Nom de règle Alerte de modification d'état du partage SMB/ CIFS à distance Alerte de modification d'état de la corrélation des risques Alerte d'espace disque disponible de la partition racine ID de signature Description Type Equipement Gravité Le point de montage à distance SMB/CIFS s'est arrêté ou a démarré Le moteur de corrélation des risques s'est arrêté ou a démarré L'espace disque disponible sur les partitions racine est faible. Ajout de règle Règle ajoutée au système, de type ASP, filtre ou corrélation. Suppression de règle Règle supprimée du système. Modification de règle Règle modifiée sur le système. Echec de mise à jour de règle Alerte de modification d'état du récupérateur SDEE Alerte de modification d'état du collecteur sflow Alerte de modification d'état du collecteur SNMP Alerte de modification d'état du collecteur SQL Alerte de modification d'état du collecteur Symantec AV Alerte de modification d'état du collecteur Syslog Connexion d'utilisateur administrateur système Echec de vérification de l'intégrité du système Echec de mise à jour de règle ESM Le collecteur SDEE s'est arrêté ou a démarré Le collecteur sflow (flux) s'est arrêté ou a démarré Le collecteur SNMP s'est arrêté ou a démarré Le collecteur SQL (anciennement NFX) s'est arrêté ou a démarré Le collecteur Symantec AV s'est arrêté ou a démarré Le collecteur Syslog s'est arrêté ou a démarré Administrateur système connecté au système Un programme ou un processus étranger non ISO en cours d'exécution sur le système est marqué. Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Récepteur ACE Tous ESM ESM ESM ESM Récepteur Récepteur Récepteur Récepteur Récepteur Récepteur ESM Tous Moyenne Moyenne Moyenne Faible Faible Faible Moyenne Moyenne Moyenne Moyenne Moyenne Moyenne Moyenne Faible Elevée McAfee Enterprise Security Manager Guide Produit 241

242 6 Utilisation des alarmes Création d'une alarme Nom de règle Alerte de modification d'état de l'enregistreur d'événements système Tâche (requête) terminée Alerte d'espace disque disponible de la partition temporaire Alerte de modification d'état de l'analyseur syntaxique de journaux de texte Modification de compte utilisateur Echec de connexion d'équipement utilisateur Connexion d'équipement utilisateur Déconnexion d'équipement utilisateur ID de signature Description Type Equipement Gravité Le processus de journalisation du système s'est arrêté ou a démarré Le gestionnaire des tâches a été fermé L'espace disponible sur la partition temporaire (/tmp) est faible Le processus Textparser s'est arrêté ou a démarré Compte utilisateur modifié Echec de connexion d'utilisateur SSH Non utilisé sur le système Utilisateur SSH déconnecté. Connexion d'utilisateur Utilisateur connecté au système. Déconnexion d'utilisateur Alerte d'état du moteur de données VA Utilisateur déconnecté du système Le moteur VA (vaded.pl) s'est arrêté ou a démarré. Ajout de variable Variable de stratégie ajoutée. Suppression de variable Variable de stratégie supprimée. Modification de variable Variable de stratégie modifiée. Le certificat du serveur web a expiré Le certificat du serveur web va bientôt expirer Alerte du collecteur Websense Alerte de modification d'état du collecteur du journal des événements WMI Le certificat du serveur web ESM a expiré Le certificat du serveur web ESM va bientôt expirer Le collecteur Websense s'est arrêté ou a démarré Le collecteur WMI s'est arrêté ou a démarré. Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Surveillance des logiciels Tous ESM Tous Récepteur ESM ESM ESM ESM ESM ESM Récepteur ESM ESM ESM ESM ESM Récepteur Récepteur Moyenne Faible Moyenne Moyenne Faible Faible Faible Faible Faible Faible Moyenne Faible Faible Faible Elevée Moyenne Moyenne Moyenne 242 McAfee Enterprise Security Manager Guide Produit

243 Utilisation des alarmes Activation ou désactivation de la surveillance des alarmes 6 Copie d'une alarme Vous pouvez utiliser une alarme existante comme modèle d'une nouvelle alarme en la copiant et en l'enregistrant sous un autre nom. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Alarmes. 2 Sélectionnez l'alarme que vous souhaitez copier, puis cliquez sur Copier. La page Nom de l'alarme affiche le nom de l'alarme actuelle suivi de _copie. 3 Modifiez le nom, puis cliquez sur OK. 4 Pour modifier les paramètres de l'alarme, sélectionnez l'alarme copiée, puis cliquez sur Modifier. 5 Modifiez les paramètres comme il vous convient. Voir aussi Création d'une alarme, page 226 Activation ou désactivation de la surveillance des alarmes La surveillance des alarmes est activée par défaut. Vous pouvez la désactiver, puis la réactiver comme il vous convient. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Alarmes. 2 Cliquez sur l'onglet Paramètres, puis sur Désactiver. La surveillance des alarmes est arrêtée et le bouton est modifié pour indiquer Activer. 3 Cliquez sur Activer pour reprendre la surveillance des alarmes. Synthèse personnalisée pour les alarmes déclenchées et les incidents Sélectionnez les données à inclure à la synthèse des alarmes et la synthèse des incidents concernant les alarmes Concordance de champ et Concordance d'événement interne. 1 Dans l'arborescence de navigation des systèmes, sélectionnez le système, puis cliquez sur l'icône Propriétés. 2 Dans la page Propriétés du système, cliquez sur Alarmes, puis sur Ajouter. McAfee Enterprise Security Manager Guide Produit 243

244 6 Utilisation des alarmes Gestion des modèles de message des alarmes 3 Dans l'onglet Condition, sélectionnez le type Concordance de champ ou Concordance d'événement interne. 4 Dans l'onglet Actions, cliquez sur Créer un incident pour, puis sur l'icône des variables les champs à inclure dans la synthèse des incidents. et sélectionnez 5 Dans l'onglet Personnaliser la synthèse des alarmes déclenchées, cliquez sur l'icône des variables sélectionnez les champs à inclure dans la synthèse de l'alarme déclenchée., puis 6 Entrez les autres informations demandées pour configurer l'alarme (voir Créer une alarme), puis cliquez sur Terminer. Gestion des modèles de message des alarmes Parmi les actions disponibles lors de la configuration d'une alarme vous pouvez choisir Envoyer un message. Cela vous permet de transférer des informations sur l'alarme aux destinataires sélectionnés, par message , SMS (Short Message Services), SNMP ou Syslog. Vous pouvez ajouter des modèles pour définir le contenu de ces messages afin d'envoyer aux destinataires les informations les plus utiles. Vous pouvez ensuite sélectionner le modèle lorsque vous définissez l'action d'une alarme. Vous pouvez ajouter des modèles pour définir le contenu de ces messages afin d'envoyer aux destinataires les informations les plus utiles. Vous pouvez ensuite sélectionner le modèle lorsque vous définissez l'action d'une alarme. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Alarmes. 2 Cliquez sur l'onglet Paramètres, puis sur Modèles. 3 Affichez la liste des modèles ou sélectionnez l'une des options disponibles, puis cliquez sur OK. Gestion des fichiers audio d'alarme Vous pouvez charger et télécharger des fichiers audio et les utiliser pour les alertes audio. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Alarmes. 2 Cliquez sur l'onglet Paramètres, puis sur Audio. 3 Vous pouvez télécharger, charger, supprimer ou lire des fichiers audio. Lorsque vous avez terminé, cliquez sur Fermer. Gestion des destinataires d'alarme Lorsque vous définissez les paramètres d'action d'une alarme, vous avez la possibilité d'envoyer un message à des destinataires. Vous pouvez gérer les listes des destinataires sur la page Alarmes. 244 McAfee Enterprise Security Manager Guide Produit

245 Utilisation des alarmes Gestion des alarmes 6 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Alarmes. 2 Cliquez sur Paramètres, puis sur l'onglet Indexation du cumul. 3 Sélectionnez le type de liste de destinataires que vous souhaitez gérer, puis ajoutez, modifiez ou supprimez des destinataires. Gestion des alarmes Lorsqu'une alarme est déclenchée, vous pouvez la reconnaître, la supprimer ou en afficher les détails. Vous pouvez également supprimer la reconnaissance d'une alarme, modifier l'utilisateur affecté et créer un incident à partir d'une alarme. 1 Accédez à l'un des éléments ci-dessous : Panneau Fichiers journaux d'alarme : situé au-dessous de l'arborescence de navigation des systèmes. Alerte pop-up visuelle : s'ouvre lors du déclenchement d'une alarme. Page Détails : s'ouvre lorsque vous cliquez sur l'icône Détails dans le panneau Fichiers journaux d'alarme. 2 Effectuez l'une des actions suivantes : Pour... Reconnaître une alarme Procédez ainsi... Cliquez sur l'icône Reconnaître. Annuler l'acquittement d'une alarme Cliquez sur l'icône Annuler l'acquittement. Supprimer une alarme Afficher les détails d'alarme Modifier l'utilisateur affecté Créer un incident à partir d'une alarme Cliquez sur l'icône Supprimer. Dans le panneau Fichiers journaux d'alarme ou dans l'alerte pop-up visuelle, cliquez sur l'icône Détails. Dans la page Détails, cliquez sur Utilisateur affecté et sélectionnez un nom. Dans la page Détails, cliquez sur Créer un incident. s Affichage de la file d'attente des rapports d'alarme, page 246 Si vous avez sélectionné l'action d'alarme Générer des rapports, vous pouvez afficher ou modifier les rapports en attente d'exécution, puis afficher les rapports terminés. Gestion des fichiers de rapport d'alarme, page 246 Après l'exécution d'un rapport d'alarme, le rapport est ajouté à la liste des rapports disponibles de l'esm. Vous pouvez afficher cette liste et effectuer différentes actions. McAfee Enterprise Security Manager Guide Produit 245

246 6 Utilisation des alarmes Gestion des alarmes Voir aussi Ajout d'un incident, page 303 Affichage de la file d'attente des rapports d'alarme Si vous avez sélectionné l'action d'alarme Générer des rapports, vous pouvez afficher ou modifier les rapports en attente d'exécution, puis afficher les rapports terminés. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, cliquez sur Alarmes, puis sur l'onglet Paramètres. 2 Effectuez l une des procédures suivantes : Pour afficher ou annuler les rapports placés en file d'attente pour l'exécution, cliquez sur Afficher. Pour afficher et gérer les rapports terminés, cliquez sur Fichiers. 3 Cliquez sur Fermer. Gestion des fichiers de rapport d'alarme Après l'exécution d'un rapport d'alarme, le rapport est ajouté à la liste des rapports disponibles de l'esm. Vous pouvez afficher cette liste et effectuer différentes actions. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Alarmes. 2 Cliquez sur l'onglet Paramètres, sur Fichiers, puis indiquez si vous souhaitez télécharger, charger ou supprimer des rapports dans la liste. 3 Cliquez sur Fermer. 246 McAfee Enterprise Security Manager Guide Produit

247 7 Utilisation 7 des événements ESM vous permet d'identifier, de collecter, de traiter, de mettre en corrélation et de stocker des milliards d'événements et de flux, en maintenant toutes les informations disponibles pour les requêtes, les analyses, la validation des règles et la conformité. Sommaire Evénements, flux et journaux Gestion des rapports Description des filtres contains et regex Utilisation des vues d'esm Filtres de type personnalisé Evénements, flux et journaux Les différents types d'activités qui ont lieu sur un équipement sont enregistrés sous forme d'événements, de flux et de journaux. Un événement est une activité enregistrée par un équipement selon une règle définie sur votre système. Un flux est l'enregistrement d'une connexion établie entre des adresses IP, dont au moins une est votre HOME_NET. Un journal est l'enregistrement d'un événement qui s'est produit sur un équipement de votre système. Les événements et les flux comportent des adresses IP de destination, des ports, des adresses MAC (Media Access Control), un protocole et une heure de début et de fin (indiquant la durée entre le début et la fin de la connexion). Toutefois, les événements et les flux se différencient par plusieurs aspects : Comme les flux n'indiquent pas un trafic anormal ou malveillant, ils sont plus nombreux que les événements. Un flux n'est pas associé à une signature de règle (SigID) comme c'est le cas pour un événement. Les flux ne sont pas associés à des actions d'événement telles que l'alerte, l'abandon et le rejet. Certaines données sont propres aux flux, notamment les octets source et destination, ainsi que les paquets source et de destination. Les octets et les paquets source représentent le nombre d'octets et de paquets transmis par la source du flux, tandis que les octets et les paquets de destination représentent le nombre d'octets et de paquets transmis par la destination du flux. Un flux transite dans un sens : un flux entrant est un flux provenant de l'extérieur de HOME_NET. alors qu'un flux sortant provient de l'intérieur de HOME_NET. Cette variable est définie dans une stratégie pour un équipement Nitro IPS. Les événements et les flux générés par le système peuvent être affichés sur des vues que vous pouvez sélectionner sur la liste déroulante des vues. Les journaux sont répertoriés dans le Journal système ou le Journal de l'équipement accessibles sur la page Propriétés du système ou de chaque équipement. McAfee Enterprise Security Manager Guide Produit 247

248 7 Utilisation des événements Evénements, flux et journaux Configuration des téléchargements d'événements, de flux et de journaux Recherchez manuellement les événements, les flux et les journaux ou définissez l'équipement pour qu'il procède automatiquement à cette recherche. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Evénements, flux et journaux, Evénements et journaux ou Journaux. 3 Configurez les téléchargements, puis cliquez sur Appliquer. Durée maximale de collecte des données Vous pouvez planifier une période quotidienne qui détermine la plage d'extraction des données de chaque équipement par l'esm ainsi que l'envoi des données à l'elm par chaque équipement. Avant de commencer Désactivez l'agrégation dynamique et définissez l'agrégation de niveau 1 entre 240 et 360 minutes (voir Modification des paramètres d'agrégation des événements ou des flux). Vous pouvez utiliser cette fonctionnalité pour éviter d'utiliser le réseau aux heures de pointe afin que la bande passante soit disponible pour d'autres applications. L'envoi de données à l'esm et l'elm étant ainsi retardé, vous devez déterminer si ce retard est acceptable dans votre environnement. Soyez prudent lors de la configuration de cette fonctionnalité, car la planification de la collecte d'événements, de flux et de journaux peut provoquer une fuite de données. 1 Dans l'arborescence de navigation des systèmes, sélectionnez l'équipement, puis cliquez sur l'icône Propriétés. 2 Sélectionnez l'une des options suivantes : Evénements, flux et journaux Evénements et journaux Journaux 3 Sélectionnez Définir la période d'extraction des données quotidienne, puis définissez l'heure de départ et l'heure de fin de la période. L'ESM collecte les données à partir de l'équipement qui les envoie à l'elm pour journalisation pendant la période ainsi définie. Lorsque vous définissez une période sur un ELM, celle-ci détermine à quel moment l'esm collecte les données à partir de l'elm et les envoie à l'elm pour journalisation. Définition des paramètres de seuil d'inactivité Lorsque vous définissez un seuil d'inactivité pour un équipement, vous recevez une notification si aucun événement ou flux n'est généré durant la période de temps définie. Lorsque le seuil est atteint, 248 McAfee Enterprise Security Manager Guide Produit

249 Utilisation des événements Evénements, flux et journaux 7 un indicateur jaune d'état d'intégrité s'affiche à côté du nœud de l'équipement dans l'arborescence de navigation du système. 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés du système, vérifiez que Informations système est sélectionné, puis cliquez sur Evénements, flux et journaux. 2 Cliquez sur Paramètres d'inactivité. 3 Sélectionnez l'équipement, puis cliquez sur Modifier. 4 Effectuez les modifications, puis cliquez sur OK. Obtention des événements et des flux Récupérez les événements et les flux des équipements que vous sélectionnez dans l'arborescence de navigation des systèmes. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un système, un groupe ou un équipement. 2 Cliquez sur l'icône Obtenir les événements et les flux étapes requises. dans la barre d'outils Actions, puis suivez les 3 Une fois le téléchargement terminé, sélectionnez une vue dans laquelle afficher ces événements et ces flux, puis cliquez sur l'icône Actualiser la vue actuelle dans la barre d'outils Vues. Recherche des événements, des flux et des journaux Vous pouvez définir l'esm pour qu'il recherche les événements, les flux et les journaux automatiquement, ou bien vous pouvez les rechercher manuellement. La fréquence de vérification dépend du niveau d'activité de votre système et de la fréquence selon laquelle vous souhaitez recevoir les mises à jour du statut. Vous pouvez également choisir les équipements qui doivent rechercher chaque type d'information et définir le seuil d'inactivité des équipements managés par l'esm. 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés du système, puis cliquez sur Evénements, flux et journaux. 2 Effectuez les sélections et les modifications relatives à la récupération des événements, des flux et des journaux. 3 Cliquez sur OK. Voir aussi Définition des paramètres de seuil d'inactivité, page 248 McAfee Enterprise Security Manager Guide Produit 249

250 7 Utilisation des événements Evénements, flux et journaux Définition des paramètres de géolocalisation et ASN L'option Géolocalisation indique l'emplacement géographique réel des ordinateurs connectés à Internet. Le Numéro de système autonome (ASN) est un numéro qui est affecté à un système autonome et qui identifie de façon unique chaque réseau sur Internet. Ces deux types de données peuvent vous aider à identifier l'emplacement physique d'une menace. Les données de géolocalisation sources et de destination peuvent être collectées pour des événements. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Evénements, flux et journaux ou Evénements et journaux, puis sur Géolocalisation. 3 Sélectionnez les options appropriées pour générer les informations nécessaires, puis cliquez sur OK. Vous pouvez filtrer les données d'événement à l'aide de ces informations. Obtention des événements et des flux Récupérez les événements et les flux des équipements que vous sélectionnez dans l'arborescence de navigation des systèmes. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un système, un groupe ou un équipement. 2 Cliquez sur l'icône Obtenir les événements et les flux étapes requises. dans la barre d'outils Actions, puis suivez les 3 Une fois le téléchargement terminé, sélectionnez une vue dans laquelle afficher ces événements et ces flux, puis cliquez sur l'icône Actualiser la vue actuelle dans la barre d'outils Vues. Agrégation des événements ou des flux Un événement ou un flux peut potentiellement être généré des milliers de fois. Au lieu de vous forcer à examiner des milliers d'événements identiques, l'agrégation vous permet de les afficher sous la forme d'un événement ou d'un flux unique accompagné d'un nombre indiquant le nombre d'occurrences. L'agrégation permet d'utiliser l'espace disque de façon plus efficace à la fois sur l'équipement et sur l'esm, car elle permet d'éviter le stockage de chaque paquet. Cette fonctionnalité s'applique uniquement aux règles pour lesquelles l'agrégation est activée dans l'editeur de stratégie. Adresse IP source et de destination Les valeurs non définies ou agrégées des adresses IP sources et de destination s'affichent sous la forme «::» et non sous la forme « » dans tous les ensembles de résultats. Par exemple : 250 McAfee Enterprise Security Manager Guide Produit

251 Utilisation des événements Evénements, flux et journaux 7 ::ffff: est inséré sous la forme 0:0:0:0:0:FFFF:A00:C07 (A00:C07 is ). ::0000: équivaut à Evénements et flux agrégés Les événements et flux agrégés utilisent les champs de début, de fin et de totalité pour indiquer la durée et la valeur de l'agrégation. Exemple : si un même événement se produit 30 fois au cours des 10 premières minutes après midi, le champ Première fois contient l'heure 12:00 (heure de la première instance de l'événement), le champ Dernière fois contient l'heure 12:10 (heure de la dernière instance de l'événement) et le champ Total contient la valeur 30. Vous pouvez modifier les paramètres d'agrégation des événements ou des flux par défaut pour l'ensemble de l'équipement. S'il s'agit d'événements, vous pouvez ajouter des exceptions aux paramètres de l'équipement pour les règles individuelles (voir Gestion des exceptions à l'agrégation d'événements). L'agrégation dynamique est également activée par défaut. Si elle est sélectionnée, elle remplace les paramètres de l'agrégation de Niveau 1 et augmente les paramètres des Niveau 2 et Niveau 3. Elle récupère les enregistrements en fonction du paramètre de récupération des événements, flux et journaux. S'il est défini sur la récupération automatique, l'équipement compresse un enregistrement uniquement jusqu'à sa première extraction par ESM. S'il est défini sur la récupération manuelle, un enregistrement est compressé jusqu'à 24 heures ou tant qu'aucun nouvel enregistrement n'a été extrait manuellement, et ce, quel que soit ce premier événement. Si la durée de la compression atteint la limite de 24 heures, un nouvel enregistrement est extrait, et la compression commence dans ce nouvel enregistrement. Modification des paramètres d'agrégation des événements ou des flux L'agrégation des événements et l'agrégation des flux sont activées par défaut. Elles sont définies sur Elevée. Vous pouvez modifier les paramètres comme il vous convient. Les performances de chaque paramètre sont décrites dans la page Agrégation. Avant de commencer Pour modifier ces paramètres, vous devez avoir des privilèges Administrateur de stratégie et Gestion des équipements ou bien Administrateur de stratégie et Règles personnalisées. L'agrégation des événements est disponible uniquement pour les équipements ADM, IPS et pour le récepteur alors que l'agrégation des flux est disponible pour l'équipement IPS et le récepteur. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Agrégation d'événements ou Agrégation des flux. 3 Définissez les paramètres, puis cliquez sur OK. Ajout d'exceptions aux paramètres d'agrégation des événements Les paramètres d'agrégation s'appliquent à tous les événements générés par un équipement. Vous pouvez créer des exceptions pour chaque règle si les paramètres généraux ne s'appliquent pas aux événements générés par la règle. McAfee Enterprise Security Manager Guide Produit 251

252 7 Utilisation des événements Evénements, flux et journaux 1 Sur le volet des vues, sélectionnez un événement généré par la règle pour laquelle vous souhaitez ajouter une exception. 2 Cliquez sur l'icône Menu, puis sélectionnez Modifier les paramètres d'agrégation. 3 Sélectionnez les types de champ que vous souhaitez agréger dans les listes déroulantes Champ 2 et Champ 3. Les champs sélectionnés dans Champ 2 et Champ 3 doivent être de types différents, sinon une erreur est générée. Lorsque vous sélectionnez ces types de champ, la description de chaque niveau d'agrégation est modifiée pour refléter vos sélections. Les limites de temps de chaque niveau dépend des paramètres d'agrégation des événements que vous avez définis pour l'équipement. 4 Cliquez sur OK pour enregistrer les paramètres, puis cliquez sur Oui pour continuer. 5 Désélectionnez les équipements sur lesquels vous ne souhaitez pas déployer les modifications. 6 Cliquez sur OK pour déployer les modifications sur les équipements sélectionnés. La colonne Statut indique le statut de la mise à jour au fur et à mesure du déploiement des modifications. Gestion des exceptions à l'agrégation d'événements Vous pouvez afficher la liste des exceptions à l'agrégation d'événements qui ont été ajoutées au système. Vous pouvez également modifier ou supprimer une exception. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Agrégation d'événements, puis sur Afficher en bas de l'écran. 3 Apportez les modifications nécessaires, puis cliquez sur Fermer. Configuration du transfert des événements Le transfert des événements vous permet d'envoyer des événements depuis ESM vers un autre équipement via Syslog ou SNMP (si activé). Vous devez définir la destination. Vous pouvez également indiquer si vous souhaitez inclure le paquet et brouiller les données d'ip. Vous pouvez ajouter des filtres afin que les données d'événement soient filtrées avant leur transfert. Cela ne remplace pas la gestion des journaux, car il ne s'agit pas de l'ensemble complet des journaux signés numériquement de chaque équipement de votre environnement. Configuration du transfert des événements Vous pouvez configurer une destination de transfert des événements pour transférer les données d'événement vers un serveur Syslog ou SNMP. Le nombre de destinations de transfert des événements utilisées combiné à la fréquence et au nombre d'événements qui sont récupérés par votre ESM peut affecter les performances globales d'esm. 252 McAfee Enterprise Security Manager Guide Produit

253 Utilisation des événements Evénements, flux et journaux 7 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Transfert des événements. 2 Dans la page Destinations de transfert des événements, sélectionnez Ajouter, Modifier ou Supprimer. 3 Si vous avez décidé d'ajouter ou de modifier une destination, définissez-en les paramètres. 4 Cliquez sur Appliquer ou sur OK. Ajout de destinations de transfert des événements Ajoutez une destination de transfert des événements dans ESM pour transférer les données d'événement vers un serveur Syslog ou SNMP. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Transfert des événements. 2 Cliquez sur Ajouter, puis renseignez les informations demandées. 3 Cliquez sur OK. Voir aussi Agents de transfert des événements, page 254 McAfee Enterprise Security Manager Guide Produit 253

254 7 Utilisation des événements Evénements, flux et journaux Agents de transfert des événements Il s'agit des agents de transfert des événements et des informations contenues dans les paquets lors de leur transfert. Sélectionnez l'agent dans le champ Format de la page Ajouter une destination de transfert des événements. Agent Syslog (McAfee 9.2) Syslog (McAfee 8.2) Contenu ESM IP McAfee ESM (partie d'en-tête Syslog), ID de signature (SigID), Message de signature (SigMessage), IP source (SrcIP), IP de destination (DstIP), Port source (SrcPort), Port de destination (DstPort), MAC source (SrcMac), MAC de destination (DstMac), Protocole (Protocol), Réseau local virtuel (VLan), Flux (Flow) (que l'événement soit généré par l'initiateur de la connexion ou son destinataire), Nombre d'événements (EventCount), Première fois (FirstTime) (au format d'heure UNIX), Dernière fois (LastTime) (au format d'heure UNIX), Dernière fois_seconde_utilisateur (LastTime_usec), Sous-type d'événement (Event Subtype), Gravité (Severity), ID interne (InternalID) (ID d'événement dans ESM), ID d'événement (EventID), ID d'ips (IPSID), Nom IPS (IPSName) (nom de source de données : adresse IP), ID de source de données (DSID), IPv6 source (Source IPv6), IPv6 de destination (Dest IPv6), ID de session (Session ID), Séquence (Sequence), Indicateur approuvé (Trusted flag), ID normalisé (Normalized ID), GUID source (GUID Source), GUID de destination (GUID Dest), Nom d'agrégation 1 (Agg 1 Name), Valeur d'agrégation 1 (Agg 1 Value), Nom d'agrégation 2 (Agg 2 Name), Valeur d'agrégation 2 (Agg 2 Value), Nom d'agrégation 3 (Agg 3 Name), Valeur d'agrégation 3 (Agg 3 Value). Les champs de chaîne suivants sont également entre guillemets, car ils peuvent contenir un point-virgule : Application, Commande, Domaine, Hôte, Objet, Utilisateur de destination, Utilisateur source, Type défini par l'utilisateur 8, Type défini par l'utilisateur 9, Type défini par l'utilisateur 10, Type défini par l'utilisateur 21, Type défini par l'utilisateur 22, Type défini par l'utilisateur 23, Type défini par l'utilisateur 24, Type défini par l'utilisateur 25, Type défini par l'utilisateur 26, Type défini par l'utilisateur 27. Paquet (le contenu d'un paquet suit le codage en base 64 uniquement si l'option Copier le paquet est activée pour les règles dans l'editeur de stratégies et si l'option est sélectionnée lors de la configuration du transfert d'événement sur l'esm). ESM IP McAfee ESM (partie d'en-tête Syslog), ID de signature (SigID), Message de signature (SigMessage), IP source (SrcIP), IP de destination (DstIP), Port source (SrcPort), Port de destination (DstPort), MAC source (SrcMac), MAC de destination (DstMac), Protocole (Protocol), Réseau local virtuel (VLan), Flux (Flow) (que l'événement soit généré par l'initiateur de la connexion ou son destinataire), Nombre d'événements (EventCount), Première fois (FirstTime) (au format d'heure UNIX), Dernière fois (LastTime) (au format d'heure UNIX), Dernière fois_seconde_utilisateur (LastTime_usec), Sous-type d'événement (Event Subtype), Gravité (Severity), ID interne (InternalID) (ID d'événement dans ESM), ID d'événement (EventID), ID d'ips (IPSID), Nom IPS (IPSName) (nom de source de données : adresse IP), ID de source de données (DSID), IPv6 source (Source IPv6), IPv6 de destination (Dest IPv6), ID de session (Session ID), Séquence (Sequence), Indicateur approuvé (Trusted flag), IP normalisé (Normalized ID). Les champs de chaîne suivants sont également entre guillemets, car ils peuvent contenir un point-virgule : Application, Commande, Domaine, Hôte, Objet, Utilisateur de destination, Utilisateur source, Type défini par l'utilisateur 8, Type défini par l'utilisateur 9, Type défini par l'utilisateur 10. Paquet (le contenu d'un paquet suit le codage en base 64 uniquement si l'option Copier le paquet est activée pour les règles dans l'editeur de stratégies et si l'option est sélectionnée lors de la configuration du transfert d'événement sur l'esm). 254 McAfee Enterprise Security Manager Guide Produit

255 Utilisation des événements Evénements, flux et journaux 7 Agent Syslog (Nitro) Syslog (ArcSight) Syslog (Snort) Syslog (journaux d'audit) Syslog (Common Event Format) Syslog (format d'événement standard) Contenu ESM IP, McAfee ESM, ID de signature (SigID), Message de signature (SigMessage), IP source (SrcIP), IP de destination (DstIP), Port source (SrcPort), Port de destination (DstPort), MAC source (SrcMac), MAC de destination (DstMac), Protocole (Protocol), Réseau local virtuel (VLan), Flux (Flow) (que l'événement soit généré par l'initiateur de la connexion ou son destinataire), Nombre d'événements (EventCount), Première fois (FirstTime) (au format d'heure UNIX), Dernière fois (LastTime) (au format d'heure UNIX), Dernière fois_seconde_utilisateur (LastTime_usec), Sous-type d'événement (Event Subtype), Gravité (Severity), ID interne (InternalID) (ID d'événement dans ESM), ID d'événement (EventID), ID d'ips (IPSID), Nom IPS (IPSName), ID de source de données (DSID), Paquet (Packet) (le contenu d'un paquet suit le codage en base 64). "McAfee", ID d'ordinateur, "Notification ArcSite", "Ligne 1", Nom du groupe, Nom IPS, Dernière fois (LastTime) mm/jj/aaa HH:nn:ss.zzz, Dernière fois seconde_utilisateur (LastTime usec) mm/jj/aaa HH:nn:ss.zzz, Première fois (FirstTime) mm/jj/aaa HH:nn:ss.zzz, ID de signature (SigID), Nom de classe, Nombre d'événements, IP source (Src IP), Port source (Src Port), IP de destination (Dst IP), Port de destination (Dst Port), Protocole (Protocol), Sous-type d'événement (Event Subtype), ID d'événement d'équipement (Event Device ID) (ID interne de l'événement de l'équipement), ID d'événement ESM (Event ESM ID) (ID interne de l'événement d'esm), Message de la règle (Rule Message), Flux (Flow) (que l'événement soit généré par l'initiateur de la connexion ou son destinataire), Réseau local virtuel (VLAN), MAC source (Src MAC), MAC de destination (Dst MAC), Paquet (Packet) (le contenu d'un paquet suit le codage en base 64). snort:, [sigid:smallsigid:0], Message de signature ou "Alerte", [Classification: ClassName], [Priority: ClassPriority], {Protocole}, IP source (SrcIP):Port source (SrcPort) -> IP de destination (DstIP):Port de destination (DstPort), IP source (SrcIP) -> IP de destination (DstIP), Paquet (le contenu d'un paquet suit le codage en base 64). durée (secondes depuis l'instance de référence), indicateur d'état, nom de l'utilisateur, nom de catégorie de journal (vide pour 8.2.0, renseigné pour les versions supérieures à 8.3.0), nom du groupe d'équipements, nom de l'équipement, message de journalisation. Date et heure actuelles, IP ESM, CEF version 0, fournisseur = McAfee, produit = modèle ESM de /etc/mcafee Nitro/modèle_IPS, version = ESM version de /etc/ buildstamp, ID de signature, message de signature, gravité (0 à 10), paires nom/valeur, adresse_équipement_convertie <#>YYYY-MM-DDTHH:MM:SS.S [IP Address] McAfee_SIEM: { "source": { "id": , "name": "McAfee Gateway (ASP)", "subnet": "::ffff: /128" }, "fields": { "packet": { "encoding": "BASE64" } }, "data": { "unique_id": 1, "alert_id": 1, "thirdpartytype": 49, "sig": { "id": , "name": "Random String Custom Type" }, "norm_sig": { "id": , "name": "Misc Application Event" }, "action": "5", "src_ip": " ", "dst_ip": " ", "src_port": 38129, "dst_port": 0, "protocol": "n/a", "src_mac": "00:00:00:00:00:00", "dst_mac": "00:00:00:00:00:00", "src_asn_geo": , "firsttime": " T20:43:30Z", "lasttime": " T20:43:30Z", "writetime": " T20:44:01Z", "src_guid": "", "dst_guid": "", "total_severity": 25, "severity": 25, "eventcount": 1, "flow": "0", "vlan": "0", "sequence": 0, "trusted": 2, "session_id": 0, "compression_level": 10, "reviewed": 0, "a1_ran_string_cf1": "This is data for custom field 1", "packet": "PDE0PjA5MDUyMDE0IDIwOjE4OjQ0fDIxfDY1LjI1NC40OC4yMDAtMzgxMjl8MXwxMDJ8U3 BhbSBNZXNzYWdlIHR5cGU6IFRydXN0ZWRTb3VyY2UgU2lnbmF0dXJlIENvbmZpZGVuY2 UgPSBISUdILiBDb25uZWN0aW9uOiA2NS4yNTQuNDguMjAwLTM4MTI5KElQLVBvcnQpfF RoaXMgaXMgZGF0YSBm b3igy3vzdg9tigzpzwxkidf8w10a" Activation ou désactivation du transfert des événements Activez ou désactivez le transfert des événements dans ESM. McAfee Enterprise Security Manager Guide Produit 255

