Manual Siem Mcaffe

Guía del producto
McAfee Enterprise Security Manager 9.6.0

COPYRIGHT
© 2016 Intel Corporation
ATRIBUCIONES DE MARCAS COMERCIALES

Intel y el logotipo de Intel son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros países. McAfee y el logotipo de McAfee,
McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat
Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee
TechMaster, McAfee Total Protection, TrustedSource y VirusScan son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus
empresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.
INFORMACIÓN DE LICENCIA
Acuerdo de licencia
AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA
LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO,
CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA
QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN
ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO
ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O
AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO.
2 McAfee Enterprise Security Manager 9.6.0 Guía del producto

Contenido
Prefacio 9
Acerca de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Destinatarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Convenciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Búsqueda de documentación de productos . . . . . . . . . . . . . . . . . . . . . . . 10
Búsqueda de información localizada . . . . . . . . . . . . . . . . . . . . . . . 10
Preguntas más frecuentes . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
1 Introducción 13
Cómo funciona McAfee Enterprise Security Manager . . . . . . . . . . . . . . . . . . . . 13
Los dispositivos y sus funciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Uso de la Ayuda de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Preguntas más frecuentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Búsqueda de información localizada . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2 Primeros pasos 19
Requisitos de hardware y software . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Acerca del modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Información sobre el modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . 21
Selección del modo FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Comprobación de integridad de FIPS . . . . . . . . . . . . . . . . . . . . . . . 22
Adición de un dispositivo con clave aplicada en el modo FIPS . . . . . . . . . . . . . 24
Solución de problemas del modo FIPS . . . . . . . . . . . . . . . . . . . . . . 27
Configuración evaluada según los Criterios comunes . . . . . . . . . . . . . . . . . . . 28
Inicio y cierre de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Personalización de la página de inicio de sesión . . . . . . . . . . . . . . . . . . . . . 30
Actualización del software de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Obtención y adición de credenciales de actualización de reglas . . . . . . . . . . . . . . . 32
Comprobación de la existencia de actualizaciones de reglas . . . . . . . . . . . . . . . . . 32
Cambio de idioma de los registros de eventos . . . . . . . . . . . . . . . . . . . . . . 33
Conexión de los dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Adición de dispositivos a la consola de ESM . . . . . . . . . . . . . . . . . . . . 34
Selección de un tipo de pantalla . . . . . . . . . . . . . . . . . . . . . . . . . 35
Administración de tipos de pantallas personalizadas . . . . . . . . . . . . . . . . . 35
Preferencias de la consola . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
La consola de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Uso del tema de color de la consola . . . . . . . . . . . . . . . . . . . . . . . 38
Selección de las opciones de visualización de la consola . . . . . . . . . . . . . . . 39
Establecimiento del valor de tiempo de espera de la consola . . . . . . . . . . . . . 40
3 Configuración del ESM 41

Administración de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Visualización de información de dispositivo . . . . . . . . . . . . . . . . . . . . 44
Acerca de las claves de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . 48
Actualización del software en un dispositivo . . . . . . . . . . . . . . . . . . . . 54
McAfee Enterprise Security Manager 9.6.0 Guía del producto 3

Contenido
Organización de los dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . 55

Administración de varios dispositivos . . . . . . . . . . . . . . . . . . . . . . . 68
Administración de vínculos de URL para todos los dispositivos . . . . . . . . . . . . . 69
Visualización de informes de resumen de dispositivos . . . . . . . . . . . . . . . . 70
Visualización de un registro de sistema o dispositivo . . . . . . . . . . . . . . . . 71
Informes de estado de mantenimiento de los dispositivos . . . . . . . . . . . . . . 73
Eliminación de un grupo o dispositivo . . . . . . . . . . . . . . . . . . . . . . 76
Actualización de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Configuración de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Configuración de Event Receiver . . . . . . . . . . . . . . . . . . . . . . . . 78
Configuración de Enterprise Log Manager (ELM) . . . . . . . . . . . . . . . . . . 151
Configuración de Advanced Correlation Engine (ACE) . . . . . . . . . . . . . . . . 177
Configuración de Application Data Monitor (ADM) . . . . . . . . . . . . . . . . . 184
Configuración de Database Event Monitor (DEM) . . . . . . . . . . . . . . . . . 201
Configuración del ESM distribuido (DESM) . . . . . . . . . . . . . . . . . . . . 215
Configuración de ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . 216
Configuración de Nitro Intrusion Prevention System (Nitro IPS) . . . . . . . . . . . . 224
Configuración de McAfee Vulnerability Manager . . . . . . . . . . . . . . . . . . 232
Configuración de McAfee Network Security Manager . . . . . . . . . . . . . . . . 233
Configuración de los servicios auxiliares . . . . . . . . . . . . . . . . . . . . . . . . 236
Información general del sistema . . . . . . . . . . . . . . . . . . . . . . . . 236
Opciones de configuración del servidor de Remedy . . . . . . . . . . . . . . . . . 237
Detención de la actualización automática del Árbol de sistemas de ESM . . . . . . . . 238
Definición de la configuración de los mensajes . . . . . . . . . . . . . . . . . . 239
Configuración de NTP en un dispositivo . . . . . . . . . . . . . . . . . . . . . 241
Configuración de las opciones de red . . . . . . . . . . . . . . . . . . . . . . 243
Sincronización de la hora del sistema . . . . . . . . . . . . . . . . . . . . . . 263
Instalación de un nuevo certificado . . . . . . . . . . . . . . . . . . . . . . . 265
Configuración de perfiles . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
Configuración de SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Administración de la base de datos . . . . . . . . . . . . . . . . . . . . . . . . . . 278
Configuración del almacenamiento de datos de ESM . . . . . . . . . . . . . . . . 279
Configuración del almacenamiento de datos de máquina virtual de ESM . . . . . . . . 279
Aumento del número de índices de acumulación disponibles . . . . . . . . . . . . . 280
Configuración de un archivo de particiones inactivas . . . . . . . . . . . . . . . . 280
Configuración de límites de retención de datos . . . . . . . . . . . . . . . . . . 281
Definición de los límites de asignación de datos . . . . . . . . . . . . . . . . . . 282
Administración de la configuración de índice de la base de datos . . . . . . . . . . . 283
Administración de la indización de acumulación . . . . . . . . . . . . . . . . . . 284
Visualización de la utilización de memoria de la base de datos . . . . . . . . . . . . 285
Uso de usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286
Adición de un usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
Selección de la configuración de usuario . . . . . . . . . . . . . . . . . . . . . 289
Configuración de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . 290
Configuración de credenciales para McAfee ePO . . . . . . . . . . . . . . . . . . 299
Desactivación o reactivación de usuarios . . . . . . . . . . . . . . . . . . . . . 300
Autenticación de usuarios mediante un servidor LDAP . . . . . . . . . . . . . . . 300
Configuración de grupos de usuarios . . . . . . . . . . . . . . . . . . . . . . 301
Adición de un grupo con acceso limitado . . . . . . . . . . . . . . . . . . . . . 307
Copia de seguridad y restauración de la configuración del sistema . . . . . . . . . . . . . 308
Copias de seguridad de la configuración y los datos de sistema de ESM . . . . . . . . 309
Restauración de la configuración de ESM . . . . . . . . . . . . . . . . . . . . . 310
Restauración de archivos de configuración con copias de seguridad . . . . . . . . . . 311
Uso de los archivos de copia de seguridad en ESM . . . . . . . . . . . . . . . . . 312
Administración del mantenimiento de archivos . . . . . . . . . . . . . . . . . . 312
ESM redundante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313

Contenido
Configuración de un ESM redundante . . . . . . . . . . . . . . . . . . . . . . 313

Sustitución de un ESM redundante . . . . . . . . . . . . . . . . . . . . . . . 315
Desactivación de las consultas compartidas . . . . . . . . . . . . . . . . . . . . 316
Administración de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Administración de registros . . . . . . . . . . . . . . . . . . . . . . . . . . 319
Enmascaramiento de direcciones IP . . . . . . . . . . . . . . . . . . . . . . . 321
Configuración del registro de ESM . . . . . . . . . . . . . . . . . . . . . . . 323
Exportación y restauración de claves de comunicación . . . . . . . . . . . . . . . 323
Regeneración de una clave SSH . . . . . . . . . . . . . . . . . . . . . . . . 324
Administrador de tareas de consultas . . . . . . . . . . . . . . . . . . . . . . 324
Administración de consultas en ejecución en ESM . . . . . . . . . . . . . . . . . 325
Actualización de un ESM principal o redundante . . . . . . . . . . . . . . . . . . 325
Acceso a un dispositivo remoto . . . . . . . . . . . . . . . . . . . . . . . . 326
Utilización de comandos de Linux . . . . . . . . . . . . . . . . . . . . . . . . 327
Comandos de Linux disponibles . . . . . . . . . . . . . . . . . . . . . . . . 328
Uso de una lista negra global . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
Establecimiento de una lista negra global . . . . . . . . . . . . . . . . . . . . 329
Enriquecimiento de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
Adición de orígenes de enriquecimiento de datos . . . . . . . . . . . . . . . . . 332
™
Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO . . . . 336
Adición de un origen de enriquecimiento de datos de Hadoop HBase . . . . . . . . . 336
Adición de un origen de enriquecimiento de datos de Hadoop Pig . . . . . . . . . . . 337
Adición de enriquecimiento de datos de Active Directory para nombres de usuario . . . . 338
4 Administración de Cyber Threat 341

Configuración de la administración de Cyber Threat . . . . . . . . . . . . . . . . . . . 341
Visualización de resultados de fuentes de Cyber Threat . . . . . . . . . . . . . . . . . . 342
Tipos de indicadores compatibles . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
Errores en la carga manual de un archivo IOC STIX XML . . . . . . . . . . . . . . . . . 344
5 Uso de paquetes de contenido 345

Importación de paquetes de contenido . . . . . . . . . . . . . . . . . . . . . . . . 345
6 Flujo de trabajo de alarmas 347

Preparación para la creación de alarmas . . . . . . . . . . . . . . . . . . . . . . . . 347
Configuración de mensajes de alarma . . . . . . . . . . . . . . . . . . . . . . 347
Administración de archivos de audio para las alarmas . . . . . . . . . . . . . . . 353
Creación de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
Activación o desactivación de la supervisión de alarmas . . . . . . . . . . . . . . . 354
Cómo copiar una alarma . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
Creación de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
Supervisión y respuesta para alarmas . . . . . . . . . . . . . . . . . . . . . . . . . 359
Visualización y administración de alarmas activadas . . . . . . . . . . . . . . . . 360
Administración de la cola de informes de alarma . . . . . . . . . . . . . . . . . 362
Ajuste de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
Creación de alarmas UCAPL . . . . . . . . . . . . . . . . . . . . . . . . . . 364
Adición de alarmas de eventos del monitor de estado . . . . . . . . . . . . . . . 366
Adición de una alarma de Coincidencia de campo . . . . . . . . . . . . . . . . . 375
Resumen personalizado para alarmas activadas y casos . . . . . . . . . . . . . . . 378
Adición de una alarma a las reglas . . . . . . . . . . . . . . . . . . . . . . . 378
Creación de capturas SNMP a modo de acciones de alarma . . . . . . . . . . . . . 379
Adición de una alarma de notificación sobre fallos de alimentación . . . . . . . . . . 380
Administración de orígenes de datos no sincronizados . . . . . . . . . . . . . . . 380
7 Uso de los eventos 383

Eventos, flujos y registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383

Contenido
Configuración de descargas de eventos, flujos y registros . . . . . . . . . . . . . . 384

Limitación del tiempo de recopilación de datos . . . . . . . . . . . . . . . . . . 385
Definición de la configuración de umbral de inactividad . . . . . . . . . . . . . . . 386
Obtención de eventos y flujos . . . . . . . . . . . . . . . . . . . . . . . . . 387
Comprobación de eventos, flujos y registros . . . . . . . . . . . . . . . . . . . 388
Definición de la configuración de geolocalización y ASN . . . . . . . . . . . . . . . 390
Agregación de eventos o flujos . . . . . . . . . . . . . . . . . . . . . . . . . 391
Configuración del reenvío de eventos . . . . . . . . . . . . . . . . . . . . . . 395
Administración de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
Establecimiento del mes de inicio para los informes trimestrales . . . . . . . . . . . 405
Adición de un informe . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Adición de un diseño de informe . . . . . . . . . . . . . . . . . . . . . . . . 408
Inclusión de una imagen en los PDF y los informes . . . . . . . . . . . . . . . . . 411
Adición de una condición de informe . . . . . . . . . . . . . . . . . . . . . . 411
Visualización de los nombres de hosts en un informe . . . . . . . . . . . . . . . . 413
Descripción de los filtros contains y regex . . . . . . . . . . . . . . . . . . . . . . . 413
Uso de las vistas de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
Uso de las vistas de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
Visualización de detalles de sesión . . . . . . . . . . . . . . . . . . . . . . . 418
Barra de herramientas de vistas . . . . . . . . . . . . . . . . . . . . . . . . 418
Vistas predefinidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
Adición de una vista personalizada . . . . . . . . . . . . . . . . . . . . . . . 423
Componentes de vista . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
Uso del Asistente de consultas . . . . . . . . . . . . . . . . . . . . . . . . . 435
Administración de vistas . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
Búsqueda alrededor de un evento . . . . . . . . . . . . . . . . . . . . . . . 442
Visualización de los detalles de dirección IP de un evento . . . . . . . . . . . . . . 443
Cambio de la vista predeterminada . . . . . . . . . . . . . . . . . . . . . . . 444
Filtrado de vistas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
Listas de control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450
Normalización de cadenas . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Filtros de tipos personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458
Creación de tipos personalizados . . . . . . . . . . . . . . . . . . . . . . . . 460
Tabla de tipos personalizados predefinidos . . . . . . . . . . . . . . . . . . . . 461
Adición de tipos personalizados de tiempo . . . . . . . . . . . . . . . . . . . . 461
Tipos personalizados de nombre/valor . . . . . . . . . . . . . . . . . . . . . . 462
Adición de un tipo personalizado de grupo de nombre/valor . . . . . . . . . . . . . 462
®
Búsquedas de McAfee Active Response . . . . . . . . . . . . . . . . . . . . . . . . 463
Ejecución de una búsqueda de Active Response . . . . . . . . . . . . . . . . . . 463
Administración de los resultados de las búsquedas de Active Response . . . . . . . . . 464
Adición de un origen de enriquecimiento de datos de Active Response . . . . . . . . . 466
Adición de una lista de vigilancia de Active Response . . . . . . . . . . . . . . . . 466
Visualización de la hora del evento . . . . . . . . . . . . . . . . . . . . . . . . . . 467
8 Administración de casos 469

Adición de un caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469
Creación de un caso a partir de un evento . . . . . . . . . . . . . . . . . . . . . . . 470
Adición de eventos a un caso existente . . . . . . . . . . . . . . . . . . . . . . . . 470
Edición o cierre de un caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472
Visualización de detalles de casos . . . . . . . . . . . . . . . . . . . . . . . . . . 473
Adición de niveles de estado de casos . . . . . . . . . . . . . . . . . . . . . . . . . 475
Envío de casos por correo electrónico . . . . . . . . . . . . . . . . . . . . . . . . . 476
Visualización de todos los casos . . . . . . . . . . . . . . . . . . . . . . . . . . . 476
Generación de informes de administración de casos . . . . . . . . . . . . . . . . . . . 477

Contenido
9 Uso de Asset Manager 479

Administración de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
Definición de activos antiguos . . . . . . . . . . . . . . . . . . . . . . . . . 483
Establecimiento de la administración de configuración . . . . . . . . . . . . . . . . . . 483
Administración de archivos de configuración recuperados . . . . . . . . . . . . . . 485
Descubrimiento de la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
Descubrimiento de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
Administración de la lista de exclusiones de IP . . . . . . . . . . . . . . . . . . 489
Descubrimiento de endpoints . . . . . . . . . . . . . . . . . . . . . . . . . 490
Visualización de un mapa de la red . . . . . . . . . . . . . . . . . . . . . . . 490
Cambio del comportamiento de Descubrimiento de red . . . . . . . . . . . . . . . 490
Orígenes de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491
Administración de orígenes de activos . . . . . . . . . . . . . . . . . . . . . . 492
Administración de orígenes de evaluación de vulnerabilidades . . . . . . . . . . . . . . . 493
Administración de zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494
Administración de las zonas . . . . . . . . . . . . . . . . . . . . . . . . . . 495
Adición de una zona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496
Exportación de la configuración de zonas . . . . . . . . . . . . . . . . . . . . . 497
Importación de la configuración de zonas . . . . . . . . . . . . . . . . . . . . 497
Adición de una subzona . . . . . . . . . . . . . . . . . . . . . . . . . . . 499
Evaluación de activos, amenazas y riesgo . . . . . . . . . . . . . . . . . . . . . . . 500
Administración de amenazas conocidas . . . . . . . . . . . . . . . . . . . . . . . . 501
10 Administración de directivas y reglas 503