256 7 Utilisation des événements Evénements, flux et journaux 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Transfert des événements. 2 Cliquez sur Paramètres, puis activez ou désactivez la case à cocher Transfert des événements activé. 3 Cliquez sur OK. Modification des paramètres de l'ensemble des destinations de transfert des événements Modifiez les paramètres de l'ensemble des destinations de transfert des événements existantes en une seule fois. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Transfert des événements. 2 Cliquez sur Paramètres, puis définissez les options. 3 Cliquez sur OK. Ajout de filtres de transfert des événements Configurez des filtres afin de limiter les données d'événement transférées vers un serveur Syslog ou SNMP d'esm. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Transfert des événements. 2 Cliquez sur Ajouter, puis cliquez sur Filtres d'événement. 3 Remplissez les champs de filtre, puis cliquez sur OK. Modification des paramètres de filtre de transfert des événements Modifier les paramètres de filtre du transfert d'événement une fois qu'ils ont été enregistrés. Avant de commencer Lors de la modification d'un filtre d'équipement, vous devez avoir accès à tous les équipements du filtre. Pour permettre l'accès aux équipements, voir Configuration de groupes d'utilisateurs. 256 McAfee Enterprise Security Manager Guide Produit

257 Utilisation des événements Evénements, flux et journaux 7 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Transfert des événements. 2 Cliquez sur Modifier, puis sur Filtres d'événement. 3 Apportez les modifications, puis cliquez sur OK. Voir aussi Configuration de groupes d'utilisateurs, page 199 Envoi et transfert d'événements au format d'événement standard Le format d'événement standard est un format d'événement basé sur la notation JSON (Java Script Object Notation) pour représenter des données d'événements génériques. Le format d'événement standard permet de transférer des événements entre l'esm et un récepteur situé sur un autre ESM, ainsi qu'entre l'esm et un tiers. Vous pouvez également utiliser ce format pour envoyer des événements entre un tiers et un récepteur, en le sélectionnant pour le format des données lors de la création de la source de données. Pour configurer le transfert d'événement avec le format d'événement standard d'esm à ESM, vous devez effectuer 4 étapes : 1 Exporter les sources de données, les types personnalisés et les règles personnalisées présentes sur l'esm qui transfère les événements. Pour exporter les sources de données, suivez les instructions de la section Déplacement de sources de données vers un autre système. Pour exporter les types personnalisés, ouvrez Propriétés du système, cliquez sur Types personnalisés, puis sur Exporter. Pour exporter les règles personnalisées, suivez les instructions de la section Exportation de règles. 2 Sur l'esm du récepteur cible du transfert, importez les sources de données, les types personnalisés et les règles personnalisées que vous venez d'exporter. Pour importer les sources de données, suivez les instructions de la section Déplacement de sources de données vers un autre système. Pour importer les types personnalisés, ouvrez Propriétés du système, cliquez sur Types personnalisés, puis sur Importer. Pour importer les règles personnalisées, suivez les instructions de la section Importation de règles. McAfee Enterprise Security Manager Guide Produit 257

258 7 Utilisation des événements Gestion des rapports 3 Sur l'esm qui reçoit les événements d'un autre ESM, ajoutez une source de données ESM. Dans l'arborescence de navigation du système, cliquez sur le récepteur auquel ajouter la source de données, puis cliquez sur l'icône Ajouter une source de données. Sur la page Ajouter une source de données, sélectionnez McAfee dans le champ Fournisseur de la source de données, puis Enterprise Security Manager (SEF) dans le champ Modèle de source de données. Indiquez les informations demandées, puis cliquez sur OK. 4 Ajoutez la destination de transfert d'événement sur l'esm d'envoi. Dans l'arborescence de navigation des systèmes, cliquez sur le système, puis cliquez sur l'icône Propriétés. Cliquez sur Transfert d'événement, puis sur Ajouter. Sur la page Ajouter une destination de transfert d'événement, sélectionnez syslog (format d'événement standard) dans le champ Format, indiquez dans les autres champs les informations relatives à l'esm cible du transfert, puis cliquez sur OK. Gestion des rapports Les rapports affichent des données sur les événements et les flux gérés sur l'esm. Vous pouvez définir des rapports personnalisés ou exécuter les rapports prédéfinis, puis les envoyer au format PDF, HTML ou CSV. Rapports prédéfinis Les rapports prédéfinis sont classés dans les catégories suivantes : Conformité McAfee Database Activity Monitoring (DAM) Exécutif McAfee DEM McAfee ADM McAfee Event Reporter Ils génèrent des données en fonction des événements. Rapports définis par l'utilisateur Lorsque vous créez un rapport, vous définissez sa disposition dans l'éditeur Disposition de rapport en sélectionnant l'orientation, la taille, la police, les marges, l'en-tête et le pied de page. Vous pouvez également inclure des composants, les configurer pour afficher des données selon vos préférences. Toutes les dispositions sont enregistrées et vous pouvez les utiliser dans plusieurs rapports. Lorsque vous ajoutez un rapport, vous pouvez créer une nouvelle disposition ou bien utiliser une disposition existante (telle quelle ou comme modèle en modifiant ses caractéristiques). Vous pouvez également supprimer une disposition de rapport lorsqu'elle devient inutile. Voir aussi Ajout d'une condition de rapport, page 260 Définition du mois de début des rapports trimestriels, page 259 Ajout d'une disposition de rapport, page McAfee Enterprise Security Manager Guide Produit

259 Utilisation des événements Gestion des rapports 7 Définition du mois de début des rapports trimestriels Si vous exécutez des rapports tous les trimestres, vous devez définir le premier mois du trimestre 1. Une fois ce mois défini et stocké dans la table système, les rapports sont exécutés tous les trimestres en fonction de la date de début. 1 Dans la console ESM, sélectionnez Propriétés du système, puis cliquez sur Paramètres personnalisés. 2 Dans le champ Spécifiez le mois à utiliser, sélectionnez le mois. 3 Cliquez sur Appliquer pour enregistrer le paramètre. Ajout d'un rapport Ajouter des rapports à l'esm et les configurer pour les exécuter régulièrement, selon un intervalle que vous définissez, ou les exécuter lorsque vous les sélectionnez manuellement. Vous pouvez sélectionner une disposition de rapport existante ou en créer une nouvelle à l'aide de l'éditeur Disposition de rapport. 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés du système, puis cliquez sur Rapports. 2 Cliquez sur Ajouter, puis configurez les paramètres sur la page Ajouter un rapport. 3 Cliquez sur Enregistrer. Le rapport est ajouté au tableau de la page Rapports et il est exécuté tel que défini dans le champ Condition. Ajout d'une disposition de rapport Définir la disposition d'un rapport si les dispositions prédéfinies ne correspondent pas à vos besoins. 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés du système, puis cliquez sur Rapports. 2 Cliquez sur Ajouter pour ouvrir la page Ajouter un rapport, puis renseignez les sections 1, 2 et 3. 3 Dans la section 4, sélectionnez Rapport PDF ou cliquez sur Rapport HTML. 4 Dans la section 5, cliquez sur Ajouter pour ouvrir l'éditeur Disposition de rapport. 5 Configurer la disposition à utiliser pour afficher les données générées par le rapport. La disposition est enregistrée et elle peut être utilisée telle quelle ou bien comme modèle que vous pouvez modifier. McAfee Enterprise Security Manager Guide Produit 259

260 7 Utilisation des événements Gestion des rapports Inclusion d'une image dans des PDF et des rapports Vous pouvez configurer ESM afin que les PDF exportés et les rapports imprimés incluent l'image affichée dans l'écran Connexion. Avant de commencer Ajoutez l'image à la page Paramètres personnalisés (voir Personnalisation de la page de connexion). 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Paramètres personnalisés. 2 Sélectionnez Inclure une image dans le PDF exporté à partir de vues ou de rapports imprimés. 3 Cliquez sur OK. Voir aussi Personnalisation de la page de connexion, page 21 Ajout d'une condition de rapport Ajouter des conditions afin qu'elles soient disponibles lors de la configuration d'un rapport. 1 Dans l'arborescence de navigation du système, sélectionnez Propriétés du système, puis cliquez sur Rapports. 2 Cliquez sur Conditions, puis entrez les informations demandées. 3 Cliquez sur OK pour enregistrer les paramètres. Cette option s'affiche dans la liste des conditions disponibles lorsque vous sélectionnez la condition d'un rapport. Affichage des noms d'hôte dans un rapport Vous pouvez configurer les rapports de façon à utiliser la résolution DNS pour les adresses IP source et destination. 1 Dans l'arborescence de navigation des systèmes, sélectionnez le système, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Rapports, puis cliquez sur Ajouter et indiquez les informations demandées dans les sections 1 à 4. 3 Dans la section 5, cliquez sur Ajouter, faites glisser un composant Table, Graphique à barres ou Graphique à secteurs, puis suivez les étapes de l'assistant Requête. 4 Dans la section Requête du volet Propriétés de l'éditeur Disposition de rapport, sélectionnez Résoudre les adresses IP en noms d'hôte. 260 McAfee Enterprise Security Manager Guide Produit

261 Utilisation des événements Description des filtres contains et regex 7 Les résultats de la recherche DNS s'affichent dans le rapport, mais également dans le tableau Hôtes (Propriétés du système Hôtes). Description des filtres contains et regex Les filtres contains (contient) et regex (expression régulière) vous permettent d'utiliser des caractères génériques à la fois dans les données de chaîne indexées et non indexées. Pour utiliser ces filtres, vous devez suivre des règles de syntaxe. Vous pouvez utiliser ces commandes dans tout champ qui accepte des données de type texte ou chaîne. Pour la plupart des champs de texte, l'icône de non-respect de la casse s'affiche à côté du nom du champ de filtre. Cette icône ne s'affiche pas pour d'autres champs qui acceptent le filtre contains. Pour obtenir la liste complète des champs, voir la section Champs prenant en charge la fonctionnalité contains. Syntaxe et exemples La syntaxe de base du filtre contains est contains(valeur). Pour le filtre regex, la syntaxe est regex(expressionrégulière). Pour appliquer le respect de la casse, cliquez sur l'icône ou incluez la notation d'expression régulière /i, comme dans regex(/valeur/i). La recherche renvoie toute valeur contenant valeur, quelle que soit la casse. Les icônes NOT et OR s'appliquent aux valeurs regex et contains. Pour obtenir des résultats qui ne contiennent pas une valeur particulière, entrez la valeur et cliquez sur l'icône NOT. Pour obtenir des résultats qui contiennent une valeur ou une autre, entrez les valeurs et cliquez sur l'icône OR. Exemple 1 : recherche simple Champs indexés : contains(stra), regex(stra) Champs non indexés : stra Résultat : vous obtenez toute chaîne contenant stra, telle que administrateur, gmestrad ou straub. Exemple 2 : recherche OR Champs indexés : contains(admin,ngcp), regex((admin NGCP)) Champs non indexés : admin,ngcp Résultats : vous obtenez toute chaîne du champ contenant admin ou NGCP. Les parenthèses supplémentaires sont nécessaires pour le fonctionnement du filtre regex OR. Exemple 3 : recherche de caractères spéciaux, tels que des comptes de service Signe dollar : Champs indexés : contains($), regex(\x24) ou regex(\$) Champs non indexés : $ Résultats : dans les deux cas vous obtenez toute chaîne du champ contenant $. Pour obtenir la liste des valeurs hexadécimales des caractères, consultez la page Avec le filtre regex, si vous utilisez le signe $ sans l'adapter, vous n'obtiendrez aucun résultat. La séquence d'échappement PCRE est une méthode de recherche préférable. McAfee Enterprise Security Manager Guide Produit 261

262 7 Utilisation des événements Description des filtres contains et regex Signe pourcentage : Champs indexés : contains(%), regex(\x25)ou regex(\%) Champs non indexés : % Barre oblique inverse : Champs indexés : contains(\), regex(\x5c) ou regex(\\) Champs non indexés : \ Deux barres obliques inverses Champs indexés : contains(\\), regex(\x5c\x5c) ou regex(\\\) Champs non indexés : \\ Dans certains cas, si vous n'utilisez pas la valeur hexadécimale ou la barre oblique avec le filtre regex, vous pouvez obtenir une erreur de type Expression régulière non valide (ER5-0015). Exemple 4 : recherche avec caractère générique * Champs indexés : contains (ad*) Champs non indexés : ad* Résultats : vous obtenez toute chaîne commençant par ad, telle que administrateur ou adresse. Exemple 5 : recherche avec expression régulière regex(nitroguard/x28[3-4]/x29[com info}+) (3)www(10)nitroguard(3)com(0) (3)www(10)nitroguard(4)info(0) (3)www(10)nitroguard(3)gov(0) (3)www(10)nitroguard(3)edu(0) (3)www(10)nitroguard(7)oddball(0) Ces domaines proviennent des événements DNS Microsoft. Résultats : cette expression régulière permet d'identifier une chaîne spécifique. Dans ce cas, il s'agit de nitroguard, un domaine principal à 3 ou 4 chiffres, et com ou info. Ce filtre regex permet de faire concorder les deux premières expressions mais pas les autres. Voici des exemples illustrant la manière d'utiliser le filtre regex avec cette fonctionnalité. Vos expressions seront très différentes. Avertissement L'utilisation du filtre regex avec des valeurs de moins de 3 caractères entraîne une surcharge et ralentit l'exécution de la requête. Il est conseillé de toujours saisir plus de 3 caractères dans les requêtes. Vous ne pouvez pas utiliser ce filtre dans les règles de corrélation ni les alarmes. Toutefois, il y a une expection : vous pouvez l'utiliser dans les règles de corrélation avec des types de nom/valeur personnalisés. L'utilisation du filtrecontains ou regex avec NOT peut entraîner une surcharge et ralentir l'exécution de la requête. 262 McAfee Enterprise Security Manager Guide Produit

263 Utilisation des événements Description des filtres contains et regex 7 Description du filtre de Bloom Pour plus d'informations sur le filtre de Bloom, voir Champs prenant en charge la fonctionnalité contains et regex Access_Resource (Ressource d'accès) File_Operation_Succeeded (Réussite opération fichier) Referer (Référant) Application File_Path (Chemin d'accès fichier) Registry_Key (Clé de registre) Application_Protocol (Protocole application) File_Type (Type de fichier) Registry_Value (Valeur de registre) Area (Zone) Filename (Nom de fichier) Request_Type (Type de demande) Authoritative_Answer (Réponse autorité) Forwarding_Status (Etat de transfert) Response_Code (Code réponse) Bcc (Cci) From (De) Return_Code (Code retour) Caller_Process ( de l'appelant) Catalog_Name (Nom catalogue) From_Address (Adresse expéditeur) FTP_Command (Commande FTP) RTMP_Application (Application RTMP) Sensor_Name (Nom du capteur) Category (Catégorie) Host (Hôte) Sensor_Type (Type de capteur) Cc HTTP_Req_Cookie (Cookie req HTTP) Sensor_UUID (UUID capteur) Client_Version (Version client) HTTP_Req_Host (Hôte req HTTP) Session_Status (Etat session) Command (Commande) Contact_Name (Nom contact) Contact_Nickname (Pseudo contact) Cookie HTTP_Req_Method (Méthode req HTTP) HTTP_Req_Referer (Référant req HTTP) HTTP_Req_URL (URL req HTTP) HTTP_User_Agent (Agent utilisateur HTTP) ID de signature Signature_Name (Nom signature) SNMP_Error_Code (Code erreur SNMP) SNMP_Item (Elément SNMP) Creator_Name (Nom auteur) Incoming_ID (ID entrant) SNMP_Item_Type (Type élément SNMP) Database_ID (ID base de données) Database_Name (Nom base de données) Datacenter_ID (ID centre de données) Datacenter_Name (Nom centre de données) DB2_Plan_Name (Nom de plan DB2) Delivery_ID (ID de remise) Description Destination User (Utilisateur de destination) Interface Interface_Dest (Destination interface) Job_Name (Nom travail) Job_Type (Type de travail) Language (Langue) Local_User_Name (Nom utilisateur local) Logical_Unit_Name (Nom unité logique) Logon_Type (Type de connexion) SNMP_Operation (Opération SNMP) SNMP_Version Source User (Utilisateur source) Source_Context (Contexte source) Source_Logon_ID (ID connexion source) Source_Network (Réseau source) Source_UserID (ID utilisateur source) Source_Zone (Zone source) McAfee Enterprise Security Manager Guide Produit 263

264 7 Utilisation des événements Description des filtres contains et regex Destination_Directory (Répertoire de destination) Destination_Filename (Nom fichier de destination) Destination_Hostname (Nom d'hôte destination) Destination_Logo_ID (ID connexion destination) Destination_Network (Réseau de destination) Destination_UserID (ID utilisateur destination) Destination_Zone (Zone destination) Detection_Method (Méthode de détection) Device_Action (Action équipement) LPAR_DB2_Subsystem (Sous-système DB2 LPAR) Mail_ID (ID messagerie) Mailbox (Boîte aux lettres) Mainframe_Job_Name (Nom du travail mainframe) Malware_Insp_Action (Action inspection logiciel malveillant) Malware_Insp_Result (Résultat inspection logiciel malveillant) Management_Server (Serveur de gestion) Message_ID (ID message) Message_Text (Texte message) SQL_Command (Commande SQL) SQL_Statement (Instruction SQL) Step_Count (Nombre d'étapes) Step_Name (Nom étape) Objet SWF_URL (URL SWF) Table_Name (Nom table) Target_Class (Classe cible) Target_Context (Contexte cible) Direction Méthode Target_Process_Name (Nom processus cible) Répertoire DNS_Class (Classe DNS) NTP_Client_Mode (Mode client NTP) NTP_Opcode (Code d'opération NTP) TC_URL (URL TC) Threat_Category (Catégorie de menace) DNS_Name (Nom DNS) NTP_Request (Demande NTP) Threat_Handled (Menace traitée) DNS_Type (Type DNS) NTP_Server_Mode (Mode serveur NTP) Domaine Object (Objet) To (A) Event_Class (Classe d'événement) External_Application (Application externe) External_DB2_Server (Serveur DB2 externe) External_Hostname (Nom d'hôte externe) External_SessionID (ID session externe) Facility (Installation) File_Operation (Opération fichier) Object_Type (Type d'objet) Operating_System (Système d'exploitation) Policy_Name (Nom de stratégie) Privileged_User (Utilisateur avec privilèges) Process_Name (Nom de processus) Query_Response (Réponse requête) Raison Threat_Name (Nom de la menace) To_Address (Adresse de destination) URL URL_Category (Catégorie URL) User_Agent (Agent utilisateur) User_Nickname (Pseudo utilisateur) Version Virtual_Machine_ID (ID machine virtuelle) Virtual_Machine_Name (Nom de machine virtuelle) Vous pouvez utiliser les filtres contains et regex avec les types personnalisés suivants : 264 McAfee Enterprise Security Manager Guide Produit

265 Utilisation des événements Utilisation des vues d'esm 7 Vues Chaîne Chaîne aléatoire Nom/valeur Chaînes hachées Gestion des incidents Notes Synthèse Historique Utilisation des vues d'esm ESM récupère les informations relatives aux événements, flux, actifs et vulnérabilités consignées par un équipement. Les informations sont corrélées et insérées dans le moteur MSEAC (McAfee Security Event Aggregation and Correlation). Sommaire Utilisation des vues ESM Affichage des informations sur les sessions Barre d'outils des vues Vues prédéfinies Ajout d'une vue personnalisée Composants de vues Utilisation de l'assistant Requête Gestion des vues Effectuer une recherche dans la période d'un événement Affichage des informations sur l'adresse IP d'un événement Modification de la vue par défaut Filtrage des vues Listes de surveillance Normalisation de chaîne Utilisation des vues ESM Le moteur MSEAC permet d'analyser et de vérifier les données récupérées par l'esm en utilisant une visionneuse de rapports flexible et puissante. Cette visionneuse est la partie centrale de la console ESM. La vue affiche les données des équipements que vous avez sélectionnés dans l'arborescence de navigation du système. Lors du lancement de la console ESM, la vue par défaut s'affiche (consultez la section Changement de la vue par défaut. Vous pouvez utiliser les fonctionnalités de gestion des vues pour sélectionner une autre vue prédéfinie (consultez la section Vues prédéfinies) ou créer une nouvelle vue (consultez la section Ajout d'une vue personnalisée) pour exécuter une requête afin de voir ce qui se passe sur votre réseau (consultez la section Barre d'outils des vues). Vous pouvez également gérer les vues et leurs données à l'aide des options de la barre d'outils des vues, du menu des composants et de la barre d'outils des composants. Une barre de progression s'affiche dans chaque composant du volet des vues lors de l'exécution d'une requête. Si vous passez le curseur dessus, elle affiche le pourcentage effectué et le temps écoulé pour l'exécution de la requête de chaque composant. Pour annuler une requête afin de libérer des ressources ESM, cliquez sur l'icône de suppression située à droite de la barre de progression. Dans une vue, les valeurs non définies ou les valeurs agrégées des adresses IP source et de destination s'affichent sous la forme «::» et non sous la forme « » dans tous les ensembles de résultats. Par exemple, ::ffff: est inséré sous la forme 0:0:0:0:0:FFFF: A00:C07 (A00:C07 est ); ::0000: serait McAfee Enterprise Security Manager Guide Produit 265

266 7 Utilisation des événements Utilisation des vues d'esm Affichage des informations sur les sessions Vous pouvez afficher des informations détaillées sur un événement associé à un ID de session et les enregistrer dans un fichier csv sur la Visionneuse des sessions. Pour être associé à un ID de session, un événement doit faire partie d'une session. Une session est le résultat d'une connexion entre une source et une destination. Les événements internes à l'équipement ou à ESM ne sont pas associés à un ID de session. 1 Dans la liste déroulante, sélectionnez la vue qui contient la session que vous souhaitez afficher. 2 Sélectionnez l'événement, cliquez sur l'icône de menu sur la barre de titre du composant, puis sélectionnez Accès aux détails des événements Evénements. 3 Cliquez sur l'événement, puis sur l'onglet Détails avancés, puis cliquez sur l'icône Afficher les données de session située à côté du champ ID de session. La Visionneuse des sessions s'ouvre et affiche les informations sur la session. Barre d'outils des vues La barre d'outils des vues, située en haut du volet des vues, comporte plusieurs options permettant de configurer des vues. Tableau 7-1 Option Description 1 Masquer l'arborescence des équipements Cliquez pour développer la vue actuelle et masquer le volet de l'arborescence des équipements. 2 Navigation entre les vues Accès aux vues précédentes et suivantes. 3 Liste des vues Sélectionner une vue dans la liste déroulante, laquelle répertorie toutes les vues prédéfinies et personnalisées sélectionnées pour être affichées sur cette liste. 4 Gestion des vues Gérer toutes les vues (consultez la section Gestion des vues. Vous pouvez sélectionner les vues à inclure à la liste des vues, ajouter des dossiers et renommer, supprimer, copier, importer et exporter des vues. 5 Actualiser la vue actuelle Actualiser toutes les données actuellement affichées dans le volet des vues. 6 Vue par défaut Revenir à la vue par défaut. 266 McAfee Enterprise Security Manager Guide Produit

267 Utilisation des événements Utilisation des vues d'esm 7 Tableau 7-1 (suite) Option Description 7 Imprimer la vue actuelle Imprimer une copie de la vue actuelle. Options d'impression disponibles : Mettre à l'échelle pour ajuster tous les composants dans une page : les composants inclus à la vue sont redimensionnés pour ajuster la vue à la page. Imprimer chaque composant sur une page distincte : chaque composant inclus à la vue est imprimé sur une page distincte. Si vous cliquez sur Mettez le composant à l'échelle afin de l'ajuster dans la page, chaque composant est redimensionné pour remplir la page. Imprimer uniquement la zone affichable : seule la partie de la vue qui est visible sur l'écran est imprimée. Exporter au format PDF : la vue est enregistrée dans un fichier PDF. 8 Modifier la vue actuelle Modifier la vue actuellement affichée, s'il s'agit d'une vue personnalisée. Si vous cliquez sur cette option, la Barre d'outils Modification des vues s'affiche (consultez la section Ajout d'une vue personnalisée). 9 Créer une vue Créer une vue personnalisée (consultez la section Ajout d'une vue personnalisée). 10 Période Indiquez la période des informations à afficher dans cette vue. 11 Masquer les filtres Cliquez pour développer la vue actuelle et masquer le volet des filtres. Vues prédéfinies La liste déroulante des vues de la barre d'outils des vues vous permet d'accéder aux vues prédéfinies du système, ainsi qu'aux vues personnalisées que vous avez ajoutées. Plusieurs types de vues prédéfinies sont disponibles. Les vues Actif, menace et risque affichent des synthèses des données des actifs, menaces et risques, ainsi que les effets possibles sur votre système. Vues de la conformité : facilitent la rationalisation des activités de conformité aux réglementations. Vues des tableaux de bord : vue d'ensemble des aspects spécifiques du système. Statut de l'équipement : affiche l'état des équipements sélectionnés dans l'arborescence de navigation du système. Si vous cliquez sur un équipement de la vue, les informations d'intégrité relatives à l'équipement sélectionné s'affichent dans la moitié inférieure de la vue. Recherche ELM avancée : permet le suivi en temps réel de la progression de la recherche et des résultats. Cette vue n'est disponible que si un ELM est présent sur le système (voir Vue Recherche ELM avancée). McAfee Enterprise Security Manager Guide Produit 267

268 7 Utilisation des événements Utilisation des vues d'esm Vues des événements : analyse détaillée des informations générées par les événements liés à l'équipement sélectionné dans l'arborescence de navigation du système. Vues de gestion : vue d'ensemble des aspects du système qui concernent les employés autres que ceux du service informatique. Vues des flux : analyse détaillée des informations enregistrées pour chaque flux (ou connexion) passant par Nitro IPS (voir Vues des flux). McAfee Event Reporter : inclut des vues spécifiques à de nombreux produits McAfee. Vues des risques : utilisées avec le gestionnaire par défaut de ACE. Pour afficher correctement les données des vues des gestionnaires personnalisés, vous devez créer des vues personnalisées. Les Vues des workflows d'événements incluent les vues suivantes : Alarmes déclenchées : afficher et gérer les alarmes déclenchées lorsque leurs conditions sont remplies (voir la vue Alarmes déclenchées). Gestion des incidents : afficher et gérer les incidents du système (voir Affichage de tous les incidents). Vues des flux Un flux est l'enregistrement d'une connexion établie via l'équipement. Si l'analyse de flux est activée pour l'équipement Nitro IPS, les données relatives à chaque flux, ou connexion, établi via Nitro IPS sont enregistrées. Les flux sont associés à des adresses IP source et destination, des ports, des adresses MAC, un protocole et une heure de début et de fin (indiquant la durée entre le début et la fin de la connexion). Comme les flux n'indiquent pas un trafic anormal ou malveillant, il y a plus de flux que d'événements. Un flux n'est pas associé à une signature de règle (ID de signature) comme l'est un événement. Les flux ne sont pas associés à des actions d'événement de type alerte, abandon et rejet. Certaines données sont propres aux flux, notamment les octets source et destination, ainsi que les paquets source et destination. Octets source et paquets indiquez le nombre d'octets et de paquets transmis par la source du flux. Les Octets source et paquets indiquez le nombre d'octets et de paquets transmis par la source du flux. Un flux transite dans un sens : un flux entrant est un flux provenant de l'extérieur de HOME_NET. Un flux sortant provient de l'intérieur de HOME_NET. Cette variable est définie dans une stratégie pour un équipement Nitro IPS. Pour afficher les données de flux, vous devez permettre à votre système de les consigner. Vous pouvez alors afficher les flux dans la vue Analyse de flux. Activation de la journalisation des flux Pour afficher les données d'analyse de flux d'un Nitro IPS, vous devez activer deux variables de pare-feu. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un équipement. 2 Cliquez sur l'icône Editeur de stratégies, puis sélectionnez Variable dans le panneau Types de règle. 3 Développez la catégorie Pare-feu du panneau Affichage des règles. 268 McAfee Enterprise Security Manager Guide Produit

269 Utilisation des événements Utilisation des vues d'esm 7 4 Sur la ligne INBOUND_CONNECTION_STATISTICS, désélectionnez Hériter afin de ne pas observer la valeur de l'héritage, puis tapez Oui et cliquez sur OK. 5 Sur la ligne OUTBOUND_CONNECTION_STATISTICS, désélectionnez Hériter afin de ne pas observer la valeur de l'héritage, puis tapez Oui et cliquez sur OK. Vue Recherche ELM avancée La vue Recherche ELM avancée est disponible si le système comporte au moins un équipement ELM. Elle vous permet d'effectuer des recherches plus détaillées et de suivre en temps réel la progression des recherches et leurs résultats lorsque vous effectuez des recherches de journaux sur un ou plusieurs ELM. Cette vue permet d'exploiter les fonctionnalités de génération de rapports statistiques des archives sur l'elm et fournit des informations en temps réel sur la quantité de données à inclure à la recherche. Ainsi, vous pouvez limiter la requête afin de réduire le nombre de fichiers à inclure à la recherche. Pour accélérer les vitesses de recherche lors de l'utilisation de l'option Recherche ELM avancée, vous devez activer le moteur d'indexation de texte intégral, ce qui augmente la vitesse en raison de la limitation du nombre de fichiers dans lesquels la recherche est effectuée. Pour que cette accélération de la vitesse soit appliquée, tous les journaux ELM existants doivent être indexés. Une fois l'indexeur activé, l'indexation peut prendre jusqu'à quelques semaines en fonction de la vitesse du système et du nombre de journaux collectés. Les performances des recherches ne diminuent pas pendant ce temps, mais s'améliorent uniquement lorsque les journaux ELM sont indexés. Pour activer l'indexation de texte intégral, consultez la section Activation des recherches ELM plus rapides. Lors du traitement de la recherche, les graphiques affichent les résultats estimés : Graphique Répartition temporelle des résultats : affiche les estimations et les résultats en fonction d'une répartition temporelle. L'axe inférieur varie en fonction des éléments sélectionnés dans la liste déroulante Période. Graphique Résultats par source de données : affiche les estimations et les résultats par source de données en fonction des sources de données des équipements sélectionnés dans l'arborescence de navigation des systèmes. Graphique Résultats par type d'équipement : affiche les estimations et les résultats par type d'équipement en fonction des équipements sélectionnés dans l'arborescence de navigation des systèmes. Ces graphiques sont renseignés avant le début de la recherche et mis à jour à mesure que des résultats sont trouvés. Vous pouvez sélectionner une ou plusieurs barres dans les graphiques Résultats par source de données ou Résultats par type d'équipement ou surligner une section du graphique Répartition par temps des résultats. Cliquez sur Appliquer des filtres pour affiner la recherche dès que les résultats commencent à entrer. Cela vous permet d'accéder aux détails des résultats de recherche et de limiter la quantité des données sur lesquelles la recherche doit porter. A l'issue de la recherche, ces graphiques affichent les résultats réels. Effectuer une recherche ELM avancée Rechercher des informations spécifiques dans les journaux d'un ou de plusieurs équipements ELM. Si l'indexeur de texte intégral est activé, la recherche ELM est plus rapide, car cet indexeur limite le nombre de fichiers inclus à la recherche. 1 Sur le volet des vues, sélectionnez Recherche ELM avancée dans la liste déroulante. 2 Si plusieurs équipements ELM sont présents sur le système, sélectionnez les équipements à inclure à la recherche dans la liste déroulante située à côté du champ de texte. McAfee Enterprise Security Manager Guide Produit 269

270 7 Utilisation des événements Utilisation des vues d'esm 3 Entrez le texte à rechercher ou une expression régulière dans le champ de texte. Ce champ ne prend pas en charge les termes d'indexation de texte intégral tels que XOR et NOT. Il prend en charge AND et OR. 4 Pour choisir une autre période que Jour en cours, sélectionnez-la dans la liste déroulante. 5 Dans l'arborescence de navigation du système, sélectionnez les équipements à inclure à la recherche. 6 Si nécessaire, sélectionnez une ou plusieurs options parmi les suivantes : Non-respect de la casse : la recherche ne tient pas compte de la différence entre minuscules et majuscules. Expression régulière : le terme saisi dans le champ de recherche est considéré comme une expression régulière. Ne contient PAS de terme de recherche : permet d'obtenir les éléments qui ne contiennent pas le terme saisi dans le champ de recherche. 7 Cliquez sur Recherche. Les résultats s'affichent dans la section Résultats de la recherche de la vue. 8 Durant ou après la recherche, vous pouvez effectuer les actions suivantes. Option Enregistrer la recherche Télécharger le fichier de résultats de la recherche Copier les éléments sélectionnés dans le Presse-papiers Afficher les détails des données Définition Enregistrer les résultats de cette recherche, même si vous naviguez en dehors de la vue. Vous pouvez consulter les recherches enregistrées sur la page Propriétés ELM Données. Télécharger les résultats dans l'emplacement que vous indiquez. Copier les éléments que vous avez sélectionnés dans le Presse-papiers afin de les coller dans un document. Afficher les détails des journaux que vous sélectionnez dans le tableau Résultats de la recherche. Affichage et gestion des alarmes déclenchées Cette vue affiche la liste des alarmes déclenchées et des alarmes non supprimées. Vous pouvez effectuer plusieurs actions pour gérer ces alarmes. 1 Sur la console ESM, sélectionnez l'icône de lancement rapide Alarmes déclenchées. pour ouvrir la vue Alarmes 2 Effectuez l'une des actions suivantes : 270 McAfee Enterprise Security Manager Guide Produit