Descripción del Editor de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . 503
El Árbol de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505
Administración de directivas en el Árbol de directivas . . . . . . . . . . . . . . . . 505
Tipos de reglas y sus propiedades . . . . . . . . . . . . . . . . . . . . . . . . . . 509
Variables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 510
Reglas de preprocesador . . . . . . . . . . . . . . . . . . . . . . . . . . . 514
Reglas de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515
Reglas de inspección profunda de paquetes (DPI) . . . . . . . . . . . . . . . . . 519
Reglas internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521
Reglas de filtrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522
Reglas del analizador de syslog avanzado (ASP) . . . . . . . . . . . . . . . . . . 524
Reglas de origen de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . 530
Reglas de eventos de Windows . . . . . . . . . . . . . . . . . . . . . . . . . 532
Reglas de ADM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532
Reglas de DEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534
Reglas de correlación . . . . . . . . . . . . . . . . . . . . . . . . . . . . 540
Adición de reglas de correlación, base de datos o ADM personalizadas . . . . . . . . . 542
Reglas de ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554
Normalización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555
Activación de Copiar paquete . . . . . . . . . . . . . . . . . . . . . . . . . 555
Configuración de la directiva predeterminada . . . . . . . . . . . . . . . . . . . . . . 556
Modo de solo alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556
Configuración del modo de sobresuscripción . . . . . . . . . . . . . . . . . . . 557
Visualización del estado de actualización de directivas de los dispositivos . . . . . . . . 558
Operaciones relacionadas con reglas . . . . . . . . . . . . . . . . . . . . . . . . . 558
Administración de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . 558
Importación de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 560
Importación de variables . . . . . . . . . . . . . . . . . . . . . . . . . . . 561
Exportación de reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562
Configuración de reglas para la inclusión automática en la lista negra . . . . . . . . . 562
Filtrado de reglas existentes . . . . . . . . . . . . . . . . . . . . . . . . . . 563
Visualización de la firma de una regla . . . . . . . . . . . . . . . . . . . . . . 564

Contenido
Recuperación de actualizaciones de regla . . . . . . . . . . . . . . . . . . . . 565

Borrado del estado de regla actualizado . . . . . . . . . . . . . . . . . . . . . 566
Comparación de archivos de regla . . . . . . . . . . . . . . . . . . . . . . . 566
Visualización del historial de cambios de reglas . . . . . . . . . . . . . . . . . . 567
Creación de una nueva lista de vigilancia de reglas . . . . . . . . . . . . . . . . . 568
Adición de reglas a una lista de vigilancia . . . . . . . . . . . . . . . . . . . . 568
Asignación de etiquetas a reglas o activos . . . . . . . . . . . . . . . . . . . . . . . 569
Página Selección de etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . 570
Modificación de la configuración de agregación . . . . . . . . . . . . . . . . . . . . . 570
Omisión de la acción en las reglas descargadas . . . . . . . . . . . . . . . . . . . . . 571
Ponderaciones de gravedad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572
Establecimiento de las ponderaciones de gravedad . . . . . . . . . . . . . . . . . 573
Visualización del historial de cambios de directiva . . . . . . . . . . . . . . . . . . . . 574
Aplicación de cambios de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . 575
Administración del tráfico prioritario . . . . . . . . . . . . . . . . . . . . . . . . . . 576
Índice 577

Prefacio
Esta guía le proporcionará toda la información que necesita para trabajar con su producto McAfee.
Contenido
Acerca de esta guía
Búsqueda de documentación de productos
Acerca de esta guía

Esta información incluye los destinatarios de la guía, las convenciones tipográficas y los iconos
utilizados, además de cómo está organizada.
Destinatarios
La documentación de McAfee se recopila y se redacta meticulosamente para el público al que va
destinada.
La información de esta guía está dirigida principalmente a:
• Administradores: personas que implementan y aplican el programa de seguridad de la empresa.
• Usuarios: personas que usan el equipo en el que se está ejecutando el software y que pueden
acceder a todas o algunas de sus funciones.
Convenciones
En esta guía se utilizan los siguientes iconos y convenciones tipográficas.
Cursiva Título de un manual, capítulo o tema; un nuevo término; énfasis

Negrita Texto que se enfatiza
Tipo de letra Comandos y texto de otra índole que escribe el usuario; un ejemplo de
monoespacio código; un mensaje que se presenta en pantalla
Tipo de letra estrecho en negrita Palabras de la interfaz del producto, como opciones, menús, botones y
cuadros de diálogo
Azul hipertexto Un vínculo a un tema o a un sitio web externo
Nota: Información adicional para enfatizar una cuestión, recordarle algo
al lector o proporcionar un método alternativo
Sugerencia: Información sobre prácticas recomendadas
Precaución: Consejos importantes para proteger su sistema informático,

instalación de software, red, empresa o sus datos
Advertencia: Consejos fundamentales para impedir lesiones personales
al utilizar un producto de hardware

Prefacio

En el portal ServicePortal puede encontrar información sobre los productos publicados, por ejemplo
documentación de los productos, artículos técnicos, etc.
Procedimiento
1 Vaya al portal ServicePortal en https://support.mcafee.com y haga clic en la ficha Centro de conocimiento.
2 En el panel Base de conocimiento, bajo Origen de contenido, haga clic en Documentación de productos.
3 Seleccione un producto y una versión, y haga clic en Buscar para ver una lista de documentos.
Procedimientos
• Búsqueda de información localizada en la página 10
Se proporcionan notas de la versión, Ayuda online, guía del producto y guía de instalación
de McAfee ESM localizadas (traducidas) en los idiomas siguientes:
• Preguntas más frecuentes en la página 11
A continuación se incluyen las respuestas a las preguntas más frecuentes.
Búsqueda de información localizada

Se proporcionan notas de la versión, Ayuda online, guía del producto y guía de instalación de McAfee
ESM localizadas (traducidas) en los idiomas siguientes:
• Chino simplificado • Japonés
• Chino tradicional • Coreano
• Inglés • Portugués brasileño
• Francés • Español
• Alemán
Acceso a la Ayuda online localizada

Al cambiar la configuración de idioma en el ESM, cambia automáticamente el idioma empleado en la
Ayuda online.
1 Inicie sesión en ESM.
2 En el panel de navegación del sistema de la consola de ESM, seleccione Opciones.
3 Seleccione un idioma y haga clic en Aceptar.
4 Haga clic en el icono de Ayuda, situado en la esquina superior derecha de las ventanas del ESM, o
bien seleccione el menú Ayuda. La Ayuda aparecerá en el idioma seleccionado.
Si la Ayuda aparece solo en inglés, significa que la versión localizada no está disponible aún. La
Ayuda localizada se instalará mediante una actualización futura.

Prefacio
Búsqueda de documentación del producto localizada en el Centro de conocimiento

1 Visite el Centro de conocimiento.
2 Busque la documentación del producto localizada mediante los parámetros siguientes.

• Término de búsqueda: guía del producto, guía de instalación o notas de la versión
• Producto: SIEM Enterprise Security Manager
• Versión: 9.6.0
3 En los resultados de la búsqueda, haga clic en el título del documento relevante.
4 En la página con el icono de PDF, desplácese hacia abajo hasta que vea los vínculos de idioma en la
parte derecha. Haga clic en el idioma relevante.
5 Haga clic en el vínculo de PDF para abrir la versión localizada del documento del producto.
Véase también
Uso de la Ayuda de ESM en la página 15
Preguntas más frecuentes

¿Dónde puedo encontrar información sobre ESM en otros idiomas?

Se localizan las notas de la versión, la Ayuda, la guía del producto y la guía de instalación de
ESM. Búsqueda de información localizada en la página 10
¿Dónde puedo obtener más información sobre McAfee ESM?
• Uso de la Ayuda de ESM en la página 15
• Visite el Centro de conocimiento
• Visite el Centro de expertos
• Vea los vídeos de McAfee ESM
¿Qué dispositivos de la solución SIEM se admiten?

Visite el sitio web de McAfee ESM
¿Cómo se configuran los orígenes de datos concretos?
Busque las guías de configuración de los orígenes de datos actuales en el Centro de
conocimiento
¿Cómo se obtiene información sobre los cambios y las adiciones relacionados con los
orígenes de datos, los tipos personalizados, las reglas y los paquetes de contenido?
• Inicie sesión en el Centro de conocimiento y suscríbase al artículo KB75608. Recibirá
notificaciones cuando el artículo sufra modificaciones.
• Para obtener información sobre los paquetes de contenido, lea el artículo de la base de
conocimiento en el Centro de conocimiento.

Prefacio

1 Introducción
®
McAfee Enterprise Security Manager (McAfee ESM) permite a los profesionales de la seguridad y la
conformidad recopilar, almacenar y analizar los riesgos y las amenazas, así como actuar sobre ellos,
desde una única ubicación.
Contenido
Cómo funciona McAfee Enterprise Security Manager
Los dispositivos y sus funciones
Uso de la Ayuda de ESM
Cómo funciona McAfee Enterprise Security Manager

McAfee ESM recopila y agrega datos y eventos de dispositivos de seguridad, infraestructuras de red,
sistemas y aplicaciones. A continuación, aplica inteligencia a esos datos mediante su combinación con
información contextual acerca de usuarios, activos, vulnerabilidades y amenazas. Correlaciona esta
información para localizar incidentes relevantes. Gracias a los paneles interactivos personalizables, es
posible acceder a información detallada sobre eventos específicos a fin de investigar los incidentes.
ESM consta de tres capas.

• Interfaz: un programa de navegación que ofrece al usuario una interfaz con el sistema (se conoce
como consola de ESM).
• Almacenamiento, administración y análisis de datos: dispositivos que proporcionan todos los

servicios necesarios de manipulación de datos, tales como configuración, generación de informes,
visualización y búsqueda. ESM (necesario), Advanced Correlation Engine (ACE), ESM distribuido
(DESM) y Enterprise Log Manager (ELM) llevan a cabo estas funciones.
• Adquisición de datos: dispositivos que proporcionan las interfaces y servicios que adquieren
datos del entorno de red del usuario. Nitro Intrusion Prevention System (IPS), Event Receiver
(receptor), Application Data Monitor (ADM) y Database Event Monitor (DEM) se encargan de estas
funciones.
Todas las funciones de comando, control y comunicación entre los componentes se coordinan a través
de canales de comunicación seguros.

1
Introducción

El ESM permite administrar y gestionar todos los dispositivos físicos y virtuales de su entorno de
seguridad, así como interactuar con ellos.
Véase también
Configuración de Event Receiver en la página 78
Configuración de Enterprise Log Manager (ELM) en la página 151
Configuración de Application Data Monitor (ADM) en la página 184
Configuración de Database Event Monitor (DEM) en la página 201
Configuración de Advanced Correlation Engine (ACE) en la página 177
Configuración del ESM distribuido (DESM) en la página 215
Configuración de ePolicy Orchestrator en la página 216
Configuración de Nitro Intrusion Prevention System (Nitro IPS) en la página 224

1
Introducción

¿Tiene dudas sobre el uso de ESM? Utilice la Ayuda online como fuente de información contextual,
donde podrá encontrar información conceptual, materiales de referencia e instrucciones paso a paso
sobre el uso de ESM.
Procedimiento
1 Para abrir la Ayuda de ESM, realice una de estas acciones:
• Seleccione la opción de menú Ayuda | Contenido de la Ayuda.
• Haga clic en el signo de interrogación situado en la parte superior derecha de las pantallas de
ESM para buscar ayuda contextual específica de cada pantalla.
2 En la ventana de la Ayuda:
• Utilice el campo Buscar para localizar cualquier palabra en la Ayuda. Los resultados aparecerán
debajo del campo Buscar. Haga clic en el vínculo relevante para ver el tema de la Ayuda en el
panel de la derecha.
• Use la ficha Contenido (tabla de contenido) para ver una lista secuencial de los temas de la
Ayuda.
• Use el Índice para localizar un término concreto en la Ayuda. Las palabras clave están
organizadas alfabéticamente para poder desplazarse por la lista hasta llegar a la palabra clave
deseada. Haga clic en la palabra clave para mostrar el tema de la Ayuda correspondiente.
• Para imprimir el tema actual de la Ayuda (sin barras de desplazamiento), haga clic en el icono
de la impresora, situado en la parte superior derecha del tema de la Ayuda.
• Para localizar los vínculos a los temas relacionados de la Ayuda, desplácese hasta la parte
inferior del tema de la Ayuda.
Véase también
Búsqueda de información localizada en la página 10

¿Dónde puedo encontrar información sobre ESM en otros idiomas?

Se localizan las notas de la versión, la Ayuda, la guía del producto y la guía de instalación de
ESM. Búsqueda de información localizada en la página 10
¿Dónde puedo obtener más información sobre McAfee ESM?
• Uso de la Ayuda de ESM en la página 15
• Visite el Centro de conocimiento
• Visite el Centro de expertos
• Vea los vídeos de McAfee ESM
¿Qué dispositivos de la solución SIEM se admiten?

Visite el sitio web de McAfee ESM
¿Cómo se configuran los orígenes de datos concretos?
Busque las guías de configuración de los orígenes de datos actuales en el Centro de
conocimiento

1
Introducción
¿Cómo se obtiene información sobre los cambios y las adiciones relacionados con los
orígenes de datos, los tipos personalizados, las reglas y los paquetes de contenido?
• Inicie sesión en el Centro de conocimiento y suscríbase al artículo KB75608. Recibirá
notificaciones cuando el artículo sufra modificaciones.
• Para obtener información sobre los paquetes de contenido, lea el artículo de la base de
conocimiento en el Centro de conocimiento.

Se proporcionan notas de la versión, Ayuda online, guía del producto y guía de instalación de McAfee
ESM localizadas (traducidas) en los idiomas siguientes:
• Chino simplificado • Japonés
• Chino tradicional • Coreano
• Inglés • Portugués brasileño
• Francés • Español
• Alemán
Acceso a la Ayuda online localizada

Al cambiar la configuración de idioma en el ESM, cambia automáticamente el idioma empleado en la
Ayuda online.
1 Inicie sesión en ESM.
2 En el panel de navegación del sistema de la consola de ESM, seleccione Opciones.
3 Seleccione un idioma y haga clic en Aceptar.
4 Haga clic en el icono de Ayuda, situado en la esquina superior derecha de las ventanas del ESM, o
bien seleccione el menú Ayuda. La Ayuda aparecerá en el idioma seleccionado.
Si la Ayuda aparece solo en inglés, significa que la versión localizada no está disponible aún. La
Ayuda localizada se instalará mediante una actualización futura.
Búsqueda de documentación del producto localizada en el Centro de conocimiento

1 Visite el Centro de conocimiento.
2 Busque la documentación del producto localizada mediante los parámetros siguientes.

• Término de búsqueda: guía del producto, guía de instalación o notas de la versión
• Producto: SIEM Enterprise Security Manager
• Versión: 9.6.0
3 En los resultados de la búsqueda, haga clic en el título del documento relevante.
4 En la página con el icono de PDF, desplácese hacia abajo hasta que vea los vínculos de idioma en la
parte derecha. Haga clic en el idioma relevante.
5 Haga clic en el vínculo de PDF para abrir la versión localizada del documento del producto.

1
Introducción
Véase también
Uso de la Ayuda de ESM en la página 15

1
Introducción

2 Primeros pasos
Verifique que su entorno de ESM esté actualizado y listo para funcionar.
Contenido
Requisitos de hardware y software
Acerca del modo FIPS
Configuración evaluada según los Criterios comunes
Inicio y cierre de sesión
Personalización de la página de inicio de sesión
Actualización del software de ESM
Obtención y adición de credenciales de actualización de reglas
Comprobación de la existencia de actualizaciones de reglas
Cambio de idioma de los registros de eventos
Conexión de los dispositivos
Preferencias de la consola
Requisitos de hardware y software

El sistema debe satisfacer los requisitos mínimos en cuanto a hardware y software.
Requisitos del sistema

• Procesador: clase P4 (no Celeron) o superior (Mobile/Xeon/Core2, Corei3/5/7), o bien AMD clase
AM2 o superior (Turion64/Athlon64/Opteron64, A4/6/8)
• RAM: 1,5 GB
• Sistema operativo Windows: Windows 2000, Windows XP, Windows 2003 Server, Windows Vista,
Windows 2008 Server, Windows Server 2012, Windows 7, Windows 8, Windows 8.1
• Navegador: Internet Explorer 9 o posterior, Mozilla Firefox 9 o posterior, Google Chrome 33 o

posterior
• Flash Player: versión 11.2.x.x o posterior
Las funciones de ESM emplean ventanas emergentes al cargar o descargar archivos. Desactive el
bloqueador de ventanas emergentes para las direcciones IP o el nombre de host de su ESM.
Requisitos de la máquina virtual

• Procesador: de 8 núcleos y 64 bits, Dual Core2/Nehalem o superior, o bien AMD Dual Athlon64/
Dual Opteron64 o superior
• RAM: depende del modelo (4 GB o más)

2
Primeros pasos
• Espacio en disco: depende del modelo (250 GB o más)
• ESXi 5.0 o posterior
• Aprovisionamiento grueso o fino: debe decidir los requisitos de disco duro necesarios para su
servidor. El requisito mínimo es de 250 GB, a menos que la máquina virtual adquirida cuente con
más. Consulte las especificaciones correspondientes a su máquina virtual.
La máquina virtual de ENMELM hace uso de diversas funciones que requieren CPU y RAM. Si el entorno
ESXi comparte los requisitos de CPU/RAM con otras máquinas virtuales, el rendimiento de la máquina
virtual ENMELM se verá afectado. Asegúrese de incluir la capacidad de CPU y RAM necesaria de
acuerdo con los requisitos.

FIPS (del inglés Federal Information Processing Standards, estándares federales de procesamiento de
la información) son estándares desarrollados y anunciados públicamente por el gobierno de los
Estados Unidos sobre el procesamiento de la información. Si está obligado a cumplir estos estándares,
deberá utilizar este sistema en el modo FIPS.
El modo FIPS se debe seleccionar la primera vez que se inicia sesión en el sistema y no es posible
cambiarlo posteriormente.
Véase también
Información sobre el modo FIPS en la página 21
Contenido
Información sobre el modo FIPS
Selección del modo FIPS
Comprobación de integridad de FIPS
Adición de un dispositivo con clave aplicada en el modo FIPS
Solución de problemas del modo FIPS

2
Primeros pasos
Información sobre el modo FIPS

Debido a las normativas de FIPS, algunas funciones de ESM no están disponibles, algunas funciones
disponibles no son conformes y otras funciones solo están disponibles en el modo FIPS. Estas
funciones se indican a lo largo del presente documento y se enumeran aquí.
Estado de Descripción
función
Funciones • Receptores de disponibilidad alta.
eliminadas
• Terminal de interfaz gráfica de usuario.
• Capacidad de comunicación con el dispositivo mediante el protocolo SSH.
• En la consola del dispositivo, el shell raíz se sustituye por un menú de
administración de dispositivos.
Funciones solo • Existen cuatro funciones de usuario que no coinciden parcialmente: Usuario, Usuario
disponibles en el avanzado, Administrador de auditorías y Administrador de claves y certificados.
modo FIPS
• Todas las páginas de Propiedades cuentan con una opción Prueba automática de FIPS que
permite verificar si el sistema funciona correctamente en el modo FIPS.
• Si se produce un error de FIPS, se agrega un indicador de estado al árbol de
navegación del sistema para reflejar este fallo.
• Todas las páginas de Propiedades tienen una opción Ver que, al hacer clic en ella, abre
la página Token de identidad de FIPS. Esta página muestra un valor que se debe
comparar con el valor mostrado en las secciones del documento mencionadas para
asegurarse de que no hay riesgos en relación con FIPS.
• En Propiedades del sistema | Usuarios y grupos | Privilegios | Editar grupo, la página incluye el
privilegio Prueba automática de cifrado FIPS, que otorga a los miembros del grupo la
autorización para ejecutar pruebas automáticas de FIPS.
• Al hacer clic en Importar clave o Exportar clave en Propiedades de IPS | Administración de claves,
es necesario seleccionar el tipo de clave que se desea importar o exportar.
• En el Asistente de adición de dispositivos, el protocolo TCP siempre está establecido en el
puerto 22. El puerto SSH se puede cambiar.
Véase también
Selección del modo FIPS en la página 21
Comprobación de integridad de FIPS en la página 22
Adición de un dispositivo con clave aplicada en el modo FIPS en la página 24
Copia de seguridad y restauración de información de un dispositivo en modo FIPS en la página
24
Activación de la comunicación con varios dispositivos ESM en el modo FIPS en la página 25
Solución de problemas del modo FIPS en la página 27
Selección del modo FIPS

La primera vez que inicie sesión en el sistema, se le preguntará si desea que el sistema funcione en el
modo FIPS o no. Una vez realizada la selección, no es posible cambiarla.

2
Primeros pasos
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
1 La primera vez que inicie sesión en ESM:

a En el campo Nombre de usuario, escriba NGCP.
b En el campo Contraseña, escriba security.4u.
Se le pedirá que cambie su contraseña.
2 Introduzca y confirme la nueva contraseña.
3 En la página Activar FIPS, haga clic en Sí.
La advertencia de Activar FIPS mostrará información para solicitar confirmación de que desea que el
sistema funcione en el modo FIPS de forma permanente.
4 Haga clic en Sí para confirmar su selección.
Véase también
24
Comprobación de integridad de FIPS

Si utiliza el sistema en el modo FIPS, FIPS 140-2 requiere la comprobación de la integridad del
software de forma regular. Esta comprobación se debe realizar en el sistema y en todos los
dispositivos.

2
Primeros pasos
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de que esté
seleccionada la opción Información del sistema.
2 Realice cualquiera de las acciones que se indican a continuación.
En este Haga esto...

campo...
Estado de Visualice los resultados de la prueba automática de FIPS más reciente realizada en el ESM.
FIPS
Prueba o Ejecute las pruebas automáticas de FIPS, las cuales comprueban la integridad de los algoritmos
Prueba utilizados dentro del archivo ejecutable criptográfico. Los resultados se pueden ver en el Registro de
automática mensajes.
de FIPS
Si la prueba automática de FIPS falla, la seguridad de FIPS se ha visto comprometida o se ha producido
algún fallo de dispositivo. Póngase en contacto con el Soporte de McAfee.
Ver o Abra la página Token de identidad de FIPS para realizar las pruebas de encendido de integridad del software.
Identidad de Compare el valor siguiente con la clave pública que aparece en esta página:
FIPS
Si este valor y la clave pública no coinciden, la seguridad de FIPS se ha visto comprometida. Póngase en
contacto con el Soporte de McAfee.
Véase también
24

2
Primeros pasos
Adición de un dispositivo con clave aplicada en el modo FIPS

Existen dos métodos en el modo FIPS para agregar un dispositivo con una clave ya aplicada a un ESM.
Estos términos y extensiones de archivo le resultarán útiles a la hora de realizar estos procesos.
Terminología
• Clave de dispositivo: contiene los derechos de administración que tiene un ESM para un dispositivo; no
se emplea con fines criptográficos.
• Clave pública: la clave de comunicación SSH pública del ESM, que se almacena en la tabla de claves
autorizadas de un dispositivo.
• Clave privada: la clave de comunicación SSH privada del ESM, utilizada por el ejecutable de SSH en
un ESM a fin de establecer la conexión SSH con un dispositivo.
• ESM principal: el ESM utilizado originalmente para registrar el dispositivo.
• ESM secundario: un ESM adicional que se comunica con el dispositivo.
Extensiones de archivo de los distintos archivos de exportación

• .exk: contiene la clave de dispositivo.
• .puk: contiene la clave pública.
• .prk: contiene la clave privada y la clave de dispositivo.
Véase también
24
Copia de seguridad y restauración de información de un dispositivo en

modo FIPS
Este método se emplea para crear copias de seguridad de la información de comunicación de un
dispositivo y restaurarlas en el ESM.
Está destinado principalmente a su uso en caso de un fallo que requiera la sustitución del ESM. Si la
información de comunicación no se exporta antes del fallo, la comunicación con el dispositivo no se
podrá restablecer. Este método exporta e importa el archivo .prk.
La clave privada del ESM principal es utilizada por el ESM secundario para establecer comunicación con
el dispositivo inicialmente. Una vez establecida la comunicación, el ESM secundario copia su clave
pública en la tabla de claves autorizadas del dispositivo. El ESM secundario borra entonces la clave
privada del ESM principal e inicia la comunicación con su propio par de claves pública/privada.

2
Primeros pasos
Acción Pasos
Exportar el 1 En el árbol de navegación del sistema del ESM principal, seleccione el dispositivo
archivo .prk del con la información de comunicación de la que desee crear una copia de seguridad
ESM principal
y, después, haga clic en el icono Propiedades.
2 Seleccione Administración de claves y haga clic en Exportar clave.
3 Seleccione Copia de seguridad de clave privada SSH y haga clic en Siguiente.
4 Escriba y confirme una contraseña; a continuación, establezca la fecha de

caducidad.
Una vez que pasa la fecha de caducidad, la persona que importa la clave no se
puede comunicar con el dispositivo hasta que se exporta otra clave con una fecha
de caducidad futura. Si selecciona No caduca nunca, la clave no caducará al
importarla a otro ESM.
5 Haga clic en Aceptar, seleccione la ubicación para guardar el archivo .prk creado
por el ESM y cierre la sesión en el ESM principal.
Agregar un 1 En el árbol de navegación del sistema del dispositivo secundario, seleccione el

dispositivo al nodo de nivel de sistema o grupo al que desee agregar el dispositivo.
ESM secundario
e importar el 2 En la barra de herramientas de acciones, haga clic en Agregar dispositivo.
archivo .prk
3 Seleccione el tipo de dispositivo que desee agregar y haga clic en Siguiente.
4 Introduzca un nombre para el dispositivo exclusivo en el grupo y haga clic en

Siguiente.
5 Introduzca la dirección IP de destino del dispositivo, indique el puerto de
comunicación FIPS y haga clic en Siguiente.
6 Haga clic en Importar clave, desplácese hasta el archivo .prk y haga clic en Cargar.
Escriba la contraseña especificada al exportar esta clave inicialmente.
7 Cierre la sesión en el ESM secundario.
Véase también
Activación de la comunicación con varios dispositivos ESM en el modo FIPS

Es posible permitir que diversos ESM se comuniquen con el mismo dispositivo mediante la exportación
e importación de archivos .puk y .exk.
En este método se usan dos procesos de exportación e importación. En primer lugar, se usa el ESM
principal para importar el archivo .puk exportado del dispositivo ESM secundario y enviar la clave
pública del ESM secundario al dispositivo, lo cual permite que ambos dispositivos ESM se comuniquen
con el dispositivo. En segundo lugar, el archivo .exk del dispositivo se exporta desde el ESM principal y
se importa en el ESM secundario, lo cual permite al ESM secundario comunicarse con el dispositivo.

2
Primeros pasos
Acción Pasos
Exportar el 1 En la página Propiedades del sistema del ESM secundario, seleccione Administración de
archivo .puk del ESM.
ESM secundario
2 Haga clic en Exportar SSH y, después, seleccione la ubicación para guardar el
archivo .puk.
3 Haga clic en Guardar y cierre la sesión.
Importar el 1 En el árbol de navegación del sistema del ESM principal, seleccione el

archivo .puk al dispositivo que desee configurar.
ESM principal
2 Haga clic en el icono Propiedades y seleccione Administración de claves.
3 Haga clic en Administrar claves SSH.
4 Haga clic en Importar, seleccione el archivo .puk y haga clic en Cargar.
5 Haga clic en Aceptar y cierre la sesión en el ESM principal.
Exportar el 1 En el árbol de navegación del sistema del ESM principal, seleccione el

archivo .exk del dispositivo que desee configurar.
dispositivo del
ESM principal 2 Haga clic en el icono Propiedades y seleccione Administración de claves.
3 Haga clic en Exportar clave, seleccione la clave del dispositivo de copia de

seguridad y haga clic en Siguiente.
4 Escriba y confirme una contraseña; a continuación, establezca la fecha de
caducidad.
Una vez que pasa la fecha de caducidad, la persona que importa la clave no se
puede comunicar con el dispositivo hasta que se exporta otra clave con una
fecha de caducidad futura. Si selecciona No caduca nunca, la clave no caducará al
importarla a otro ESM.
5 Seleccione los privilegios del archivo .exk y haga clic en Aceptar.
6 Seleccione la ubicación para guardar el archivo y cierre la sesión en el ESM

principal.
Importar el 1 En el árbol de navegación del sistema del dispositivo secundario, seleccione el

archivo .exk en el nodo de nivel de sistema o grupo al que desee agregar el dispositivo.
ESM secundario
2 En la barra de herramientas de acciones, haga clic en Agregar dispositivo.
3 Seleccione el tipo de dispositivo que desee agregar y haga clic en Siguiente.
4 Introduzca un nombre para el dispositivo que sea exclusivo en el grupo y haga

clic en Siguiente.
5 Haga clic en Importar clave y busque el archivo .exk.
6 Haga clic en Cargar y escriba la contraseña especificada al exportar esta clave

inicialmente.
7 Cierre la sesión en el ESM secundario.

2
Primeros pasos
Véase también
24
Solución de problemas del modo FIPS

Es posible que surjan problemas al utilizar el ESM en el modo FIPS.
Problema Descripción y solución

No hay • Compruebe la pantalla LCD situada en la parte delantera del dispositivo. Si
comunicación con indica Fallo de FIPS, póngase en contacto con el Soporte de McAfee.
el ESM
• Busque una situación de error en la interfaz HTTP; para ello, acceda a la
página web Prueba automática de FIPS de ESM mediante un navegador.
- Si aparece únicamente el dígito 0, el cual indica que el dispositivo ha fallado
una prueba automática de FIPS, reinicie el dispositivo ESM para intentar
corregir el problema. Si el fallo persiste, póngase en contacto con el servicio
de Soporte para obtener instrucciones adicionales.
- Si aparece únicamente el dígito 1, el problema de comunicación no se debe
a un fallo de FIPS. Póngase en contacto con el Soporte técnico para obtener
instrucciones adicionales.
No hay • Si hay una marca de estado junto al dispositivo en el árbol de navegación del
comunicación con sistema, coloque el cursor sobre él. Si indica Fallo de FIPS, póngase en contacto
el dispositivo con el Soporte de McAfee a través del portal de soporte.
• Siga la descripción correspondiente al problema No hay comunicación con el
ESM.
Error El archivo no es No se puede exportar una clave de un dispositivo no FIPS e importarla a un

válido al agregar un dispositivo que funcione en el modo FIPS. De igual forma, no se puede exportar
dispositivo una clave de un dispositivo FIPS e importarla a un dispositivo no FIPS. Este
error aparece cuando se intenta cualquiera de estas dos cosas.
Véase también
24

2
Primeros pasos

El dispositivo de McAfee se debe instalar, configurar y utilizar de una forma concreta para que exista
conformidad con la configuración evaluada según los Criterios comunes. Recuerde estos requisitos a la
hora de configurar el sistema.
Tipo Requisitos
Físico El dispositivo de McAfee debe:
• Estar protegido frente a modificaciones físicas no autorizadas.
• Estar situado en unas instalaciones con acceso controlado que evite el acceso físico no
autorizado.
Utilización El dispositivo de McAfee debe:

• Tener acceso a todo el tráfico de red para realizar sus funciones.
• Permitir los cambios de dirección en el tráfico de red que supervisa el objetivo de
evaluación.
• Ser proporcionado con respecto al tráfico de red que supervisa.
Personal • Deben existir una o varias personas competentes encargadas de la administración del
dispositivo de McAfee y de la seguridad de la información que contiene. Los ingenieros
de McAfee proporcionan asistencia in situ para la instalación y la configuración, así
como formación sobre el funcionamiento del dispositivo en las instalaciones para todos
los clientes de McAfee.
• Los administradores autorizados no deben ser descuidados, negligentes ni de trato
difícil, y deben respetar y acatar las instrucciones proporcionadas en la documentación
correspondiente al dispositivo de McAfee.
• Solo los usuarios autorizados deben tener acceso al dispositivo de McAfee.
• Los responsables del dispositivo de McAfee deben asegurarse de que los usuarios
protejan todas las credenciales de acceso de forma coherente con la seguridad de TI.
Otros • No aplique actualizaciones de software al dispositivo de McAfee, ya que esto provocaría

una configuración distinta de la correspondiente a la evaluada según los Criterios
comunes. Póngase en contacto con el Soporte de McAfee para obtener actualizaciones
certificadas.
• En un dispositivo Nitro IPS, la activación de las opciones Temporizador de vigilancia y Forzar
omisión en la página Configuración de la interfaz de red provoca una configuración distinta de la
evaluada según los Criterios comunes.
• En un dispositivo Nitro IPS, el uso de una configuración de sobresuscripción distinta de
supresión provoca una configuración diferente de la evaluada según los Criterios
comunes.
• La activación de la función Seguridad de inicio de sesión con un servidor RADIUS provoca una
comunicación segura. El entorno de TI proporciona una transmisión segura de datos
entre el objetivo de evaluación y las entidades y orígenes externos. Un servidor RADIUS
puede proporcionar los servicios de autenticación externa.
• El uso de la funcionalidad de SmartDashboard de la consola del firewall de Check Point no
forma parte del objetivo de evaluación.
• El uso de Snort Barnyard no forma parte del objetivo de evaluación.
• El uso del cliente de MEF no forma parte del objetivo de evaluación.
• El uso del sistema de fichas Remedy no forma parte del objetivo de evaluación.