271 Utilisation des événements Utilisation des vues d'esm 7 Pour... Reconnaître une alarme Procédez ainsi... Pour acquitter une alarme, cliquez sur la case à cocher dans la première colonne de l'alarme déclenchée à acquitter. Pour en acquitter plusieurs, sélectionnez-les, puis cliquez sur l'icône Reconnaître l'alarme au bas de la vue. Les alarmes reconnues sont supprimées du volet Alarmes, mais restent sur la vue Alarmes déclenchées. Supprimer une alarme du système Filtrer les alarmes Sélectionnez l'alarme déclenchée à supprimer, puis cliquez sur l'icône Supprimer l'alarme. Entrez les informations à utiliser comme filtre dans le volet Filtres, puis cliquez sur l'icône Actualiser. Changer l'utilisateur affecté aux alarmes 1 Si les onglets de détails de données ne s'affichent pas au bas de la vue, cliquez sur l'icône Afficher les détails des données. 2 Sélectionnez les alarmes, puis cliquez sur Utilisateur affecté et sélectionnez le nouvel utilisateur affecté. Créer un incident pour des alarmes Afficher les détails relatifs à une alarme 1 Vérifiez que les onglets de détails des données s'affichent. 2 Sélectionnez les alarmes, puis cliquez sur Créer un incident et effectuez les sélections souhaitées. 1 Vérifiez que les onglets de détails des données s'affichent au bas de la vue. 2 Sélectionnez l'alarme et effectuez l'une des actions suivantes : Cliquez sur l'onglet Evénement déclencheur pour afficher les détails sur l'événement qui a déclenché l'alarme sélectionnée. Double-cliquez sur l'événement pour afficher la description. L'onglet Evénement déclencheur n'est pas toujours disponible, car certaines conditions d'alarmes ne sont pas remplies par un seul événement. Cliquez sur l'onglet Condition pour voir la condition qui a déclenché l'événement. Cliquez sur l'onglet Action pour afficher les actions résultant de l'alarme et les marqueurs epolicy Orchestrator attribués à l'événement. Modifier les paramètres d'une alarme déclenchée 1 Cliquez sur l'alarme déclenchée, puis cliquez sur l'icône Menu et sélectionnez Modifier l'alarme. 2 Sur la page Paramètres d'alarme, effectuez les modifications (cliquez sur l'icône Aide présente sur chaque onglet pour obtenir des instructions), puis cliquez sur Terminer. Ajout d'une vue personnalisée Les vues personnalisées incluent des composants qui vous permettent d'afficher les informations souhaitées. McAfee Enterprise Security Manager Guide Produit 271

272 7 Utilisation des événements Utilisation des vues d'esm 1 Dans la barre d'outils des vues, cliquez sur l'icône Créer une vue, puis cliquez sur un composant et faites-le glisser à partir de la barre d'outils Modification des vues (voir Composants de vues). 2 Dans l'assistant Requête, sélectionnez les options pour que la vue génère les données que vous souhaitez afficher (voir Utilisation de l'assistant Requête), puis cliquez sur Terminer. Les données s'affichent dans le composant que vous avez ajouté. 3 Effectuez l'une des actions suivantes : Pour... Déplacer le composant Afficher par défaut les noms d'hôte à la place des adresses IP Procédez ainsi... Cliquez sur la barre de titre du composant, puis effectuez un glisser-déplacer. Cliquez sur l'icône Afficher les noms d'hôte dans la barre d'outils d'un composant affichant les adresses IP (consultez la section Gestion des noms d'hôte). Personnaliser le composant Ajouter d'autres composants à la vue Enregistrer la vue Cliquez sur le composant, puis modifiez les paramètres dans le volet Propriétés (consultez la section Personnalisation des composants). 1 Cliquez sur un composant et faites-le glisser. 2 Dans l'assistant Requête, sélectionnez les options pour que la vue génère les données que vous souhaitez afficher, puis cliquez sur Terminer. 1 Cliquez sur Enregistrer ou sur Enregistrer sous, puis entrez le nom de la vue. 2 Cliquez sur OK. Pour l'enregistrer dans un dossier existant, sélectionnez ce dossier. Copier et coller un composant Supprimer un composant Quitter l'editeur de vues sans enregistrer de vue 1 Cliquez sur le composant que vous souhaitez copier. 2 Cliquez sur Copier, puis sur Coller. Sélectionnez le composant, puis cliquez sur Supprimer. Supprimez tous les composants, puis fermez la barre d'outils Modification des vues. Composants de vues Créez des vues personnalisées pour afficher les données liées aux événements, flux, actifs et vulnérabilités en fonction de vos préférences. Chaque vue est constituée de composants que vous sélectionnez sur la Barre d'outils Modification des vues et configurez pour afficher les données. Lorsque vous sélectionnez un composant, l'assistant Requête s'ouvre pour vous permettre de définir les détails relatifs aux données affichées dans le composant. 272 McAfee Enterprise Security Manager Guide Produit

273 Utilisation des événements Utilisation des vues d'esm 7 Description des composants de vue Vous pouvez ajouter des composants à une vue personnalisée, parmi les 13 types de composant proposés. Vous pouvez les utiliser pour configurer la vue afin d'optimiser le format d'affichage des données. Composant Cadran de contrôle Description Affiche les données pour que vous puissiez les consulter en un coup d'œil. Cette vue est dynamique et elle peut être liée aux autres composants de la console. Elle est mise à jour à mesure que vous interagissez avec la console ESM. Chaque cadran inclut un indicateur de référence ( ). Les gradients situés sur le contour du cadran deviennent rouges lorsqu'ils sont supérieurs à l'indicateur de référence. Tout le cadran peut éventuellement changer de couleur pour représenter un comportement anormal : il devient jaune lorsqu'il est dans les limites d'un certain seuil de référence ou rouge lorsque ce seuil est dépassé. L'option Fréquence vous permet d'ajuster la fréquence des données affichées. Exemple : si vous regardez Jour en cours et Nombre total d'événements et modifiez la fréquence pour la définir sur heure, vous pouvez observer le nombre d'événements par heure pour le jour donné. Cette option est désactivée si la requête que vous visualisez est déjà établie en moyenne, par exemple Gravité moyenne ou Moyenne des octets. Graphique source et de destination Affiche l'activité d'ensemble correspondant aux adresses IP d'événement ou de flux. L'option d'événement vous permet de spécifier des adresses IP et d'afficher toutes les attaques effectuées sur les adresses IP spécifiées. Vous pouvez également afficher toutes les attaques effectuées par les adresses IP spécifiées sur d'autres adresses. L'option de flux vous permet de spécifier des adresses IP et d'afficher les adresses IP qui sont connectées aux premières. Vous pouvez également afficher les connexions établies par les adresses IP. Ce graphique inclut un champ ouvert en bas du composant qui vous permet d'afficher les événements ou flux sources et de destination correspondant à une adresse IP spécifique. Tapez l'adresse dans le champ ou sélectionnez-en une que vous avez déjà utilisée, puis cliquez sur l'icône Actualiser. Graphique à secteurs Tableau Graphique à barres Liste Distribution Zone des remarques Affiche les informations recherchées dans un graphique à secteurs. Cette option est utile si vous disposez d'un nombre moindre de catégories à afficher (exemple : une requête de protocole ou d'action). Affiche les informations de requête dans plusieurs colonnes. Ce composant est utile pour afficher les données d'événement et de flux à leur granularité maximale. Affiche les informations recherchées dans un graphique à barres, vous permettant ainsi de comparer la taille de chaque résultat dans un intervalle donné. Affiche les données de requête sélectionnées au format Liste. Ce composant est utile si vous souhaitez afficher une liste plus détaillée des éléments dans un espace plus petit. Affiche la distribution des événements et des flux au cours d'une période. Vous pouvez définir des intervalles et consulter des tranches horaires spécifiques pour former les données. Composant vide qui est utilisé pour les notes de texte. Il vous permet d'écrire les notes associées à la vue actuelle. McAfee Enterprise Security Manager Guide Produit 273

274 7 Utilisation des événements Utilisation des vues d'esm Composant Nombre Titre Description Affiche le nombre total d'événements, d'actifs, de vulnérabilités ou de flux recherchés pour une vue spécifique. Permet de créer un titre ou un en-tête pour la vue. Vous pouvez le placer n'importe où sur la vue. Topologie de réseau Carte de géolocalisation Liste de filtres Permet d'afficher les données représentées sur le réseau. Vous pouvez également créer une vue personnalisée qui peut être utilisée conjointement avec les données de découverte du réseau (voir Ajout d'équipements au composant Topologie de réseau). Affiche l'emplacement de destination et source des alertes et des flux sur une carte de géolocalisation. Les options de ce composant vous permettent de basculer entre le marquage de ville, d'etat, de pays et de zones du monde et entre le zoom avant et arrière. Vous pouvez également sélectionner des emplacements à l'aide des touches Ctrl et Maj. Affiche la liste des utilisateurs et des groupes d'active Directory. Une fois le composant Liste de filtres ajouté, vous pouvez lui lier d'autres composants en cliquant sur la flèche vers le bas dans les champs de filtre Utilisateur source ou Utilisateur de destination de l'assistant Requête et en sélectionnant Lier à Liste Active Directory. Vous pouvez également afficher les données d'événement et de flux associées à Active Directory en cliquant sur l'icône de menu. Personnalisation des composants Si vous ajoutez ou modifiez un composant, plusieurs options disponibles dans le panneau Propriétés vous permettent de le personnaliser. Les options disponibles dépendent du composant sélectionné. Option Titre Largeur et Hauteur X et Y Modifier la requête Afficher la barre de contrôle Taille de la page Afficher la valeur Autres Afficher la légende Afficher les valeurs Définition Permet de modifier le titre d'un composant. Permet de définir les dimensions du composant. Vous pouvez également cliquer sur la ligne de délimitation et la faire glisser. Permet de définir l'emplacement du composant dans la vue. Vous pouvez également cliquer sur la barre de titre du composant, puis effectuer un glisser-déplacer. Apporter des modifications à la requête actuelle. Si vous cliquez sur ce bouton, l'assistant Requête s'ouvre (voir Utilisation de l'assistant Requête). Permet d'indiquer si vous souhaitez afficher la barre de contrôle en bas du composant. Permet de définir le nombre d'enregistrements affichés par page si plusieurs données peuvent être affichées simultanément. Si cette option est sélectionnée, la valeur Autres s'affiche en bas d'un composant de type graphique ou liste. Elle indique le total de l'ensemble des enregistrements qui ne sont pas affichés dans la page actuelle. Exemple : si vous consultez la page deux d'un ensemble d'enregistrements, la catégorie Autres correspond à la somme de la page une et de toutes les pages qui suivent la page deux. Permet d'afficher une légende au-dessous ou à droite d'un graphique à secteurs. Permet d'inclure la valeur de chaque élément dans un graphique à barres. 274 McAfee Enterprise Security Manager Guide Produit

275 Utilisation des événements Utilisation des vues d'esm 7 Option Afficher les étiquettes Afficher les moyennes de référence Définition Permet d'inclure une étiquette pour chaque barre d'un graphique à barres. Vous pouvez définir le nombre maximal de caractères qui peuvent être affichés dans une étiquette. Si l'option est définie sur 0, aucune limite maximale n'est définie pour l'étiquette. Permet de comparer les données actuelles avec les données historiques d'un diagramme de répartition, d'un graphique à barres ou d'un cadran de contrôle. Vous pouvez utiliser deux options différentes lors de l'affichage des données de référence : Utiliser une période automatique : si cette option est sélectionnée, les données de référence sont mises en corrélation en utilisant la période appliquée pour la requête actuelle pendant les cinq derniers intervalles. Exemple : si vous exécutez une requête sur le jour en cours un lundi, les données de référence sont calculées pour la même période pendant les cinq derniers lundis. Un nombre moindre d'intervalles est utilisé si aucune donnée n'existe pour un intervalle donné. La moyenne des valeurs qui sont collectées à partir de chaque intervalle est établie pour calculer la valeur de référence actuelle. Utiliser une période spécifique : la sélection de cette période vous permet de spécifier une heure de début et de fin à utiliser pour calculer une moyenne. Si cette option est utilisée, elle est calculée en tant que période unique. Elle produit une moyenne plate dans le cas des rapports de distribution. Les données de référence sont affichées dans les diagrammes de distribution sous forme d'une ligne bleue. Cette ligne est plate si l'option Utiliser une période spécifique est sélectionnée ou si le nombre de données est insuffisant pour calculer une valeur corrélée. Cette ligne est courbe (en supposant que différentes valeurs soient affichées pour chaque période) si une valeur corrélée est calculée. Le graphique à barres affiche un pointeur au niveau du point de référence de chaque barre. Si la valeur actuelle est supérieure à la valeur de référence, la barre est rouge au-dessus du marqueur de référence. Si le graphique à barres affiche la gravité d'une règle, la couleur de la barre ne change pas pour la valeur de référence. Une option supplémentaire vous permet de définir une valeur de marge à afficher avec les données de référence. La valeur de marge est calculée à partir de la valeur de référence. Par exemple si la valeur de référence est 100 et si la marge supérieure est égale à 20 %, la valeur de marge calculée correspond à 120. Si vous activez cette fonctionnalité, la zone de la marge s'affiche pour chaque barre d'un graphique à barres. Un diagramme de répartition calcule la valeur moyenne de la référence et affiche une zone grisée au-dessus et au-dessous de la référence qui indique la zone de la marge. Liste des équipements Groupements d'équipements logiques Arrière-plan Effectuez un glisser-déplacer des équipements vers le composant Topologie de réseau ou l'arborescence Groupements d'équipements logiques. Permet de créer des dossiers pour grouper les équipements du composant Topologie de réseau. Sélectionner la couleur de l'arrière-plan de la vue. URL de l'image d'arrière-plan vous permet d'importer une image et de l'utiliser comme arrière-plan. Ajout d'équipements au composant Topologie de réseau Le composant Topologie de réseau vous permet d'obtenir les données d'événement et de flux des équipements ou de l'arborescence des équipements, et d'afficher les données représentées sur le réseau. Avant de commencer Vous devez découvrir votre réseau avant l'affichage de la liste des équipements (consultez la section Découverte du réseau). McAfee Enterprise Security Manager Guide Produit 275

276 7 Utilisation des événements Utilisation des vues d'esm Ce composant vous permet de créer une vue personnalisée qui peut être utilisée avec les données de découverte du réseau. Une fois que vous avez créé une vue Topologie de réseau, vous devez la personnaliser pour afficher les informations d'événement ou de flux (consultez la section Ajout d'une vue personnalisée). 1 Lorsque vous ajoutez ou modifiez une vue, cliquez sur le composant Topologie du réseau d'événements. Le volet Propriétés affiche la Liste des équipements et l'arborescence Groupements d'équipements logiques. 2 Dans la Liste des équipements ou la Liste des dossiers, sélectionnez un équipement ou un dossier, puis exécutez l'une des procédures suivantes : Pour ajouter l'équipement ou le dossier au composant, effectuez un glisser-déplacer de cet élément vers le composant. Pour ajouter l'équipement ou le dossier à un groupe de l'arborescence Groupements d'équipements logiques, cliquez sur Ajouter, entrez le nom du dossier, cliquez sur OK, puis effectuez un glisser-déplacer de l'équipement dans le dossier. 3 Organisez les équipements. Les équipements qui sont physiquement connectés au système sont indiqués par une ligne droite noire dans le composant. Les lignes courbes bleues ou rouges indiquent un chemin d'accès des données. Détails d'équipement dans les composants Topologie de réseau Vous pouvez afficher les détails spécifiques d'un équipement dans un composant Topologie de réseau lorsque vous double-cliquez sur cet équipement. Cet écran vous permet d'afficher les informations sur l'interface et le poste client, par exemple la synthèse des ports, le nombre total d'équipements et l'état des équipements. Option Synthèse des ports pour Total Au-dessus de la moyenne de référence Définition Indique le port que vous consultez actuellement. Indique le nombre total des équipements. Indique le nombre d'équipements au-dessus de la moyenne de référence actuelle. Représente une station de travail. Indique que des données d'alerte sont associées à l'interface et qu'elles sont inférieures à la moyenne de référence. Indique que des données d'alerte sont associées à l'interface et qu'elles sont supérieures à la moyenne de référence. Indique qu'aucune donnée d'alerte n'est associée à l'interface. Indique que l'état d'administration est à l'arrêt (pas seulement au niveau opérationnel). 276 McAfee Enterprise Security Manager Guide Produit

277 Utilisation des événements Utilisation des vues d'esm 7 Option Définition Représente un routeur. Indique que le port de commutateur fonctionne. Représente un équipement inconnu. Représente un équipement non managé. Indique qu'esm ne peut pas communiquer avec l'équipement via le protocole SNMP, la découverte du réseau ou une requête ping. Barre d'outils de composant La barre d'outils de composant, située en bas de chaque composant d'une vue, propose plusieurs actions que vous pouvez exécuter sur les données du composant. Les actions disponibles dépendent du type de composant. Option Icônes de type de graphique Définition Marquer le ou les événements comme vérifié(s) : marquer des événements spécifiques après les avoir vérifiés. Vous pouvez ensuite utiliser la liste déroulante Modifier le filtre d'état d'événement pour afficher uniquement les événements vérifiés ou uniquement les événements non vérifiés. Affecter des événements à un incident ou à Remedy : affecter des événements à un incident (voir Gestion des incidents) ou envoyer un au système Remedy (si vous en avez configuré un). Si vous cliquez sur cette icône, vous pouvez sélectionner : Créer un incident Ajouter des événements à un incident Envoyer l'événement vers Remedy (consultez la section Envoi d'un à Remedy) Lancer l'url de l'équipement : lancer l'url qui est associée à l'événement sélectionné, si vous en avez ajouté une pour l'équipement (voir Ajout d'une URL). Si vous n'en avez pas défini, vous êtes invité à l'ajouter. Afficher ou Masquer les noms d'hôte : afficher ou masquer les noms d'hôte associés aux adresses IP de la vue (voir Gestion des noms d'hôte). Modifier le type de graphique : modifier le type de graphique qui affiche les données. L'icône de cette fonctionnalité est l'icône de composant correspondant au type de graphique actuel. McAfee Enterprise Security Manager Guide Produit 277

278 7 Utilisation des événements Utilisation des vues d'esm Option Définition Afficher ou Masquer les détails des données : afficher ou masquer les détails relatifs à l'événement sélectionné. Cette section contient plusieurs onglets : Détails : affiche les informations disponibles relatives à l'événement ou au flux sélectionné. Détails avancés : affiche les informations relatives à l'équipement réseau source, à l'équipement réseau de destination et aux recours. Vous pouvez rechercher des événements ou des flux en fonction de leur ID si vous disposez des droits suffisants pour afficher ces enregistrements, en cliquant sur l'icône de loupe à droite du champ ID d'événement ou ID de flux. Géolocalisation : affiche l'emplacement de la source et de la destination de l'événement sélectionné. Description : indique le nom, la description et la signature ou la règle associée à l'événement. Notes : vous permet d'ajouter des notes à l'événement ou au flux, qui s'affichent chaque fois que vous affichez cet élément particulier. Paquet : récupère le contenu du paquet qui a généré l'événement sélectionné. Cet onglet vous permet d'exécuter les fonctions suivantes : Sélectionner le format d'affichage du paquet. Récupérer les données de paquet en cliquant sur. Enregistrer le paquet sur l'ordinateur en cliquant sur. S'il s'agit d'une capture des paquets (PCAP) (par exemple des événements Nitro IPS, des événements ADM ou des événements Estreamer du récepteur), elle est enregistrée avec une extension.pcap et peut être ouverte dans un programme de visualisation PCAP. Si tel n'est pas le cas, elle est enregistrée en tant que fichier texte. Le définir pour récupérer le paquet automatiquement lorsque vous cliquez sur un événement. Rechercher des informations dans le paquet en entrant le mot clé dans le champ Rechercher du texte et en cliquant sur. N'utilisez pas de caractères spéciaux tels que des crochets ou des parenthèses dans le champ Rechercher du texte. Evénements sources : si un événement de corrélation ou de vulnérabilité est sélectionné, affiche l'ensemble des événements qui ont provoqué sa génération. Archive ELM : si vous entrez du texte dans le champ Rechercher du texte, récupère les données qui sont archivées 278 McAfee Enterprise Security Manager Guide Produit

279 Utilisation des événements Utilisation des vues d'esm 7 Option Définition dans ELM. Si l'événement est agrégé, un récepteur ou un équipement ACE affiche jusqu'à 100 événements agrégés. Types personnalisés : si vous avez défini des types personnalisés (voir Filtres de type personnalisé), affiche les champs de type personnalisé et les données de cet événement qui appartiennent à ces champs. Informations : affiche les informations que sont le nom de l'équipement, l'adresse IP, la version du système d'exploitation et de l'équipement, la description du système, le contact du système et l'emplacement physique du système. Interfaces : affiche le nom du port, la vitesse du port, le réseau local virtuel (VLAN), l'état d'administration et l'état opérationnel. Voisins : affiche des informations spécifiques relatives aux équipements voisins, par exemple l'interface locale, l'équipement voisin et l'interface voisine. Modifier la période et la fréquence d'intervalle : définir la fréquence souhaitée de l'actualisation des données du graphique. Définir la fréquence : sélectionnez la fréquence des données affichées (aucune, par seconde, par minute, par heure, par jour, par semaine et par mois). Adresse IP : afficher les événements ou flux sources et de destination correspondant à une adresse IP spécifique. Entrez l'adresse dans le champ ou sélectionnez une adresse que vous avez déjà utilisée, puis cliquez sur l'icône ou Actualiser. Options de géolocalisation : basculer entre le marquage de ville, d'etat, de pays et de régions du monde, et entre le zoom avant et arrière, ainsi que sélectionner des emplacements à l'aide des touches Ctrl et Maj. Changer de page : parcourir les données lorsqu'il y a plusieurs pages. Modifier le filtre d'état d'événement : sélectionnez le type d'événement ou de flux à afficher dans la liste d'analyses. Vous pouvez afficher tous les événements, uniquement les événements vérifiés, uniquement événements non vérifiés, les événements corrigés, tous les flux, seulement les flux ouverts ou seulement les flux fermés. Boutons de l'historique : avancer et reculer dans les modifications apportées à la vue. Afficher les chemins d'accès des données ou Masquer les chemins d'accès des données : afficher ou masquer la liaison de données d'événement ou de flux entre deux équipements. Masquer le texte : afficher ou masquer les étiquettes de l'équipement dans la vue Topologie de réseau. McAfee Enterprise Security Manager Guide Produit 279

280 7 Utilisation des événements Utilisation des vues d'esm Envoi d'un Remedy Si vous configurez un système Remedy, vous pouvez envoyer un message pour indiquer au système qu'un événement requiert une correction. Lorsque vous effectuez cette procédure, vous recevez un numéro d'incident Remedy à ajouter à l'enregistrement d'événement. Un système Remedy est configuré par l'utilisateur et n'est pas relié à McAfee Nitro IPS. 1 Sur une vue d'événements, sélectionnez l'événement qui requiert une mesure corrective. 2 Cliquez sur l'icône de lancement rapide Affecter des événements à un incident ou à Remedy sélectionnez Envoyer l'événement vers Remedy., puis 3 Ajoutez le Préfixe, le Mot clé et l'id d'utilisateur d'entreprise. 4 (Facultatif) Ajoutez des informations dans Détails, qui contient des informations générées par le système concernant l'événement. 5 Cliquez sur Envoyer. Options de menu des composants La plupart des composants d'une vue comportent un menu le composant. Ce tableau indique les éléments possibles. qui affiche les options disponibles pour Option Accès aux détails (événement, flux, actif) Synthétiser ou Synthétiser par Modifier les paramètres d'agrégation Actions Créer une liste de valeurs Ajouter à la liste de surveillance Créer une alarme Exécuter une analyse MVM Lancer epo Historique de l'exécution TIE Définition Permet d'afficher les détails supplémentaires correspondant au type de données sélectionné dans les listes d'accès aux détails. Une nouvelle vue affiche les détails. Permet d'afficher d'autres données d'événement ou de flux qui partagent les caractéristiques des événements sélectionnés. Exemple : si vous consultez un événement d'analyse de ports dans l'écran d'analyse et si vous souhaitez voir les autres événements générés par le même auteur d'attaque, cliquez sur l'événement, sélectionnez Synthétiser par, puis cliquez sur Source IP. Permet de créer une exception aux paramètres d'agrégation généraux pour une règle individuelle (consultez la section Ajout d'exceptions aux paramètres d'agrégation des événements). Sélectionner des événements d'une vue et les ajouter à une nouvelle liste de valeurs (voir Listes de valeurs). Sélectionnez des événements d'une vue, puis ajoutez-les à une liste de surveillance existante. Sélectionnez des événements d'une vue, puis créez une alarme basée sur leurs valeurs (consultez la section Création d'une alarme). Lancer une analyse McAfee Vulnerability Manager si votre système comporte un équipement McAfee Vulnerability Manager. Ouvrir l'interface d'epolicy Orchestrator (voir Lancement d'epolicy Orchestrator). Lorsqu'un événement TIE est sélectionné, vous pouvez ouvrir la page Historique de l'exécution TIE pour afficher les adresses IP à l'origine de la tentative d'exécution du fichier sélectionné. Cette page vous permet de créer une nouvelle liste de valeurs, d'ajouter un fichier à une liste de valeurs, de créer une nouvelle alarme, de mettre un fichier en liste noire, d'exporter un fichier au format CSV ou d'ajouter des marqueurs epolicy Orchestrator au fichier. 280 McAfee Enterprise Security Manager Guide Produit

281 Utilisation des événements Utilisation des vues d'esm 7 Option Afficher la règle Informations sur l'adresse IP Recherche ASN Parcourir la référence Définir un ID d'incident Remedy Liste noire Rechercher dans ELM Modifier le réseau local virtuel (VLAN) Désactiver ou activer un ou plusieurs ports Afficher les événements ou Afficher les flux Exporter Supprimer Marquer comme vérifié Créer une règle de pare-feu personnalisée Créer une règle personnalisée Définition Permet d'afficher la règle qui a généré l'événement. Rechercher des informations sur une adresse IP ou un port source ou cible. Vous pouvez afficher les informations sur les menaces et les résultats de la recherche WHOIS relatifs à l'adresse IP sélectionnée. Permet de récupérer un enregistrement WHOIS à l'aide de l'identificateur ASN. Permet d'ouvrir votre navigateur web par défaut et de vous connecter à la base de données McAfee des signatures en ligne, qui fournit des informations sur la signature qui a généré l'événement sélectionné. Ajouter l'id d'incident Remedy, que vous avez reçu lorsque vous avez envoyé un d'événement au système Remedy, à l'enregistrement d'événement à des fins de référence (voir Ajout d'un ID d'incident Remedy à un enregistrement d'événement). Ajouter l'adresse IP de l'événement sélectionné à la liste noire. Si vous sélectionnez cette option, l'editeur de liste noire s'ouvre, où le champ Adresse IP est rempli avec les données de l'événement sélectionné (voir Liste noire d'ips ou d'un équipement virtuel). Rechercher des informations contenues dans ELM relatives à l'événement que vous avez sélectionné. La page Recherche ELM avancée s'ouvre et les champs sont remplis avec les données que vous sélectionnez (voir Effectuer une recherche ELM avancée). Modifier le réseau local virtuel (VLAN) des équipements sélectionnés. Vous pouvez sélectionner de 1 à 12 équipements. Sélectionner un ou plusieurs ports d'une interface ou d'un poste client. Selon votre sélection, l'option de désactivation ou d'activation s'affiche. Par exemple, si vous avez sélectionné cinq interfaces, que l'une est activée et les quatre autres désactivées, vous pouvez uniquement désactiver le port. Néanmoins, si vous sélectionnez un port qui est désactivé, l'option Activer un ou plusieurs ports est disponible. Permet d'afficher les événements générés par un flux ou les flux générés par un événement. Exporter un composant de vue au format PDF, texte, CSV ou HTML (voir Exportation d'un composant). Permet de supprimer des événements ou des flux dans la base de données. Vous devez être membre d'un groupe disposant des privilèges sur les événements. Vous ne pouvez supprimer que les enregistrements actuellement sélectionnés, la page actuelle des données ou un nombre maximal de pages commençant à la page 1. Permet de marquer les événements vérifiés. Vous pouvez marquer tous les enregistrements de l'ensemble de résultats, la page actuelle ou les enregistrements sélectionnés. Créer une règle de pare-feu personnalisée basée sur les propriétés de l'événement ou du flux sélectionné. Si vous cliquez sur Créer une règle de pare-feu personnalisée, la page Nouvelle règle s'ouvre (voir Ajout de règles ADM, de base de données ou de corrélation personnalisées). Créer une règle personnalisée en utilisant comme point de départ la signature qui a déclenché une alerte particulière. Cette option est disponible si vous sélectionnez les alertes générées par des règles standard (autres que de pare-feu). Si vous cliquez sur Créer une règle personnalisée, la page Nouvelle règle s'ouvre (voir Ajout de règles ADM, de base de données ou de corrélation personnalisées). McAfee Enterprise Security Manager Guide Produit 281

282 7 Utilisation des événements Utilisation des vues d'esm Effectuer une recherche WHOIS ou ASN Sur un composant de tableau, vous pouvez effectuer une recherche WHOIS pour trouver des informations sur une adresse IP source ou de destination. La Recherche ASN est disponible pour toute requête ASN d'un graphique à barres et tout enregistrement de flux d'un composant de tableau contenant des données ASN. Elle permet d'obtenir un enregistrement WHOIS en utilisant l'identificateur ASN. 1 Sélectionnez une adresse IP ou un enregistrement de flux contenant des données ASN répertoriées dans un composant de tableau, ou bien une barre de requête ASN sur un composant de graphique à barres. 2 Cliquez sur le menu, puis sélectionnez Informations sur l'adresse IP ou Recherche ASN. 3 Pour rechercher une autre adresse IP ou un autre identificateur : Sur la page WHOIS, sélectionnez une adresse IP dans la liste déroulante, puis entrez le nom d'hôte. Sur la page Recherche ASN, entrez un numéro ou sélectionnez-le dans la liste déroulante. Ajout d'un ID d'incident Remedy à un enregistrement d'événement Lorsque vous envoyez un d'événement au système Remedy, vous recevez un numéro d'id d'incident que vous pouvez ajouter à l'enregistrement d'événement à des fins de référence. 1 Surlignez l'événement dans la vue Analyse d'événement, puis cliquez sur le menu. 2 Sélectionnez Définir un ID d'incident Remedy, tapez le numéro, puis cliquez sur OK. Exportation d'un composant Vous pouvez exporter les données d'un composant de vue ESM. Les composants de graphique peuvent être exportés au format texte ou PDF et les composants de table au format CSV (valeurs séparées par des virgules) ou HTML. Lorsque vous exportez la page actuelle d'un composant de graphique, de distribution ou de tableau d'une vue, les données exportées correspondent exactement aux données affichées lorsque vous lancez l'exportation. Si vous exportez plusieurs pages, la requête est de nouveau exécutée lors de l'exportation des données. Par conséquent, les données peuvent être différentes de celles qui sont affichées sur le composant. 1 Dans une vue, cliquez sur le menu du composant à exporter, puis sur Exporter. 2 Sélectionnez l'un des formats suivants : Texte : exportez les données au format texte. PDF : exportez les données et une image. 282 McAfee Enterprise Security Manager Guide Produit