2
Primeros pasos

Tras instalar y configurar los dispositivos, es posible iniciar sesión en la consola de ESM por primera
vez.
Procedimiento
1 Abra un navegador web en el equipo cliente y diríjase a la dirección IP establecida al configurar la

interfaz de red.
2 Haga clic en Inicio de sesión, seleccione el idioma para la consola y escriba el nombre de usuario y la
contraseña predeterminados.
• Nombre de usuario predeterminado: NGCP
• Contraseña predeterminada: security.4u
3 Haga clic en Inicio de sesión, lea el Acuerdo de licencia de usuario final y haga clic en Aceptar.
4 Cambie el nombre de usuario y la contraseña; después, haga clic en Aceptar.
5 Indique si desea activar o no el modo FIPS.
En caso de estar obligado a trabajar en el modo FIPS, deberá activarlo la primera vez que inicie
sesión en el sistema, de forma que todas las operaciones futuras con los dispositivos de McAfee se
produzcan en el modo FIPS. Se recomienda no activar el modo FIPS si no está obligado a hacerlo.
Para obtener más información, consulte Información sobre el modo FIPS.
6 Siga las instrucciones para obtener el nombre de usuario y la contraseña, que son necesarios para
acceder a las actualizaciones de reglas.
7 Lleve a cabo la configuración inicial de ESM:

a Seleccione el idioma que se utilizará para los registros del sistema.
b Seleccione la zona horaria donde se encuentra el ESM y el formato de fecha para utilizarlos con
esta cuenta; después, haga clic en Siguiente.
c Defina la configuración en las páginas del asistente Configuración inicial de ESM. Haga clic en el icono
Mostrar Ayuda de cada página para obtener instrucciones.
8 Haga clic en Aceptar y, después, en los vínculos de ayuda correspondientes a los pasos iniciales o a
las funciones nuevas disponibles en esta versión de ESM.
9 Cuando termine su sesión de trabajo, cierre la sesión mediante uno de estos métodos:
• Si no hay páginas abiertas, haga clic en cierre de sesión en la barra de navegación del sistema,
situada en la esquina superior derecha de la consola.
• Si hay alguna página abierta, cierre el navegador.
Véase también
Personalización de la página de inicio de sesión en la página 30
Cambio de idioma de los registros de eventos en la página 33

2
Primeros pasos

Es posible personalizar la página de inicio de sesión a fin de agregar texto, como por ejemplo las
políticas de seguridad de la empresa o su logotipo.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Configuración personalizada.
2 Realice cualquiera de las acciones siguientes:
Para... Haga esto...

Agregar texto 1 Haga clic en el cuadro de texto situado en la parte superior de la página.
personalizado
2 Escriba el texto que desee agregar a la página Inicio de sesión.
3 Seleccione Incluir texto en pantalla de inicio de sesión.
Agregar una imagen 1 Haga clic en Seleccionar imagen.

personalizada
2 Cargue la imagen que desee utilizar.
3 Seleccione Incluir imagen en pantalla de inicio de sesión.
Si sigue apareciendo el logotipo anterior en la página Inicio de sesión tras

cargar un nuevo logotipo personalizado, borre la caché del navegador.
Eliminar una imagen Haga clic en Eliminar imagen. Aparecerá el logotipo predeterminado.
personalizada
Véase también
Inicio y cierre de sesión en la página 29
Cambio de idioma de los registros de eventos en la página 33
Página Configuración personalizada en la página 30
Página Configuración personalizada

Permite personalizar la configuración de inicio de sesión e impresión, editar los vínculos de dispositivos
personalizados y configurar las opciones de un servidor de correo electrónico Remedy.
Tabla 2-1 Definiciones de opciones

Opción Definición
Introduzca aquí cualquier texto Agregue texto personalizado a la página de inicio de sesión de la consola y
adicional la pantalla LCD del dispositivo, como por ejemplo las directivas de
seguridad de la empresa.
Seleccione un logotipo Seleccione la imagen que desee que aparezca en la página de inicio de
personalizado sesión (véase Personalización de la página de inicio de sesión).
Incluir texto en pantalla de Seleccione si desea que el texto agregado aparezca en la página de inicio
inicio de sesión de sesión (véase Inclusión de una imagen en los PDF y los informes).
Incluir imagen en pantalla de Seleccione esta opción si desea que la imagen seleccionada aparezca en la
inicio de sesión página de inicio de sesión.
Incluir imagen en PDF Seleccione esta opción si desea que la imagen seleccionada aparezca en los
exportado PDF exportados y en los informes impresos.

2
Primeros pasos
Tabla 2-1 Definiciones de opciones (continuación)

Opción Definición
Actualización automática del El Árbol de sistemas se actualiza automáticamente cada cinco minutos. Si
Árbol de sistemas no desea que esto ocurra, anule la selección de esta opción (véase
Detención de la actualización automática del Árbol de sistemas de ESM).
Vínculos de dispositivo Permite realizar cambios en los vínculos de URL de cada uno de los
dispositivos del sistema (véase Administración de vínculos de URL para
todos los dispositivos).
Remedy Establezca la configuración del Servidor de correo electrónico de Remedy para poder
enviar eventos al sistema Remedy, en caso de disponer de él. Véase
Opciones de configuración del servidor de Remedy.
Especifique qué mes Defina el mes de inicio del primer trimestre si va a ejecutar informes
trimestrales (véase Establecimiento del mes de inicio para los informes
trimestrales).
Véase también

Es posible acceder a las actualizaciones de software desde el servidor de actualizaciones o a través de
un ingeniero de seguridad y, después, cargarlas en el ESM.
Para ampliar un ESM principal o redundante, véase Actualización de un ESM principal o redundante.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Administración de
ESM.
2 En la ficha Mantenimiento, haga clic en Actualizar ESM.
3 Seleccione el archivo que desee usar para actualizar el ESM y haga clic en Aceptar.
El ESM se reiniciará y se desconectarán todas las sesiones en curso mientras se instala la

actualización.
Véase también
Obtención y adición de credenciales de actualización de reglas en la página 32
Comprobación de la existencia de actualizaciones de reglas en la página 32
Página Seleccionar archivo de actualización de software en la página 32

2
Primeros pasos
Página Seleccionar archivo de actualización de software

Permite seleccionar el archivo de actualización de software para el ESM.
Opción Definición
Tabla de actualizaciones Haga clic en el archivo y, después, en Aceptar. Se le advertirá de que esto
de software provoca que el ESM se reinicie y se desconecten todas las sesiones en
curso. Haga clic en Sí para continuar.
Examinar Permite acceder a un archivo de actualización de software obtenido
mediante un ingeniero de seguridad de McAfee o el servidor de reglas y
actualizaciones de McAfee. Haga clic en Cargar y, después, en Sí en la
página de advertencia.
Véase también
Actualización del software de ESM en la página 31

ESM proporciona actualizaciones de directivas, analizadores y reglas como parte del contrato de
mantenimiento. Tendrá acceso durante de 30 días antes de necesitar las credenciales permanentes.
Procedimiento
1 Obtenga las credenciales mediante el envío de un mensaje de correo electrónico a

Licensing@McAfee.com con la siguiente información:
• Número de concesión de McAfee
• Nombre de cuenta
• Dirección
• Nombre de contacto
• Dirección de correo electrónico de contacto
2 Cuando reciba el ID y la contraseña de cliente de McAfee, seleccione Propiedades del sistema | Información
del sistema | Actualización de reglas en el árbol de navegación del sistema.
3 Haga clic en Credenciales y escriba el ID de cliente y la contraseña.
4 Haga clic en Validar.
Véase también
Comprobación de la existencia de actualizaciones de reglas en la página 32
Comprobación de la existencia de actualizaciones de reglas

El equipo de McAfee encargado de las firmas de regla que utiliza Nitro IPS a fin de examinar el tráfico
de red actualiza constantemente estas firmas, las cuales están disponibles para su descarga mediante
el servidor central de McAfee. Estas actualizaciones de reglas se pueden recuperar de forma
automática o manual.

2
Primeros pasos
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y asegúrese de seleccionar la
opción Información del sistema.
2 En el campo Actualización de reglas, compruebe que la licencia no haya caducado.
Si la licencia ha caducado, véase Obtención y adición de credenciales de actualización de reglas.
3 Si la licencia es válida, haga clic en Actualización de reglas.
4 Seleccione una de estas opciones:

• Intervalo de comprobación automática, para configurar el sistema de forma que compruebe la existencia
de actualizaciones automáticamente con la frecuencia seleccionada.
• Comprobar ahora, para comprobar la existencia de actualizaciones inmediatamente.
• Actualización manual, para actualizar las reglas desde un archivo local.
5 Haga clic en Aceptar.
Véase también
Obtención y adición de credenciales de actualización de reglas en la página 32

Cuando se inicia sesión en ESM por primera vez, se selecciona el idioma que se usará para registrar
eventos, como en el caso del registro del monitor de estado y el registro de dispositivos. Puede
modificar esta configuración de idioma.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Administración de ESM.
2 Haga clic en Configuración regional del sistema, seleccione un idioma en la lista desplegable y haga clic en
Aceptar.
Véase también
Inicio y cierre de sesión en la página 29

2
Primeros pasos

Conecte los dispositivos físicos y virtuales a McAfee ESM para permitir el análisis forense, la
supervisión de aplicaciones y bases de datos, la correlación avanzada basada en reglas y riesgo, y la
generación de informes de conformidad en tiempo real.
A medida que aumente el número de dispositivos del sistema, organícelos de manera lógica. Por
ejemplo, si dispone de sucursales en varias ubicaciones, podría mostrar los dispositivos según su
zona. Puede usar las pantallas predefinidas, además de diseñar sus propias pantallas personalizadas.
Dentro de cada pantalla personalizada, cabe la posibilidad de agrupar los dispositivos a fin de
continuar con su organización.
Contenido
Adición de dispositivos a la consola de ESM
Selección de un tipo de pantalla
Administración de tipos de pantallas personalizadas
Adición de dispositivos a la consola de ESM

Tras instalar y configurar los dispositivos físicos y virtuales, deberá agregarlos a la consola de ESM.
Antes de empezar
Instale y configure los dispositivos (véase la Guía de instalación de McAfee Enterprise
Security Manager).
Procedimiento
1 En el árbol de navegación del sistema, haga clic en el ESM Local o en un grupo.
2
En la barra de herramientas de acciones, haga clic en el icono Agregar dispositivo .
3 Seleccione el tipo de dispositivo que va a agregar y haga clic en Siguiente.
4 En el campo Nombre de dispositivo, introduzca un nombre exclusivo dentro del grupo y haga clic en
Siguiente.
5 Proporcione la información solicitada.

• Dispositivos McAfee ePO: seleccione un receptor, escriba las credenciales necesarias para iniciar
sesión en la interfaz web y haga clic en Siguiente. Escriba la configuración que se debe usar para
la comunicación con la base de datos.
Seleccione Solicitar autenticación de usuario a fin de limitar el acceso a los usuarios que dispongan de
nombre de usuario y contraseña para el dispositivo.
• Resto de dispositivos: escriba la dirección IP de destino o la URL del dispositivo y, después,

indique un número de puerto SSH de destino válido para su uso con la dirección IP.
6 Indique si desea o no utilizar la configuración de Network Time Protocol (NTP) en el dispositivo y,

después, haga clic en Siguiente.

2
Primeros pasos
7 Si tiene una clave que desee importar, seleccione Importar clave (no disponible en los dispositivos ELM
o Receiver/Log Manager); de lo contrario, haga clic en Aplicar clave a dispositivo.
Las claves de dispositivo exportadas originalmente a partir de un ESM de una versión anterior a la
8.3.x no emplean el modelo de comunicación correspondiente a la versión 8.4.0. Tras la ampliación,
se vio obligado a volver a aplicar la clave al dispositivo. A fin de acceder a los dispositivos de la
versión 9.0.0 o posterior, es necesario volver a exportar la clave para este dispositivo desde un ESM
de la versión 8.5.0 o posterior. Asegúrese de establecer los privilegios necesarios para el dispositivo,
tales como el privilegio Configurar dispositivos virtuales.
8 Introduzca una contraseña para el dispositivo y, a continuación, haga clic en Siguiente.
El ESM probará la comunicación con el dispositivo e informará del estado de la conexión.
Véase también
Selección de un tipo de pantalla en la página 35
Administración de tipos de pantallas personalizadas en la página 35
Administración de un grupo en un tipo de pantalla personalizada en la página 67
Selección de un tipo de pantalla

Seleccione la forma en que desea que se muestren los dispositivos en el árbol de navegación del
sistema.
Antes de empezar
Para seleccionar una pantalla personalizada, es necesario agregarla antes al sistema (véase
Administración de tipos de pantallas personalizadas).
Procedimiento
1 En el panel de navegación del sistema, haga clic en la flecha desplegable del campo de tipo de
visualización.
2 Seleccione uno de los tipos de pantalla.
La organización de los dispositivos en el árbol de navegación cambiará para reflejar el tipo

seleccionado para la sesión de trabajo en curso.
Véase también
Adición de dispositivos a la consola de ESM en la página 34

Existe la opción de definir cómo quiere que se organicen los dispositivos en el árbol de navegación del
sistema mediante la adición, edición o eliminación de tipos de pantallas personalizadas.
Procedimiento
1 En el panel de navegación del sistema, haga clic en la flecha de la lista desplegable de tipo de
pantalla.
2 Siga uno de estos procedimientos:

2
Primeros pasos

Agregar un tipo de pantalla 1 Haga clic en Agregar pantalla.
personalizada
2 Rellene los campos y haga clic en Aceptar.
Editar un tipo de pantalla 1

personalizada Haga clic en el icono Editar situado junto al tipo de pantalla
que desee editar.
2 Realice cambios en la configuración y después haga clic en
Aceptar.
Eliminar un tipo de pantalla

Haga clic en el icono Eliminar situado junto al tipo de pantalla que
personalizada
desee eliminar.
Véase también
Cabe la posibilidad de personalizar varias funciones en la consola de ESM mediante el cambio del color
del tema, el formato de fecha y hora, el valor de tiempo de espera y varias opciones de configuración
® ® ™
predeterminadas. Las credenciales de McAfee ePolicy Orchestrator (McAfee ePO ) se pueden
configurar también.
Véase también
La consola de ESM en la página 37
Uso del tema de color de la consola en la página 38
Selección de las opciones de visualización de la consola en la página 39
Establecimiento del valor de tiempo de espera de la consola en la página 40

2
Primeros pasos
La consola de ESM
La consola de ESM proporciona visibilidad en tiempo real de las actividades de los dispositivos, así
como acceso rápido a notificaciones de alarmas y casos asignados.
1 Barra de navegación del sistema para las funciones de configuración generales.
2 Iconos para acceder a páginas de uso frecuente.
3 Barra de herramientas de acciones para seleccionar las funciones necesarias a fin de configurar
cada dispositivo.
4 Panel de navegación del sistema para ver los dispositivos del sistema.
5 Panel de alarmas y casos para ver las notificaciones de alarma y los casos abiertos asignados.
6 Panel de vistas para los datos de eventos, flujos y registro.
7 Barra de herramientas de vistas para crear, editar y administrar las vistas.
8 Panel de filtros para aplicar filtros a las vistas de datos basadas en eventos o flujos.
Véase también
Preferencias de la consola en la página 36

2
Primeros pasos
Uso del tema de color de la consola

Es posible personalizar la consola de ESM mediante la selección de un tema de color existente o el
diseño de uno propio. También es posible editar o eliminar temas de color personalizados.
Procedimiento
1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones.
2 Seleccione un tema de color existente, o bien agregue, edite o quite un tema personalizado.
3 Si hace clic en Agregar o Editar, seleccione los colores para el tema personalizado y haga clic en
Aceptar.
Si ha agregado un tema nuevo, se agregará una miniatura con sus colores a la sección Seleccione un
tema.
4 Haga clic en Aceptar para guardar la configuración.
Véase también
Página Colores en la página 38
Página Seleccionar colores para tema en la página 38
Página Colores
Aquí podrá seleccionar un tema de color existente, diseñar uno propio o bien editar o eliminar un tema
personalizado.

Opción Definición
Seleccione un tema Haga clic en la miniatura del tema para seleccionarlo. La consola reflejará la
selección.
Agregar Permite crear un tema nuevo. Al hacer clic en esta opción, aparece la página
Seleccionar colores para tema.
Editar Realizar cambios en un tema de color personalizado.
Quitar Eliminar un tema de color personalizado.
Véase también
Página Seleccionar colores para tema

Permite agregar o editar un tema de color personalizado para la consola de ESM. La consola reflejará
los cambios a medida que los establezca.
Opción Definición
Nombre del tema Introduzca un nombre para el tema.
Aplicación Seleccione el color del fondo y del texto para las partes superior e inferior del
fondo de la consola. La parte superior se fusiona con la inferior.

2
Primeros pasos

Opción Definición
Espacio de trabajo Seleccione el color del fondo y del texto para el espacio de trabajo de la consola,
así como la transparencia del fondo.
Componentes de vista Seleccione el color del fondo y del texto para los componentes de vista, y
establezca la transparencia del fondo de los componentes.
Cuadros de diálogo Seleccione el color del fondo y del texto para los cuadros de diálogo, y establezca
la transparencia del fondo de los cuadros.
Restablecer Permite restaurar los colores predeterminados.
Véase también
Selección de las opciones de visualización de la consola

Establezca la configuración predeterminada para las vistas de la consola de ESM.
En esta página, puede establecer el sistema para que haga lo siguiente:
• actualizar los datos automáticamente en una vista abierta;
• cambiar las vistas que se abren de forma predeterminada al iniciar el sistema;
• cambiar las vistas que se abren cuando se selecciona Resumir en una vista de eventos o flujos.
Procedimiento
2 En la página Vistas, seleccione las preferencias y, después, haga clic en Aceptar.
Véase también
Página Vistas en la página 39
Página Vistas
Permite establecer las preferencias para las vistas predeterminadas y actualizar automáticamente los
datos de las vistas abiertas.