283 Utilisation des événements Utilisation des vues d'esm 7 Image en PDF : exportez uniquement l'image. CSV : exportez une liste au format délimité par des virgules. HTML : exportez les données dans un tableau. 3 Sur la page Exporter, indiquez les données que vous souhaitez exporter. Si vous avez sélectionné Texte ou PDF, vous pouvez exporter la page actuelle des données ou un nombre maximal de pages à partir de la page 1. Si vous avez sélectionné Image en PDF, une image est générée. Si vous avez sélectionné CSV ou HTML, vous pouvez exporter les éléments sélectionnés, seulement la page actuelle des données ou un nombre maximal de pages à partir de la page 1. 4 Cliquez sur OK. Le fichier d'exportation est généré et vous êtes invité à télécharger le fichier obtenu. Utilisation de l'assistant Requête Chaque rapport ou vue de l'esm regroupe des données en fonction des paramètres de requête de chaque composant. Lorsque vous ajoutez ou modifiez une vue ou un rapport, vous définissez les paramètres de requête pour chaque composant dans l'assistant Requête en sélectionnant le type de requête, la requête, les champs à inclure et les filtres à utiliser. Toutes les requêtes prédéfinies et personnalisées du système sont répertoriées dans l'assistant, ainsi vous pouvez sélectionner les données que vous souhaitez collecter à l'aide du composant. Vous pouvez également modifier ou supprimer les requêtes, ainsi que copier une requête existante à utiliser comme modèle pour définir une nouvelle requête. Gestion des requêtes ESM comporte des requêtes prédéfinies que vous pouvez sélectionner dans l'assistant Requête lorsque vous ajoutez ou modifiez un rapport ou une vue. Vous pouvez modifier certains paramètres de ces requêtes, ainsi qu'ajouter ou supprimer des requêtes personnalisées. 1 Pour accéder à l'assistant Requête, effectuez l'une des actions suivantes. Pour... Ajouter une nouvelle vue Modifier une vue existante Procédez ainsi... 1 Cliquez sur l'icône Créer une vue située dans la barre d'outils des vues. 2 Faites glisser un composant de la Barre d'outils Modification des vues pour le placer dans le volet des vues. L'Assistant Requête s'ouvre. 1 Sélectionnez la vue que vous souhaitez modifier. 2 Cliquez sur l'icône Modifier la vue actuelle vues. située dans la barre d'outils des 3 Cliquez sur le composant que vous souhaitez modifier. 4 Cliquez sur Modifier la requête dans le volet Propriétés. L'Assistant Requête s'ouvre sur la deuxième page. McAfee Enterprise Security Manager Guide Produit 283

284 7 Utilisation des événements Utilisation des vues d'esm Pour... Définir la disposition d'un nouveau rapport Procédez ainsi... 1 Dans Propriétés du système, cliquez sur Rapports. 2 Cliquez sur Ajouter. 3 Dans la section 5 de la page Ajouter un rapport, cliquez sur Ajouter. 4 Faites glisser un composant pour le placer dans la section des dispositions de rapport. L'Assistant Requête s'ouvre. Modifier la disposition d'un rapport existant 1 Dans Propriétés du système, cliquez sur Rapports. 2 Sélectionnez le rapport à modifier, puis cliquez sur Modifier. 3 Dans la section 5 de la page Modifier le rapport, sélectionnez une disposition existante, puis cliquez sur Modifier. 4 Cliquez sur le composant dans la section des dispositions de rapport, puis cliquez sur Modifier la requête dans la section Propriétés. L'Assistant Requête s'ouvre sur la deuxième page. 2 Dans l'assistant Requête, effectuez l'une des actions suivantes : Pour... Ajouter une nouvelle requête Procédez ainsi... 1 Sélectionnez la requête que vous souhaitez utiliser comme modèle, puis cliquez sur Copier. 2 Entrez le nom de la nouvelle requête, puis cliquez sur OK. 3 Dans la liste de requêtes, cliquez sur la requête que vous venez d'ajouter, puis cliquez sur Suivant. 4 Sur la deuxième page de l'assistant, modifiez les paramètres en cliquant sur les boutons. Modifier une requête personnalisée Supprimer une requête personnalisée 1 Sélectionnez la requête personnalisée que vous souhaitez modifier, puis cliquez sur Modifier. 2 Sur la deuxième page de l'assistant, modifiez les paramètres en cliquant sur les boutons. Sélectionnez la requête personnalisée que vous souhaitez supprimer, puis cliquez sur Supprimer. 3 Cliquez sur Terminer. Liaison de composants Si un composant de vue est lié à un autre composant à l'aide d'une liaison de données, la vue devient interactive. La sélection d'un ou plusieurs éléments dans le composant parent provoque la modification des résultats affichés dans le composant enfant comme si un accès aux détails était exécuté. Exemple : si vous avez lié un composant IP source de graphique à barres parent à un composant IP de destination de graphique à barres enfant, la sélection d'un élément dans le composant parent provoque 284 McAfee Enterprise Security Manager Guide Produit

285 Utilisation des événements Utilisation des vues d'esm 7 l'exécution d'une requête par le composant enfant à l'aide de l'ip source sélectionnée en tant que filtre. La modification de la sélection dans le composant parent actualise les données du composant enfant. La liaison de données n'autorise que la liaison d'un champ avec un autre champ. 1 Créez les composants parent et enfant, puis sélectionnez le composant enfant. 2 Dans le volet Propriétés, cliquez sur Modifier la requête Filtres. La page Filtres de requête s'ouvre avec les requêtes parent et enfant activées. 3 Dans la liste déroulante des requêtes enfant, sélectionnez Lier à. 4 Cliquez sur OK, puis sur Terminer. Comparaison des valeurs Les graphiques de distribution vous permettent de superposer une variable supplémentaire au graphique actuel. De cette façon, vous pouvez comparer deux valeurs pour indiquer facilement les relations, par exemple, entre le nombre total d'événements et la gravité moyenne. Cette fonctionnalité fournit en un coup d'œil des comparaisons de données intéressantes sur la durée. En combinant les résultats en un graphique de distribution unique, elle est également utile pour économiser l'espace de l'écran lors de la création de larges vues. La comparaison est limitée au même type que la requête sélectionnée. Exemple : si une requête d'événement est sélectionnée, vous ne pouvez procéder à une comparaison qu'avec les champs de la table des événements et pas avec ceux de la table des flux, des actifs ou des vulnérabilités. Si vous appliquez les paramètres de la requête au diagramme de distribution, il exécute normalement sa requête. Si le champ de comparaison est activé, une requête secondaire est exécutée parallèlement pour les données. Le composant de distribution affiche les données des deux ensembles de données sur le même graphique, mais utilise deux axes verticaux distincts. Si vous modifiez le type de graphique (angle inférieur droit du composant), les deux ensembles de données restent cependant affichés. Comparaison des valeurs de graphiques Vous pouvez comparer les données d'un graphique de distribution avec une variable que vous avez sélectionnée. 1 Sélectionnez l'icône Créer une vue ou l'icône Modifier la vue actuelle. 2 Cliquez sur l'icône Distribution, puis faites-la glisser sur la vue pour ouvrir l'assistant Requête. 3 Sélectionnez le type de requête et la requête, puis cliquez sur Suivant. 4 Cliquez sur Comparer, puis sélectionnez le champ que vous souhaitez comparer à la requête que vous avez sélectionnée. McAfee Enterprise Security Manager Guide Produit 285

286 7 Utilisation des événements Utilisation des vues d'esm 5 Cliquez sur OK, puis sur Terminer 6 Placez le composant à l'endroit approprié de la vue, puis : Cliquez sur Enregistrer si vous ajoutez le composant à une vue existante. Cliquez sur Enregistrer sous et ajoutez le nom de la vue si vous créez une nouvelle vue. Configuration de la répartition empilée pour les vues et les rapports Configurer le composant de distribution sur une vue ou un rapport afin de visualiser la répartition des événements relatifs à un champ spécifique. Vous pouvez sélectionner le champ à utiliser pour l'empilement lorsque vous ajoutez le composant à une vue ou un rapport. Lorsque vous accédez à la vue, vous pouvez modifier les paramètres, ainsi que définir l'intervalle de temps, le type de graphique et ses détails. Vous ne pouvez pas utiliser les fonctionnalités Empilement et Comparer dans la même requête. 1 Faites glisser le composant Distribution pour le placer sur une vue (voir Ajout d'une vue personnalisé) ou sur un rapport (voir Ajout d'une disposition de rapport), puis sélectionnez le type de requête. L'empilement n'est pas disponible pour les requêtes de distribution Fréquence de collecte ou Moyenne (par exemple, Gravité moyenne par alerte ou Durée moy. par flux). 2 Sur la deuxième page de l'assistant Requête, cliquez sur Empilement, puis sélectionnez les options. 3 Cliquez sur OK sur la page Options d'empilement, puis sur Terminer dans l'assistant Requête. La vue est ajoutée. Vous pouvez modifier les paramètres et définir l'intervalle de temps et le type de graphique en cliquant sur l'icône Options des graphiques. Gestion des vues La gestion des vues est moyen rapide de copier, importer et exporter plusieurs vues en même temps. Elle permet également de sélectionner les vues à inclure dans la liste des vues et d'attribuer à des utilisateurs et des groupes particuliers des autorisations d'accès aux différentes vues. 1 Sur la console ESM, cliquez sur l'icône Gérer les vues. 2 Sélectionnez l'une des options disponibles, puis cliquez sur OK. Effectuer une recherche dans la période d'un événement La vue Analyse d'événement vous permet de rechercher des événements qui correspondent à un ou plusieurs champs de l'événement dans la période sélectionnée avant ou après l'événement. 286 McAfee Enterprise Security Manager Guide Produit

287 Utilisation des événements Utilisation des vues d'esm 7 1 Sur la console ESM, cliquez sur la liste des vues, puis sélectionnez Vues des événements Analyse d'événement. 2 Cliquez sur un événement, puis sur l'icône de menu, puis cliquez sur Recherche dans la période. 3 Sélectionnez la période en minutes avant ou après l'heure de l'événement dans laquelle vous souhaitez rechercher des concordances. 4 Cliquez sur Sélectionner un filtre, sélectionnez le champ sur lequel effectuer la recherche de concordance, puis entrez la valeur. Les résultats s'affichent dans la vue Résultats de la recherche dans la période. Si vous quittez cette vue, vous pouvez y revenir ultérieurement en cliquant sur Dernière recherche dans une période dans le menu Analyse d'événement. Affichage des informations sur l'adresse IP d'un événement Si vous possédez une licence McAfee Global Threat Intelligence (McAfee GTI) fournie par McAfee, vous avez accès au nouvel onglet Détails de la menace lorsque vous effectuez une recherche sur les Informations sur l'adresse IP. Si vous sélectionnez cette option, vous obtenez des informations sur l'adresse IP, notamment la gravité des risques et des données de géolocalisation. Avant de commencer Achetez une licence McAfee GTI (voir McAfee GTIListe de valeurs). Si votre licence McAfee GTI a expiré, contactez votre ingénieur commercial McAfee ou le support technique McAfee. 1 Sur la console ESM, sélectionnez une vue incluant un composant de tableau telle que Vues des événements Analyse d'événement. 2 Cliquez sur une adresse IP, sur l'icône de menu cliquez sur Informations sur l'adresse IP. d'un composant associé à une adresse IP, puis L'onglet Détails de la menace répertorie les données de l'adresse IP sélectionnée. Vous pouvez copier les données dans le presse-papiers du système. L'option Informations sur l'adresse IP a remplacé l'option Recherche WHOIS dans le menu contextuel. Cependant, la page Informations sur l'adresse IP inclut un onglet Recherche WHOIS qui affiche ces informations. Modification de la vue par défaut Par défaut, la vue Synthèse par défaut s'affiche dans le panneau Vues lors de votre première connexion à la console ESM. Vous pouvez modifier cette vue par défaut et la remplacer par l'une des vues prédéfinies ou personnalisées dans ESM. McAfee Enterprise Security Manager Guide Produit 287

288 7 Utilisation des événements Utilisation des vues d'esm 1 Dans la barre de navigation de la console ESM, cliquez sur Options, puis sélectionnez Vues. 2 Dans la liste déroulante Vue du système par défaut, sélectionnez la nouvelle vue par défaut, puis cliquez sur OK. Filtrage des vues Dans le panneau Filtres situé dans la console ESM principale, vous pouvez configurer les filtres à appliquer aux vues. Tous les filtres qui sont appliqués à une vue sont reportés à la vue suivante qui est ouverte. Lors de votre première connexion à l'esm, le volet des filtres par défaut inclut les champs de filtre Utilisateur source, Utilisateur de destination, IP source et IP de destination. Vous pouvez ajouter et supprimer des champs de filtre, enregistrer des jeux de filtres, modifier le jeu de filtres par défaut, gérer tous les filtres et lancer le gestionnaire de normalisation de chaîne. Une icône en forme d'entonnoir orange dans l'angle supérieur droit du volet de la vue indique que des filtres sont appliqués à la vue. Si vous cliquez sur cette icône orange, tous les filtres sont effacés et la requête est réexécutée. Lorsque des valeurs de filtre sont séparées par des virgules, par exemple dans des variables, des filtres généraux, des filtres locaux, des chaînes normalisées ou des filtres de rapport, vous devez utiliser des guillemets si elles ne font pas partie d'une liste de valeurs. Si la valeur est Dupont,Jean, vous devez entrer "Dupont,Jean". Si la valeur contient des guillemets, vous devez mettre les guillemets entre guillemets. Si la valeur est Dupont,Jean"Fils", vous devez entrer "Dupont,Jean""Fils""". Vous pouvez utiliser les filtres contains et regex (voir Description des filtres contains et regex). Filtrage d'une vue Les filtres vous aident à afficher les détails des éléments sélectionnés dans une vue. Si vous entrez des filtres et actualisez la vue, les données de celle-ci reflètent les filtres ajoutés. 1 Sur la console ESM, cliquez sur la liste déroulante des vues et sélectionnez la vue que vous souhaitez filtrer. 2 Dans le volet Filtre, remplissez les champs avec les données à filtrer en suivant l'une de ces procédures : Tapez les informations de filtre dans le champ approprié. Exemple : pour filtrer la vue actuelle afin d'afficher uniquement les données pourvues de l'adresse IP source , tapez cette adresse IP dans le champ IP source. Entrez un filtre contains ou regex (voir Description des filtres contains et regex). 288 McAfee Enterprise Security Manager Guide Produit

289 Utilisation des événements Utilisation des vues d'esm 7 Cliquez sur l'icône Afficher la liste de filtres située à côté du champ, puis sélectionnez les variables ou les listes de valeurs à utiliser pour le filtrage. Dans la vue, sélectionnez les données que vous souhaitez utiliser comme filtre, puis cliquez dans le champ du volet Filtre. Si le champ est vide, il est automatiquement rempli avec les données que vous avez sélectionnées. Pour l'option Gravité moyenne, utilisez le signe deux-points (:) pour entrer un intervalle. Par exemple, 60:80 correspond à un intervalle de gravité compris entre 60 et Effectuez l'une des actions suivantes : Pour... Afficher les données qui concordent avec plusieurs filtres Afficher les données qui concordent avec certaines valeurs de filtre et en excluent d'autres Procédez ainsi... Entrez les valeurs dans chaque champ. 1 Entrez les valeurs de filtre que vous souhaitez inclure et exclure. 2 Cliquez sur l'icône NON située en regard des champs que vous souhaitez exclure. Afficher les données qui concordent avec des filtres réguliers et OU 1 Entrez les valeurs de filtre dans les champs réguliers et OU. 2 Cliquez sur l'icône OR située à côté des champs contenant des valeurs OR. La vue inclut les données qui concordent avec les valeurs des champs non marqués OR et qui concordent avec l'une des valeurs des champs marqués OR. Ce filtre fonctionne si au moins deux champs sont marqués avec OR. Rendre les valeurs de filtre non sensibles à la casse Cliquez sur l'icône Non-respect de la casse champ de filtre approprié. située en regard du Remplacer les chaînes normalisées par leur alias Cliquez sur l'icône de normalisation de chaîne champ de filtre approprié. située à côté du 4 Cliquez sur l'icône Exécuter une requête. La vue est actualisée, et les enregistrements concordant avec les valeurs entrées sont affichés dans la vue. Une icône de filtre orange est affichée dans l'ange supérieur droit du panneau Vues et indique que les données de la vue sont le résultat de l'application des filtres. Si vous cliquez sur l'icône, les filtres sont effacés, et la vue affiche toutes les données. Volet Filtres Le volet des filtres fournit des options permettant de définir des filtres pour les vues. Icône Signification Description Astuces Lancer le gestionnaire de normalisation de chaîne Une info-bulle s'affiche lorsque vous cliquez dans un champ de filtre. Appliquer un filtre à une chaîne et à ses alias (voir Normalisation de chaîne). McAfee Enterprise Security Manager Guide Produit 289

290 7 Utilisation des événements Utilisation des vues d'esm Icône Signification Description Exécuter une requête Appliquer les filtres actuels à la vue. Vous devez cliquer sur cette icône lorsque vous modifiez une valeur de filtre et si vous souhaitez l'appliquer à la vue actuelle. Effacer tout Options des jeux de filtres Afficher la liste de filtres NON OU Effacer tous les filtres du volet des filtres. Sélectionnez une action à effectuer sur les jeux de filtres. Utiliser par défaut : enregistrer les valeurs de filtre que vous avez entrées pour les appliquer par défaut. Ces filtres sont appliqués automatiquement lorsque vous vous connectez. Restaurer la valeur par défaut : rétablir les valeurs par défaut des filtres afin d'exécuter la requête sur le jeu de filtres par défaut. Enregistrer les filtres renseignés : enregistrer le jeu de filtres actuel et l'ajouter à la liste de filtres disponibles, dans laquelle vous pouvez le sélectionner pour ajouter un filtre. Entrez le nom du jeu, puis sélectionnez le dossier dans lequel vous souhaitez l'enregistrer. Gérer les filtres : ouvrir la page Gestion des jeux de filtres, qui permet d'organiser les jeux de filtres disponibles. Sélectionnez le champ de filtre ou le jeu de filtres à appliquer pour filtrer la vue. Lorsque vous cliquez sur un champ, un menu déroulant affiche tous les filtres et les jeux de filtres possibles. Sélectionnez les variables ou les listes de valeurs à filtrer. Pour afficher les données qui concordent avec certaines valeurs de filtre et en exclure d'autres, cliquez sur les champs à exclure. Pour afficher les données qui concordent avec des filtres de base et des filtres utilisant l'opérateur OR, cliquez sur cette icône située à côté des champs contenant des valeurs OR. La vue inclut les données qui concordent avec les valeurs des champs non marqués OR et qui concordent avec l'une des valeurs des champs marqués OR. Ce filtre fonctionne si au moins deux champs sont marqués avec OR. Non-respect de la casse Normalisation de chaîne Afficher les jeux de filtres Remplacer la valeur Supprimer ce filtre Pour ne pas tenir compte de la casse pour les valeurs de filtre, cliquez sur cette icône. Cliquez pour remplacer les chaînes normalisées par leur alias. Cliquez pour afficher la liste des filtres inclus à un jeu. Cliquez pour remplacer la valeur actuelle par la valeur définie. Cliquez pour supprimer le champ de filtre des filtres actuels. Ajout de filtres UCF et de filtres d'id d'événement Windows L'une des difficultés de la prise en charge de la conformité des réglementations tient à leur constante évolution. UCF (Unified Compliance Framework) est une organisation qui mappe les spécificités de 290 McAfee Enterprise Security Manager Guide Produit

291 Utilisation des événements Utilisation des vues d'esm 7 chaque réglementation avec les ID de contrôle harmonisés. Lorsque les réglementations changent, ces ID sont mis à jour et diffusés dans ESM. Vous pouvez filtrer par ID de conformité pour sélectionner la conformité requise ou des sous-composants spécifiques. Vous pouvez également filtrer par ID d'événement Windows. Pour... Ajouter des filtres UCF Procédez ainsi... 1 Dans le panneau Filtres, cliquez sur l'icône de filtre en regard du champ ID de conformité. 2 Sélectionnez les valeurs de conformité que vous souhaitez utiliser comme filtres, puis cliquez sur OK Exécuter une requête. Ajouter des filtres d'id d'événement Windows 1 Cliquez sur l'icône de filtre en regard du champ ID de signature. 2 Dans Filtrer les variables, cliquez sur l'onglet Windows. 3 Tapez les ID d'événement Windows (en les séparant par une virgule) dans le champ de texte ou sélectionnez les valeurs en fonction desquelles vous souhaitez filtrer dans la liste. Listes de surveillance Une liste de surveillance regroupe des types d'informations spécifiques que vous pouvez utiliser comme filtre ou comme condition d'alarme. Elle peut être globale ou propre à un utilisateur ou un groupe, et elle peut être statique ou dynamique. Une liste de valeurs statique contient des valeurs spécifiques que vous avez saisies ou importées. Une liste de valeurs dynamique contient des valeurs provenant d'une expression régulière ou de critères de recherche de chaîne que vous avez définis. Une liste de valeurs peut inclure au maximum valeurs. La liste de valeurs de la page Ajouter une liste de valeurs ou Modifier la liste de valeurs peut afficher jusqu'à valeurs. Si le nombre de valeurs est supérieur, un message vous indique que toutes les valeurs ne sont pas affichées. Pour modifier une liste de valeurs en ajoutant des valeurs au-delà de , vous devez exporter la liste existante dans un fichier local, ajouter les nouvelles valeurs, puis importer la nouvelle liste. Vous pouvez définir l'expiration des valeurs d'une liste de valeurs. Chaque valeur est horodatée et expire lorsque la durée définie est atteinte, sauf si elle est actualisée. Les valeurs sont actualisées si une alarme se déclenche et les ajoute à la liste de surveillance. Vous pouvez actualiser les valeurs qui doivent expirer en les ajoutant à la liste avec l'option Ajouter à la liste de valeurs du menu d'un composant de vue (voir Options de menu des composants). L'ESM fournit un connecteur à la source de données relationnelles dans Hadoop HBase en utilisant les paires clé-valeur de la source. Vous pouvez utiliser ces données dans une liste de valeurs (voir Ajout d'une liste de valeurs Hadoop HBase). Par exemple, elles peuvent être transmises à des alarmes qui se déclenchent si des valeurs de la liste de valeurs sont trouvées dans de nouveaux événements. Ajout d'une liste de surveillance Ajouter une liste de surveillance à l'esm pour l'utiliser en tant que filtre ou dans une condition d'alarme. McAfee Enterprise Security Manager Guide Produit 291

292 7 Utilisation des événements Utilisation des vues d'esm 1 Accédez à la page Listes de valeurs en suivant l'une des procédures suivantes : Sur la console ESM, cliquez sur l'icône de lancement rapide Listes de valeurs. Dans l'arborescence de navigation des systèmes, cliquez sur Propriétés du système, puis sur Listes de valeurs. La table Listes de valeurs affiche toutes les listes de valeurs du système. Adresses IP malveillantes GTI et Adresses IP suspectes GTI s'affichent dans le tableau, mais ne contiennent des données que si vous avez acheté une licence McAfee GTI auprès de McAfee. Contactez votre ingénieur commercial McAfee ou le support technique McAfee pour acheter une licence. 2 Cliquez sur Ajouter, puis indiquez les informations demandées. 3 Cliquez sur OK pour ajouter la nouvelle liste de valeurs à la table Listes de valeurs table. Voir aussi Liste de valeurs McAfee GTI, page 292 Liste de valeurs McAfee GTI Les listes de valeurs McAfee GTI contiennent plus de 130 millions d'adresses IP suspectes et malveillantes et leur gravité, collectées par McAfee. Ces listes de valeurs permettent notamment de déclencher des alarmes et de filtrer les données dans des rapports et des vues. Elles peuvent également servir de filtre de corrélation de règle et de source de score pour un gestionnaire de corrélation des risques sur un équipement ACE. Pour ajouter des données issues de listes à votre système, vous devez acheter une licence McAfee GTI auprès de McAfee. Ensuite, les listes sont ajoutées à votre système chaque fois que vous téléchargez les règles. Ce processus peut prendre plusieurs heures étant donné la taille de la base de données. Pour télécharger des listes, vous devez avoir une connexion Internet. Vous ne pouvez pas les télécharger hors ligne. Vous ne pouvez pas afficher ni modifier ces listes, mais le tableau Listes de surveillance (Propriétés du système Listes de surveillance) indique si la liste est active (contient des valeurs) ou inactive (ne contient pas de valeurs). Pour acheter une licence McAfee GTI, contactez votre ingénieur commercial McAfee ou le support technique McAfee. Création d'une liste de valeurs des flux de menaces ou IOC à partir d'internet Vous pouvez créer une liste de valeurs à actualiser de façon périodique pour extraire des flux de menaces ou d'indicateurs de menaces (IOC) depuis Internet. Sur cette liste de valeurs, vous pouvez afficher un aperçu des données à récupérer via la demande HTTP, ainsi qu'ajouter des expressions régulières pour filtrer ces données. 292 McAfee Enterprise Security Manager Guide Produit

293 Utilisation des événements Utilisation des vues d'esm 7 1 Dans l'arborescence de navigation des systèmes, cliquez sur le système, puis sur l'icône Propriétés. 2 Cliquez sur Listes de valeurs, puis cliquez sur Ajouter. 3 Renseignez l'onglet Principal, en sélectionnant Dynamique. 4 Cliquez sur l'onglet Source, sélectionnez HTTP/HTTPS dans le champ Type. 5 Renseignez les informations dans les onglets Source, Analyse et Valeurs. Le champ Données brutes de l'onglet Analyse est renseigné avec les 200 premières lignes du code source html. Il s'agit d'un aperçu du site web, mais cela vous suffit pour écrire une expression régulière à appliquer. Une mise à jour à Exécuter maintenant ou planifiée de la liste de valeurs inclut toutes les concordances de la recherche effectuée avec l'expression régulière. Cette fonctionnalité prend en charge les expressions régulières de syntaxe RE2, telles que (\d{1,3}\.\d{1,3}\.\d{1,3}\. \d{1,3}) pour effectuer la comparaison avec une adresse IP. Ajout d'une liste de valeurs Hadoop HBase Ajouter une liste de valeurs en utilisant la source Hadoop HBase. 1 Dans l'arborescence de navigation des systèmes, sélectionnez un système, cliquez sur l'icône Propriétés, puis sur Listes de valeurs. 2 Dans l'onglet Principal de l'assistant Ajouter une liste de valeurs, sélectionnez Dynamique, entrez les informations demandées, puis cliquez sur l'onglet Source. 3 Sélectionnez Hadoop HBase (REST) dans le champ Type, puis entrez le nom d'hôte, le port et le nom de la table. McAfee Enterprise Security Manager Guide Produit 293

294 7 Utilisation des événements Utilisation des vues d'esm 4 Dans l'onglet Requête, renseignez la colonne de recherche et les informations de requête : a Mettez Colonne de recherche au format famillecolonne:nomcolonne. b Renseignez la requête avec un filtre d'analyseur, où les valeurs sont codées en base 64. Par exemple : <Scanner batch="1024"> <filter> { "type": "SingleColumnValueFilter", "op": "EQUAL", "family": " ZW1wbG95ZWVJbmZv", "qualifier": "dxnlcm5hbwu=", "latestversion": true, "comparator": { "type": "BinaryComparator", "value": "c2nhcgvnb2f0" } } </filter> </Scanner> 5 Cliquez sur l'onglet Valeurs, sélectionnez le type de valeur, puis cliquez sur le bouton Exécuter maintenant. Normalisation de chaîne Utiliser la normalisation de chaîne pour configurer une valeur de chaîne qui peut être associée à des valeurs d'alias et pour importer ou exporter un fichier.csv de valeurs de normalisation de chaîne. Cela vous permet de filtrer la chaîne et ses alias en sélectionnant l'icône de normalisation de chaîne située à côté du champ approprié du volet Filtre. Par exemple, pour la chaîne du nom d'utilisateur John Doe, vous pouvez définir un fichier de normalisation où la chaîne principale est John Doe et ses alias peuvent être : DoeJohn, JDoe, et JohnD. Vous pouvez ensuite entrer John Doe dans le champ de filtre User_Nickname, sélectionner l'icône de filtre de normalisation de chaîne située à côté du champ et actualiser la requête. La vue qui en résulte affiche tous les événements associés à John Doe et ses alias, ce qui vous permet de détecter les incohérences des connexions lorsqu'il y a concordance des adresses IP sources, mais pas du nom d'utilisateur. Cette fonctionnalité peut également vous aider à respecter les réglementations qui exigent le compte-rendu des activités des utilisateurs avec privilèges. Gestion des fichiers de normalisation de chaîne Pour utiliser un fichier de normalisation de chaîne, vous devez d'abord l'ajouter à l'esm. 1 Dans le volet Filtres, cliquez sur l'icône Lancer le gestionnaire de normalisation de chaîne. 2 Effectuez l'une des actions disponibles, puis cliquez sur Fermer. Création d'un fichier de normalisation de chaîne à importer Si vous créez un fichier.csv d'alias, vous pouvez l'importer dans la page Normalisation de chaîne afin de pouvoir l'utiliser comme filtre. 294 McAfee Enterprise Security Manager Guide Produit

295 Utilisation des événements Filtres de type personnalisé 7 1 Dans un éditeur de texte ou un tableur, entrez les alias au format suivant : commande, chaîne principale, alias Les commandes possibles sont add (ajouter), modify (modifier) et delete (supprimer). 2 Enregistrez-le en tant que fichier.csv, puis importez-le. Filtres de type personnalisé Vous pouvez utiliser des champs de type personnalisé pour filtrer des vues et des rapports et pour créer des règles personnalisées afin de définir les données les plus pertinentes pour vous et ensuite les consulter. Les données générées par ces champs de type personnalisé sont consultables dans la section Détails de la vue Analyse d'événement ou Analyse de flux. Vous pouvez ajouter, modifier ou supprimer des types personnalisés, ainsi que les exporter et les importer. Utilisez la page Modifier pour changer le nom. S'il s'agit d'un type de données personnalisé, vous pouvez également modifier les paramètres du sous-type. Exportation ou importation de types personnalisés Si vous exportez des types personnalisés, tous sont exportés vers l'emplacement sélectionné. Si vous importez un fichier de types personnalisés, les données importées remplacent les types personnalisés actuels dans le système. Requêtes personnalisées Si vous configurez une requête personnalisée pour une vue, les types personnalisés prédéfinis s'affichent en tant qu'options lorsque vous sélectionnez les champs pour la requête. Si vous ajoutez un type personnalisé en tant que champ de la requête, il sert de filtre. Si les informations sur lesquelles vous exécutez des requêtes ne contiennent aucune donnée de ce type personnalisé, la table des requêtes ne renvoie aucun résultat. Pour éviter cela, sélectionnez le champ utilisateur (champ personnalisé 1 à 10 de la colonne Champ Evénement de la table) qui renvoie les résultats dont vous avez besoin au lieu d'utiliser le type personnalisé. Par exemple, vous souhaitez que les résultats de la requête incluent des données utilisateur source (le cas échéant). Si vous sélectionnez le champ de requête Utilisateur source, il fait fonction de filtre. Si les informations sur lesquelles vous exécutez la requête ne contiennent aucune donnée utilisateur source, la requête ne renvoie aucun résultat. Néanmoins, si vous sélectionnez le champ utilisateur 7, qui est désigné comme champ utilisateur source, il ne fait pas fonction de filtre et s'affiche sous forme de colonne dans la table des résultats. Si des données utilisateur source existent, elles s'affichent dans cette colonne. En l'absence de données pour ce champ, la colonne Champ utilisateur 7 est vide, mais les autres colonnes sont remplies. Type de données personnalisé Si vous sélectionnez Personnalisé dans le champ Type de données, vous pouvez définir la signification de chaque champ dans un journal à plusieurs champs. McAfee Enterprise Security Manager Guide Produit 295

296 7 Utilisation des événements Filtres de type personnalisé Par exemple, un journal ( ) contient trois champs (100, , 1). Le sous-type personnalisé vous permet de définir chacun de ces champs (nombre entier, décimal, booléen). Par exemple : Journal initial : sous-types : nombre entier décimal booléen Sous-type personnalisé : Les sous-types peuvent inclure au maximum 8 octets (64 bits) de données. Utilisation de l'espace affiche le nombre d'octets et de bits utilisés. Le cas échéant, ce champ signale en rouge que la limite maximale de l'espace a été dépassée, par exemple : Utilisation de l'espace : 9 octets sur 8, 72 bits sur 64. Type personnalisé nom/valeur Si vous sélectionnez le type de données Groupe de noms/valeurs, vous pouvez ajouter un type personnalisé qui inclut un groupe de paires nom/valeur que vous définissez. Vous pouvez ensuite filtrer les vues et les requêtes en fonction de ces paires et les utiliser dans des alarmes de concordance de champ. Voici les principales caractéristiques de cette fonctionnalité : Les champs du groupe noms/valeurs doivent être filtrés avec une expression régulière. Les paires peuvent être mises en corrélation pour qu'elles puissent être sélectionnées dans l'editeur de règles de corrélation. Les valeurs de la paire peuvent être collectées uniquement via l'analyseur syslog avancé (ASP). La taille maximale de ce type personnalisé est de 512 caractères, en incluant les noms. En cas de dépassement de la taille, les valeurs sont tronquées lors de la collectes. McAfee recommande de limiter la taille des noms et leur nombre. Les noms doivent contenir plus de 2 caractères. Le type personnalisé nom/valeur peut contenir jusqu'à 50 noms. Chaque nom du groupe noms/valeurs s'affiche dans le filtre global sous la forme <nom du groupe> - <nom>. Format d'expression régulière pour les types personnalisés non indexés Appliquez le format suivant pour les types personnalisés chaîne indexée et non indexée, chaîne aléatoire et chaîne hachée : Vous pouvez utiliser la syntaxe contains(<expression régulière>) ou simplement entrer une valeur dans les champs de chaîne aléatoire non indexée ou de chaîne hachée, puis filtrer les types personnalisés. Vous pouvez utiliser la syntaxe regex(). Avec contains(), si vous mettez un filtre en utilisant la virgule comme séparateur dans un champ de type personnalisé non indexé (Tom,John,Steve), le système exécute une expression régulière. La virgule et l'astérisque fonctionnent comme une barre verticale ( ) et un point suivi d'un astérisque (.*) dans un champ contains ou de chaîne aléatoire non indexée ou de chaîne hachée. Si vous entrez un caractère tel que l'astérisque (*), il est remplacé par un point suivi d'un astérisque (.*). Une expression régulière non valide ou une parenthèse manquante peut engendrer une erreur indiquant que votre expression régulière est incorrecte. 296 McAfee Enterprise Security Manager Guide Produit