Opción Definición
Actualizar vistas automáticamente Seleccione esta opción si desea que los datos de una vista abierta se
cada actualicen automáticamente y defina la frecuencia.
Vista predeterminada del sistema La vista que aparece en el panel Vistas de forma predeterminada es
Resumen predeterminado. Para cambiarla, seleccione una vista en la lista
desplegable.
Vista de resumen de eventos o Vista Si selecciona las opciones Resumir o Resumir según al acceder a
de resumen de flujos información de detalle sobre una vista (véase Opciones de menú de
componentes), las vistas que seleccione en cada uno de estos
campos serán las predeterminadas.

2
Primeros pasos
Véase también
Establecimiento del valor de tiempo de espera de la consola

La sesión en curso de la consola de ESM permanece abierta mientras hay actividad. Es posible definir
la cantidad de tiempo de inactividad necesaria para que se cierre la sesión.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Seguridad de inicio de sesión.
2 En Valor de tiempo de espera de interfaz de usuario, seleccione el número de minutos que deben transcurrir
de inactividad y, después, haga clic en Aceptar.
Si selecciona cero (0), la consola permanecerá abierta indefinidamente.
Véase también

3 Configuración del ESM
El ESM administra los datos, las opciones, las actualizaciones y la configuración. Se comunica con
varios dispositivos de forma simultánea. Cuando cree el entorno del ESM, tenga en cuenta
detenidamente las necesidades de su organización y los objetivos de conformidad a fin de sustentar el
ciclo de vida de administración de la seguridad de la organización.
Contenido
Administración de dispositivos
Configuración de dispositivos
Configuración de los servicios auxiliares
Administración de la base de datos
Uso de usuarios y grupos
Copia de seguridad y restauración de la configuración del sistema
ESM redundante
Administración de ESM
Uso de una lista negra global
Enriquecimiento de datos
El panel de navegación del sistema incluye los dispositivos que se han agregado al sistema. Es posible
llevar a cabo funciones en uno o varios dispositivos, así como organizarlos según proceda. También se

3
Configuración del ESM
pueden ver informes de estado cuando los sistemas están marcados a fin de resolver los problemas
existentes.
Tabla 3-1 Definiciones de las funciones

Esta función... Permite...
1 Barra de herramientas de Seleccionar una acción para realizarla en los dispositivos del árbol de
acciones navegación del sistema.
Configurar las opciones del sistema o el dispositivo seleccionados en el
Icono de propiedades árbol de navegación del sistema.
Icono de adición de Agregar dispositivos al árbol de navegación del sistema.
dispositivos
Ver alertas de estado de dispositivo.
Marcas de estado
Administración de varios Iniciar, detener, reiniciar y actualizar varios dispositivos de forma
individual.
dispositivos
Obtener eventos y flujos Recuperar eventos y flujos de los dispositivos seleccionados.
Eliminar un dispositivo Eliminar el dispositivo seleccionado.
Actualizar los datos de todos los dispositivos.

Actualizar

3
Tabla 3-1 Definiciones de las funciones (continuación)

Esta función... Permite...
2 Tipo de pantalla Seleccionar la forma en que se desea organizar los dispositivos del
árbol. El ESM incluye tres tipos predefinidos.
• Pantalla física: se muestran los dispositivos de forma jerárquica. El
primer nivel corresponde a nodos del sistema (pantalla física, ESM
local y dispositivo de base del ESM local). El segundo nivel
corresponde a los dispositivos individuales, mientras que el resto de
niveles son los orígenes que se agregan a los dispositivos (origen de
datos, dispositivo virtual, etc.). Los dispositivos de base se agregan
automáticamente bajo los nodos de ESM local, origen de datos,
dispositivo virtual y servidor de base de datos. Cuentan con un icono
atenuado y se muestran entre paréntesis.
• Pantalla de tipos de dispositivo: los dispositivos se agrupan por
tipo de dispositivo (Nitro IPS, ADM, DEM, etc.).
• Pantalla de zonas: los dispositivos se organizan según la zona, la
cual se define mediante la función Administración de zonas.
También es posible agregar tipos de pantallas personalizados (véase
Organización de los dispositivos).
3 Búsqueda rápida Llevar a cabo una búsqueda rápida de un dispositivo en el árbol de

navegación del sistema.
4 Árbol de navegación del Ver los dispositivos del sistema.
sistema
Véase también
Página Administración de cada dispositivo en la página 43
Página Administración de cada dispositivo

La página Administración de cada dispositivo permite acceder a varias opciones de administración
avanzadas. Las opciones disponibles se basan en el dispositivo seleccionado.
Opción Definición
Conectar Permitir acceso al sistema.
Conexiones Permite ver las conexiones activas con el DEM.
Datos de dispositivo Descargar un archivo .tgz con información sobre el estado del dispositivo.
Este archivo puede incluir la contraseña cifrada y otros detalles de configuración del
origen de datos de carácter confidencial.
Consultar agentes Descargar la información de estado del DEM y el agente.

Transmisión Ver una transmisión de los eventos generados por el dispositivo seleccionado.
Volcado de TCP Supervisar el tráfico que fluye por el dispositivo.
Terminal Introducir comandos Linux en el dispositivo.
Diferencia de tiempo Ver, editar o exportar una lista de los orígenes de datos que tienen un desfase de
sincronización con el ESM superior al intervalo de tiempo establecido.
Transporte Permite crear un archivo para importar en un receptor que incluye los orígenes de
datos con la opción Exportar a formato de NitroFile.
Actualizar dispositivo Cargar una nueva versión del software.

3

Opción Definición
Ver manager.log Ver la información del archivo de registro del servicio de supervisión de base de
datos para revisar los eventos de comunicación entre el DEM y el agente.
Ver estadísticas Ver las estadísticas sobre el rendimiento del dispositivo.
Véase también
Administración de dispositivos en la página 41
Visualización de información de dispositivo

Es posible ver información general sobre un dispositivo. Abra la página Información del dispositivo para
ver el ID del sistema, el número de serie, el modelo, la versión, la compilación, etc.
Procedimiento
1 En el árbol de navegación del sistema, seleccione un dispositivo y haga clic en el icono Propiedades
2 Vea la información disponible y, a continuación, haga clic en Aceptar.
Procedimientos
• Adición de vínculos de URL en la página 46
Si desea ver información sobre el dispositivo mediante una dirección URL, puede configurar
el vínculo correspondiente en la página Nombre y descripción de cada dispositivo. Una vez
agregado, es posible acceder al vínculo mediante las vistas Análisis de eventos y Análisis de flujos
de cada dispositivo; para ello, haga clic en el icono Ejecutar URL de dispositivo , situado en la
parte inferior de los componentes de la vista.
• Visualización de estadísticas de dispositivo en la página 46
Es posible ver la CPU, la memoria, la cola y otros detalles específicos de los dispositivos.
• Visualización de registros de mensajes y estadísticas del dispositivo en la página 47
Es posible ver los mensajes generados por el sistema, ver las estadísticas de rendimiento
del dispositivo o descargar un archivo .tgz con información de estado sobre el dispositivo.
• Cambio del nombre del dispositivo en la página 48
Cuando se agrega un dispositivo al árbol de sistemas, se le asigna un nombre que aparece
en dicho árbol. Este nombre, el nombre del sistema, la URL y la descripción se pueden
cambiar.
Véase también
Adición de vínculos de URL en la página 46
Visualización de estadísticas de dispositivo en la página 46
Visualización de registros de mensajes y estadísticas del dispositivo en la página 47
Cambio del nombre del dispositivo en la página 48
Página Información del dispositivo en la página 45
Página Nombre y descripción en la página 45

3
Página Información del dispositivo

Permite ver información general sobre un dispositivo. Las opciones disponibles varían en función del
dispositivo seleccionado.

Opción Definición
ID de equipo Número de identificación del dispositivo. Si es necesario reactivar su equipo, el
Soporte de McAfee le pedirá este número para enviarle el archivo correcto.
Número de serie Número de serie del dispositivo.
Modelo Número de modelo del dispositivo.
Versión Versión de software que se ejecuta en el dispositivo.
Compilación Número de compilación de la versión del software.
Reloj (GMT) Fecha y hora en que se abrió o actualizó el dispositivo por última vez.
Sincronizar reloj del Sincronizar el reloj de este dispositivo con el reloj de ESM.
dispositivo
Asistente de detección En un IPS o dispositivo virtual, indica todas las variables disponibles en el
de anomalías dispositivo seleccionado. Lleva a cabo muchos cálculos complicados a fin de
ofrecer los valores sugeridos para los parámetros de anomalía basada en la tasa,
así como para presentar un análisis visual de los patrones del tráfico de la red.
Zona Zona a la que se ha asignado el dispositivo, en caso de haberlo hecho. Si hace
clic en Zona, se abre el Administrador de directivas de zona (véase Adición de zonas).
Directiva Estado actual de la directiva en el dispositivo. Si hace clic en Directiva, se abre el
Editor de directivas (véase Editor de directivas).
Estado El estado de los procesos del dispositivo, así como el estado de FIPS tras la
ejecución de una prueba automática de FIPS (si el dispositivo se ejecuta en el
modo FIPS).
Modo En un IPS, indica si el dispositivo está en modo IPS o IDS. El modo IPS puede
eliminar de forma activa el tráfico malicioso entrante o saliente. El modo IDS solo
alerta sobre el tráfico malicioso, pero no realiza ninguna acción.
Omisión En un IPS, indica si el dispositivo está en modo de omisión o no. En el modo de
omisión, se permite que pase todo el tráfico, incluido el malicioso.
Iniciar Inicia el dispositivo. Si el dispositivo ya está activo, no ocurre nada.
Detener Detiene el dispositivo. Se le advertirá que se detendrá la recopilación de todos
los datos.
Reiniciar Reinicia el dispositivo. Se le advertirá que se detendrá la recopilación de datos
durante el periodo de tiempo que tarde el sistema en reiniciarse.
Actualizar Actualiza la información de la página.
Véase también
Visualización de información de dispositivo en la página 44
Página Nombre y descripción

Permite ver y realizar cambios en el ID de dispositivo, el nombre del sistema y el dispositivo, la
dirección URL y la descripción.
Opción Definición
ID de dispositivo Número de identificación asignado al dispositivo. Este número no se puede cambiar.
Nombre Nombre asignado al dispositivo al agregarlo al sistema.

3

Opción Definición
Nombre del sistema Nombre que aparece en la pantalla LCD o SSH. Debe comenzar por un carácter
alfabético y solo puede incluir caracteres alfanuméricos y guiones.
URL Dirección donde se pueden ver detalles sobre eventos o flujos. Permite un máximo
de 512 caracteres. Si la dirección URL incluye la dirección de una aplicación de
terceros y es necesario adjuntar variables para representar los datos presentes en
los eventos o flujos, haga clic en el icono de variables y selecciónelas.
Para acceder a la URL, haga clic en el icono Ejecutar URL de dispositivo en la parte inferior
de un componente de tabla para una vista de eventos o flujos. Esto le llevará a la
aplicación de terceros y los datos de eventos o flujos asociados se pasarán a través
de la URL.
Descripción Descripción del dispositivo.
Véase también
Adición de vínculos de URL

Si desea ver información sobre el dispositivo mediante una dirección URL, puede configurar el vínculo
correspondiente en la página Nombre y descripción de cada dispositivo. Una vez agregado, es posible
acceder al vínculo mediante las vistas Análisis de eventos y Análisis de flujos de cada dispositivo; para ello,
haga clic en el icono Ejecutar URL de dispositivo , situado en la parte inferior de los componentes de la
vista.
Procedimiento
2 Haga clic en Nombre y descripción y escriba la URL.
3 Haga clic en Aceptar para guardar los cambios.
Véase también
Visualización de estadísticas de dispositivo

Es posible ver la CPU, la memoria, la cola y otros detalles específicos de los dispositivos.
Antes de empezar
Verifique que dispone del permiso Administración de dispositivo.

3
Procedimiento
1 En el árbol de navegación del sistema, seleccione el dispositivo relevante y haga clic en el icono
Propiedades .
2 Haga clic en la opción Administración del dispositivo y, después, en Ver estadísticas.
Accederá a un gráfico que muestra las estadísticas del dispositivo y que se actualiza cada diez
minutos. Para mostrar los datos, se necesitan un mínimo de treinta minutos de datos. Cada tipo de
métrica contiene varias métricas, algunas de las cuales están activadas de forma predeterminada.
Haga clic en Mostrado para activar las métricas. La cuarta columna indica la escala de la métrica
correspondiente.
Véase también
Ficha Monitor de rendimiento para las estadísticas de dispositivo en la página 47
Ficha Monitor de rendimiento para las estadísticas de dispositivo

Permite ver diversas estadísticas sobre el ESM o el dispositivo seleccionados.

Opción Definición
Intervalo de fechas Seleccione el momento sobre el que desee ver las estadísticas.
Métricas Seleccione los tipos de métricas que desee ver.
Actualizar Haga clic en esta opción para rellenar el gráfico y la tabla con las
estadísticas correspondientes a las métricas seleccionadas.
Gráfico Permite ver las estadísticas seleccionadas en forma de gráfico.
Tabla Permite ver las estadísticas seleccionadas en forma de tabla.
Columna Grupo Indica el tipo del grupo de métricas.
Columna Métrica Indica las métricas, que son subcategorías del grupo de métricas.
Columna Mostrado Indica las métricas que actualmente aparecen en el gráfico. Puede
seleccionar las métricas o anular su selección para que los cambios se
reflejen en el gráfico.
Columna Escala Indica la escala de la métrica correspondiente.
Columna Color Indica el color de la línea del gráfico que representa cada métrica.
Véase también
Visualización de registros de mensajes y estadísticas del dispositivo

Es posible ver los mensajes generados por el sistema, ver las estadísticas de rendimiento del
dispositivo o descargar un archivo .tgz con información de estado sobre el dispositivo.

3
Procedimiento
2 Haga clic en la opción Administración del dispositivo y seleccione una de las siguientes opciones:
Opción Descripción
Ver registro Permite ver los mensajes registrados por el sistema. Haga clic en Descargar todo el
archivo para descargar los datos a un archivo.
Ver estadísticas Permite ver estadísticas de rendimiento del dispositivo, como sobre la interfaz
Ethernet, ifconfig y el filtro iptables.
Datos de dispositivo Permite descargar un archivo .tgz con datos sobre el estado del dispositivo. Le
resultará útil si colabora con el Soporte de McAfee para solucionar un problema
del sistema.
Véase también
Cambio del nombre del dispositivo

Cuando se agrega un dispositivo al árbol de sistemas, se le asigna un nombre que aparece en dicho
árbol. Este nombre, el nombre del sistema, la URL y la descripción se pueden cambiar.
Procedimiento
2 Haga clic en Nombre y descripción, cambie el nombre, el nombre del sistema, la dirección URL y la
descripción, o bien visualice el número de ID de dispositivo.
Véase también
Acerca de las claves de dispositivo

Para que el ESM se comunique con un dispositivo, debe cifrar toda la comunicación mediante la clave
de comunicación creada al aplicar la clave a dicho dispositivo.
Se recomienda exportar todas las claves a un archivo distinto protegido por contraseña.
Posteriormente, se pueden importar a fin de restaurar la comunicación con un dispositivo en caso de
que se produzca una emergencia, o bien para exportar una clave a otro dispositivo.

3
Toda la configuración se almacena en el ESM, lo que significa que la consola de ESM conoce las claves
que se mantienen en el ESM y no necesita importar una clave de dispositivo si el ESM ya se está
comunicando correctamente con ese dispositivo.
Por ejemplo, podría crear una copia de seguridad de la configuración (incluidas las claves de
dispositivo) un lunes y volver a aplicar la clave a uno de los dispositivos el martes. Si el miércoles se
da cuenta de que necesita restaurar la configuración del lunes, puede importar la clave creada el
martes tras finalizar la restauración de la configuración. Aunque la restauración revertirá la clave del
dispositivo a la correspondiente al lunes, el dispositivo seguirá escuchando únicamente el tráfico
codificado con la clave del martes. Esta clave se tiene que importar para que sea posible la
comunicación con el dispositivo.
Se recomienda no importar una clave de dispositivo a un ESM distinto. La clave de exportación se usa
para reinstalar un dispositivo en el ESM administrador correspondiente al dispositivo, con el fin de
disponer de las funciones correctas de administración del dispositivo. Si importa un dispositivo a un
segundo ESM, varias funciones del dispositivo no estarán disponibles, como por ejemplo la
administración de directivas, el registro y la administración de ELM, y la configuración de origen de
datos y dispositivo virtual. Los administradores de dispositivo pueden sobrescribir la configuración del
dispositivo mediante otro ESM. Se recomienda utilizar un único ESM para administrar los dispositivos
conectados a él. Un DESM puede gestionar la recopilación de datos de dispositivos conectados a otro
ESM.
Aplicación de la clave a un dispositivo

Tras agregar un dispositivo al ESM, es necesario aplicarle una clave a fin de permitir la comunicación.
La aplicación de una clave al dispositivo aporta seguridad, ya que se ignoran todas las fuentes
externas de comunicación.
Los caracteres siguientes no se pueden usar en el nombre de un dispositivo: ! @ # $ % ^ & * ) ( ] [ }

{:;"'><>,/?`~+=\|
Procedimiento
2 Haga clic en Administración de claves | Aplicar clave a dispositivo.
Si el dispositivo tiene una conexión establecida y se puede comunicar con el ESM, se abrirá el
Asistente para aplicar clave a dispositivo.
3 Escriba una nueva contraseña para el dispositivo y haga clic en Siguiente.
4 Haga clic en Exportar clave y rellene la página Exportar clave o haga clic en Finalizar si desea realizar la
exportación posteriormente.
Véase también
Exportación de una clave en la página 50
Importación de una clave en la página 52
Administración de claves SSH en la página 53
Asistente para aplicar clave a dispositivo en la página 50
Página Administración de claves en la página 50

3
Asistente para aplicar clave a dispositivo

Permite aplicar una clave al dispositivo para que se pueda comunicar.

Opción Definición
Introduzca la nueva Escriba y confirme una contraseña nueva para el dispositivo.
contraseña
Siguiente Haga clic aquí tras escribir y confirmar la contraseña. Se le notificará
cuando se haya aplicado la clave al dispositivo correctamente.
Exportar clave Permite exportar una copia de la clave. Esto es muy recomendable, ya que
la necesitará en caso de tener que volver a agregar el dispositivo.
Véase también
Aplicación de la clave a un dispositivo en la página 49
Página Administración de claves

La página Administración de claves permite aplicar una clave a un dispositivo, importar una clave, exportar
una clave y administrar las claves SSH.

Opción Definición
Aplicar clave a dispositivo Aplicar la clave al dispositivo para que el ESM se pueda comunicar con él y
resulte más seguro.
Importar clave Importar una clave a fin de restaurar una configuración anterior del ESM, o
bien para utilizarla en otro ESM o consola heredada.
Exportar clave Exportar la clave y guardarla en un archivo distinto para poder utilizarla en el
futuro.
Administrar claves SSH Ver o eliminar las claves de comunicación SSH en este dispositivo.
Véase también
Exportación de una clave

Tras aplicar la clave a un dispositivo, expórtela a un archivo.
Si el sistema funciona en modo FIPS, no siga este procedimiento. Véase Adición de un dispositivo con
clave aplicada en el modo FIPS para conocer el proceso correcto.
Procedimiento
2 Haga clic en Administración de claves | Exportar clave.

3
3 Defina la configuración en la página Exportar clave y haga clic en Aceptar.
El ESM crea el archivo de exportación de clave y le pregunta si desea exportarla.
4 Haga clic en Sí y seleccione dónde quiere guardar el archivo.
Se recomienda exportar una copia de seguridad personal de la clave del dispositivo configurada
como No caduca nunca que incluya todos los privilegios.
Véase también
Página Exportar clave en la página 51
Página Exportar clave

Permite exportar la clave de un dispositivo para que esté disponible en caso de tener que volver a
agregar el dispositivo.
Tabla 3-8 Definiciones de opciones para secciones
Opción Definición
Contraseña de exportación Escriba y confirme una contraseña. La necesitará cuando desee importar la
de archivo clave en el futuro.
Configuración de fecha de Establezca la fecha de caducidad, que es la cantidad de tiempo que se puede
caducidad usar la clave si se ha importado a otro ESM o consola heredada. Seleccione No
caduca nunca si no desea fijar una fecha.
Se recomienda exportar una copia de seguridad personal de la clave del

dispositivo configurada como No caduca nunca que incluya todos los privilegios.
Restricciones de clave Seleccione Activar clave de dispositivo solo en ESM especificado si desea que solo se
active la clave en un ESM específico; después, introduzca el ID del sistema.
Esto aporta seguridad adicional a la clave.
Configuración de Seleccione los privilegios que desee asignar a la clave. Los privilegios
privilegios disponibles son distintos para cada tipo de dispositivo. Todos ellos se
describen más abajo.
Si la clave se va a importar a otro ESM, seleccione estos privilegios con

cautela. Asegúrese de que los privilegios otorgados al otro ESM no le permitan
realizar funciones no deseadas.
Tabla 3-9 Definiciones de opciones para privilegios

Opción Definición
Aplicar reglas Aplicar nuevas reglas de directiva al dispositivo.
Configurar archivado de datos Cambiar la configuración de archivado de datos en el receptor.
Configurar orígenes de datos Cambiar la configuración de origen de datos en el receptor.
Configurar servidores de base de datos Cambiar la configuración del servidor de base de datos en los
dispositivos DEM.
Configurar administradores Cambiar la configuración correspondiente a los administradores de
correlación de riesgos.
Configurar interfaces de red Cambiar la configuración de interfaz de red en el dispositivo.
Configurar SNMP Cambiar la configuración de SNMP en el dispositivo.
Configurar dispositivos virtuales Cambiar la configuración de dispositivo virtual en el dispositivo.

3
Tabla 3-9 Definiciones de opciones para privilegios (continuación)

Opción Definición
Administración de DEM Llevar a cabo funciones necesarias para administrar los dispositivos
DEM.
Administración de archivado de ELM Administrar los archivos de registros de ELM.
Exportar Volver a exportar la clave.
Reiniciar dispositivo Apagar el dispositivo y volver a encenderlo.
Volver a aplicar clave Cambiar el token de McAfee.
Establecer agregación Establecer y cambiar la configuración de agregación para eventos y
flujos.
Iniciar dispositivo Iniciar la supervisión del tráfico.
Detener dispositivo Detener la supervisión del tráfico.
Sincronizar reloj Sincronizar la configuración del reloj en el dispositivo.
Terminal Acceder a la funcionalidad de terminal.
Actualizar software Actualizar la versión de software del dispositivo.

Escribir reglas estándar Agregar las reglas estándar a la directiva.
Escribir en firewall Agregar las reglas de firewall a la directiva.
Véase también
Importación de una clave

Es posible importar una clave a fin de restaurar la configuración anterior del ESM, o bien para utilizarla
en otro ESM o consola heredada.
Si el dispositivo es de la versión 9.0 o posterior, solo se puede importar una clave de un ESM de la
versión 8.5 o posterior.
Procedimiento
2 Haga clic en Administración de claves | Importar clave.
3 Ubique y seleccione el archivo de clave guardado.
4 Haga clic en Cargar y escriba la contraseña establecida al exportar la clave.
Una vez que la clave se importa correctamente, aparece una página con el estado.
Véase también
Opción Importar clave en la página 53

3
Opción Importar clave

Importe una clave para restaurar la configuración anterior del ESM.

Opción Definición
Carga de archivo Localice el archivo de clave de dispositivo que desee cargar en el ESM.
Cargar Haga clic en esta opción para cargar el archivo en el ESM y, después, escriba la
contraseña establecida durante la exportación de la clave.
Véase también
Administración de claves SSH

Los dispositivos pueden disponer de claves de comunicación SSH para los sistemas con los que
necesitan comunicarse de forma segura. Es posible detener la comunicación con dichos sistemas si se
elimina la clave.
Procedimiento
2 Haga clic en Administración de claves y, después, en Administrar claves SSH.
La página Administrar claves SSH incluye los ID correspondientes al ESM con el que se comunica el
dispositivo.
3 Resalte el ID en cuestión y haga clic en Eliminar para detener la comunicación con uno de los
sistemas de la lista.
4 Confirme la eliminación y haga clic en Aceptar.
Véase también
Página Administrar claves SSH en la página 53
Página Administrar claves SSH

Permite ver o eliminar las claves de comunicación SSH con las que se puede comunicar este
dispositivo.

Opción Definición
Tabla Claves Permite ver los equipos para los cuales tiene claves de comunicación SSH este
autorizadas dispositivo. Si está activado SSH, los equipos de la lista se podrán comunicar.
Hosts conocidos En el caso de los dispositivos, permite administrar las claves de cualquier
dispositivo compatible con SSH con el que se haya comunicado el dispositivo en
cuestión (por ejemplo, el receptor de un origen de datos SCP). En el caso del
ESM, permite ver las claves de todos los dispositivos del árbol de sistemas con
el que se comunica el ESM.

3

Opción Definición
Tabla Hosts conocidos Permite ver la dirección IP, el nombre de dispositivo y la huella digital ya
introducidos de acuerdo con los datos del host disponibles en el archivo de
hosts conocidos (root/.ssh/known_hosts).
Huella digital del Permite ver la huella digital de este dispositivo, que se genera a partir de la
dispositivo clave SSH pública del dispositivo.
Eliminar Eliminar el elemento seleccionado en el ESM.
Ver clave Ver la clave del elemento seleccionado.
Véase también
Actualización del software en un dispositivo

Si el software del dispositivo está obsoleto, cargue una nueva versión del software mediante un
archivo en el ESM o su equipo local.
Antes de empezar
Si hace más de 30 días que dispone del sistema, deberá obtener e instalar las credenciales
permanentes a fin de acceder a las actualizaciones (véase Obtención y adición de
credenciales de actualización de reglas).
Si está obligado a cumplir las normativas de Criterios comunes y FIPS, no actualice el ESM
de esta forma. Póngase en contacto con el Soporte de McAfee para obtener una
actualización certificada.
Procedimiento
2 En el dispositivo, haga clic en Administración | Actualizar dispositivo.
3 Seleccione una actualización de la tabla o haga clic en Examinar para localizarla en el sistema local.
El dispositivo se reiniciará con la versión de software actualizada.
Véase también
Página Seleccionar archivo de actualización de software en la página 55

3
Página Seleccionar archivo de actualización de software

Permite seleccionar el archivo para actualizar el software en uno o varios dispositivos.

Opción Definición
Nombre de archivo Seleccione una de las actualizaciones disponibles.
Examinar Permite acceder a un archivo obtenido mediante un ingeniero de seguridad de
McAfee o el servidor de reglas y actualizaciones de McAfee.
Aceptar Si actualiza un dispositivo mediante la opción de administración Actualizar dispositivo, se
iniciará el proceso de actualización. Si actualiza varios dispositivos mediante la
opción Administración de varios dispositivos, volverá a aparecer la página Administración de
varios dispositivos.
Véase también
Actualización del software en un dispositivo en la página 54
Organización de los dispositivos

El árbol de navegación del sistema muestra los dispositivos que hay en el sistema. Se puede
seleccionar la forma de visualizarlos mediante la función de tipo de pantalla.
A medida que aumenta el número de dispositivos del sistema, resulta útil organizarlos de manera
lógica para poder encontrarlos si los necesita. Por ejemplo, si dispone de sucursales en varias
ubicaciones, podría ser mejor mostrar los dispositivos según su zona.
Puede usar las tres pantallas predefinidas, además de diseñar pantallas personalizadas. Dentro de
cada pantalla personalizada, cabe la posibilidad de agregar grupos a fin de continuar con la
organización de los dispositivos.
Configuración del control de tráfico de la red en un dispositivo

Definir un valor de salida de datos máximo para el receptor y los dispositivos ACE, ELM, Nitro IPS,
ADM y DEM.
Esta función resulta útil cuando existen restricciones de ancho de banda y es necesario controlar la
cantidad de datos que puede enviar cada uno de estos dispositivos. Las opciones son kilobits (Kb),
megabits (Mb) y gigabits (Gb) por segundo.
Tenga cuidado al configurar esta función, ya que limitar el tráfico puede acarrear una fuga de datos.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el dispositivo y, a continuación, haga clic en el
icono Propiedades .
2 Haga clic en la opción Configuración correspondiente al dispositivo, haga clic en Interfaces y, por último,
haga clic en la ficha Tráfico.
La tabla presenta una lista de los controles existentes.

3
3 A fin de agregar controles para un dispositivo, haga clic en Agregar, introduzca la dirección y la
máscara de la red, establezca la tasa y, a continuación, haga clic en Aceptar.
Si establece la máscara como cero (0), se controlan todos los datos enviados.
4 Haga clic en Aplicar.
Se controlará la velocidad del tráfico saliente correspondiente a la dirección de red especificada.
Véase también
Ficha Tráfico en la página 56
Página Agregar tasa de rendimiento en la página 56
Ficha Tráfico
Es posible definir un valor máximo de salida de datos para una red y una máscara a fin de controlar la
tasa de envío de tráfico.
Tabla 3-13 Definiciones de las opciones

Opción Definición
Columna Red Permite ver las direcciones de las redes en las que el sistema controla el
tráfico saliente en función de lo que se haya definido.
Columna Máscara (Opcional) Ver las máscaras para las direcciones de red.
Columna Rendimiento máximo Ver el rendimiento máximo definido para cada red.
Agregar, Editar, Eliminar Administrar las direcciones de red que se desea controlar.
Véase también
Configuración del control de tráfico de la red en un dispositivo en la página 55
Configuración del control del tráfico de red en el ESM en la página 258
Página Agregar tasa de rendimiento

Defina un valor máximo de salida de datos para una red y una máscara a fin de controlar la tasa de
envío de tráfico saliente.
Opción Definición
Red Escriba la dirección de la red en la que desee controlar el tráfico saliente.
Máscara (Opcional) Seleccione una máscara para la dirección de red.
Tasa Seleccione kilobits (Kb), megabits (Mb) o gigabits (Gb) y, después, seleccione la tasa por
segundo para el envío de tráfico.
Véase también
Configuración de notificaciones SNMP

Para configurar las notificaciones SNMP generadas por un dispositivo, es necesario definir qué capturas
se deben enviar, así como sus destinos.
Si configura SNMP en un receptor de disponibilidad alta, las capturas para el receptor principal tendrán
su origen en la dirección IP compartida. Por tanto, cuando configure los escuchas, es necesario
establecer uno para la dirección IP compartida.

3
Procedimiento
2 Haga clic en Configuración | SNMP.
3 Defina la configuración y haga clic en Aceptar.
Sincronización del dispositivo con ESM

Si tiene que reemplazar el ESM, importe la clave de cada dispositivo a fin de restaurar la
configuración. Si no dispone de una copia de seguridad de la base de datos actualizada, también
deberá sincronizar la configuración del origen de datos, el dispositivo virtual y el servidor de base de
datos con ESM para que puedan reanudar la extracción de eventos.
Procedimiento
2 Haga clic en Configuración | Sincronizar dispositivo.
3 Una vez completada la sincronización, haga clic en Aceptar.
Configuración de la comunicación con ELM

Si pretende enviar los datos de este dispositivo al ELM, aparecerán las opciones IP de ELM y Sincronizar
ELM en la página Configuración del dispositivo, lo que le permitirá actualizar la dirección IP y sincronizar
el ELM con el dispositivo.
Procedimiento
2 Haga clic en la opción Configuración y realice una de las acciones siguientes:
Haga clic en... Para...

IP de ELM Actualizar la dirección IP del ELM al que está vinculado el dispositivo. Deberá
hacer esto si cambia la dirección IP del ELM o la interfaz de administración de
ELM a través de la cual este dispositivo se comunica con el ELM.
Sincronizar ELM Sincronizar el ELM con el dispositivo si uno de ellos se ha reemplazado. Al usar
esta función, la comunicación SSH entre ambos dispositivos se restablece por
medio de la clave del nuevo dispositivo y la configuración anterior.

3
Establecimiento del grupo de registro predeterminado

Si tiene un dispositivo ELM en el sistema, puede configurar un dispositivo de forma que los datos de
eventos que reciba se envíen al ELM. Para ello, se debe configurar el grupo de registro
predeterminado.
El dispositivo no envía un evento al ELM hasta que termina el periodo de tiempo de agregación.
Procedimiento
2 Haga clic en Configuración | Registro.
3 Realice las selecciones adecuadas en las páginas que se abrirán.
Se le informará cuando se active el registro de datos de este dispositivo en el ELM.
Véase también
Orígenes de datos de receptor en la página 93
Página Registro en la página 58
Página Registro
Permite configurar el grupo de registro predeterminado para que los eventos generados por este
dispositivo se puedan enviar a un dispositivo ELM. Se abrirán páginas distintas en función de la
configuración actual de registro del sistema.