297 Utilisation des événements Filtres de type personnalisé 7 Vous pouvez utiliser un seul filtre regex() ou contains() dans les champs de filtre de type personnalisé chaîne non indexée, chaîne indexée, chaîne aléatoire et chaîne hachée. Le champ de l'id de signature accepte maintenant les filtres contains(<sur une partie ou l'ensemble d'un message de règle>) et regex(<sur une partie d'un message de règle>). Le filtre de recherche couramment utilisé pour contains est une valeur unique, et non une valeur avec.* avant ou après. Voici quelques filtres de recherche courants : Une valeur unique Plusieurs valeurs séparées par des virgules, qui sont converties en expression régulière Une instruction contains avec * qui fonctionne comme.* Expressions régulières avancées, où vous pouvez utiliser la syntaxe regex() Voir la Description des filtres contains et regex. Création de types personnalisés Ajoutez des types personnalisés à utiliser comme filtres si vous disposez des privilèges Administrateur. 1 Dans l'arborescence de navigation des systèmes, sélectionnez Propriétés du système, puis cliquez sur Types personnalisés. 2 Cliquez sur Ajouter, puis renseignez les informations demandées. 3 Cliquez sur OK pour enregistrer le type personnalisé. Tableau des types personnalisés prédéfinis Si vous disposez des privilèges Administrateur, vous pouvez consulter la liste des types personnalisés prédéfinis dans le tableau des types personnalisés (Propriétés du système Types personnalisés). Si vous en êtes dépourvu, utilisez cette liste de types personnalisés prédéfinis. Nom Type de données Champ Evénement Champ Flux Application Chaîne Champ personnalisé - 1 Application_Layer (Couche_application) Application_Protocol (Protocole_application) Authoritative_Answer (Réponse_autorité) Aucun ID de signature Aucun Champ personnalisé - 4 Chaîne Chaîne Champ personnalisé - 1 Champ personnalisé - 10 Cci Chaîne Champ personnalisé - 9 Cc Chaîne Champ personnalisé - 8 Client_Version (Version_client) Chaîne Champ personnalisé - 9 Commande Chaîne Champ personnalisé - 2 Aucun Aucun Aucun Aucun Aucun Aucun McAfee Enterprise Security Manager Guide Produit 297

298 7 Utilisation des événements Filtres de type personnalisé Nom Type de données Champ Evénement Champ Flux Confidence (Fiabilité) Nombre entier non signé Champ personnalisé - 8 Contact_Name (Nom_contact) Chaîne Champ personnalisé - 6 Contact_Nickname (Surnom_contact) Chaîne Champ personnalisé - 8 Cookie Chaîne Champ personnalisé - 9 Database_Name Chaîne Champ personnalisé - 8 Destination User (Utilisateur de destination) Destination_Filename (Nom_fichier_de_destination) Chaîne Chaîne Champ personnalisé - 6 Champ personnalisé - 9 Direction Chaîne Champ personnalisé - 10 DNS_Class (Classe_DNS) Chaîne Champ personnalisé - 8 DNS_Name (Nom_DNS) Chaîne Champ personnalisé - 5 DNS_Type (Type_DNS) Chaîne Champ personnalisé - 6 Domaine Chaîne Champ personnalisé - 3 End_Page (Page_fin) Nombre entier non signé Champ personnalisé - 9 File_Operation (Opération_fichier) Chaîne Champ personnalisé - 5 File_Operation_Succeeded (Réussite_opération_fichier) Chaîne Champ personnalisé - 6 Nom de fichier Chaîne Champ personnalisé - 3 Flow_Flags (Indicateurs_de_flux) Nombre entier non signé Aucun De Chaîne Champ personnalisé - 5 Sauts Nombre entier non signé Champ personnalisé - 8 Hôte Chaîne Champ personnalisé - 4 Aucun Aucun Aucun Aucun Aucun Champ personnalisé - 1 Aucun Aucun Aucun Aucun Aucun Aucun Aucun Aucun Aucun Aucun Champ personnalisé - 1 Aucun Aucun Aucun HTTP_Layer (Couche_HTTP) ID de signature Aucun Champ personnalisé - 5 HTTP_Req_Cookie (Cookie_req_HTTP) Chaîne Aucun Champ personnalisé - 3 HTTP_Req_Host (Hôte_req_HTTP) Chaîne Aucun Champ personnalisé - 5 HTTP_Req_Method (Méthode_req_HTTP) Chaîne Aucun Champ personnalisé McAfee Enterprise Security Manager Guide Produit

299 Utilisation des événements Filtres de type personnalisé 7 Nom Type de données Champ Evénement Champ Flux HTTP_Req_Reference (Référence_req_HTTP) Chaîne Aucun Champ personnalisé - 4 HTTP_Req_URL (URL_req_HTTP) Chaîne Aucun Champ personnalisé - 2 HTTP_Resp_Length (Longueur_rép_HTTP) HTTP_Resp_Status (Statut_rép_HTTP) HTTP_Resp_TTFB (TTFB_rép_HTTP) HTTP_Resp_TTLB (TTLB_rép_HTTP) HTTP_User_Agent (Agent_utilisateur_HTTP) Nombre entier non signé Nombre entier non signé Nombre entier non signé Nombre entier non signé Aucun Aucun Aucun Aucun Champ personnalisé - 5 Champ personnalisé - 4 Champ personnalisé - 6 Champ personnalisé - 7 Chaîne Aucun Champ personnalisé - 7 Interface Chaîne Champ personnalisé - 8 Job_Name (Nom_travail) Chaîne Champ personnalisé - 5 Langue Chaîne Champ personnalisé - 10 Local_User_Name (Nom_utilisateur_local) Chaîne Champ personnalisé - 5 Message_Text (Texte_message) Chaîne Champ personnalisé - 9 Méthode Chaîne Champ personnalisé - 5 NAT_Details (Détails_NAT) NAT_Address (Adresse_NAT) NAT_Port (Port_NAT) NAT_Type (Type_NAT) Personnalisé Adresse IPv4 Nombre entier non signé Nombre entier non signé Champ personnalisé - 9 Aucun Aucun Aucun Aucun Aucun Aucun Champ personnalisé - 1 Network_Layer (Couche_réseau) ID de signature Aucun Champ personnalisé - 1 NTP_Client_Mode (Mode_client_NTP) NTP_Offset_To_Monitor (Décalage_NTP_à_surveiller) Chaîne Nombre entier non signé Champ personnalisé - 5 Champ personnalisé - 8 NTP_Opcode (Opcode_NTP) Chaîne Champ personnalisé - 10 NTP_Request (Requête_NTP) Chaîne Champ personnalisé - 9 NTP_Server_Mode (Mode_serveur_NTP) Num_Copies (copies_num) Chaîne Nombre entier non signé Champ personnalisé - 6 Champ personnalisé - 6 Objet Chaîne Champ personnalisé - 5 Aucun Aucun Aucun Aucun Aucun Aucun Aucun McAfee Enterprise Security Manager Guide Produit 299

300 7 Utilisation des événements Filtres de type personnalisé Nom Type de données Champ Evénement Champ Flux Object_Type (Type_objet) Chaîne Champ personnalisé - 2 Priorité Nombre entier non signé Champ personnalisé - 8 Query_Response Chaîne Champ personnalisé - 9 Referer Chaîne Champ personnalisé - 10 Temps de réponse Secondes Millisecondes RTMP_Application (Application_RTMP) Personnalisé Nombre entier non signé Nombre entier non signé Chaîne Champ personnalisé - 10 Champ personnalisé - 9 Aucun Aucun Aucun Aucun Aucun Aucun Session_Layer (Couche_session) Chaîne Aucun Champ personnalisé - 3 SNMP_Error_Code (Code_erreur_SNMP) Chaîne Champ personnalisé - 10 SNMP_Item (Elément_SNMP) Chaîne Champ personnalisé - 6 SNMP_Item_Type (Type_élément_SNMP) SNMP_Operation (Opération_SNMP) Chaîne Chaîne Champ personnalisé - 8 Champ personnalisé - 5 SNMP_Version Chaîne Champ personnalisé - 9 Source User (Utilisateur source) Chaîne Champ personnalisé - 7 Start_Page Nombre entier non signé Champ personnalisé - 8 Objet Chaîne Champ personnalisé - 10 SWF_URL (URL_SWF) Chaîne Champ personnalisé - 5 TC_URL (URL_TC) Chaîne Champ personnalisé - 6 A Chaîne Champ personnalisé - 6 Transport_Layer (Couche_transport) Aucun Aucun Aucun Aucun Aucun Aucun Aucun Aucun Aucun Aucun ID de signature Aucun Champ personnalisé - 2 URL Chaîne Champ personnalisé - 8 User_Agent (Agent_utilisateur) Chaîne Champ personnalisé - 6 Aucun Aucun 300 McAfee Enterprise Security Manager Guide Produit

301 Utilisation des événements Filtres de type personnalisé 7 Nom Type de données Champ Evénement Champ Flux User_Nickname (Surnom_utilisateur) Chaîne Champ personnalisé - 5 Version Chaîne Champ personnalisé - 10 Aucun Aucun Ajout de types personnalisés d'heure Vous pouvez ajouter des types personnalisés afin d'enregistrer les données temporelles. Heure - Précision en secondes : permet de stocker les données de temps avec une précision d'une seconde. Heure - Précision en nanosecondes : permet de stocker les données de temps avec une précision d'une nanoseconde. Cette valeur est un nombre à virgule flottante à 9 chiffres représentant les nanosecondes. Si vous sélectionnez Index lors de l'ajout de ce type personnalisé, le champ s'affiche en tant que filtre sur les requêtes, les vues et les filtres. Il ne s'affiche pas dans les composants de distribution et il n'est pas disponible dans l'enrichissement des données, les listes de valeurs ou les alarmes. 1 Dans l'arborescence de navigation des systèmes, sélectionnez le système, cliquez sur l'icône Propriétés, puis sur Types personnalisés Ajouter. 2 Dans le champ Type de données, cliquez sur Heure - Précision en secondes ou Heure - Précision en nanosecondes, indiquez les autres informations, puis cliquez sur OK. Types personnalisés nom/valeur Le type personnalisé nom/valeur est constitué d'un groupe de paires nom/valeur que vous définissez. Vous pouvez filtrer les vues et les requêtes en fonction de ces paires et les utiliser dans des alarmes Concordance d'événement interne. Voici les principales caractéristiques de cette fonctionnalité : Les champs du groupe noms/valeurs doivent être filtrés avec une expression régulière. Ils peuvent être mis en corrélation pour qu'ils puissent être sélectionnés dans l'editeur de règles de corrélation. Les valeurs de la paire peuvent être collectées uniquement via l'analyseur syslog avancé (ASP). La taille maximale de ce type personnalisé est de 512 caractères, en incluant les noms. Les caractères au-delà de 512 sont tronquées lors de la collecte. McAfee recommande de limiter la taille des noms et leur nombre. Les noms doivent contenir plus de 2 caractères. Le type personnalisé nom/valeur peut contenir jusqu'à 50 noms. Chaque nom du groupe noms/valeurs s'affiche dans le filtre global sous la forme <nom du groupe> - <nom>. Ajout d'un type personnalisé de groupe nom/valeur. Vous pouvez ajouter un groupe de paires nom/valeur, vous pouvez filtrer les vues et les requêtes en fonction de ces paires et les utiliser dans des alarmes Concordance d'événement interne. McAfee Enterprise Security Manager Guide Produit 301

302 7 Utilisation des événements Filtres de type personnalisé 1 Dans l'arborescence de navigation des systèmes, sélectionnez le système, puis cliquez sur l'icône Propriétés. 2 Cliquez sur Types personnalisés, puis sur Ajouter. 3 Dans le champ Type de données, cliquez sur Groupe de noms/valeurs, indiquez les autres informations, puis cliquez sur OK. 302 McAfee Enterprise Security Manager Guide Produit

303 8 Gestion 8 des incidents Utiliser le gestionnaire d'incidents ESM pour attribuer et suivre les tâches et les tickets de support liés aux événements du réseau. Pour accéder à cette fonctionnalité, vous devez appartenir à un groupe où le privilège Utilisateur de la gestion des incidents est activé. Vous pouvez ajouter un incident de cinq manières : Sur la vue Gestion des incidents. Dans le volet Incidents, sans le lier à un événement. Dans le volet Analyse d'événement, en le liant à un événement. Lorsque vous configurez une alarme. Lors de la notification du déclenchement d'une alarme. Sommaire Ajout d'un incident Créer un incident à partir d'un événement Ajout d'événements à un incident existant Modification ou fermeture d'un incident Affichage des détails des incidents Ajout de niveaux d'état d'incident Envoi de notifications d'incident par Affichage de tous les incidents Génération des rapports de gestion des incidents Ajout d'un incident Pour effectuer le suivi d'une tâche générée suite à un événement réseau, la première étape consiste à ajouter un incident au système de gestion des incidents. 1 Dans le volet Incidents, cliquez sur l'icône Ajouter un incident. 2 Renseignez les informations demandées, puis cliquez sur OK. L'incident est ajouté au volet Incidents de l'utilisateur auquel l'incident est affecté. Si vous avez sélectionné l'option Envoyer l'incident par , un est également envoyé (consultez la section Envoi d'une notification d'incident par ). McAfee Enterprise Security Manager Guide Produit 303

304 8 Gestion des incidents Créer un incident à partir d'un événement Créer un incident à partir d'un événement Pour suivre un événement dans la vue Analyse d'événement, créez un incident. Cela permet d'effectuer le suivi du workflow. 1 Dans la liste des vues, sélectionnez Vues des événements Analyse d'événement. 2 Cliquez sur l'événement, puis sur l'icône de menu, puis cliquez sur Actions Créer un incident. 3 Indiquez les informations demandées, puis cliquez sur OK pour enregistrer l'incident. Le nouvel incident inclut les données de l'événement dans la table Message. Ajout d'événements à un incident existant Ajoutez un ou plusieurs événements à un incident existant pour suivre les actions entreprises en réponse à ces événements. 1 Dans le panneau Vues, sélectionnez Vues des événements dans la liste déroulante des vues, puis cliquez sur Analyse d'événement. 2 Sélectionnez les événements, puis effectuez l'une des procédures suivantes : Cliquez sur l'icône Affecter des événements à un incident ou à Remedy, puis sélectionnez Ajouter des événements à un incident. Cliquez sur l'icône Menu, sélectionnez Actions, puis cliquez sur Ajouter des événements à un incident. 3 Sélectionnez l'incident, puis cliquez sur Ajouter. La page Détails de l'incident indique l'id de l'événement dans la table Messages. 4 Cliquez sur OK, puis sur Fermer. Modification ou fermeture d'un incident Si vous disposez des privilèges Administrateur de la gestion des incidents, vous pouvez modifier tout incident dans le système. Si vous disposez des privilèges Utilisateur de la gestion des incidents, vous ne pouvez modifier que les incidents qui vous sont affectés. 1 Accédez à la page Détails de l'incident en suivant l'une des procédures suivantes : 304 McAfee Enterprise Security Manager Guide Produit

305 Gestion des incidents Affichage des détails des incidents 8 Pour... Un incident qui vous est affecté Un incident qui ne vous est pas affecté Procédez ainsi... 1 Sélectionnez l'incident dans le panneau Incidents. 2 Cliquez sur l'icône Modifier l'incident. 1 Cliquez sur l'icône Gestion des incidents en cours dans le volet Incidents. 2 Sélectionnez l'incident à modifier. 3 Cliquez sur l'icône Modifier l'incident au bas de la vue. 2 Modifiez les paramètres ou fermez l'incident dans le champ Statut. 3 Cliquez sur OK pour enregistrer les modifications. Les modifications sont enregistrées dans la section Notes de la page Détails de l'incident. Si vous avez fermé l'incident, il n'est plus affiché dans le panneau Incidents, mais reste indiqué dans la liste Gestion des incidents, le statut étant modifié et défini sur Fermé. Affichage des détails des incidents Si vous avez des droits Administrateur sur l'esm, vous pouvez afficher les incidents sur l'esm et y effectuer des actions. Tous les utilisateurs d'un groupe peuvent visualiser les incidents de leur groupe. 1 Dans le volet Incidents, cliquez sur l'icône Gestion des incidents en cours. La vue Gestion des incidents qui s'ouvre affiche tous les incidents du système. 2 Vérifiez les données des onglets Notes et Evénements sources. 3 Plus obtenir des détails, double-cliquez sur l'incident et consultez les informations de la page Détails de l'incident. Ajout de niveaux d'état d'incident Le gestionnaire d'incidents comporte deux niveaux d'état : En cours et Fermé. Vous pouvez ajouter d'autres états à affecter aux incidents. 1 Dans le volet Incidents, cliquez sur l'icône Gestion des incidents en cours. 2 Dans la vue Gestion des incidents, cliquez sur l'icône Paramètres de gestion des incidents d'outils inférieure, puis cliquez sur Ajouter. dans la barre 3 Entrez le nom de l'état, puis indiquez s'il doit être affecté par défaut aux nouveaux incidents. 4 Indiquez si vous souhaitez que les incidents auxquels cet état est affecté s'affichent dans le volet Incidents, puis cliquez sur OK. McAfee Enterprise Security Manager Guide Produit 305

306 8 Gestion des incidents Envoi de notifications d'incident par Envoi de notifications d'incident par Définir le système pour qu'il envoie automatiquement un à la personne ou au groupe auquel un incident est affecté à chaque ajout ou réaffectation d'un incident. Avant de commencer Vous devez avoir des privilèges Administrateur de la gestion des incidents. Vous pouvez également envoyer manuellement une notification d'incident par en incluant des notes sur l'incident et des détails sur l'événement. Pour... Envoyer automatiquement une notification d'incident par Procédez ainsi... 1 Dans le panneau Incidents, cliquez sur l'icône Gestion des incidents en cours. 2 Cliquez sur l'icône Paramètres de gestion des incidents. 3 Sélectionnez Envoyer un lors de l'affectation d'un incident, puis cliquez sur Fermer. Les adresses des utilisateurs doivent être définies sur l'esm (voir Configuration de groupes d'utilisateurs). Envoyer manuellement une notification d'incident existant par 1 Dans le panneau Incidents, sélectionnez l'incident dont vous souhaitez envoyer une notification par , puis cliquez sur l'icône Modifier l'incident. 2 Dans Détails de l'incident, cliquez sur Envoyer un incident par , puis remplissez les champs De et A. 3 Indiquez si vous souhaitez inclure les notes et joindre un fichier CSV contenant les détails sur l'événement. 4 Tapez les notes que vous souhaitez éventuellement inclure dans l' , puis cliquez sur Envoyer. Affichage de tous les incidents Si vous avez des privilèges Administrateur sur l'esm, vous pouvez gérer tous les incidents du système, qu'ils soient ouverts ou fermés. Les privilèges Administrateur de la gestion des incidents vous permettent de créer des états et des organisations, ainsi que de configurer la fonctionnalité d'envoi automatique par . 1 Dans le volet Incidents, cliquez sur l'icône Gestion des incidents en cours. La vue Gestion des incidents s'ouvre. 306 McAfee Enterprise Security Manager Guide Produit

307 Gestion des incidents Génération des rapports de gestion des incidents 8 2 Effectuez l'une des actions suivantes : Action Ajouter un incident Afficher ou modifier l'incident sélectionné Envoyer l'incident sélectionné par Configurer l'envoi par d'un incident lors de l'ajout ou la modification d'un incident Ajouter ou modifier les états disponibles pour les incidents Afficher les remarques, l'historique et les événements sources de l'incident que vous avez sélectionné à suivre Cliquez sur l'icône Ajouter un incident la vue. Cliquez sur l'icône Modifier l'incident vue. Cliquez sur l'icône Envoyer l'incident par bas de la vue. Cliquez sur l'icône Paramètres de gestion des incidents d'outils au bas de la vue. Cliquez sur l'icône Paramètres de gestion des incidents Ajouter, Modifier ou Supprimer. sur la barre d'outils au bas de sur la barre d'outils au bas de la sur la barre d'outils au sur la barre et cliquez sur Cliquez sur Notes, Historique ou Evénéments sources. Lorsque vous cliquez sur Evénéments sources, les onglets Détails sur l'événement source s'ouvrent. Si ces onglets ne s'affichent pas, ou s'ils s'affichent et vous souhaitez les masquer, cliquez sur l'icône Afficher les détails sur l'événement source sur la barre d'outils au bas de la vue. L'onglet Historique consigne chaque consultation d'un incident par un utilisateur. Si le même utilisateur consulte un incident plusieurs fois en l'espace de 5 minutes, l'historique n'est pas actualisé à chaque fois. Filtrer les incidents Dans le volet Filtres, sélectionnez ou entrez les données selon lesquelles vous souhaitez filtrer les incidents, puis cliquez sur l'icône Exécuter une requête. La liste des incidents affiche alors uniquement les incidents qui correspondent aux critères de filtrage. Génération des rapports de gestion des incidents Six rapports de gestion des incidents sont disponibles dans ESM. 1 Dans la page Propriétés du système, cliquez sur Rapports Ajouter. 2 Complétez les sections 1, 2 et 3. 3 Dans la section 4, sélectionnez Requête CSV. 4 Dans la section 5, sélectionnez le rapport de gestion des incidents à exécuter. Synthèse de gestion d'incidents : inclut les numéros d'id d'incident, la gravité affectée aux incidents, leur état, les utilisateurs auxquels les incidents sont affectés, les organisations auxquelles ils sont affectés (le cas échéant), la date et l'heure d'ajout des incidents, la date et l'heure de mise à jour des incidents (le cas échéant), ainsi que les synthèses des incidents. Détails de la gestion d'incidents : inclut toutes les informations contenues dans le rapport Synthèse de gestion d'incidents ainsi que les numéros d'id des événements liés aux incidents et les informations incluses dans les sections Notes des incidents. McAfee Enterprise Security Manager Guide Produit 307

308 8 Gestion des incidents Génération des rapports de gestion des incidents Temps de réparation de l'incident : indique le temps qui a été nécessaire entre les changements d'état (par exemple, entre l'horodatage de l'état En cours et l'horodatage de l'état Fermé). La liste affiche par défaut les incidents à l'état Fermé par ID d'incident, ainsi que gravité, organisation, date de Création, dernière mise à jour, synthèse et différence de temps. Incidents par utilisateur affecté : inclut le nombre d'incidents affectés à un utilisateur ou un groupe. Incident par organisation : inclut le nombre d'incidents par organisation. Incident par état : inclut le nombre d'incidents par type d'état. 5 Remplissez la section 6 (voir Description des filtres contains et regex), puis cliquez sur Enregistrer. Le rapport est enregistré et ajouté à la liste Rapports. 308 McAfee Enterprise Security Manager Guide Produit

309 9 Utilisation 9 d'asset Manager Asset Manager est une fonction de gestion centralisée qui permet de découvrir, manuellement créer et importer des actifs. Sur l'onglet Actif, vous pouvez créer un groupe contenant un ou plusieurs actifs. Vous pouvez effectuer les actions suivantes sur l'ensemble du groupe : Modifier les attributs de tous les actifs du groupe. La modification n'est pas permanente. Lorsque vous ajoutez un actif à un groupe modifié, il n'hérite pas automatiquement des paramètres précédents. Utiliser la fonctionnalité glisser-déplacer. Renommer un groupe si nécessaire. Les groupes d'actifs permettent de classer les actifs en catégories d'une façon qui n'est pas possible en utilisant le marquage d'actif. Par exemple, vous souhaitez créer un groupe d'actifs pour chaque bâtiment de votre université. Un actif est constitué d'une adresse IP et d'un ensemble de marqueurs. Les marqueurs décrivent le système d'exploitation exécuté par l'actif, ainsi que les services placés sous la responsabilité de l'actif. Les marqueurs d'un actif peuvent être définis de deux façons : par le système (lorsque l'actif est récupéré) ou par l'utilisateur (lorsque l'actif est ajouté ou modifié). Si les marqueurs sont définis par le système, chaque fois que l'actif est récupéré, ils sont mis à jour s'ils ont été modifiés. Si les marqueurs sont définis par l'utilisateur, lorsque l'actif est récupéré, ils ne sont pas mis à jour même s'ils ont été modifiés. Lorsque vous ajoutez ou modifiez les marqueurs d'un actif, si vous souhaitez qu'ils soient mis à jour par le système lorsque l'actif est récupéré, cliquez sur Réinitialiser. Vous devez effectuer cette action chaque fois que vous modifiez les paramètres des marqueurs. La gestion de la configuration fait partie des réglementations liées à la conformité aux normes telles que PCI, HIPPA et SOX. Elle vous permet de surveiller toutes les modifications effectuées sur la configuration de vos routeurs et commutateurs afin d'éviter les vulnérabilités du système. Sur l'esm, la fonctionnalité de gestion de la configuration vous permet d'effectuer les actions suivantes : Définir la fréquence d'interrogation des équipements. Sélectionner les équipements découverts sur lesquels la configuration doit être vérifiée. Identifier un fichier de configuration récupéré à appliquer par défaut à l'équipement. Afficher les données de configuration, télécharger les données dans un fichier et comparer les informations de configuration de deux équipements. Sommaire Gestion des actifs Configuration de la gestion de la configuration Découverte du réseau Sources d'actif Gestion des sources d'évaluation des vulnérabilités (VA) McAfee Enterprise Security Manager Guide Produit 309

310 9 Utilisation d'asset Manager Gestion des actifs Gestion des zones Evaluation des risques, actifs et menaces Gestion des menaces connues Gestion des actifs Un actif est un équipement du réseau qui dispose d'une adresse IP. Dans l'onglet Actifs d'asset Manager, vous pouvez créer des actifs ou des groupes d'actifs, modifier leurs marqueurs, ajouter des sources d'actif et affecter un actif à un groupe d'actifs. Vous pouvez également manipuler les actifs qui sont mémorisés à partir de l'un des fournisseurs VA (Vulnerability Assessment). 1 Cliquez sur l'icône de lancement rapide d'asset Manager. 2 Vérifiez que l'onglet Actifs est sélectionné. 3 Gérez les actifs comme il vous convient, puis cliquez sur OK. s Définition des anciens actifs, page 310 Le groupe Anciens actifs d'asset Manager vous permet de stocker les actifs qui n'ont pas été détectés dans la période définie. Définition des anciens actifs Le groupe Anciens actifs d'asset Manager vous permet de stocker les actifs qui n'ont pas été détectés dans la période définie. 1 Cliquez sur l'icône de lancement rapide Asset Manager. 2 Dans l'onglet Actifs, double-cliquez sur le groupe Anciens actifs dans la liste des actifs. 3 Sélectionnez le nombre de jours qui s'écouleront depuis la dernière détection d'un actif avant qu'il ne doive être déplacé dans le dossier Anciens actifs, puis cliquez sur OK. Configuration de la gestion de la configuration La gestion de la configuration permet de récupérer les fichiers de configuration des équipements qui ont été découverts avec succès à l'aide du profil d'interface de ligne de commande. Une fois le processus de découverte du réseau terminé, vous devez configurer la gestion de la configuration. 310 McAfee Enterprise Security Manager Guide Produit

311 Utilisation d'asset Manager Découverte du réseau 9 1 Cliquez sur l'icône de lancement rapide d'asset Manager, puis sur l'onglet Gestion de la configuration. 2 Exécutez l'une des actions disponibles, puis cliquez sur OK. s Gestion des fichiers de configuration récupérés, page 311 Vous pouvez effectuer plusieurs actions pour gérer les fichiers qui sont récupérés une fois la configuration des routeurs et des commutateurs vérifiée. Gestion des fichiers de configuration récupérés Vous pouvez effectuer plusieurs actions pour gérer les fichiers qui sont récupérés une fois la configuration des routeurs et des commutateurs vérifiée. Avant de commencer Récupérez les fichiers de configuration (consultez la section Configuration de la gestion de la configuration). 1 Cliquez sur l'icône de lancement rapide d'asset Manager, puis sur l'onglet Gestion de la configuration. 2 Exécutez l'une des actions disponibles dans la section Fichiers de configuration récupérés de la page. Découverte du réseau La fonction Découverte du réseau affiche les emplacements physiques de votre réseau dans lesquels des événements se sont produits, ce qui vous permet d'optimiser le suivi des événements. La Découverte du réseau est destinée aux utilisateurs expérimentés ayant des connaissances approfondies en réseau, et ce privilège doit être spécifiquement attribué. Pour créer et afficher la fonction Découverte du réseau et modifier les paramètres des commutateurs dans Contrôle des ports du réseau, vous devez avoir des privilèges activés. La Découverte du réseau à partir de SNMPv3, Telnet ou SSH n'est pas conforme à FIPS. Si vous devez respecter les réglementations FIPS, n'utilisez pas ces fonctionnalités. Découverte du réseau La première étape du mappage du réseau consiste à effectuer une découverte du réseau. Vous devez définir les paramètres avant de lancer l'analyse. McAfee Enterprise Security Manager Guide Produit 311

312 9 Utilisation d'asset Manager Découverte du réseau 1 Cliquez sur l'icône de lancement rapide Asset Manager réseau., puis sélectionnez l'onglet Découverte du 2 Cliquez sur Paramètres, puis cliquez sur Ajouter sur la page Configurer les paramètres réseau pour ajouter les paramètres de cette découverte. 3 Définissez les Paramètres de découverte du réseau. 4 Cliquez sur OK. Les paramètres que vous définissez sont ajoutés à la liste Configurer les paramètres réseau. 5 Effectuez d'autres actions si nécessaire. 6 Cliquez sur Découvrir un réseau pour lancer l'analyse. Si vous devez arrêter l'analyse, cliquez sur Arrêter la découverte. La section Equipement réseau de la page est alimentée avec les données issues de l'analyse. 7 Cliquez sur OK. Gestion de la liste des exclusions d'ip Vous pouvez ajouter des adresses IP à la Liste des exclusions d'ip pour les exclure de la recherche lors de la découverte du réseau. 1 Cliquez sur l'icône de lancement rapide Asset Manager, puis sélectionnez l'onglet Découverte du réseau. 2 Cliquez sur Liste des exclusions d'ip 3 Ajoutez une nouvelle adresse ou bien modifiez ou supprimez une adresse existante. 4 Cliquez sur OK pour enregistrer les modifications. Découvrir des postes clients Lorsque vous configurez votre réseau, ajoutez les adresses IP à la liste des exclusions, puis lancez la découverte du réseau, vous devez découvrir les postes clients connectés à vos équipements. 1 Cliquez sur l'icône de lancement rapide Asset Manager réseau., puis sélectionnez l'onglet Découverte du 2 Cliquez sur Découvrir des postes clients pour lancer l'analyse maintenant. Les résultats et le statut de l'analyse sont indiqués dans la section Equipements de poste client de la page. 3 Pour planifier une découverte automatique des postes clients, sélectionnez Découvrir automatiquement toutes les et sélectionnez la fréquence. 312 McAfee Enterprise Security Manager Guide Produit

313 Utilisation d'asset Manager Sources d'actif 9 Afficher un mappage du réseau Vous pouvez générer une représentation graphique de votre réseau qui va vous permettre de changer la position des équipements. 1 Cliquez sur l'icône de lancement rapide Asset Manager, puis sur l'onglet Découverte du réseau. 2 Cliquez sur Mappage réseau. La représentation graphique de votre réseau s'ouvre. 3 Déplacez des équipements ou passez la souris sur un équipement pour afficher ses propriétés. Modifier le fonctionnement de la Découverte du réseau. Vous pouvez modifier les paramètres par défaut de la Découverte du réseau, notamment la requête ping, le nombre d'émetteurs finaux et les équipements concomitants. 1 Sur la console ESM, cliquez sur l'icône de lancement rapide Asset Manager. 2 Cliquez sur l'onglet Découverte du réseau, sur Paramètres, puis sur Avancé. 3 Modifiez les paramètres selon les besoins, puis cliquez sur OK. Sources d'actif Vous pouvez récupérer les données de votre serveur Active Directory, si vous en possédez un, ou d'un serveur Altiris à l'aide de l'option Sources d'actif. Active Directory vous permet de filtrer les données d'événement en sélectionnant les utilisateurs ou groupes récupérés dans les champs de filtre de requête des vues Utilisateur source ou Utilisateur de destination. Cette procédure améliore votre aptitude à fournir des données de conformité pour les exigences telles que PCI. Altiris et Active Directory récupèrent des actifs, par exemple des ordinateurs et leurs adresses IP, puis les ajoutent à la table des actifs. Pour récupérer des actifs dans Altiris, vous devez disposer des privilèges d'asset Manager dans la console Altiris Management Console (Console de gestion Altiris). En règle générale, Active Directory ne stocke pas d'informations sur les adresses IP. Le système utilise DNS pour exécuter une requête d'adresse dès qu'il a obtenu le nom à partir d'active Directory. Si l'adresse de l'ordinateur est introuvable, ce dernier n'est pas ajouté à la table Actifs. C'est pourquoi, le serveur DNS du système doit contenir les informations DNS des ordinateurs Active Directory. Vous pouvez ajouter des adresses IP à Active Directory. Si vous effectuez cette procédure, modifiez l'attribut networkaddress des objets ordinateur afin que le système utilise ces adresses IP au lieu d'exécuter des requêtes DNS. Gestion des sources d'actif Récupérez les données de votre serveur Active Directory ou d'un serveur Altiris. McAfee Enterprise Security Manager Guide Produit 313