Opción Definición
Página Configuración de registro Seleccione Registro para activarlo.
Vínculo Registro Haga clic para acceder a la página Opciones de registro de ELM.
Página Opciones de registro de ELM Seleccione el grupo de almacenamiento donde se registrarán los
datos en el ELM.
Página Asociación dispositivo - ELM Si no ha seleccionado el ELM donde desea registrar los datos,
confirme que desea hacerlo. Una vez realizada la asociación, no es
posible cambiarla.
Página Seleccionar ELM para registro Si dispone de más de un ELM en el sistema, seleccione el que desee
que registre los datos.
Página Seleccionar dirección IP de Seleccione la dirección IP que desee usar para la comunicación del
ELM dispositivo con el ELM.
Página No hay grupos de ELM Si no tiene grupos de almacenamiento en el ELM, acceda aPropiedades
de ELM | Grupos de almacenamiento para agregarlos.
Véase también
Establecimiento del grupo de registro predeterminado en la página 58

3
Introducción de comandos Linux en un dispositivo

Utilice la opción Terminal a fin de introducir comandos Linux en un dispositivo. Esta función está
destinada a usuarios avanzados y se debe utilizar bajo la supervisión del personal de Soporte de
McAfee en caso de emergencia.
Esta opción no es conforme a FIPS, así que está desactivada en el modo FIPS.
Procedimiento
2 En el dispositivo, haga clic en Administración | Terminal.
3 Introduzca la contraseña del sistema y, a continuación, haga clic en Aceptar.
4 Introduzca los comandos Linux, exporte el archivo o transfiera archivos.
5 Haga clic en Cerrar.
Otorgar acceso al sistema

Cuando se realiza una llamada de soporte a McAfee, puede ser necesario otorgar acceso al ingeniero
de soporte técnico para que vea su sistema.
Procedimiento
2 En el dispositivo, haga clic en Administración | Conectar.
El botón cambiará a Desconectar y se le proporcionará la dirección IP.
3 Informe de la dirección IP al ingeniero de soporte técnico.
Podría ser necesario proporcionar información adicional, como por ejemplo la contraseña.
4 Haga clic en Desconectar para finalizar la conexión.
Supervisión del tráfico

Si necesita supervisar el tráfico que pasa por un dispositivo DEM, ADM o IPS, puede utilizar Volcado de
TCP para descargar una instancia del programa Linux que se ejecuta en el dispositivo.

3
Procedimiento
2 En el dispositivo, haga clic en Administración.
3 En la sección Volcado de TCP de la página, lleve a cabo los pasos necesarios para descargar la
instancia.
Véase también
Sección Volcado de TCP en la página 60
Sección Volcado de TCP

Utilice Volcado de TCP para descargar una instancia del programa Linux que se ejecuta en el dispositivo.

Opción Definición
Argumentos de línea de Escriba los argumentos que se pasarán al comando de volcado de TCP.
comandos Por ejemplo, para ver todo el tráfico de la primera interfaz de red del
dispositivo, podría escribir -nni eth0
Iniciar Permite iniciar el volcado en el dispositivo.
Detener Haga clic aquí cuando el tráfico deseado haya pasado por el dispositivo.
Exportar Permite exportar los resultados a un archivo.
Véase también
Supervisión del tráfico en la página 59
Inicio, detención, reinicio o actualización de un dispositivo

Es posible iniciar, detener, reiniciar o actualizar un dispositivo mediante la página Información.
Procedimiento
2 Verifique que se haya seleccionado la opción Información correspondiente al dispositivo y, después,

haga clic en Iniciar, Detener, Reiniciar o Actualizar.
Cambio de la conexión con el ESM

Cuando se agrega un dispositivo al ESM, hay que configurar su conexión con el ESM. Cabe la
posibilidad de cambiar la dirección IP y el puerto, desactivar la comunicación SSH y comprobar el
estado de la conexión.
El cambio de esta configuración no afecta al dispositivo en sí. Solamente afecta a la forma en que el
ESM se comunica con el dispositivo.

3
Procedimiento
2 Haga clic en Conexión y realice los cambios.
Véase también
Cambio de la conexión con el ESM en la página 60
Página Conexión de McAfee ePO en la página 61
Página Conexión
Permite configurar la conexión entre el dispositivo y ESM.

Opción Definición
Nombre/Dirección IP de destino Escriba la dirección IP o el nombre de host que utiliza ESM para
comunicarse con el dispositivo.
Puerto de destino Seleccione el puerto utilizado para intentar la comunicación (el puerto
predeterminado es el 22).
ID de dispositivo Ver el número de identificación del dispositivo.
Marcar este dispositivo como Permite detener la comunicación SSH con ESM. El icono
desactivado correspondiente a este dispositivo en el árbol de navegación del
sistema indicará que está desactivado.
Estado (Opcional) Haga clic para comprobar la conexión.
Página Conexión de McAfee ePO

Esta página incluye la información introducida al agregar el dispositivo de McAfee ePO a la consola. El
cambio de esta configuración no afecta al dispositivo en sí. Solamente afecta a la forma en que el
dispositivo se comunica con el ESM.

Opción Definición
Receptor asociado Seleccione el receptor asociado con el dispositivo. Puede seleccionar
en vínculo para abrir la página Propiedades del receptor.
Parámetros de inicio de sesión de base Cambiar los parámetros de inicio de sesión de la base de datos para
de datos poder extraer eventos.
Credenciales de interfaz de usuario de Cambiar la configuración para acceder a la interfaz de usuario web.
sitio web
Solicitar autenticación de usuario Seleccione esta opción para obligar a todos los usuarios a
autenticarse con un nombre de usuario y una contraseña antes de
acceder al dispositivo.
Conectar Permite probar la conexión con la base de datos o con la Web.
Véase también

3
Dispositivos virtuales
Es posible agregar dispositivos virtuales a ciertos modelos de dispositivos Nitro IPS y ADM a fin de
supervisar el tráfico, comparar patrones de tráfico y generar informes.
Finalidad y ventajas
Los dispositivos virtuales se pueden usar para diversos propósitos:
• Comparar patrones de tráfico con conjuntos de reglas. Por ejemplo, para comparar el tráfico web
con las reglas web, se puede configurar un dispositivo virtual que solo examine los puertos con
tráfico web y configurar una directiva que le permita activar o desactivar distintas reglas.
• Generar informes. Su empleo de esta manera equivale a tener un filtro automático configurado.
• Supervisar diversas rutas de tráfico a la vez. Mediante el uso de un dispositivo virtual es posible
disponer de directivas independientes para cada ruta de tráfico y ordenar el tráfico diferente de
acuerdo con directivas distintas.
Número máximo de dispositivos por modelo

El número de dispositivos virtuales que se puede agregar a un ADM o Nitro IPS depende del modelo:
Máximo de dispositivo Modelo

2 APM-1225
NTP-1225
APM-1250
NTP-1250
4 APM-2230
NTP-2230
NTP-2600
APM-3450
NTP-3450
8 NTP-2250
NTP-4245
NTP-5400
0 APM-VM
NTP-VM
Utilización de las reglas de selección

Las reglas de selección se utilizan a modo de filtros para determinar qué paquetes procesará un
dispositivo virtual.
Para que un paquete coincida con una regla de selección, deben coincidir todos los criterios de filtrado
definidos por la regla. Si la información del paquete coincide con todos los criterios de filtrado de una
única regla de selección, lo procesa el dispositivo virtual que contiene la regla de selección en
cuestión. De lo contrario, se pasa al siguiente dispositivo virtual en orden, y el propio ADM o Nitro IPS
lo procesa de forma predeterminada si no coincide con ninguna regla de selección en ninguno de los
dispositivos virtuales.

3
Cosas que hay que tener en cuenta en el caso de los dispositivos virtuales IPv4:
• Todos los paquetes de una misma conexión se clasifican en función únicamente del primer paquete
de la conexión. Si el primer paquete de una conexión coincide con una regla de selección del tercer
dispositivo virtual de la lista, todos los paquetes subsiguientes de esa conexión se dirigen al tercer
dispositivo virtual, a pesar de que los paquetes coincidan con una regla de otro dispositivo virtual
situado antes en la lista.
• Los paquetes no válidos (un paquete que no establece conexión ni forma parte de una conexión
establecida) se dirigen al dispositivo de base. Por ejemplo, supongamos que tiene un dispositivo
virtual que busca paquetes con el puerto de origen o destino 80. Cuando llega un paquete no válido
con el puerto de origen o destino 80, se dirige al dispositivo de base en lugar de al dispositivo
virtual que busca el tráfico del puerto 80. Por tanto, hay eventos en el dispositivo de base que
parece que deberían haber ido a un dispositivo virtual.
El orden en que aparecen las reglas de selección es importante ya que, la primera vez que un paquete
coincide con una regla, se dirige automáticamente al dispositivo virtual en cuestión para su
procesamiento. Por ejemplo, se agregan cuatro reglas de selección y la que está en cuarto puesto es
el filtro que se activa con más frecuencia. Esto implica que los paquetes deben atravesar los demás
filtros de este dispositivo virtual para llegar a la regla de selección que más se activa. Para mejorar la
eficiencia del procesamiento, coloque el filtro que más se activa en primer lugar, no en último.
Orden de los dispositivos virtuales

El orden en que se comprueban los dispositivos virtuales es importante porque los paquetes que
llegan al dispositivo ADM o Nitro IPS se comparan con las reglas de selección de cada dispositivo
virtual en el orden en que están configurados los dispositivos virtuales. El paquete solamente llega a
las reglas de selección del segundo dispositivo virtual si no coincide con ninguna de las reglas de
selección del primero.
• Para cambiar el orden en un dispositivo ADM, acceda a la página Editar dispositivo virtual (Propiedades de
ADM | Dispositivos virtuales | Editar) y utilice las flechas para colocarlos en el orden correcto.
• Para cambiar el orden en un dispositivo Nitro IPS, use las flechas de la página Dispositivos virtuales
(Propiedades de IPS | Dispositivos virtuales).
Dispositivos ADM virtuales

Los dispositivos ADM virtuales supervisan el tráfico de una interfaz. Pueden existir hasta cuatro filtros
de interfaz de ADM en el sistema. Cada uno de los filtros solo se puede aplicar a un dispositivo virtual
ADM de forma simultánea. Si se asigna un filtro a un dispositivo ADM virtual, no aparece en la lista de
filtros disponibles hasta que se elimina de ese dispositivo.
Los paquetes no válidos (un paquete que no establece conexión ni forma parte de una conexión
establecida) se dirigen al dispositivo de base. Por ejemplo, si tiene un dispositivo ADM virtual que
busca paquetes con el puerto de origen o destino 80 y llega un paquete no válido con el puerto de
origen o destino 80, se dirige al dispositivo de base en lugar de al dispositivo ADM virtual que busca el
tráfico del puerto 80. Por tanto, podría ver eventos en el dispositivo de base que parece que deberían
haber ido a un dispositivo ADM virtual.
Véase también
Adición de un dispositivo virtual en la página 65
Administración de reglas de selección en la página 64

3
Administración de reglas de selección

Las reglas de selección se utilizan como filtros para determinar qué paquetes procesará un dispositivo
virtual. Es posible agregar, editar y eliminar reglas de selección.
El orden en que aparecen las reglas de selección es importante ya que, la primera vez que un paquete
coincide con una regla, se dirige automáticamente al dispositivo virtual en cuestión para su
procesamiento.
Procedimiento
1
Seleccione un nodo de dispositivo IPS o ADM y haga clic en el icono Propiedades .
2 Haga clic en Dispositivos virtuales y, después, en Agregar.
Se abrirá la ventana Agregar dispositivo virtual.
3 Agregue, edite o elimine las reglas de selección de la tabla, o bien cambie su orden.
Véase también
Dispositivos virtuales en la página 62
Página Agregar regla de selección en la página 64
Página Agregar regla de selección

La adición de reglas de selección al dispositivo virtual permite establecer qué paquetes procesará el
dispositivo.

Opción Definición
Página Agregar Seleccione uno de los filtros de interfaz y haga clic en Aceptar.
regla de selección
del ADM Pueden existir hasta cuatro filtros de interfaz de ADM. Cada uno de los filtros solo se
puede aplicar a un dispositivo virtual ADM de forma simultánea.
Página Agregar Introduzca un valor en uno de los campos como mínimo:

regla de selección
• IP/máscara de origen e IP/máscara de destino: escriba una única dirección IP con el formato
de IPS
IPv4. Se aceptan las máscaras para estas direcciones IP.
• Protocolo: escriba una cadena (por ejemplo, tcp). También se puede indicar el
equivalente numérico de todos los protocolos (por ejemplo, 6 para tcp).
• Puerto de origen y Puerto de destino: escriba un valor de puerto único, un intervalo de
puertos separados por el carácter de dos puntos o un intervalo inclusivo de
puertos, ya sea con un carácter de dos puntos al principio o al final.
• VLAN: escriba o seleccione un valor entre 0 y 4095, donde 0 significa que no se
realiza filtrado alguno en la VLAN para esta regla de selección.
• Interfaz: seleccione la parte pública o la parte privada de una única interfaz para
realizar el filtrado.
Véase también
Administración de reglas de selección en la página 64

3
Adición de un dispositivo virtual

Es posible agregar un dispositivo virtual a algunos dispositivos ADM e IPS y configurar las reglas de
selección que determinan qué paquetes procesará cada dispositivo.
Antes de empezar
Asegúrese de que se puedan agregar dispositivos virtuales al dispositivo seleccionado
(véase Acerca de los dispositivos virtuales).
Procedimiento
1 En el árbol de navegación del sistema, seleccione un dispositivo ADM o IPS y haga clic en el icono
Propiedades .
2 Haga clic en Dispositivos virtuales | Agregar.
3 Introduzca la información solicitada y, a continuación, haga clic en Aceptar.
4 Haga clic en Escribir para agregar la configuración al dispositivo.
Véase también
Dispositivos virtuales en la página 62
Página Dispositivos virtuales en la página 65
Página Agregar dispositivo virtual en la página 66
Página Dispositivos virtuales

La página Dispositivos virtuales es el punto de inicio para establecer la configuración de las opciones de
todos los dispositivos virtuales correspondientes al ADM o IPS. Es posible agregar, editar y eliminar
dispositivos y reglas de selección, lo cual determina qué paquetes procesa cada dispositivo virtual.

Opción Definición
Tabla Dispositivos virtuales Indica los dispositivos virtuales que existen en la actualidad en el IPS o
ADM.
Registro Activa o desactiva el registro en todos los dispositivos virtuales.
Icono Establecer un grupo de Abre la página Opciones de registro de ELM para poder agregar un grupo de
almacenamiento... almacenamiento a los dispositivos virtuales seleccionados.
Agregar Abre la página Agregar dispositivo virtual.
Editar Abre la página Editar dispositivo virtual, donde se puede cambiar la
configuración del dispositivo virtual seleccionado.
Quitar Elimina el dispositivo seleccionado de la tabla.
Flechas Subir y Bajar Permiten mover el dispositivo virtual seleccionado hacia arriba o hacia
abajo en la lista de dispositivos del sistema. El orden es importante
porque los paquetes se procesan empezando por el primer dispositivo
virtual de la lista y desde ahí hacia abajo.
Escribir Permite escribir los cambios realizados en los dispositivos virtuales al IPS
o ADM.
Véase también

3
Página Agregar dispositivo virtual

Permite agregar un dispositivo virtual a un IPS o ADM.

Opción Definición
Nombre Introduzca un nombre para el dispositivo virtual.
URL Introduzca la dirección URL para ver la información de este dispositivo virtual,
en caso de tener una configurada. Haga clic en el icono Variables si necesita
agregar una variable a la dirección.
Activado Seleccione esta opción si desea activar el dispositivo.
Grupo de almacenamiento Si dispone de un ELM en el sistema y desea que los datos recibidos por este
dispositivo se registren en el ELM, haga clic en este vínculo y seleccione el
grupo de almacenamiento.
IPv4 o IPv6 En el caso de un dispositivo virtual IPS, indique si analizará el tráfico IPv4 o
IPv6.
Zona Si ha definido zonas en el sistema (véase Administración de zonas), seleccione
la zona a la que se debe asignar este dispositivo virtual.
Descripción Agregue aquí notas o información importante sobre el dispositivo.
Agregar Haga clic aquí para agregar reglas de selección al dispositivo a fin de
determinar qué paquetes se procesarán.
Editar Permite cambiar la configuración de Regla de selección.
Quitar Haga clic aquí para eliminar la regla seleccionada.
Flechas Subir y Bajar Permiten cambiar el orden de las reglas.
Véase también

Existe la opción de definir cómo quiere que se organicen los dispositivos en el árbol de navegación del
sistema mediante la adición, edición o eliminación de tipos de pantallas personalizadas.
Procedimiento
1 En el panel de navegación del sistema, haga clic en la flecha de la lista desplegable de tipo de
pantalla.

3

Agregar un tipo de pantalla 1 Haga clic en Agregar pantalla.
personalizada
Editar un tipo de pantalla 1

personalizada Haga clic en el icono Editar situado junto al tipo de pantalla
que desee editar.
2 Realice cambios en la configuración y después haga clic en
Aceptar.
Eliminar un tipo de pantalla

Haga clic en el icono Eliminar situado junto al tipo de pantalla que
personalizada
desee eliminar.
Véase también
Administración de un grupo en un tipo de pantalla personalizada

Es posible emplear grupos en un tipo de pantalla personalizada a fin de organizar los dispositivos en
agrupaciones lógicas.
Antes de empezar
Agregue un tipo de pantalla personalizada (véase Administración de tipos de pantallas
personalizadas).
Procedimiento
1 En el panel de navegación del sistema, haga clic en la lista desplegable de tipo de pantalla.
2 Seleccione la pantalla personalizada y haga una de estas cosas:

Agregar un 1 Haga clic en un nodo de sistema o de grupo y, a continuación, haga clic en el
nuevo grupo
icono Agregar grupo de la barra de herramientas de acciones.
3 Arrastre y suelte los dispositivos de la pantalla para agregarlos al grupo.
Si el dispositivo forma parte de un árbol en la pantalla, se creará un nodo de

dispositivo duplicado. Es posible entonces eliminar el duplicado en el árbol de
sistemas.
Editar un
grupo Seleccione el grupo, haga clic en el icono Propiedades y realice cambios en la
página Propiedades de grupo.
Eliminar un Seleccione el grupo y haga clic en el icono Eliminar grupo . El grupo y los
grupo dispositivos contenidos en él se eliminarán de la pantalla personalizada. Los
dispositivos no se eliminarán del sistema.