314 9 Utilisation d'asset Manager Gestion des sources d'évaluation des vulnérabilités (VA) 1 Cliquez sur l'icône de lancement rapide d'asset Manager, puis sur l'onglet Sources d'actif. L'arborescence Sources d'actif affiche ESM et les récepteurs du système ainsi que leurs sources d'actif actuelles. Un ESM peut posséder une source d'actif alors que les récepteurs peuvent en posséder plusieurs. 2 Sélectionnez un équipement, puis l'une des actions disponibles. Gestion des sources d'évaluation des vulnérabilités (VA) Vous pouvez récupérer des données de divers fournisseurs de données d'évaluation des vulnérabilités en utilisant Vulnerability Assessment (VA). Pour communiquer avec des sources VA, vous devez ajouter chaque source au système. Après avoir ajouté une source au système, vous pouvez récupérer les données VA. 1 Cliquez sur l'icône de lancement rapide Asset Manager, puis sur l'onglet Vulnerability Assessment. 2 Ajoutez, modifiez, supprimez ou récupérez des sources VA, puis enregistrez-les sur l'équipement. 3 Cliquez sur OK. Gestion des zones Les zones permettent de classer par catégories les équipements et les sources de données de votre réseau. Cela vous permet d'organiser les équipements et les événements qu'ils génèrent dans des groupes associés par emplacement géographique et adresse IP. Par exemple, vous avez des succursales en Bretagne et sur la Côte d'azur et souhaitez que les événements générés par chaque succursale soit regroupés ensemble. Pour cela vous pouvez ajouter deux zones et leur attribuer les équipements correspondants afin que les événements de ces équipements soient regroupés dans chaque zone. Pour regrouper les événements de chaque succursale en fonction d'adresses IP particulières, ajoutez des sous-zones à chaque zone. Gestion des zones Les zones permettent de classer les équipements et les sources de données dans des catégories par géolocalisation ou ASN. Vous devez ajouter des zones (soit une par une, soit en important un fichier préalablement exporté d'un autre ordinateur), puis attribuer les équipements ou les sources de données aux zones. 314 McAfee Enterprise Security Manager Guide Produit

315 Utilisation d'asset Manager Gestion des zones 9 1 Cliquez sur l'icône de lancement rapide Asset Manager, puis sélectionnez Gestion des zones. 2 Ajoutez une zone ou une sous-zone, modifiez ou supprimez des zones existantes, ou importez ou exportez des paramètres de zone. 3 Déployez les modifications effectuées, puis cliquez sur OK. Ajout d'une zone La première étape de la gestion des zones consiste à ajouter les zones qui permettent de classer vos équipements et sources de données dans des catégories. Vous pouvez les ajouter individuellement à l'aide de la fonctionnalité Ajouter une zone ou bien vous pouvez importer un fichier préalablement exporté d'un autre système. Lorsque vous ajoutez une zone, vous pouvez modifier ses paramètres selon les besoins. 1 Cliquez sur l'icône de lancement rapide Asset Manager, puis sur Gestion des zones. 2 Entrez les informations demandées, attribuez des équipements à la zone, puis cliquez sur OK. Exportation de paramètres de zone Vous pouvez exporter les paramètres de zone de votre ESM afin de les importer vers un autre ESM. 1 Cliquez sur l'icône Asset Manager, puis sur Gestion des zones. 2 Cliquez sur Exporter, puis sélectionnez le type de fichier à exporter. 3 Cliquez sur OK et sélectionnez le fichier à télécharger. Importation de paramètres de zone La fonctionnalité d'importation permet d'importer un fichier de zone tel quel ou de modifier les données avant de les importer. Avant de commencer Exportez un fichier de paramètres de zone d'un autre ESM afin de l'importer sur votre ESM. McAfee Enterprise Security Manager Guide Produit 315

316 9 Utilisation d'asset Manager Gestion des zones 1 Ouvrez le fichier de paramètres de zone à importer. Lorsque vous importez un fichier de définition de zone, il comporte huit colonnes : Commande, Nom de la zone, Nom du parent, Géolocalisation, ASN, Par défaut, IPDébut et IPFin. Lorsque vous importez un fichier d'affectation d'équipement à une zone, il comporte trois colonnes : Commande, Nom de l'équipement et Nom de la zone. 2 Entrez les commandes dans la colonne Commande pour définir l'action à effectuer pour chaque ligne lors de son importation. add (ajouter) : importer les données de la ligne telles quelles. edit (modifier) : importer les données et toutes les modifications que vous effectuez sur les données (uniquement pour le fichier de définition de zone). Pour effectuer des modifications dans la plage d'une sous-zone, vous devez supprimer la plage existante, puis ajouter la plage incluant les modifications. Vous ne pouvez pas la modifier directement. remove (supprimer) : supprimer d'esm la zone correspondant à cette ligne. 3 Enregistrez les modifications que vous avez effectuées, puis fermez le fichier. 4 Cliquez sur l'icône de lancement rapide Asset Manager, puis sur l'onglet Gestion des zones. 5 Cliquez sur Importer, puis sélectionnez le type d'importation à effectuer. 6 Cliquez sur OK, recherchez et sélectionnez le fichier à importer, puis cliquez sur Charger. Si des erreurs sont détectées dans le fichier, le système vous le signale. 7 En cas d'erreurs, corrigez-les dans le fichier et réessayez. 8 Déployez les modifications pour mettre à jour les équipements. Ajout d'une sous-zone Après avoir ajouté une zone, vous pouvez ajouter des sous-zones pour affiner le classement en catégories des équipements et des événements par adresse IP. Avant de commencer Ajout de zones sur l'onglet Gestion des zones. 1 Cliquez sur l'icône de lancement rapide Asset Manager, puis sur l'onglet Gestion des zones. 2 Sélectionnez une zone, puis cliquez sur Ajouter une sous-zone. 3 Renseignez les informations demandées, puis cliquez sur OK. 316 McAfee Enterprise Security Manager Guide Produit

317 Utilisation d'asset Manager Evaluation des risques, actifs et menaces 9 Evaluation des risques, actifs et menaces McAfee Threat Intelligence Services (MTIS) et les sources d'évaluation des vulnérabilités de votre système génèrent la liste des menaces connues. La gravité de ces menaces et la criticité de chacun de vos actifs permettent de calculer le niveau des risques encourus par votre entreprise. Asset Manager Lorsque vous ajoutez un actif au gestionnaire Asset Manager (voir Gestion des actifs), vous attribuez un niveau de criticité. Ce paramètre indique le degré de criticité de l'actif pour vos activités. Par exemple, si un seul ordinateur gère la configuration de votre entreprise en l'absence d'un ordinateur de secours, sa criticité est élevée. Par contre, si la configuration est gérée par deux ordinateurs, le niveau de criticité est beaucoup plus faible. Vous pouvez choisir de tenir compte ou pas d'un actif dans le calcul des risques encourus par votre entreprise dans le menu Modifier de l'onglet Actif. Gestion des menaces L'onglet Gestion de la menace du gestionnaire Asset Manager affiche la liste des menaces connues, leur gravité et le fournisseur, et il indique si elles sont prises en compte pour calculer les risques. Vous pouvez activer ou désactiver des menaces particulières afin de les prendre en compte ou non dans le calcul des risques. Vous pouvez également afficher les informations relatives aux menaces de la liste. Ces informations sont notamment des recommandations pour gérer la menace ainsi que des contre-mesures que vous pouvez appliquer. Vues prédéfinies Trois vues prédéfinies (voir Utilisation des vues ESM) affichent des synthèses des données sur les actifs, les menaces et les risques : Synthèse des menaces pour l'actif : affichage des principaux actifs en fonction de leur score de risques et du niveau des menaces, ainsi que les niveaux des menaces en fonction des risques. Synthèse des menaces récentes : affichage des menaces récentes en fonction du fournisseur, des risques, des actifs et des produits de protection disponibles. Synthèse des vulnérabilités : affichage des vulnérabilités en fonction des menaces et des actifs. Les informations détaillées sur les données affichées sur ces vues sont accessibles dans les menus des composants. Vues personnalisées Des options ont été ajoutées à l'assistant Requête pour vous permettre de définir des vues personnalisées (voir Ajout d'une vue personnalisée) pour afficher les données dont vous avez besoin. Dans les composants Contrôle de numérotation et Nombre, vous pouvez afficher le score de risques moyen de l'entreprise et le score de risques total de l'entreprise. Dans les composants Graphique à secteurs, Graphique à barres et Liste, vous pouvez afficher les actifs exposés aux risques, la protection contre les menaces, les menaces en fonction des actifs, des risques et des fournisseurs. Sur le composant Tableau, vous pouvez afficher les actifs, les menaces les plus récentes, les principaux actifs et les principales menaces, classés en fonction de leur score de risques. McAfee Enterprise Security Manager Guide Produit 317

318 9 Utilisation d'asset Manager Gestion des menaces connues Gestion des menaces connues Sélectionnez les menaces connues à utiliser dans les calculs des risques. Un niveau de gravité est attribué à chaque menace. Ce niveau ainsi que le niveau de criticité pour vos actifs permettent de calculer la gravité globale d'une menace pour votre système. 1 Sur la console ESM, cliquez sur l'icône de lancement rapide Asset Manager. 2 Cliquez sur l'onglet Gestion de la menace pour afficher la liste des menaces connues. 3 Sélectionnez une menace connue, puis effectuez l'une des actions suivantes : Cliquez sur Détails de la menace pour afficher les détails de la menace. Si la colonne Calculer le risque indique Oui alors que vous ne souhaitez pas l'utiliser dans le calcul des risques, cliquez sur Désactiver. Si la colonne Calculer le risque indique Non alors que vous souhaitez l'utiliser dans le calcul des risques, cliquez sur Activer. 4 Cliquez sur OK. 318 McAfee Enterprise Security Manager Guide Produit

319 10 Gestion des stratégies et des règles Créer, appliquer et afficher des règles et des modèles de stratégies. Sommaire Fonctionnement de l'editeur de stratégies Arborescence des stratégies Types de règle et propriétés correspondantes Paramètres de stratégie par défaut Opérations sur les règles Attribution de marqueurs aux règles ou aux actifs Modification des paramètres d'agrégation Action de remplacement pour les règles téléchargées Pondérations de gravité Affichage de l'historique des modifications de stratégie Application des modifications de stratégie Gestion du trafic prioritaire Fonctionnement de l'editeur de stratégies L'Editeur de stratégies permet de créer des modèles de stratégie et de personnaliser chaque stratégie. Les modèles de stratégie, ainsi que les paramètres de stratégie de chaque équipement, peuvent hériter des valeurs de leurs parents. L'héritage permet de configurer à l'infini les paramètres de stratégie appliqués à un équipement tout en préservant la simplicité et la facilité d'utilisation. Une entrée dans l'arborescence des stratégies est attribuée à chaque stratégie ajoutée, ainsi qu'à tous les équipements. Si votre système fonctionne en mode FIPS, ne mettez pas à jour les règles via le serveur de règles. Vous devez les mettre à jour manuellement (consultez la section Recherche des mises à jour des règles). Le serveur de règles McAfee conserve toutes les règles, les variables et les préprocesseurs avec des valeurs ou des usages prédéfinis. La Stratégie par défaut hérite ses valeurs et paramètres de ces paramètres, lesquels sont gérés par McAfee. Elle constitue le parent de toutes les autres stratégies. Par défaut, les paramètres des autres stratégies et équipements héritent leurs valeurs de la Stratégie par défaut. Pour ouvrir l'éditeur, cliquez sur l'icône Editeur de stratégies ou sélectionnez le nœud du système ou de l'équipement dans l'arborescence de navigation et cliquez sur l'icône Editeur de stratégies dans la barre d'outils d'actions. McAfee Enterprise Security Manager Guide Produit 319

320 10 Gestion des stratégies et des règles Arborescence des stratégies 1 Barre de menus 4 Affichage des règles 2 Volet de navigation 5 Champ de recherche de marqueur 3 Volet des types de règle 6 Volet Filtres/Marquage Les types de règle répertoriés dans le volet Types de règle varient en fonction du type d'équipement sélectionné dans l'arborescence de navigation du système. Le volet de navigation affiche la hiérarchie de la stratégie que vous avez sélectionnée. Pour modifier la stratégie actuelle, cliquez sur le nom de la stratégie dans le volet de navigation et cliquez sur la flèche située dans ce volet, ce qui affiche l'enfant de la stratégie. Ou bien cliquez sur l'icône Arborescence des stratégies. Le menu de l'arborescence des stratégies répertorie les actions que vous pouvez effectuer sur une stratégie. Lorsque vous sélectionnez un type dans le volet Type de règle, toutes les règles de ce type s'affichent dans la section d'affichage des règles. Les colonnes indiquent les paramètres propres aux règles, que vous pouvez configurer pour chaque règle (sauf Variable et Préprocesseur). Pour modifier un paramètre, cliquez sur la valeur actuelle du paramètre et sélectionnez une autre valeur dans la liste déroulante. Le volet Filtres/Marquage vous permet de filtrer les règles affichées dans l'editeur de stratégies afin d'afficher uniquement celles qui correspondent à vos critères, ainsi que d'ajouter des marqueurs aux règles pour définir leurs fonctions. Arborescence des stratégies L'Arborescence des stratégies répertorie les stratégies et les équipements du système. L'Arborescence des stratégies vous permet d'effectuer les actions suivantes : 320 McAfee Enterprise Security Manager Guide Produit

321 Gestion des stratégies et des règles Arborescence des stratégies 10 Afficher les détails d'une stratégie ou d'un équipement. Ajouter une stratégie au système Modifier l'ordre des stratégies ou des équipements. Rechercher une stratégie ou un équipement par son nom. Renommer, supprimer, copier, copier et remplacer, importer ou exporter une stratégie. Icône Description Stratégie L'équipement est désynchronisé L'équipement est préparé L'équipement est à jour L'équipement virtuel est désynchronisé L'équipement virtuel est préparé L'équipement virtuel est à jour La source de données est désynchronisée La source de données est préparée La source de données est à jour L'ADM est désynchronisé Le DEM est désynchronisé Gestion des stratégies dans l'arborescence des stratégies Gérer les stratégies du système en effectuant des actions dans l'arborescence des stratégies. 1 Sur la console ESM, cliquez sur l'icône Editeur de stratégies stratégies., puis cliquez sur l'icône Arborescence des 2 Effectuez l'une des actions suivantes : Action Afficher les règles d'une stratégie Utiliser une stratégie comme stratégie enfant d'une autre stratégie Rechercher une stratégie ou un équipement à suivre Double-cliquez sur la stratégie. Les règles sont répertoriées dans la section d'affichage des règles de l'editeur de stratégies. Sélectionnez la stratégie enfant, puis faites-la glisser pour la placer sur le parent. Vous pouvez uniquement faire glisser des équipements vers des stratégies. Entrez le nom dans le champ de recherche. McAfee Enterprise Security Manager Guide Produit 321

322 10 Gestion des stratégies et des règles Arborescence des stratégies Action Ajouter une nouvelle stratégie à suivre 1 Sélectionnez la stratégie à laquelle vous souhaitez ajouter une nouvelle stratégie, puis cliquez sur l'icône de menu Eléments du menu de l'arborescence des stratégies. 2 Cliquez sur Nouveau, entrez le nom de la stratégie, puis cliquez sur OK. Renommer une stratégie 1 Sélectionnez la stratégie à renommer, puis cliquez sur l'icône de menu Eléments du menu de l'arborescence des stratégies. 2 Cliquez sur Renommer, entrez le nouveau nom, puis cliquez sur OK. Supprimer une stratégie 1 Sélectionnez la stratégie à supprimer, puis cliquez sur l'icône de menu Eléments du menu de l'arborescence des stratégies. 2 Cliquez sur Supprimer, puis sur OK sur la page de confirmation. Copier une stratégie 1 Sélectionnez la stratégie à copier, puis cliquez sur l'icône de menu Eléments du menu de l'arborescence des stratégies. 2 Cliquez sur Copier, entrez le nom à attribuer à la nouvelle stratégie, puis cliquez sur OK. Déplacer des équipements vers une stratégie 1 Sélectionnez les équipements à déplacer, puis cliquez sur l'icône Eléments du menu de l'arborescence des stratégies. 2 Sélectionnez Déplacer, puis sélectionnez la stratégie vers laquelle déplacer les équipements. Copier et remplacer une stratégie 1 Sélectionnez la stratégie à copier, cliquez sur l'icône Eléments du menu de l'arborescence des stratégies, puis sélectionnez Copier et remplacer. 2 Dans Sélectionner une stratégie, sélectionnez la stratégie à remplacer. 3 Cliquez sur OK, puis cliquez sur Oui Les paramètres de la stratégie que vous avez copiée sont appliqués à la stratégie remplacée, mais le nom de celle-ci est conservé. 322 McAfee Enterprise Security Manager Guide Produit

323 Gestion des stratégies et des règles Types de règle et propriétés correspondantes 10 Action Importer une stratégie à suivre L'importation inclut l'équipement sélectionné et les niveaux inférieurs. 1 Sélectionnez le niveau de l'arborescence où vous souhaitez importer la nouvelle stratégie, cliquez sur l'icône Eléments du menu de l'arborescence des stratégies, puis sélectionnez Importer. 2 Recherchez et chargez le fichier à importer. Si un message d'erreur s'affiche, voir Résolution des problèmes - Importation de stratégie pour obtenir une solution. 3 Sélectionnez les options d'importation souhaitées, puis cliquez sur OK. Exporter une stratégie 1 Sélectionnez la stratégie à exporter. L'exportation inclut le nœud sélectionné et les niveaux supérieurs de la hiérarchie. Seules les règles standard avec paramètres personnalisés ou les règles personnalisées sont exportées. Par conséquent, vous devez sélectionner l'un de ces types de règle pour activer l'option Exporter. 2 Cliquez sur Menu, puis sélectionnez Exporter. 3 Sélectionnez les options d'exportation souhaitées, cliquez sur OK, puis sélectionnez l'emplacement où enregistrer le fichier d'exportation de stratégie. 3 Pour fermer l'arborescence des stratégies, double-cliquez sur une stratégie ou un équipement ou bien cliquez sur l'icône de fermeture. Types de règle et propriétés correspondantes Le volet Types de règle de la page Editeur de stratégies vous permet d'accéder à toutes les règles par type. Vous pouvez importer, exporter, ajouter, modifier une règle sélectionnée et effectuer diverses opérations sur la règle. Les fonctions que vous pouvez effectuer sont limitées par le type de règle. Toutes les règles sont basées sur une hiérarchie où chaque règle hérite son utilisation de son parent. La règle (sauf les règles Variable et Préprocesseur) est marquée avec une icône qui indique d'où elle hérite son utilisation. Cette icône comporte un point dans le coin inférieur gauche si la chaîne d'héritage est rompue quelque part sous la ligne actuelle. Icône Description Indique que l'utilisation de cet élément est déterminée par les paramètres du parent. La plupart des règles sont définies pour recevoir un héritage par défaut, mais l'utilisation peut être modifiée. Indique que la chaîne d'héritage est rompue à ce niveau et que la valeur de l'héritage est désactivée. L'utilisation de la règle actuelle est utilisée lorsque la chaîne d'héritage est rompue. Indique que la chaîne d'héritage est rompue à ce niveau. Les éléments situés sous ce point n'héritent rien de la chaîne au-dessus. Ce paramètre est utile pour forcer les règles à utiliser la valeur par défaut. Indique une valeur personnalisée. Vous définissez une autre valeur que celle par défaut. McAfee Enterprise Security Manager Guide Produit 323

324 10 Gestion des stratégies et des règles Types de règle et propriétés correspondantes Propriétés Lorsque vous sélectionnez un type de règle, le volet d'affichage des règles affiche toutes les règles de ce type sur le système ainsi que les paramètres de leurs propriétés. Ces propriétés sont notamment : Action, Gravité, Liste noire, Agrégation et Copier le paquet. Cette propriété... Action Vous permet de... Définir l'action effectuée par cette règle. Les options disponibles dépendent du type de règle. Les éléments de liste noire ne peuvent pas être déplacés vers leur destination. Si Transmettre est sélectionné dans la colonne Liste noire, le système le convertit automatiquement en Alerte. Gravité Liste noire Agrégation Copier le paquet Sélectionnez la gravité de la partie de la règle lorsque la règle est déclenchée. La gravité est comprise entre 1 et 100 (100 étant la gravité la plus élevée). Créer automatiquement une entrée de liste de blocage pour chaque règle lorsque la règle est déclenchée sur l'équipement. Vous pouvez choisir d'ajouter à la liste de blocage uniquement l'adresse IP ou bien l'adresse IP et le port. Définir l'agrégation pour chaque règle pour les événements créés lorsqu'une règle est déclenchée. Les paramètres d'agrégation définis sur les pages Agrégation des événements (consultez la section Agrégation d'événements et de flux) s'appliquent uniquement aux règles définies dans l'editeur de stratégies. Copier les données de paquet sur l'esm, ce qui est utile dans le cas d'une perte de communication. Si une copie des données de paquet est disponible, vous pouvez accéder aux informations en récupérant les données de la copie. Pour modifier ces paramètres, cliquez sur le paramètre actuel et sélectionnez-en un autre. Variables Une variable est un paramètre global ou un espace réservé pour des informations propres à un utilisateur ou un site. Les variables sont utilisées dans de nombreuses règles. Pour ajouter ou modifier des variables, il est conseillé d'avoir une bonne connaissance du format Snort. Les variables permettent de définir le fonctionnement des règles, ce qui peut varier d'un équipement à l'autre. L'ESM contient de nombreuses variables prédéfinies, mais il permet également d'ajouter des variables personnalisées. Lors de l'ajout d'une règle, ces variables s'affichent sous forme d'options dans la liste déroulante du type de champ sélectionné dans le champ Type de la page Nouvelle variable. Chaque variable a une valeur par défaut, mais il est conseillé de définir certaines valeurs relatives à l'environnement particulier de chaque équipement. Les espaces ne sont pas acceptés lors de la saisie d'un nom de variable. Si un espace est nécessaire, utilisez le trait de soulignement ( _ ). Pour optimiser l'efficacité d'un équipement, il est important de définir la variable HOME_NET sur le réseau domestique protégé par l'équipement particulier. Ce tableau affiche la liste des variables communes et leur valeur par défaut. Noms des variables Description Par défaut Description par défaut EXTERNAL_NET HOME_NET Toute personne située hors du réseau protégé Espace d'adressage du réseau local protégé : ( /80)!$HOME_NET Port 80 Tout Identique à HOME_NET 324 McAfee Enterprise Security Manager Guide Produit

325 Gestion des stratégies et des règles Types de règle et propriétés correspondantes 10 Noms des variables Description Par défaut Description par défaut HTTP_PORTS Ports des serveurs web : 80 ou 80:90 pour une plage comprise entre 80 et 90. HTTP_SERVE RS Adresses des serveurs web : ou [ , ] 80 Tout port excepté HTTP_PORTS $HOME_NET Identique à HOME_NET SHELLCODE_PORTS Tout sauf les ports des serveurs web!$http_ports Identique à HOME_NET SMTP Adresses des serveurs de messagerie $HOME_NET Identique à HOME_NET SMTP_SERVERS Adresses des serveurs de messagerie $HOME_NET Identique à HOME_NET SQL_SERVERS Adresses des serveurs de base de données SQL : $HOME_NET Identique à HOME_NET TELNET_SERVERS Adresses des serveurs Telnet : $HOME_NET Identique à HOME_NET Vous pouvez modifier les variables prédéfinies sur le système. Vous pouvez ajouter, modifier et supprimer les variables personnalisées. Vous pouvez attribuer des types aux variables personnalisées. Les types de variable sont utilisés lors du filtrage des règles pour la génération de rapports et ils déterminent le champ dans lequel les variables sont disponibles lors de l'ajout ou la modification d'une règle. Les types de variable sont globaux, et toute modification effectuée est répercutée à tous les niveaux de la stratégie. Gestion des variables Lorsque vous sélectionnez le type de règle Variable dans l'editeur de stratégies, vous pouvez effectuer plusieurs actions pour gérer les variables personnalisées et prédéfinies. 1 Cliquez sur l'icône Editeur de stratégies. 2 Dans le volet Types de règle, sélectionnez Variable. 3 Effectuez l'une des actions suivantes : Pour... Ajouter une nouvelle catégorie Ajouter une variable personnalisée Procédez ainsi... 1 Sélectionnez Nouveau Catégorie. 2 Entrez le nom de la nouvelle catégorie, puis cliquez sur OK. 1 Dans le volet d'affichage des règles, sélectionnez la catégorie, puis cliquez sur Nouveau. 2 Sélectionnez Variable, puis définissez les paramètres demandés. 3 Cliquez sur OK. Modifier une variable 1 Dans le volet d'affichage des règles, sélectionnez la variable à modifier. 2 Sélectionnez Modifier, puis cliquez sur Modifier. 3 Modifiez la valeur ou la description, puis cliquez sur OK. McAfee Enterprise Security Manager Guide Produit 325

326 10 Gestion des stratégies et des règles Types de règle et propriétés correspondantes Pour... Supprimer une variable personnalisée Importer une variable Procédez ainsi... 1 Dans le volet d'affichage des règles, sélectionnez la variable à supprimer. 2 Sélectionnez Modifier, puis cliquez sur Supprimer. 1 Sélectionnez Fichier, puis cliquez sur Importer Variables. 2 Cliquez sur Importer, puis recherchez et chargez le fichier. Le fichier d'importation doit être un fichier.txt contenant les informations suivantes au format suivant : NomVariable;ValeurVariable; NomCatégorie (facultatif); Description (facultatif). Si l'un des champs est manquant, vous devez entrer un point-virgule à la place en tant qu'espace réservé. Modifier le type de variable personnalisée 1 Sélectionnez la variable personnalisée. 2 Cliquez sur Modifier, puis sélectionnez Modifier. 3 Modifier le type de variable. Si la valeur du type de variable est autre que Aucun type sélectionné et qu'elle est validée, vous ne pouvez pas modifier cette valeur. 4 Cliquez sur OK pour enregistrer les modifications. Détection des anomalies de protocole TCP et du détournement de session TCP Vous pouvez détecter les anomalies de protocole TCP, et recevoir les alertes correspondantes, ainsi que les détournements de session TCP en utilisant la variable du préprocesseur Stream5. 1 Sur la console ESM, cliquez sur l'icône Editeur de stratégies. 2 Dans le volet Types de règle, cliquez sur Variable. 3 Dans le volet d'affichage des règles, cliquez sur Préprocesseur, puis sélectionnez STREAM5_TCP_PARAMS. 4 Sur la page Modifier la variable, ajouter l'une des valeurs suivantes dans le champ Valeur : Pour détecter les anomalies de protocole TCP et recevoir les alertes correspondantes, ajoutez detect_anomalies après première stratégie. Pour détecter un détournement de session TCP, ajoutez detect_anomalies check_session_hijacking après première stratégie. Règles de préprocesseur Les préprocesseurs permettent d'unifier la détection d'anomalies et l'inspection de paquets dans McAfee Nitro IPS et IDS. Les préprocesseurs sont essentiels à la précision de la détection de nombreuses règles. Utilisez ceux qui s'appliquent à votre configuration de réseau. Les paramètres des préprocesseurs peuvent être changés en modifiant la variable de préprocesseur respective relevant du type de règle Variables dans l'editeur de stratégies. 326 McAfee Enterprise Security Manager Guide Produit

327 Gestion des stratégies et des règles Types de règle et propriétés correspondantes 10 Type Normalisation RPC Détection des analyses de ports Description Normalise le trafic propre au protocole RPC d'une façon uniforme à des fins de détection seulement. Ce préprocesseur peut empêcher les attaques associées à la fragmentation RPC de contourner Nitro IPS. Génère un événement s'il détecte une analyse de ports dans les équipements du côté approuvé de votre réseau. Une fois que vous avez correctement défini la variable HOME_NET, vous devez modifier la variable SFPORTSCAN_PARMS (Variables préprocesseur) afin qu'elle indique : proto { all } scan_type { all } sense_level { medium } ignore_scanners Cela est ajouté à la variable sfportscan afin d'éliminer ce que Nitro IPS reconnaît comme analyses de ports dans la variable HOME_NET. Les réseaux qui placent l'équipement Nitro IPS ou IDS près d'un routeur ou d'un pare-feu compatibles NAT (Network Address Translation) semblent être soumis à une analyse de ports Nitro IPS. La modification de la variable réduit ce qui ressemble à des événements de type faux positif. Pour que la variable ignore_scanners fonctionne correctement, vous ne devez pas définir la variable HOME_NET sur Tout. ZipZap Défragmenteur IP basé sur cible Normalisation des requêtes web Lorsqu'ils traitent le contenu web (HTTP), de nombreux serveurs web acceptent les requêtes des navigateurs web, indiquant ainsi que le contenu web peut être compressé avant son envoi. Si ce processus permet d'économiser la bande passante réseau, les pages web compressées ne peuvent pas être analysées par un équipement. Avec le préprocesseur ZipZap, le serveur web retourne ces données dans un format brut, non compressé et analysable. L'activation de ce préprocesseur augmente la quantité de bande passante utilisée par le trafic web. Modélise les cibles réelles du réseau au lieu de modéliser simplement les protocoles et de rechercher les attaques qui s'y trouvent. Il utilise la structure de données sfxhash et les listes liées pour le traitement des données en interne, ce qui lui permet d'obtenir des performances prévisibles et déterministes dans tout environnement et aide à gérer les environnements très fragmentés. Normalise les requêtes web d'une façon uniforme à des fins de détection seulement. S'il est toujours activé, vous n'êtes cependant pas autorisé à apporter des modifications. Il existe deux types de préprocesseur Normalisation des requêtes web : l'un à utiliser avec les versions allant jusqu'à la version 8.2.x et l'autre avec les versions et ultérieures. Ce préprocesseur détecte les attaques suivantes : Attaque de type traversée de répertoires web (http://exemple.com/./ attaque.cmd) Chaînes à double codage (http://exemple.com/ %25%32%35%25%33%32%25%33%30attaque.cmd) Normalisation Unicode Caractères non valides dans un URI de requête web Réassemblage TCP basé sur cible et Suivi de session TCP/UDP Effectue le suivi des sessions. Il s'agit d'un préprocesseur Stream5. Les mots clés relatifs aux flux de règle et aux bits de flux peuvent donc être utilisés avec un trafic TCP ou UDP. Gestion des règles de préprocesseur Activez ou désactivez chaque préprocesseur et définissez son héritage. McAfee Enterprise Security Manager Guide Produit 327

328 10 Gestion des stratégies et des règles Types de règle et propriétés correspondantes 1 Dans le panneau Types de règle de l'editeur de stratégies, cliquez sur IPS Préprocesseur. 2 Sélectionnez Hériter, Activé ou Désactivé pour les règles actives. Règles de pare-feu Les règles de pare-feu permettent de détecter les événements réseau en fonction des informations relatives aux paquets, par exemple le protocole, le port ou l'adresse IP dans un équipement Nitro IPS. La stratégie de pare-feu analyse les paquets entrants et prend des décisions en fonction des informations initiales trouvées avant que le paquet ne soit transmis au moteur d'inspection approfondie de paquets. Les règles de pare-feu bloquent des éléments tels que des adresses IP usurpées et non valides. Elles suivent également le débit et la taille du trafic réseau. Voici les types de règle de pare-feu : Anomalie : détecte les anomalies. Nombre des règles basées sur les anomalies coïncident les unes avec les autres et sont utilisées avec les valeurs définies dans l'onglet Variables. Exemple : la règle Durée de connexion longue et la variable Long Duration Seconds sont utilisées ensemble pour déterminer le nombre de secondes avant le déclenchement de la règle. Pour en savoir plus sur chaque règle, consultez la section détaillée en bas de la page. Anti-usurpation : détecte les adresses IP non valides. Exemple : si une adresse IP interne réservée est détectée alors qu'elle pénètre dans le réseau via un équipement, la règle anti-usurpation est déclenchée. Liste de blocage : détermine l'action à entreprendre sur les paquets qui sont envoyés vers ou depuis une adresse IP ou un port inclus dans la liste de blocage. DHCP : active et désactive la possibilité de permettre au trafic DHCP de traverser un équipement. IPv6 : détecte le trafic IPv6. Blocage de port : bloque certains ports. Détection d'anomalies Certaines règles de pare-feu sont basées sur le débit. Une règle basée sur le débit déclenche une alerte uniquement si votre trafic réseau excède les seuils définis par les variables de catégorie de pare-feu dans l'editeur de stratégies. Comme les valeurs par défaut de ces variables peuvent n'avoir aucun sens pour votre trafic réseau, l'assistant Détection d'anomalies de débit permet d'analyser les graphiques des données de flux de votre réseau, car elles sont associées à ces paramètres (consultez la section Assistant Détection d'anomalies). Exceptions de pare-feu Les exceptions de pare-feu sont parfois nécessaires pour permettre à certains types de trafic de traverser le pare-feu alors qu'ils seraient bloqués sans celles-ci. Exemple : si une adresse interne valide provient d'un réseau externe, par exemple un réseau privé virtuel (VPN), elle déclenche une alerte Connexions entrantes. Pour arrêter l'alerte, vous devez configurer une exception à la règle de pare-feu. Vous pouvez également traiter une exception comme une exception aux modèles définis dans les autres exceptions, créant ainsi une exception à la liste des exceptions (en d'autres mots, insérez une adresse ou un bloc d'adresses). Si une adresse IP doit être vérifiée par rapport à une règle de pare-feu et si elle est incluse dans un bloc d'adresses qui a déjà été accepté, elle peut être exclue de la liste des exceptions. Pour ce faire, entrez-la (ou entrez le masque) et activez la case à cocher. 328 McAfee Enterprise Security Manager Guide Produit

329 Gestion des stratégies et des règles Types de règle et propriétés correspondantes 10 Exemple : la liste des exceptions contient déjà le bloc d'adresses /24. Toutes les adresses de cet intervalle sont une exception à la règle. Si l'adresse source est active pour cette règle, sélectionnez Traiter ceci comme une exception aux modèles définis dans les autres exceptions et tapez dans le champ source. La règle de pare-feu est alors appliquée à , mais pas aux autres adresses du bloc /24, car l'adresse est désormais l'exception à la liste des exceptions. Ajout d'une règle de pare-feu personnalisée En général, les règles de pare-feu par défaut sont suffisantes pour protéger le réseau. Néanmoins, il peut arriver que vous deviez ajouter des règles propres à un système ou à un environnement protégé. 1 Dans le volet Types de règle de l'editeur de stratégies, sélectionnez IPS Pare-feu. 2 Sélectionnez Nouveau, puis cliquez sur Règle de pare-feu. 3 Définissez les paramètres, puis cliquez sur OK. Les filtres de la nouvelle règle sont appliqués et cette nouvelle règle s'affiche dans le volet Affichage des règles. Si vous cliquez sur l'icône de filtre, le filtrage est effacé. Ajouts d'exceptions de pare-feu Ajoutez des exceptions aux règles de pare-feu pour permettre aux événements réseau des protocoles, adresses IP ou ports spécifiés de traverser le pare-feu. 1 Dans l'editeur de stratégies, sélectionnez IPS Pare-feu. 2 Dans le panneau Affichage des règles, cliquez sur la règle à laquelle vous souhaitez ajouter une exception. Pour vous aider à trouver la règle, utilisez les filtres du panneau Filtres/Marquage (consultez la section Filtrage des règles existantes). 3 Sélectionnez Nouveau, puis cliquez sur Exception de pare-feu. 4 Cliquez sur Ajouter, puis sélectionnez ou tapez les valeurs qui définissent cette exception. 5 Cliquez sur OK. Règles approfondies d'inspection des paquets Les règles approfondies d'inspection des paquets évaluent le contenu d'un paquet et le compare aux modèles contenus dans les signatures de règle. En cas de concordance, l'action spécifiée est entreprise. Le filtre BASE (du panneau Filtres/Marquage) assure une protection contre les intrusions connues qui risquent d'endommager un système ou ses données. Il en va de même pour les filtres MALWARE et VIRUS. Les filtres POLICY et MULTIMEDIA empêchent les activités réseau associées aux spécifications d'utilisation du réseau définies par l'utilisateur ou alertent à leur sujet et ne sont pas associés à des intrusions sur le réseau potentiellement dangereuses. Types de groupe de filtres généraux : McAfee Enterprise Security Manager Guide Produit 329

330 10 Gestion des stratégies et des règles Types de règle et propriétés correspondantes Règles de protection (BASE, MALWARE, PERIMETER, VIRUS) Règles de stratégie (CHAT, MULTIMEDIA, PEERTOPEER, POLICY, SECURE APPLICATION GATEWAY) En général, les règles par défaut sont suffisantes pour protéger le réseau. Néanmoins, il peut arriver que des règles propres à un système ou à un environnement protégé soient requises. Vous pouvez ajouter des règles approfondies d'inspection des paquets dans ESM (consultez la section Ajout de règles d'inspection approfondie des paquets). Ajout de règles approfondies d'inspection des paquets Ajoutez une règle personnalisée d'inspection approfondie des paquets en cas de besoin pour assurer la protection d'un système ou d'un environnement. 1 Dans l'editeur de stratégies, sélectionnez Nitro IPS Inspection approfondie des paquets. 2 Cliquez sur Nouveau, puis sélectionnez Règle d'inspection approfondie des paquets. 3 Définissez les paramètres, puis cliquez sur OK. Les filtres de la nouvelle règle sont appliqués et cette nouvelle règle s'affiche dans le volet Affichage des règles. Si vous cliquez sur l'icône de filtre, le filtrage est effacé et toutes les règles approfondies d'inspection des paquets s'affichent. Ajout d'attributs d'inspection approfondie des paquets Si vous ajoutez ou modifiez une règle d'inspection approfondie des paquets, l'une des étapes nécessaires est l'affectation d'attributs à la règle. Ces attributs définissent l'action de la règle. Vous pouvez supprimer et ajouter des options personnalisées dans la liste existante afin de pouvoir les affecter à une règle. 1 Dans l'editeur de stratégies, sélectionnez IPS Inspection approfondie des paquets Ajouter. 2 Dans la liste déroulante, sélectionnez la catégorie de cet attribut. 3 Dans le champ Options, sélectionnez l'action associée à cet attribut. 4 Entrez la valeur de l'option sélectionnée, puis cliquez sur OK. Le nom et la valeur de l'option sont ajoutés à la table Options de règle. Sélectionnez la valeur pour la modifier ou la supprimer. Règles internes Le type de règle Interne contient les règles pourvues des ID de signature compris entre et Ce sont des alertes internes qui sont dépourvues de signatures contrairement aux autres règles. Ces règles peuvent être uniquement activées ou désactivées. Ce type de règle est disponible uniquement si un Nitro IPS ou un équipement virtuel est sélectionné dans l'arborescence de navigation des systèmes. Gestion des règles internes Affichez la liste des règles internes existantes ou modifiez leur statut. 330 McAfee Enterprise Security Manager Guide Produit

331 Gestion des stratégies et des règles Types de règle et propriétés correspondantes 10 1 Dans l'arborescence de navigation des systèmes, sélectionnez un Nitro IPS ou un équipement virtuel. 2 Dans le volet Types de règle de l'editeur de stratégies, sélectionnez IPS Interne. 3 Dans la colonne Activer, cliquez sur Sélectionner tout, Ne rien sélectionner ou sélectionnez ou désélectionnez des règles individuelles. Règles de filtre Les règles de filtre vous permettent de spécifier l'action à entreprendre lorsque les données que vous définissez sont reçues par le récepteur. Ordre des données Les règles de filtre sont écrites dans le récepteur dans l'ordre suivant : 1 Toutes les règles autres que de collecte. a b c d arrêt = vrai et analyse syntaxique = faux et journal = faux arrêt = vrai et analyse syntaxique = vrai et journal = vrai arrêt = vrai et analyse syntaxique = vrai et journal = faux arrêt = vrai et analyse syntaxique = faux et journal = vrai 2 Toutes les règles de collecte Ordre des règles Si vous avez des droits d'administrateur de stratégie, vous pouvez définir l'ordre d'exécution des règles de filtre. Ces règles sont ainsi exécutées dans l'ordre le plus efficace pour générer les données dont vous avez besoin (voir Définir l'ordre des règles ASP et de filtre). Ajout des règles de filtre Vous pouvez ajouter des règles de filtre dans l'editeur de stratégies. 1 Dans l'editeur de stratégies, sélectionnez Récepteur Filtrer. 2 Sélectionnez Nouveau, puis cliquez sur Règle de filtre. 3 Complétez les champs, puis cliquez sur OK. 4 Pour activer la règle, sélectionnez-la dans le panneau Affichage des règles, cliquez sur le paramètre de la colonne Action, puis sur activée. McAfee Enterprise Security Manager Guide Produit 331

332 10 Gestion des stratégies et des règles Types de règle et propriétés correspondantes Règles ASP ASP fournit un mécanisme permettant d'effectuer une analyse syntaxique des données des messages Syslog en fonction de règles définies par l'utilisateur. Les règles indiquent à l'analyseur ASP comment reconnaître un message donné et où se trouvent les données d'événement dans ce message, par exemple les ID de signature, les adresses IP, les ports, les noms d'utilisateur et les actions. Il est également idéal pour trier des sources de journalisation complexes telles que des serveurs Linux et UNIX. Cette fonctionnalité nécessite que vous écriviez des règles adaptées à votre environnement Linux ou UNIX. La connaissance des expressions régulières est nécessaire pour utiliser cette fonctionnalité. Lorsque le système reçoit un journal ASP, le format de l'heure doit correspondre au format indiqué dans la règle ASP. Sinon, le journal n'est pas traité. Vous pouvez ajouter plusieurs formats d'heure personnalisés pour augmenter la probabilité que le format de l'heure du journal corresponde à l'un des formats définis (voir Ajout de formats d'heure aux règles ASP). Si vous avez des droits d'administrateur de stratégie, vous pouvez définir l'ordre d'exécution des règles ASP. Ces règles génèrent ensuite les données dont vous avez besoin (voir Définir l'ordre des règles ASP et de filtre). Ajout d'une règle ASP personnalisée L'éditeur de Règle d'analyseur syntaxique de fichiers Syslog avancé vous permet de créer des règles pour effectuer l'analyse syntaxique des données de journal ASP. 1 Dans l'editeur de stratégies, sélectionnez récepteur Analyseur syntaxique de fichiers Syslog avancé. 2 Sélectionnez Nouveau, puis cliquez sur Règle d'analyseur syntaxique de fichiers Syslog avancé. 3 Cliquez sur chaque onglet et renseignez les informations demandées. 4 Cliquez sur Terminer. Définir l'ordre des règles ASP et de filtre Si vous avez des droits d'administrateur de stratégie, vous pouvez définir l'ordre d'exécution des règles de filtre ou ASP. Cette option trie les règles efficacement pour vous fournir les données dont vous avez le plus besoin. 1 Sur la console ESM, cliquez sur l'icône Editeur de stratégies. 2 Dans le menu Opérations, sélectionnez Classer les règles ASP ou Classer les règles de filtre, puis sélectionnez une source de données dans le champ Type de source de données. Les règles à classer s'affichent dans le volet gauche. Les règles classées s'affichent dans le volet droit. 332 McAfee Enterprise Security Manager Guide Produit

333 Gestion des stratégies et des règles Types de règle et propriétés correspondantes 10 3 Sur l'onglet Règles standard ou Règles personnalisées, déplacez une règle du volet gauche vers le volet droit (faites-la glisser ou bien utilisez les flèches) en la positionnant au-dessus ou au-dessous des Règles non classées. La section Règles non classées affiche toutes les règles du volet gauche, qui sont classées dans l'ordre par défaut. 4 Utilisez les flèches pour réorganiser les règles, puis cliquez sur OK pour enregistrer les modifications. Ajout de formats d'heure aux règles ASP Lorsque le système reçoit un journal de l'analyseur syslog avancé (ASP), le format de l'heure doit correspondre au format indiqué dans la règle ASP. Vous pouvez ajouter plusieurs formats d'heure personnalisés pour augmenter la probabilité que le format de l'heure du journal corresponde à l'un des formats indiqués. 1 Sur la console ESM, cliquez sur l'icône Editeur de stratégies. 2 Dans le volet Types de règle, cliquez sur Récepteur Analyseur syslog avancé. 3 Après le téléchargement des règles ASP, effectuez l'une des actions suivantes : Pour modifier une règle existante, cliquez sur la règle, puis cliquez sur Modifier Modifier. Pour ajouter une nouvelle règle, cliquez sur Créer Règle d'analyseur syslog avancé, puis renseignez les onglets Général, Analyse et Affectation de champ. 4 Cliquez sur l'onglet Correspondance, puis cliquez sur l'icône + au-dessus de la table Format d'heure. 5 Cliquez sur le champ Format, puis sélectionnez le format de l'heure. 6 Sélectionnez les champs d'horodatage pour lesquels vous souhaitez utiliser ce format. Première fois et Dernière fois désignent la première et la dernière génération de l'événement. Tous les champs d'horodatage de Type personnalisé que vous avez ajoutés à l'esm (voir Filtres de type personnalisé) sont également répertoriés. 7 Cliquez sur OK, puis renseignez les autres informations de l'onglet Correspondance. Règles de source de données La liste des règles de source de données inclut des règles prédéfinies et des règles mémorisées automatiquement. Le récepteur mémorise automatiquement les règles de source de données à mesure qu'il traite les informations qui lui sont envoyées par les sources de données qui lui sont associées. L'option Source de données du panneau Types de règle est visible uniquement si une stratégie, une source de données, Analyseur syntaxique de fichiers Syslog avancé ou un récepteur sont sélectionnés dans l'arborescence de navigation des systèmes. La zone de description située en bas de la page fournit des informations détaillées sur la règle sélectionnée. Toutes les règles sont pourvues d'un paramètre de gravité qui détermine la priorité qui leur est associée. La priorité a des répercussions sur la façon dont les alertes générées pour ces règles sont affichées à des fins de rapport. McAfee Enterprise Security Manager Guide Produit 333

334 10 Gestion des stratégies et des règles Types de règle et propriétés correspondantes Une action par défaut est associée aux règles de source de données. Le récepteur l'attribue au sous-type d'événement associé à la règle. Vous pouvez changer cette action (voir Définition des actions de règles de source de données). Définition des actions de règles de source de données Une action par défaut est associée aux règles de source de données. Le récepteur attribue cette action au sous-type d'événement associé à la règle. Vous pouvez modifier cette action. Vous pouvez définir la valeur du sous-type d'événement pour chaque règle de source de données. Cela signifie que vous pouvez définir des actions de règle pour des tableaux de bord, des rapports, des règles d'analyse syntaxique ou des alarmes avec différentes valeurs, par exemple le résultat d'une règle d'accès sélective (autoriser/refuser). 1 Sur la console ESM, cliquez sur l'icône Editeur de stratégies données dans le volet Types de règle., puis sélectionnez Récepteur Source de 2 Cliquez dans la colonne Sous-type de la règle à modifier, puis sélectionnez la nouvelle action. Sélectionnez activer pour ajouter l'action par défaut (alerte) au sous-type d'événement. Sélectionnez désactiver si vous ne souhaitez pas collecter des événements pour la règle correspondante. Sélectionnez une autre action pour ajouter cette action au sous-type d'événement. Gestion des règles de source de données mémorisées automatiquement Affichez la liste de toutes les règles de source de données mémorisées automatiquement, puis modifiez-les ou supprimez-les. 1 Dans l'editeur de stratégies, sélectionnez Récepteur Source de données. 2 Dans le panneau Filtres/Marquage, cliquez sur la barre Avancé en bas du panneau. 3 Dans la liste déroulante Origine, sélectionnez défini par l'utilisateur, puis cliquez sur l'icône Exécuter une requête. Toutes les règles de source de données mémorisées automatiquement sont indiquées dans le volet Affichage des règles. 4 Sélectionnez la règle à modifier ou supprimer, cliquez sur Modifier, puis sélectionnez Modifier ou Supprimer les règles mémorisées automatiquement. Si vous avez sélectionné Modifier, changez le nom, la description ou l'id normalisé, puis cliquez sur OK. Si vous avez sélectionné Supprimer les règles mémorisées automatiquement, sélectionnez l'option appropriée, puis cliquez sur OK. 334 McAfee Enterprise Security Manager Guide Produit

335 Gestion des stratégies et des règles Types de règle et propriétés correspondantes 10 Règles d'événements Windows Les règles d'événements Windows permettent de générer des événements liés à Windows. Ces règles de source de données dédiées aux événements Windows sont couramment utilisées et sont distinctes du type de règle de source de données. Toutes les règles de ce type sont définies par McAfee. Vous ne pouvez pas en ajouter, ni les modifier ou les supprimer, mais vous pouvez modifier les paramètres de leurs propriétés. ADM, règles McAfee ADM est une série d'appliances réseau optimisée par le moteur ICE d'inspection approfondie des paquets. Le moteur ICE est une bibliothèque de logiciels et une collection de modules plug-in de protocole et de contenu pouvant identifier et extraire le contenu du trafic réseau brut en temps réel. Il peut intégralement réassembler et décoder le contenu de niveau application, transformant ainsi les flux de paquets du réseau codés en contenu facilement lisible comme s'il était lu à partir d'un fichier local. Le moteur ICE est en mesure d'identifier automatiquement les protocoles et les types de contenu sans besoin d'utiliser les numéros de port TCP fixes ou les extensions de fichier. Il n'utilise pas de signatures pour effectuer son analyse et son décodage. A la place, ses modules implémentent des analyseurs syntaxiques complets pour chaque type de protocole ou de contenu. Ce faisant, l'identification et le décodage de contenu sont extrêmement précis, ce qui permet au contenu d'être identifié et extrait même lorsqu'il est compressé ou codé d'une façon autre et qu'il ne circule donc pas sur le réseau en texte clair. En conséquence de cette identification et de ce décodage extrêmement précis, le moteur ICE est en mesure d'offrir une vue particulièrement approfondie du trafic réseau. Exemple : le moteur ICE peut recevoir un flux de documents PDF qui a traversé le réseau dans un fichier.zip, sous forme de pièce jointe à un SMTP codé en base 64 et envoyé depuis un serveur proxy SOCKS. Cette reconnaissance des applications et des documents permet à ADM de fournir un contexte de sécurité très précieux. Il peut détecter des menaces qui ne peuvent pas l'être facilement par un équipement IDS traditionnel ou Nitro IPS, par exemple : Fuite d'informations et de documents confidentiels ou violations des stratégies de communication. Trafic d'applications non autorisées (par exemple, qui utilise Gnutella?). Applications utilisées de façon inattendue (par exemple, HTTPS sur un port non standard). Documents potentiellement malveillants (par exemple, un document ne correspond pas à son extension). Nouvelle génération d'exploits (par exemple, un document PDF pourvu d'un exécutable incorporé). ADM détecte également les modèles de trafic malveillants en détectant les anomalies dans les protocoles d'application et de transport (par exemple, une connexion RPC est malformée ou le port de destination TCP est défini sur 0). Applications et protocoles pris en charge ADM peut surveiller, décoder et détecter des anomalies dans plus de 500 applications et protocoles. Voici une liste d'exemples : Protocoles réseau de bas niveau : TCP/IP, UDP, RTP, RPC, SOCKS, DNS et autres MAPI, NNTP, POP3, SMTP, Microsoft Exchange Chat : MSN, AIM/Oscar, Yahoo, Jabber, IRC McAfee Enterprise Security Manager Guide Produit 335

336 10 Gestion des stratégies et des règles Types de règle et propriétés correspondantes Messagerie web : AOL Webmail, Hotmail, Yahoo! Mail, Gmail, Facebook et MySpace Mail P2P : Gnutella, BitTorrent Shell : SSH (uniquement la détection), Telnet Messagerie instantanée : AOL, ICQ, Jabber, MSN, SIP et Yahoo Protocoles de transfert de fichiers : FTP, HTTP, SMB et SSL Protocoles de compression et d'extraction : BASE64, GZIP, MIME, TAR, ZIP et autres Fichiers d'archive : archives RAR, ZIP, BZIP, GZIP, Binhex et archives codées en UU Packages d'installation : packages Linux, fichiers CAB d'installshield et de Microsoft Fichiers image : GIF, JPEG, PNG, TIFF, AutoCAD, Photoshop, Bitmap, Visio, Digital RAW et icônes Windows Fichiers audio : WAV, MIDI, RealAudio, Dolby Digital AC-3, MP3, MP4, MOD, RealAudio, SHOUTCast, etc. Fichiers vidéo : AVI, Flash, QuickTime, Real Media, MPEG-4, Vivo, Digital Video (DV), Motion JPEG, etc. Autres applications et fichiers : bases de données, tableurs, télécopies, applications web, polices, fichiers exécutables, applications Microsoft Office, jeux, voire outils de développement logiciel Autres protocoles : imprimante réseau, accès au shell, VoIP et peer-to-peer Concepts clés Pour comprendre le fonctionnement d'adm, il est impératif de connaître les concepts suivants : Objet : élément individuel de contenu. Un est un objet, mais également un conteneur d'objets puisqu'il possède un corps de message (ou deux) et des pièces jointes. Une page HTML est un objet qui peut contenir des objets supplémentaires, par exemple des images. Un fichier.zip et chaque fichier qu'il contient sont tous des objets. ADM décompresse le conteneur et traite chaque objet qu'il contient comme son propre objet. Transaction : wrapper entourant le transfert d'un objet (contenu). Une transaction contient au moins un objet, mais si cet objet est un conteneur, par exemple un fichier.zip, la transaction unique peut contenir plusieurs objets. Flux : connexion réseau TCP ou UDP. Un flux peut contenir de nombreuses transactions. Règles DEM La véritable force de McAfee DEM tient à la façon dont il capture et normalise les informations contenues dans les paquets du réseau. DEM permet également de créer des règles complexes à l'aide d'expressions logiques et régulières pour la concordance des modèles, ce qui permet également de surveiller les messages de base de données ou d'application sans faux positifs ou presque. Les données normalisées (mesures) varient pour chaque application, car certains protocoles et messages d'application sont plus riches que d'autres. Les expressions de filtre doivent être soigneusement conçues. Vous devez veiller au respect de la syntaxe, mais aussi à la prise en charge de la mesure pour l'application. DEM est fourni avec un jeu de règles par défaut. Les règles de conformité par défaut surveillent les événements de base de données importants tels que les connexions/déconnexions, l'activité de type DBA, par exemple les modifications DDL, les activités suspectes ainsi que les attaques de base de 336 McAfee Enterprise Security Manager Guide Produit

337 Gestion des stratégies et des règles Types de règle et propriétés correspondantes 10 données qui sont généralement nécessaires pour satisfaire aux exigences de conformité. Vous pouvez activer ou désactiver chaque règle par défaut et définir la valeur des paramètres définissables par l'utilisateur de chaque règle. Types de règle DEM : base de données, accès aux données, découverte et suivi des transactions. Types de règle Base de données Accès aux données Description Le jeu de règles DEM par défaut inclut des règles pour chaque type de base de données pris en charge et pour les réglementations courantes que sont SOX, PCI, HIPAA et FISMA. Vous pouvez activer ou désactiver chaque règle par défaut et définir la valeur des paramètres définissables par l'utilisateur de chaque règle. En plus d'utiliser les règles qui sont fournies avec DEM, vous pouvez créer des règles complexes à l'aide d'expressions logiques et régulières. Cela permet de surveiller les messages de base de données ou d'application sans faux positifs ou presque. Les données normalisées (mesures) varient pour chaque application, car certains protocoles et messages d'application sont plus riches que d'autres. Les règles peuvent être aussi complexes que nécessaire et inclure aussi bien des opérateurs logiques que des opérateurs d'expression régulière. Une expression de règle peut être appliquée à une ou plusieurs mesures disponibles pour l'application. Les règles d'accès aux données DEM permettent de suivre les chemins d'accès inconnus dans la base de données et d'envoyer des alertes en temps réel. Une fois que vous avez créé les règles appropriées d'accès aux données, vous pouvez facilement effectuer le suivi des violations courantes dans les environnements de base de données, par exemple les développeurs d'applications accédant aux systèmes de production avec un ID de connexion d'application. McAfee Enterprise Security Manager Guide Produit 337

338 10 Gestion des stratégies et des règles Types de règle et propriétés correspondantes Types de règle Découverte Suivi des transactions Description Les règles de découverte de base de données de DEM fournissent une liste des exceptions des serveurs de base de données, dont les types sont pris en charge par ESM, qui sont sur le réseau, mais qui ne sont pas surveillés. Cela permet à un administrateur de sécurité de découvrir les nouveaux serveurs de base de données ajoutés à l'environnement ainsi que les ports d'écoute interdits ouverts pour accéder aux données des bases de données. Les règles de découverte (Editeur de stratégies Type de règle DEM Découverte) sont des règles prêtes à l'emploi qui ne peuvent être ni ajoutées ni modifiées. Si l'option de découverte de la page Serveurs de base de données est activée (Propriétés DEM Serveurs de base de données Activer), le système utilise ces règles pour rechercher les serveurs de base de données qui sont sur le réseau, mais qui ne sont pas répertoriés sous DEM dans l'arborescence de navigation des systèmes. Les règles de suivi des transactions vous permettent de suivre les transactions de base de données et de rapprocher automatiquement les modifications. Exemple : le processus chronophage de suivi des modifications de base de données et de leur rapprochement avec des bons de travail autorisés dans votre système existant de gestion des tickets des modifications peut être entièrement automatisé. Pour bien comprendre l'utilisation de cette fonctionnalité, voici un exemple : L'administrateur de base de données (DBA) exécute la procédure stockée de marqueur de début (spchangecontrolstart dans cet exemple) dans la base de données où le travail sera exécuté avant de commencer réellement le travail autorisé. La fonctionnalité Suivi des transactions de DEM permet au DBA d'inclure jusqu'à trois paramètres facultatifs de type chaîne en tant qu'arguments du marqueur, dans la séquence correcte : 1 ID 2 Nom ou initiales DBA 3 Commentaire Exemple : spchangecontrolstart '12345', 'mshakir', 'reindexing app' Si DEM observe la procédure spchangecontrolstart en cours d'exécution, il consigne non seulement la transaction, mais également les paramètres (ID, Nom, Commentaire) en tant qu'informations spéciales. Une fois le travail terminé, DBA exécute la procédure stockée de marqueur de fin (spchangecontrolend) et inclut éventuellement un paramètre IP qui doit être identique à celui contenu dans le marqueur de début. Si le DEM observe le marqueur de fin (et l'id), il peut associer toute l'activité produite entre le marqueur de début (qui a le même ID) et le marqueur de fin en tant que transaction spéciale. Maintenant vous pouvez générer un rapport par transactions ou effectuer des recherches par ID, qui peut représenter le numéro de contrôle des modifications dans cet exemple de rapprochement des bons de travail. Vous pouvez également utiliser le suivi des transactions pour consigner le début et la fin d'une exécution commerciale, voire les instructions de début et de validation pour générer des rapports par transactions et non par requêtes. 338 McAfee Enterprise Security Manager Guide Produit

339 Gestion des stratégies et des règles Types de règle et propriétés correspondantes 10 Références métriques des règles DEM Voici la liste des références métriques des expressions de règle DEM qui sont disponibles dans la page Composant d'expression lorsque vous ajoutez une règle DEM. Nom Définition Types de base de données Nom de l'application Nom qui identifie le type de base de données auquel s'applique la règle. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PIServer, InterSystems Caché Heure de début Démarre l'horodatage de la requête. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Caché Déformation d'heure de début Capture les déformations de l'heure de l'horloge du serveur. MSSQL, Oracle, DB2, Sybase, MySQL, PostgreSQL, Teradata, PIServer, InterSystems Caché IP du client Adresse IP du client. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Caché Nom du client Nom de l'ordinateur client. MSSQL, Oracle, DB2, Sybase, Informix, PIServer, InterSystems Caché PID de client ID de processus affecté par le système d'exploitation au processus client. MSSQL, DB2, Sybase, MySQL Port de client Numéro de port de la connexion du socket client. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Caché Nom de la commande Nom de la commande MySQL. MSSQL, Oracle, DB2, Sybase, Informix Type de commande Type de commande MySQL : DDL, DML, Show ou Replication. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Caché Données entrantes Nombre total d'octets dans le paquet de requêtes entrant. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Caché Données sortantes Nombre total d'octets dans les paquets de résultats sortants. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Caché McAfee Enterprise Security Manager Guide Produit 339

340 10 Gestion des stratégies et des règles Types de règle et propriétés correspondantes Nom Définition Types de base de données Nom de la base de données Nom de la base de données à laquelle vous accédez. MSSQL, DB2, Sybase, MySQL, Informix, PostgreSQL, PIServer, InterSystems Caché Heure de fin Fin de l'exécution de la requête d'horodatage. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Caché Message d'erreur Numéro de message Gravité du message Contient le texte du message associé aux variables SQLCODE et SQLSTATE de la structure de données SQLCA (SQL Communication Area) qui fournit des informations sur la réussite ou l'échec des instructions SQL demandées. Numéro de message unique affecté par le serveur de base de données à chaque erreur. Numéro de niveau de gravité compris entre 10 et 24, qui indique le type et la gravité du problème. DB2, Informix MSSQL, Oracle, Sybase, MySQL, Informix, PostgreSQL, Teradata, InterSystems Caché MSSQL, Sybase, Informix Texte du message Texte complet du message. MSSQL, Oracle, Sybase, MySQL, Informix, PostgreSQL, Teradata, InterSystems Caché Heure du réseau Nom du client NT Nom de domaine NT Nom de l'utilisateur NT Nom de l'objet Nom de l'utilisateur OSS Nom du package Temps pris pour renvoyer l'ensemble de résultats au client (response_time - server_response_time). Nom de l'ordinateur Windows à partir duquel l'utilisateur est connecté. Nom du domaine Windows à partir duquel l'utilisateur est connecté. Nom de connexion de l'utilisateur Windows. Un package contient les structures de contrôle utilisées pour exécuter des instructions SQL. Les packages sont produits pendant la préparation du programme et créés à l'aide de la sous-commande BIND PACKAGE de DB2. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Caché MSSQL MSSQL MSSQL MSSQL, Oracle, DB2, Sybase, MySQL, Informix Oracle DB2 340 McAfee Enterprise Security Manager Guide Produit

341 Gestion des stratégies et des règles Types de règle et propriétés correspondantes 10 Nom Définition Types de base de données Paquets entrants Nombre de paquets comprenant la requête. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Caché Paquets sortants Mot de passe Longueur du mot de passe Taille du bloc de requêtes Statut de sortie de requête Numéro de requête Nombre de paquets comprenant l'ensemble de résultats retourné. Le bloc de requêtes est l'unité de base de transmission des données de requête et d'ensemble de résultats. La spécification de la taille du bloc de requêtes permet au demandeur, qui peut être soumis à des contraintes de ressource, de contrôler la quantité des données retournées simultanément. Statut de sortie d'une requête. Numéro unique affecté à chaque requête par l'agent de surveillance AuditProbe, qui commence à zéro pour la première requête et qui est incrémenté d'un chiffre à la fois. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Caché MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, InterSystems Caché MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, InterSystems Caché DB2, Informix MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, InterSystems Caché MSSQL, Oracle, DB2, Sybase, MySQL, PostgreSQL, Teradata, PIServer, InterSystems Caché Texte de la requête Requête SQL réelle envoyée par le client. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Caché Type de requête Nombre entier affecté aux différents types de requête. MSSQL, Oracle, Sybase Nom de l'utilisateur réel Contenu de la réponse Temps de réponse Nom de connexion de l'utilisateur du client. Temps de réponse de bout en bout de la requête (server_response_time + network_time). MSSQL, Oracle, DB2, Sybase, MySQL, Informix MSSQL, Oracle, Sybase, MySQL, Informix, PostgreSQL, Teradata, InterSystems Caché McAfee Enterprise Security Manager Guide Produit 341

342 10 Gestion des stratégies et des règles Types de règle et propriétés correspondantes Nom Définition Types de base de données Lignes retournées Indicateur de sécurité Mécanisme de sécurité Nombre de lignes contenues dans l'ensemble de résultats retourné. Indicateur métrique de sécurité dont la valeur est définie sur 1 (APPROUVÉ) ou 2 (NON APPROUVÉ) si les critères du fichier de stratégie d'accès spécifiés par l'administrateur sont remplis. La valeur 3 indique que ces critères ne sont pas remplis. La valeur 0 indique que la surveillance de sécurité n'a pas été activée. Mécanisme de sécurité utilisé pour valider l'identité de l'utilisateur (par exemple ID d'utilisateur et mot de passe). MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Caché MSSQL, Oracle, DB2, Sybase, MYSQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems IP du serveur Adresse IP de l'hôte serveur de base de données. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, InterSystems Caché DB2 Nom du serveur Nom du serveur. Par défaut, le nom d'hôte est affecté en tant que nom du serveur. MSSQL, Oracle, DB2, Sybase, Informix, PIServer, InterSystems Caché Port de serveur Numéro de port du serveur. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, InterSystems Caché Temps de réponse du serveur Code de gravité Réponse initiale du serveur de base de données à la requête du client. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Caché DB2 SID Identificateur du système Oracle. Oracle, Informix, PostgreSQL, Teradata, PIServer, InterSystems Caché ID du profil de service ID du processus système de base de données affecté à chaque connexion/session unique. MSSQL, Sybase 342 McAfee Enterprise Security Manager Guide Produit

343 Gestion des stratégies et des règles Types de règle et propriétés correspondantes 10 Nom Définition Types de base de données Code SQL Lors de l'exécution d'une instruction SQL, le client reçoit une variable SQLCODE qui est en fait un code de retour qui fournit des informations supplémentaires propres à DB2 sur une erreur ou un avertissement SQL : SQLCODE EQ 0 indique la réussite de l'exécution. SQLCODE GT 0 indique la réussite de l'exécution avec un avertissement. SQLCODE LT 0 indique l'échec de l'exécution. SQLCODE EQ 100 indique qu'aucune donnée n'a été trouvée. La signification des variables SQLCODE autres que 0 et 100 varie en fonction du produit particulier implémentant SQL. Commande SQL Etat SQL Type de commande SQL. DB2 SQLSTATE est un code de retour supplémentaire qui fournit des programmes avec des codes de retour communs pour les conditions d'erreur communes des systèmes de base de données relationnelle IBM. DB2 Nom de l'utilisateur Nom de connexion de l'utilisateur de base de données. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Caché Règles de corrélation L'objectif fondamental du moteur de corrélation est d'analyser les flux de données d'esm, de détecter les modèles intéressants dans le flux de données, de générer des alertes qui représentent ces modèles, et de les insérer dans la base de données d'alerte du récepteur. Ce moteur est activé lorsqu'une source de données de corrélation est configurée. Au sein du moteur de corrélation, un modèle intéressant entraîne l'interprétation des données par une règle de corrélation. Une règle de ce type est totalement distincte d'une règle de pare-feu ou standard ; elle est également pourvue d'un attribut qui spécifie son comportement. Chaque récepteur reçoit un jeu de règles de corrélation d'un ESM (jeu de règles de corrélation déployé), qui est composé de zéro ou plusieurs règles de corrélation pourvues de valeurs de paramètre définies par l'utilisateur. A l'instar des jeux de règles de pare-feu et standard, un jeu de règles de corrélation de base est inclus dans tout ESM (jeu de règles de corrélation de base), et les mises à jour de ce jeu de règles sont déployées sur les équipements ESM à partir du serveur de mise à jour des règles. Les règles incluses sur le serveur de mise à jour des règles comprennent des valeurs par défaut. Si vous mettez à jour le jeu de règles du moteur de corrélation de base, vous devez personnaliser ces valeurs par défaut afin qu'elles représentent correctement votre réseau. Si vous déployez ces règles sans modifier les valeurs par défaut, elles peuvent générer des faux positifs ou des faux négatifs. Une seule source de données de corrélation peut être configurée par récepteur, d'une façon similaire à la configuration de Syslog ou OPSEC. Une fois la source de données de corrélation configurée, vous pouvez modifier le jeu de règles de corrélation de base pour créer le jeu de règles de corrélation déployé à l'aide de l'editeur de règles de corrélation. Vous êtes autorisé à activer ou à désactiver chaque règle de corrélation et à définir la valeur des paramètres définissables par l'utilisateur de chaque règle. McAfee Enterprise Security Manager Guide Produit 343

344 10 Gestion des stratégies et des règles Types de règle et propriétés correspondantes En plus d'activer ou de désactiver les règles de corrélation de base, l'editeur de règles de corrélation vous permet de créer des règles personnalisées et des composants de corrélation personnalisés qui peuvent être ajoutés aux règles de corrélation. Affichage des détails des règles de corrélation Maintenant vous pouvez consulter les détails relatifs à la cause du déclenchement des règles de corrélation. Ces informations peuvent vous êtes utiles pour effectuer les réglages destinés à éviter les faux positifs. Les détails sont toujours collectés lors de la demande sur l'interface utilisateur. Toutefois, pour les règles qui utilisent des listes de valeurs dynamiques ou d'autres valeurs susceptibles d'être fréquemment modifiées, vous pouvez définir ces règles de façon à obtenir les détails immédiatement après le déclenchement. Cela permet de réduire le risque d'inaccessibilité aux détails. 1 Définissez chaque règle pour afficher les détails immédiatement : a Sur la console ESM, cliquez sur l'icône de lancement rapide Corrélation. L'Editeur de stratégies s'ouvre, dans lequel le type de règle Corrélation est sélectionné. b Cliquez sur la colonne Détails de la règle et sélectionnez Activé. Vous pouvez sélectionner plusieurs règles en même temps. 2 Affichez les détails : a Dans l'arborescence de navigation des systèmes, cliquez sur Corrélation des règles, sous l'équipement ACE. b c Dans la liste des vues, sélectionnez Vues des événements Analyse d'événement, puis cliquez sur l'événement que vous souhaitez afficher. Cliquez sur l'onglet Détails de la corrélation pour afficher les détails. Ajout de règles ADM, de base de données ou de corrélation personnalisées Si vous pouvez utiliser des règles ADM, de base de données ou de corrélation prédéfinies, vous pouvez également créer des règles complexes à l'aide des expressions logiques et régulières. Les éditeurs que vous utilisez pour ajouter ces différents types de règle sont très proches et sont donc décrits dans les mêmes sections. 1 Dans le panneau Types de règle de l'editeur de stratégies, sélectionnez ADM, DEM Base de donnéesou Corrélation. 2 Cliquez sur Nouveau, puis sélectionnez le type de règle que vous souhaitez ajouter. 3 Entrez les informations demandées, puis effectuez un glisser-déplacer des éléments logiques et des composants d'expression depuis la barre d'outils vers la zone Logique d'expression afin de créer la logique de la règle. 4 Cliquez sur OK. 344 McAfee Enterprise Security Manager Guide Produit

345 Gestion des stratégies et des règles Types de règle et propriétés correspondantes 10 s Ajout de paramètres à une règle ou un composant de corrélation, page 346 Les paramètres d'une règle ou d'un composant de corrélation contrôlent le comportement de la règle ou du composant lors de son exécution. Ils ne sont pas obligatoires. Ajout ou modification d'une règle d'accès aux données, page 349 Les stratégies d'accès aux données DEM permettent de suivre les chemins d'accès inconnus dans la base de données et d'envoyer des événements en temps réel. Ajout ou modification d'une règle de suivi des transactions, page 349 Les règles de suivi des transactions effectuent le suivi des transactions de base de données et le rapprochement automatique des modifications. Elles permettent également de consigner le début et la fin de l'exécution des transactions, ou de démarrer et valider les instructions pour la génération de rapports par transactions au lieu d'utiliser des requêtes. Gestion des règles ADM, DEM ou de corrélation personnalisées, page 349 Copiez une règle prédéfinie et utilisez-la comme modèle de règle personnalisée. Si vous ajoutez une règle personnalisée, vous pouvez modifier ses paramètres, la copier et la coller pour l'utiliser comme modèle d'une nouvelle règle personnalisée ou la supprimer. Configuration d'une règle et d'un rapport pour les pistes d'audit de base de données, page 350 Le rapport Pistes d'audit de l'utilisateur privilégié vous permet d'afficher la piste d'audit des modifications apportées à la base de données ou de suivre l'accès à une base de données ou à une table associée à un événement de base de données spécifique. Eléments logiques Lorsque vous ajoutez une règle ADM, de base de données et de corrélation ou un composant de corrélation, vous devez créer la fonctionnalité centrale de la règle en faisant glisser les éléments logiques vers la zone Logique d'expression ou Logique de corrélation. Les éléments logiques définissent la structure de la règle. Elément Description AND Fonctionne de la même façon qu'un opérateur logique d'un langage informatique. Tous les éléments groupés au-dessous de cet élément logique doivent être vrais pour que la condition le soit. Utilisez cette option si vous souhaitez que toutes les conditions inscrites au-dessous de cet élément logique soient remplies avant le déclenchement d'une règle. OR SET Fonctionne de la même façon qu'un opérateur logique d'un langage informatique. Une seule condition groupée au-dessous de cet élément doit être vraie pour que cette condition le soit. Utilisez cet élément si vous souhaitez qu'une seule condition soit remplie avant le déclenchement de la règle. Dans le cas des règles ou des composants de corrélation, cet élément vous permet de définir plusieurs conditions et de sélectionner le nombre d'entre elles qui doivent être vraies pour que la règle soit déclenchée. Exemple : si l'élément SET contient trois conditions, dont deux doivent être remplies avant le déclenchement de la règle, l'élément SET indique «2 sur 3». Chacun de ces éléments dispose d'un menu comportant au moins deux de ces options : McAfee Enterprise Security Manager Guide Produit 345

346 10 Gestion des stratégies et des règles Types de règle et propriétés correspondantes modifier : vous pouvez modifier les paramètres par défaut (consultez la section Modification des paramètres par défaut des éléments logiques). supprimer l'élément logique : vous pouvez supprimer l'élément logique sélectionné. S'il dispose d'enfants, ces derniers ne sont pas supprimés, mais remontés dans la hiérarchie. Cela ne s'applique pas à l'élément racine (le premier de la hiérarchie). Si vous le supprimez, tous les enfants sont également supprimés. supprimer l'élément logique et tous ses enfants : vous pouvez supprimer l'élément sélectionné et tous ses enfants de la hiérarchie. Lorsque vous configurez la logique de la règle, vous devez ajouter des composants afin de définir ses conditions. Dans le cas des règles de corrélation, vous pouvez également ajouter des paramètres pour contrôler le comportement de la règle ou du composant lors de son exécution. Modification des paramètres par défaut des éléments logiques Les éléments logiques AND, OR et SET sont pourvus de paramètres par défaut, qui peuvent être modifiés dans la page Modifier l'élément logique. 1 Dans l'editeur de règles, effectuez un glisser-déplacer d'un élément logique dans la zone Logique d'expression ou Logique de corrélation. 2 Cliquez sur l'icône Menu Modifier. correspondant à l'élément que vous souhaitez modifier, puis cliquez sur 3 Modifiez les paramètres, puis cliquez sur OK. Ajout de paramètres à une règle ou un composant de corrélation Les paramètres d'une règle ou d'un composant de corrélation contrôlent le comportement de la règle ou du composant lors de son exécution. Ils ne sont pas obligatoires. 1 Dans les pages Règle de corrélation ou Composant de corrélation, cliquez sur Paramètres. 2 Cliquez sur Ajouter, puis entrez le nom du paramètre. 3 Sélectionnez le type de paramètre souhaité, puis sélectionnez ou désélectionnez les valeurs. Les valeurs Liste et Intervalle ne peuvent pas être utilisées simultanément. Une valeur de type liste ne peut pas inclure d'intervalle (1 6 8, 10, 13). Son écriture correcte est la suivante : 1, 2, 3, 4, 5, 6, 8, 10, Pour sélectionner la valeur par défaut du paramètre, cliquez sur l'icône Editeur de valeurs par défaut. 5 Si vous ne souhaitez pas que le paramètre soit visible en externe, désélectionnez Visible en externe. Le paramètre est associé à l'étendue de la règle. 6 Tapez une description de ce paramètre pour qu'il s'affiche dans la zone de texte Description de la page Paramètres de règles lors de son surlignage. 7 Cliquez sur OK, puis sur Fermer. 346 McAfee Enterprise Security Manager Guide Produit

347 Gestion des stratégies et des règles Types de règle et propriétés correspondantes 10 Exemple de règle ou de composant de corrélation personnalisés Ajoutez une règle ou un composant de corrélation. La règle que nous allons ajouter dans cet exemple génère une alerte lorsque ESM détecte cinq tentatives de connexion en échec d'une source unique d'un système Windows, suivies d'une connexion réussie, le tout dans un délai de 10 minutes. 1 Dans le panneau Types de règle de l'editeur de stratégies, cliquez sur Corrélation. 2 Cliquez sur Nouveau, puis sélectionnez Règle de corrélation. 3 Entrez un nom descriptif, puis sélectionnez le paramètre de gravité. Comme un événement généré par cette règle peut indiquer qu'une personne non autorisée a accédé au système, le paramètre de gravité approprié est Sélectionnez l'id de normalisation, qui peut être Authentification ou Authentification Connexion, puis effectuez un glisser-déplacer de l'élément logique AND. Sélectionnez AND, car deux types d'action doivent se produire (tentatives de connexion en premier lieu, puis connexion réussie). 5 Cliquez sur l'icône Menu, puis sélectionnez Modifier. 6 Sélectionnez Séquence pour indiquer que les actions (en premier lieu, cinq tentatives de connexion en échec, et en second lieu une connexion réussie) doivent se produire séquentiellement, puis définissez le nombre de d'occurrences requis pour cette séquence, à savoir «1». 7 Définissez la période au cours de laquelle les actions doivent se produire, puis cliquez sur OK. Etant donné que deux actions requièrent des fenêtres de temps, la période de 10 minutes doit être répartie entre les deux. Dans cet exemple, la période de chaque action correspond à cinq minutes. Une fois que les tentatives en échec se sont produites dans les cinq minutes, le système commence à rechercher une connexion réussie de la même source IP au cours des cinq minutes suivantes. 8 Dans le champ Grouper par, cliquez sur l'icône, déplacez l'option IP source de gauche à droite en indiquant que toutes les actions doivent provenir de la même adresse IP source, puis cliquez sur OK. 9 Définissez la logique de cette règle ou de ce composant. McAfee Enterprise Security Manager Guide Produit 347

348 10 Gestion des stratégies et des règles Types de règle et propriétés correspondantes Pour... Spécifier le type de filtre qui identifie les événements qui vous intéressent (dans ce cas, plusieurs tentatives de connexion en échec dans un système Windows). Procédez ainsi... 1 Faites glisser l'icône Filtre et déplacez-la sur l'élément logique AND. 2 Dans la page Composant des champs de filtre, cliquez sur Ajouter. 3 Sélectionnez Règle de normalisation Dans, puis : Normalisation Authentification Connexion Connexion hôte Plusieurs tentatives de connexion en échec sur un hôte Windows 4 Cliquez sur OK. Définir le nombre d'échecs de connexion et la période au cours de laquelle ils doivent se produire. 1 Effectuez un glisser-déplacer de l'élément logique AND vers la barre Filtre. L'élément AND est utilisé, car cinq tentatives distinctes doivent se produire. L'élément vous permet de définir le nombre d'occurrences et la période pendant laquelle elles doivent se produire. 2 Cliquez sur l'icône Menu de l'élément AND que vous venez d'ajouter, puis cliquez sur Modifier. 3 Dans le champ Seuil, entrez 5 et supprimez les autres valeurs présentes. 4 Définissez le champ Fenêtre de temps sur 5. 5 Cliquez sur OK. Définir le second type de filtre qui doit se produire, qui correspond à la connexion réussie. 1 Effectuez un glisser-déplacer de l'icône Filtre vers la base inférieure du premier crochet de l'élément logique AND. 2 Dans la page Faire concorder le composant, cliquez sur Ajouter. 3 Dans les champs, sélectionnez Règle de normalisation Dans, puis sélectionnez : Normalisation Authentification Connexion Connexion hôte 4 Cliquez sur OK pour retourner dans la page Faire concorder le composant. 5 Pour définir la réussite, cliquez sur Ajouter, sélectionnez Sous-type d'événement Dans, puis cliquez sur l'icône Variables et cliquez sur Sous-type d'événement opération réussie Ajouter. 6 Cliquez sur OK pour retourner dans l'editeur de stratégies. La nouvelle règle est ajoutée à la liste des règles de corrélation dans l'editeur de stratégies. 348 McAfee Enterprise Security Manager Guide Produit

349 Gestion des stratégies et des règles Types de règle et propriétés correspondantes 10 Ajout ou modification d'une règle d'accès aux données Les stratégies d'accès aux données DEM permettent de suivre les chemins d'accès inconnus dans la base de données et d'envoyer des événements en temps réel. Les violations courantes dans les environnements de base de données, par exemple des développeurs d'applications accédant aux systèmes de production à l'aide d'id de connexion d'application, peuvent être facilement suivies lors de la création de stratégies d'accès aux données appropriées. 1 Dans le panneau Types de règle de l'editeur de stratégies, sélectionnez DEM Accès aux données. 2 Effectuez l'une des actions suivantes : Pour ajouter une nouvelle règle, sélectionnez Nouveau, puis cliquez sur Règle d'accès aux données. Pour modifier une règle, sélectionnez-la dans le volet Affichage des règles, puis cliquez sur Modifier Modifier. 3 Renseignez les informations demandées, puis cliquez sur OK. Ajout ou modification d'une règle de suivi des transactions Les règles de suivi des transactions effectuent le suivi des transactions de base de données et le rapprochement automatique des modifications. Elles permettent également de consigner le début et la fin de l'exécution des transactions, ou de démarrer et valider les instructions pour la génération de rapports par transactions au lieu d'utiliser des requêtes. 1 Dans l'editeur de stratégies, sélectionnez DEM Suivi des transactions. 2 Effectuez l'une des actions suivantes : Pour ajouter une nouvelle règle, cliquez sur Nouveau, puis sur Règle de suivi des transactions. Pour modifier une règle, sélectionnez-la dans le volet d'affichage des règles, puis cliquez sur Modifier Modifier. 3 Renseignez les informations demandées, puis cliquez sur OK. Gestion des règles ADM, DEM ou de corrélation personnalisées Copiez une règle prédéfinie et utilisez-la comme modèle de règle personnalisée. Si vous ajoutez une règle personnalisée, vous pouvez modifier ses paramètres, la copier et la coller pour l'utiliser comme modèle d'une nouvelle règle personnalisée ou la supprimer. 1 Dans l'editeur de stratégies, sélectionnez ADM ou DEM Base de données, Accès aux données ou Suivi des transactions. 2 Effectuez l'une des actions suivantes : McAfee Enterprise Security Manager Guide Produit 349

350 10 Gestion des stratégies et des règles Types de règle et propriétés correspondantes Pour... Afficher toutes les règles ADM ou DEM personnalisées Procédez ainsi... 1 Cliquez sur l'onglet Filtre dans le volet Filtres/Marquage. 2 Cliquez sur la barre Avancé en bas du volet. 3 Dans le champ Origine, sélectionnez défini par l'utilisateur. 4 Cliquez sur Exécuter une requête. Les règles personnalisées du type que vous sélectionnez sont répertoriées dans le panneau d'affichage des règles. Copier et coller une règle 1 Sélectionnez une règle prédéfinie ou personnalisée. 2 Cliquez sur Modifier Copier 3 Cliquez sur Modifier Coller. La règle que vous avez copiée est ajoutée à la liste des règles existantes, avec le même nom. 4 Pour modifier le nom, cliquez sur Modifier Modifier. Modifier une règle personnalisée Supprimer une règle personnalisée 1 Sélectionnez la règle personnalisée. 2 Cliquez sur Modifier Modifier. 1 Sélectionnez la règle personnalisée. 2 Cliquez sur Modifier Supprimer. Configuration d'une règle et d'un rapport pour les pistes d'audit de base de données Le rapport Pistes d'audit de l'utilisateur privilégié vous permet d'afficher la piste d'audit des modifications apportées à la base de données ou de suivre l'accès à une base de données ou à une table associée à un événement de base de données spécifique. Après que vous avez configuré les paramètres afin de générer ce rapport, vous recevez les notifications de rapport de conformité qui affichent la piste d'audit associée à chaque événement. Pour générer les événements de piste d'audit, vous devez ajouter une règle Accès aux données ainsi que le rapport Pistes d'audit de l'utilisateur privilégié. 1 Dans le volet Types de règle de l'editeur de stratégies, sélectionnez DEM Accès aux données. 2 Surlignez DEM - Modèle de règle - Utilisation approuvée de l'accès à partir de l'intervalle IP dans le panneau Affichage des règles. 3 Cliquez sur Modifier Copier, puis sur Modifier Coller. 4 Modifiez le nom et les propriétés de la nouvelle règle. a Surlignez la nouvelle règle, puis sélectionnez Modifier Modifier. b c Entrez le nom de la règle, puis tapez le nom de l'utilisateur. Sélectionnez le type d'action Non approuvé, puis cliquez sur OK. 5 Cliquez sur l'icône Déploiement. 350 McAfee Enterprise Security Manager Guide Produit

351 Gestion des stratégies et des règles Types de règle et propriétés correspondantes 10 6 Configurez le rapport : a Dans Propriétés du système, cliquez sur Rapports Ajouter. b Remplissez les sections 1 à 3 et 6. c d e Dans la section 4, sélectionnez Rapport PDF ou Rapport HTML. Dans la section 5, sélectionnez Conformité SOX Pistes d'audit de l'utilisateur privilégié (base de données). Cliquez sur Enregistrer. 7 Pour générer le rapport, cliquez sur Exécuter maintenant. Règles ESM Les règles ESM permettent de générer des événements associés à ESM. Toutes les règles de ce type sont définies par McAfee. Elles permettent de générer des rapports de conformité ou d'audit qui indiquent ce qui s'est produit dans ESM. Vous ne pouvez pas les ajouter, les modifier ou les supprimer, mais vous pouvez en modifier les paramètres de propriété (consultez la section Types de règle et propriétés correspondantes). Normalisation Les règles sont nommées et décrites par chaque fournisseur. Par conséquent, un même type de règle est souvent nommé de différentes manières, ce qui ne facilite pas le regroupement des informations relatives aux types des événements qui se produisent. McAfee a établi et met à jour régulièrement la liste des identificateurs normalisés qui décrivent les règles afin de faciliter le classement des événements dans des catégories pratiques. Lorsque vous cliquez sur Normalisation dans le volet Types de règle de l'editeur de stratégies, ces identificateurs, noms et descriptions s'affichent. Les fonctionnalités suivantes permettent d'organiser les informations relatives aux événements à l'aide d'identificateurs normalisés : Champs des composants de vues : l'option Synthèse d'événements normalisés est disponible lors de la définition des champs d'une requête d'événement dans les composants de type graphique à secteurs, graphique à barres et liste (consultez la section Gestion des requêtes). Filtres des composants des vues : lorsque vous créez une vue, vous pouvez filtrer les données d'événement sur un composant en fonction des identificateurs normalisés (consultez la section Gestion des requêtes). Filtres de vue : ID normalisé est une option disponible dans la liste des filtres de vue (consultez la section Filtrage des vues). Liste de vues : l'option Synthèse d'événements normalisés est disponible dans la liste des Vues des événements. L'onglet Détails de la vue Analyse d'événement répertorie les ID de normalisation des événements présents dans la liste. Lorsque vous ajoutez des filtres ID normalisé à une nouvelle vue ou à une vue existante, vous pouvez effectuer les actions suivantes : McAfee Enterprise Security Manager Guide Produit 351

352 10 Gestion des stratégies et des règles Paramètres de stratégie par défaut Filtrer un dossier de premier niveau en fonction de tous les ID normalisés. Un masque (/5 pour un dossier de premier niveau) est inclus à la fin de l'id pour indiquer que les événements seront également filtrés en fonction des ID enfants du dossier sélectionné. Filtrer en fonction des ID dans un dossier de deuxième ou troisième niveau. Un masque (/12 pour un dossier de deuxième niveau, /18 pour un dossier de troisième niveau) est inclus à la fin de l'id pour indiquer que les événements seront également filtrés en fonction des ID enfants du dossier sélectionné. Le quatrième niveau ne comporte pas de masque. Filtrer en fonction d'un seul ID. Filtrer en fonction de plusieurs dossiers ou ID en même temps en utilisant les touches Ctrl ou Maj pour les sélectionner. Activation de l'option Copier le paquet Lorsque l'option Copier le paquet est activée pour une règle, les données du paquet sont copiées sur l'esm. Si cette option est activée, les données du paquet sont incluses aux données d'événement source d'une alarme Concordance d'événement interne ou Concordance de champ. 1 Sur la console ESM, cliquez sur l'icône Editeur de stratégies. 2 Dans le volet Types de règle, cliquez sur le type de règle souhaité et recherchez la règle dans le volet d'affichage des règles. 3 Cliquez sur le paramètre actuel dans la colonne Copier le paquet, qui est désactivé par défaut, puis cliquez sur activer. Paramètres de stratégie par défaut Vous pouvez configurer la stratégie par défaut à utiliser en mode Alertes uniquement ou Surabonnement. Vous pouvez également afficher le statut des mises à jour de règles et initier une mise à jour. Mode Alertes uniquement Des stratégies peuvent être appliquées aux équipements Nitro IPS et virtuels en Mode Alertes uniquement. Si la fonctionnalité Mode Alertes uniquement est activée, toutes les règles activées sont envoyées vers les équipements avec une utilisation des alertes même si elles sont définies sur une action de blocage, par exemple Supprimer. Lors de l'affichage des événements générés, la colonne Sous-type d'événement indique l'action en tant qu'alerte, suivie de l'action entreprise si le mode était autre que le Mode Alertes uniquement, par exemple Alerte-Supprimer. Cela est utile aux administrateurs système qui connaissent toujours bien leurs modèles de trafic réseau, ce qui leur permet d'analyser les événements générés sans bloquer activement tous les événements, mais en observant l'action entreprise lorsque le Mode Alertes uniquement est désactivé. L'activation du Mode Alertes uniquement ne modifie pas les paramètres d'utilisation des règles individuelles dans l'editeur de stratégies. Exemple : si ce mode est activé, une règle peut être envoyée vers l'équipement Nitro IPS ou virtuel avec une utilisation des alertes même si son utilisation dans l'editeur de stratégies est définie sur Supprimer (à l'exception d'un jeu de règles défini sur Transmettre, qui reste dans ce mode). Cela vous permet d'activer et de désactiver facilement la fonctionnalité Mode Alertes uniquement 352 McAfee Enterprise Security Manager Guide Produit

353 Gestion des stratégies et des règles Paramètres de stratégie par défaut 10 sans affecter par ailleurs vos paramètres de stratégie. La fonctionnalité Mode Alertes uniquement n'affecte pas les règles désactivées. Les règles ne sont jamais envoyées vers les équipements lorsqu'elles sont définies sur Désactiver. Activation du mode Alertes uniquement Si vous souhaitez que toutes les règles activées soient envoyées vers les équipements avec une utilisation des alertes, vous devez activer la fonctionnalité Mode Alertes uniquement. Comme l'héritage s'applique à ce paramètre, le paramètre de cette stratégie remplace la valeur dont il hériterait autrement. 1 Dans l'editeur de stratégies, cliquez sur l'icône Paramètres. 2 Dans le champ Mode Alertes uniquement, sélectionnez Activé. Configuration du mode Surabonnement Le Mode Surabonnement définit la manière de traiter les paquets en cas de dépassement de la capacité de l'équipement. Dans chaque cas, le paquet est enregistré en tant qu'événement. 1 Dans l'editeur de stratégies, cliquez sur l'icône Paramètres. 2 Dans le champ Mode Surabonnement, cliquez sur Mettre à jour. 3 Dans le champ Valeur, entrez la fonctionnalité. a L'option Transmettre (pass ou 1) permet de transmettre sans effectuer d'analyse les paquets qui seraient rejetés par une analyse. b c L'option Abandonner (drop ou 0) rejette les paquets qui dépassent la capacité de l'équipement. Pour transmettre ou abandonner un paquet sans générer d'événement, entrez spass ou sdrop. 4 Cliquez sur OK. Depuis la version 8.1.0, la modification du Mode Surabonnement affecte l'équipement et ses enfants (équipements virtuels). Pour que cette modification soit appliquée, vous devez changer le mode sur l'équipement parent. Affichage du statut de mise à jour des stratégies des équipements Afficher la synthèse du statut des mises à jour des stratégies de tous les équipements de l'esm. Cela permet de savoir quand vous devez déployer les mises à jour sur votre système. McAfee Enterprise Security Manager Guide Produit 353

354 10 Gestion des stratégies et des règles Opérations sur les règles 1 Dans l'editeur de stratégies, cliquez sur l'icône Paramètres. 2 Le champ Statut indique le nombre d'équipements qui sont à jour, qui ne sont pas à jour et pour lesquels un déploiement automatique est planifié. 3 Cliquez sur Fermer. Opérations sur les règles Vous pouvez effectuer différentes opérations sur les règles pour les gérer et générer les informations requises. Gestion des règles Vous pouvez afficher, copier et coller les règles ADM, DEM, Inspection approfondie des paquets, Analyseur syntaxique de fichiers Syslog avancé et Corrélation. Vous pouvez modifier ou supprimer ces types de règles personnalisées. Vous pouvez modifier les règles standard, mais vous devez les enregistrer en tant que nouvelle règle personnalisée. 1 Dans le volet Types de règle de l'editeur de stratégies, sélectionnez le type de règle que vous souhaitez utiliser. 2 Effectuez l'une des actions suivantes : Pour... Afficher les règles personnalisées Procédez ainsi... 1 Cliquez sur l'onglet Filtre dans le volet Filtres/Marquage. 2 Au bas du volet, cliquez sur la barre Avancé. 3 Dans le champ Origine, sélectionnez défini par l'utilisateur, puis cliquez sur Exécuter une requête. Copier et coller une règle 1 Sélectionnez une règle prédéfinie ou personnalisée. 2 Sélectionnez Modifier Copier, puis sélectionnez Modifier Coller. La règle que vous avez copiée est ajoutée à la liste des règles existantes, avec le même nom. 3 Pour changer son nom, sélectionnez Modifier Modifier. 354 McAfee Enterprise Security Manager Guide Produit

355 Gestion des stratégies et des règles Opérations sur les règles 10 Pour... Modifier une règle Procédez ainsi... 1 Sélectionnez la règle que vous souhaitez afficher, puis sélectionnez Modifier Modifier. 2 Modifiez les paramètres, puis cliquez sur OK. S'il s'agit d'une règle personnalisée, elle est enregistrée avec les modifications. S'il s'agit d'une règle standard, vous êtes invité à enregistrer les modifications en tant que nouvelle règle personnalisée. Cliquez sur Oui. Si vous n'avez pas modifié le nom de la règle, celle-ci est enregistrée avec le même nom et un autre ID de signature (SigID). Pour modifier le nom, sélectionnez la règle, puis sélectionnez Modifier Modifier. Supprimer une règle personnalisée Sélectionnez la règle personnalisée. Sélectionnez Modifier Supprimer. Importation de règles Vous pouvez importer un ensemble de règles préalablement exporté d'un autre ESM et l'enregistrer sur votre ESM. 1 Dans le volet Types de règle de l'editeur de stratégies, cliquez sur le type de stratégie ou de règle à importer. 2 Cliquez sur Fichier Importer, puis sélectionnez Règles Vous ne pouvez pas annuler ces modifications, car leur suivi n'est pas effectué. 3 Cliquez sur Importer les règles, puis sélectionnez le fichier à importer et sélectionnez Charger. Le fichier est chargé sur l'esm. 4 Sur la page Importer les règles, sélectionnez l'action à effectuer lorsque l'id des règles importées est identique à celui des règles existantes. 5 Cliquez sur OK pour importer les règles et résoudre les conflits comme indiqué. Le contenu du fichier est vérifié et les options appropriées sont activées ou désactivées, en fonction du contenu du fichier sélectionné. Conflits lors de l'importation des règles de corrélation Lorsque vous exportez des règles de corrélation, un fichier contenant leurs données est créé. Néanmoins, il ne contient pas d'éléments référencés comme les variables, les zones, les listes de surveillance, les types personnalisés et les actifs que cette règle peut utiliser. Si le fichier d'exportation est importé dans un autre ESM, les éléments référencés contenus dans les règles qui n'existent pas dans le système d'importation entraînent un conflit de règles. Exemple : si la règle une référence la variable $abc et qu'aucune variable nommée $abc n'est définie dans le système d'importation, cette condition est un conflit. Les conflits sont consignés, et la règle est marquée comme étant en conflit. Les conflits sont résolus en créant les éléments référencés nécessaires (manuellement ou via une importation le cas échéant) ou en modifiant la règle de corrélation et les références qu'elle contient. McAfee Enterprise Security Manager Guide Produit 355

356 10 Gestion des stratégies et des règles Opérations sur les règles Si des règles sont en conflit, une page s'affiche immédiatement après le processus d'importation pour indiquer les règles qui sont en conflit ou qui ont échoué. Les règles peuvent être modifiées pour résoudre les conflits de cette page, ou la page peut être fermée. Les règles en conflit sont marquées d'une icône de point d'exclamation indiquant leur statut. La modification d'une règle en conflit dans l'editeur de règles présente un bouton de conflit. Cliquez dessus pour afficher les détails du conflit correspondant à cette règle. Importation de variables Vous pouvez importer un fichier de variables et changer leur type. En cas de conflit, la nouvelle variable est automatiquement renommée. Avant de commencer Configurez le fichier à importer. 1 Dans le volet Types de règle de l'editeur de stratégies, cliquez sur Variable. 2 Cliquez sur Fichier Importer Variables, puis recherchez et sélectionnez le fichier de variables et cliquez sur Charger. En cas de conflits ou d'erreurs dans le fichier, la page Importation - Journal des erreurs affiche des informations sur chaque problème. 3 Sur la page Importer une ou plusieurs variables, cliquez sur Modifier pour changer le Type des variables sélectionnées. 4 Cliquez sur OK. Exportation de règles Exporter des règles personnalisées ou toutes les règles d'une stratégie, puis les importer vers un autre ESM. 1 Dans le volet Types de règle de l'editeur de stratégies, cliquez sur le type de règle à exporter. 2 Accédez à la liste des règles personnalisées du type sélectionné : a Dans le volet Filtres/Marquage, vérifiez que l'onglet Filtre est sélectionné. b c d Cliquez sur la barre Avancé en bas du volet. Dans la liste déroulante Origine, sélectionnez défini par l'utilisateur. Cliquez sur l'icône Exécuter une requête. 3 Sélectionnez les règles à exporter, puis cliquez sur Fichier Exporter Règles. 356 McAfee Enterprise Security Manager Guide Produit

357 Gestion des stratégies et des règles Opérations sur les règles 10 4 Sur la page Exporter les règles, sélectionnez le format à utiliser pour exporter les règles. 5 Sur la page Téléchargement, cliquez sur Oui, sélectionnez l'empl