3
Véase también
Eliminación de dispositivos duplicados en el árbol de navegación del

sistema
Los nodos de dispositivos duplicados pueden aparecer en el árbol de navegación del sistema cuando
se arrastran y sueltan dispositivos de un árbol de sistemas a un grupo o cuando existen grupos
configurados y se amplía el software de ESM. Se recomienda eliminarlos para evitar confusiones.
Procedimiento
1 En el panel de navegación del sistema, haga clic en la lista desplegable de tipo de pantalla.
2
Seleccione el icono Editar situado junto a la pantalla que incluye los dispositivos duplicados.
3 Anule la selección de los dispositivos duplicados y haga clic en Aceptar.
Los dispositivos que tenían duplicados aparecerán ahora solo una vez en su grupo correspondiente.
Administración de varios dispositivos

La opción Administración de varios dispositivos permite iniciar, detener y reiniciar varios dispositivos a la vez,
así como actualizar el software en ellos.
Procedimiento
1 En el árbol de navegación del sistema, seleccione los dispositivos que desee administrar.
2
Haga clic en el icono Administración de varios dispositivos de la barra de herramientas de acciones.
3 Seleccione la operación que desee realizar y los dispositivos en los que desee realizarla; a
continuación, haga clic en Iniciar.
Véase también
Página Administración de varios dispositivos en la página 69

3
Página Administración de varios dispositivos

Permite iniciar, detener, reiniciar o actualizar el software en varios dispositivos al mismo tiempo.

Opción Definición
Operación Seleccione la operación que desee realizar.
• Iniciar: inicia los dispositivos seleccionados.
• Detener: detiene los dispositivos seleccionados.
• Reiniciar: detiene y reinicia los dispositivos seleccionados.
• Actualizar: actualiza los dispositivos seleccionados con el software elegido en la
página Seleccionar archivo de actualización de software.
Nombre de dispositivo Ver una lista de los dispositivos que se pueden administrar.
Columna Incluir Seleccione los dispositivos.
Seleccionar todo Haga clic en esta opción para seleccionar todos los dispositivos.
No seleccionar nada Haga clic en esta opción para anular la selección de todos los dispositivos.
Iniciar Haga clic para iniciar la operación.
Columna Estado Permite ver el estado de la operación en cada dispositivo.
Cerrar Haga clic en esta opción para cerrar la página Administración de varios dispositivos. La
operación continuará hasta que finalice.
Véase también
Administración de varios dispositivos en la página 68
Administración de vínculos de URL para todos los dispositivos

Es posible configurar un vínculo por cada dispositivo a fin de ver la información de los dispositivos en
una dirección URL.
Antes de empezar
Configure el sitio de la dirección URL para el dispositivo.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en
Configuración personalizada | Vínculos de dispositivo.
2 Para agregar o editar una URL, resalte el dispositivo, haga clic en Editar e introduzca la URL.
El campo de URL tiene un límite de 512 caracteres.
Para acceder a la URL, haga clic en el icono Ejecutar URL de dispositivo en la parte inferior de las vistas
Análisis de eventos y Análisis de flujos de cada dispositivo.
Véase también
Página Vínculos de dispositivo predeterminados en la página 70

3
Página Vínculos de dispositivo predeterminados

Permite configurar o eliminar un vínculo de URL para un dispositivo.

Opción Definición
Columna Nombre de dispositivo Indica todos los dispositivos del ESM.
Columna URL Muestra las direcciones URL ya configuradas para cada dispositivo.
Editar Abre la página Editar URL, donde se puede escribir la dirección URL.
Quitar URL Permite eliminar la dirección URL del dispositivo seleccionado.
Véase también
Administración de vínculos de URL para todos los dispositivos en la página 69
Página Editar URL

Permite agregar la dirección URL del dispositivo seleccionado.

Opción Definición
URL Escriba la dirección del sitio URL correspondiente al dispositivo.
Icono Variable Si la dirección URL introducida incluye la dirección de una aplicación de terceros y
necesita adjuntar alguna variable a la dirección URL que representa los datos presentes
en eventos y flujos, haga clic en la ubicación dentro de la dirección URL donde insertar
la variable, haga clic en el icono de variable y seleccione la variable.
Visualización de informes de resumen de dispositivos

Los informes de resumen de dispositivos muestran los tipos y el número de dispositivos del ESM, así
como la última vez que cada uno de ellos recibió un evento. Estos informes se pueden exportar con
formato de valores separados por comas (CSV).
Procedimiento
Información del sistema | Ver informes.
2 Visualice o exporte los informes Recuento de tipos de dispositivos u Hora del evento.
Véase también
Página Informes de resumen de dispositivos en la página 71

3
Página Informes de resumen de dispositivos

Permite ver y exportar informes sobre todos los dispositivos del sistema.
Opción Definición
Recuento de tipos de dispositivos Ver una lista de los tipos de dispositivos y cuántos de cada tipo hay en el
ESM.
Hora del evento Ver la última vez que se recibió un evento en cada dispositivo del ESM.
Exportar a CSV Exportar un informe en formato CSV con esta información a la ubicación
especificada.
Véase también
Visualización de informes de resumen de dispositivos en la página 70
Visualización de un registro de sistema o dispositivo

Los registros de sistema y dispositivo muestran los eventos que se han producido en los dispositivos.
Es posible ver la página de resumen, que muestra el recuento de eventos y las horas del primer y el
último evento del ESM o el dispositivo, o bien ver una lista detallada de eventos en las páginas Registro
del sistema o Registro de dispositivo.
Procedimiento
1 Visualización de un resumen de datos de eventos:

• Datos del sistema: en Propiedades del sistema, haga clic en Registro del sistema.
• Datos del dispositivo: en la página Propiedades de un dispositivo, haga clic en Registro de dispositivo.
2 A fin de ver el registro de eventos, introduzca un intervalo de tiempo y haga clic en Ver.
Las páginas Registro del sistema o Registro de dispositivo indicarán todos los eventos generados durante el
intervalo de tiempo especificado.
Véase también
Página Registro del sistema en la página 71
Página de resumen Registro del sistema en la página 72
Página de vista previa Registro de dispositivo en la página 72
Página Registro de dispositivo en la página 73
Página Registro del sistema

Permite ver una lista detallada de los eventos y los cambios de la configuración de seguridad del ESM
durante el intervalo de tiempo especificado.

Opción Definición
Hora de inicio, Hora de fin Cambie el intervalo de tiempo de la lista de eventos y haga clic en
Actualizar.
Exportar Permite exportar porciones de todo el registro a un archivo de texto sin
formato. Es posible exportar un máximo de 50 000 registros de una
vez.

3

Opción Definición
Icono de filtro de la primera Seleccione este icono si desea ver todos los eventos, solo los
columna (Estado) relacionados con el estado o solo los no relacionados con el estado. Los
eventos de registro relacionados con el estado se generan en los
dispositivos individuales y se recuperan cuando se extraen eventos,
flujos y registros del dispositivo.
Icono de filtro de las Haga clic en él para filtrar los eventos por categoría, nombre de
columnas Categoría, Nombre y usuario o dispositivo.
Nombre de dispositivo
Véase también
Visualización de un registro de sistema o dispositivo en la página 71
Página de resumen Registro del sistema

Permite ver un resumen de los eventos generados y de todos los cambios de la configuración de
seguridad realizados en el ESM.

Opción Definición
Recuento de eventos Ver el número de eventos generados en el sistema.
Primer evento Ver la hora en que se generó el primer evento.
Último evento Ver la hora en que se generó el último evento.
Hora de inicio, Hora de fin Para ver una lista detallada de los eventos, seleccione el intervalo de tiempo
que desee ver.
Ver Haga clic aquí para abrir el Registro del sistema.
Véase también
Página de vista previa Registro de dispositivo

Permite ver un resumen de todos los cambios realizados en el dispositivo desde ESM.
Opción Definición
Recuento de eventos Número total de eventos registrados en el dispositivo.
Primer evento Fecha y hora en que tuvo lugar el primer evento del registro.
Último evento Fecha y hora en que tuvo lugar el último evento del registro.
Hora de inicio, Hora de fin Si desea ver los eventos de un intervalo de tiempo concreto, introduzca las
horas de inicio y fin en estos campos.
Ver Permite ver los eventos del intervalo de tiempo especificado.
Véase también

3
Página Registro de dispositivo

Permite ver detalles sobre los eventos que han tenido lugar en un dispositivo en el espacio de tiempo
especificado.
Opción Definición
Hora de inicio, Hora de fin Defina el intervalo de tiempo para los eventos que desee ver.
Actualizar Haga clic para actualizar los datos de la tabla.
Exportar Permite exportar los eventos que aparecen en el registro a un
archivo de texto sin formato.
Haga clic en ellos para filtrar los datos incluidos en el registro.
Iconos de filtrado del Cada filtro proporciona las opciones de filtrado correspondientes.
encabezado de la tabla
Véase también
Informes de estado de mantenimiento de los dispositivos

Cuando hay disponible un informe de estado, aparecen marcas de estado de color blanco
(informativo), amarillo (estado de dispositivo o inactividad) o rojo (crítico) junto a los nodos de
sistema, grupo o dispositivo en el árbol de navegación del sistema. Al hacer clic en la marca, la página

3
Alertas de estado de dispositivo proporciona distintas opciones para ver la información y solucionar cualquier
problema.
Una marca Abre...

en este tipo
de nodo...
Sistema o La página Alertas de estado de dispositivo - Resumen, que es un resumen de las alertas de
grupo estado correspondientes a los dispositivos asociados con el sistema o el grupo. Puede
mostrar las siguientes alertas de estado:
• Partición eliminada: una tabla de base de datos que contiene los datos de eventos,
flujos o registro ha alcanzado el tamaño máximo y ha eliminado una partición a fin
de agregar espacio para los registros nuevos. Los datos de eventos, flujos y registro
se pueden exportar para evitar su pérdida permanente.
• Espacio de unidad: una unidad de disco duro está llena o le queda poco espacio. Esto
podría incluir el disco duro del ESM, el ESM redundante o el punto de montaje
remoto.
• Crítico: el dispositivo no funciona bien y se debe arreglar.
• Advertencia: algo no funciona en el dispositivo como debería.
• Informativo: el dispositivo funciona bien pero su nivel de estado ha cambiado.
• Sin sincronizar: La configuración del dispositivo virtual, origen de datos o servidor de
base de datos del ESM no está sincronizada con el dispositivo.
• Reiniciada: la tabla de registro del dispositivo puede quedarse sin espacio, por lo que
se ha reiniciado. Esto significa que los registros nuevos están sobrescribiendo los
antiguos.
• Inactivo: el dispositivo no ha generado eventos o flujos en el periodo de tiempo fijado
como umbral de inactividad.
• Desconocido: el ESM no ha podido conectar con el dispositivo.
Los indicadores Partición eliminada, Espacio de unidad, Reiniciada e Informativo se pueden borrar
marcando las casillas de verificación situadas junto a los indicativos y haciendo clic en
Borrar selección o Borrar todo.
Dispositivo La página Alertas de estado de dispositivo, que contiene botones para acceder a las
ubicaciones donde se deben resolver los problemas. Podría incluir los siguientes
botones:
• Registro: las páginas Registro del sistema (para el ESM local) o Registro de dispositivo
muestran un resumen de todas las acciones que han tenido lugar en el sistema o el
dispositivo.
• Dispositivos virtuales, Orígenes de datos, Orígenes de evaluación de vulnerabilidades o Servidores de
base de datos: indica los dispositivos de este tipo que hay en el sistema, lo cual
permite comprobar la existencia de problemas.
• Inactivo: la página Umbral de inactividad muestra la configuración de umbral de todos los
dispositivos. Este indicador señala que el dispositivo no ha generado ningún evento
en el intervalo de tiempo especificado.
Aparece un indicador informativo siempre que un subsistema se recupera de un estado de advertencia

o crítico. A continuación se ofrece una descripción de cada tipo de indicador informativo.

3
Estado Descripción e instrucciones

Modo de omisión La interfaz de red (NIC) está en el modo de omisión. Entre las causas
posibles están el fallo de un proceso de sistema crítico, el
establecimiento manual del dispositivo en el modo de omisión o un
fallo de otro tipo. Si desea sacar el dispositivo del modo de omisión,
acceda en el dispositivo a Propiedades | Configuración | Interfaces.
No se está ejecutando la Se ha producido un fallo de inspección profunda de paquetes (DPI).
inspección profunda de Podría recuperarse sin necesidad de intervención. Si no es así, reinicie
paquetes (DPI) el dispositivo.
El programa de alerta de Se ha producido un fallo de funcionamiento del agregador de alertas
firewall (ngulogd) no se está de firewall (FAA). Podría recuperarse sin necesidad de intervención. Si
ejecutando no es así, reinicie el dispositivo.
La base de datos no se está Se ha producido un fallo de funcionamiento en el servidor de McAfee
ejecutando Extreme Database (EDB). Puede que el problema se resuelva
reiniciando el dispositivo, pero cabe la posibilidad de que la base de
datos necesite reconstrucción.
Modo de sobresuscripción Si la red supervisada tiene un tráfico superior al que Nitro IPS puede
gestionar, los paquetes de red podrían no inspeccionarse. El monitor
de estado genera una alerta que indica que existe sobresuscripción en
el dispositivo Nitro IPS. De forma predeterminada, el valor del modo
de sobresuscripción está configurado para la supresión. Si desea
cambiar este valor, acceda a Editor de directivas, haga clic en Variable en el
panel Tipos de regla, amplíe la variable packet-inspection y seleccione Heredar
para la variable OVERSUBSCRIPTION_MODE. Se admiten los valores Paso y
Supresión para esta variable.
El canal de control no El proceso que proporciona el canal de comunicación con el ESM ha
funciona fallado. El problema se podría solucionar reiniciando el dispositivo.
Los programas RDEP o Si existe un fallo de funcionamiento en el subsistema que gestiona los
Syslog no se están orígenes de datos de terceros (como Syslog o SNMP), se genera una
ejecutando alerta crítica. Se genera una alerta de nivel de advertencia si el
recopilador no ha recibido datos del origen de datos de tercero durante
una cantidad de tiempo concreta. Esto indica que el origen de datos
podría no estar funcionando o no estar enviando datos al receptor
como se esperaba.
El monitor de estado no se El monitor de estado no es capaz de comunicarse con la inspección
puede comunicar con el profunda de paquetes (DPI) para recuperar su estado. Esto podría
programa controlador de indicar que el programa de control no se está ejecutando y que el
inspección profunda de tráfico de red podría no estar pasando por Nitro IPS. Es posible que el
paquetes (DPI) problema se solucione volviendo a aplicar la directiva.
El registrador del sistema no El registrador del sistema no responde. El problema se podría
se está ejecutando solucionar con el reinicio del dispositivo.
Queda poco espacio libre en La cantidad de espacio libre es crítica.
la partición del disco duro
Alerta de velocidad de El ventilador gira muy lentamente o no se mueve en absoluto. Hasta
ventilador que se pueda reemplazar el ventilador, mantenga el dispositivo en una
sala con aire acondicionado a fin de evitar daños.
Alerta de temperatura La temperatura de los componentes críticos supera un cierto umbral.
Mantenga el dispositivo en una habitación con aire acondicionado para
evitar daños permanentes. Compruebe si hay algo bloqueando el flujo
de aire en el dispositivo.
Errores de red Existen errores en la red o un exceso de colisiones en ella. La causa
podría ser un dominio con mucha colisión o fallos en los cables de red.
Problema en un punto de Existe un problema en un punto de montaje remoto.
montaje remoto

3
Estado Descripción e instrucciones

Poco espacio de disco libre Queda poco espacio libre en el disco del punto de montaje remoto.
en punto de montaje remoto
Todos los recopiladores de El receptor no ha recibido comunicación alguna de un origen de datos
origen de datos que no han durante un mínimo de diez minutos.
recibido comunicación de un
origen de datos durante al
menos diez minutos
El recopilador de orígenes de Existe un fallo de funcionamiento en el subsistema que controla los
datos no funciona orígenes de datos de terceros (como Syslog o SNMP). El recopilador no
ha recibido ningún dato del origen de datos de terceros en una
cantidad de tiempo concreta. Puede que el origen de datos no esté
funcionando o no esté enviando datos al receptor como se esperaba.
El monitor de estado no El monitor de estado no ha podido obtener un estado válido para un
puede obtener un estado subsistema.
válido de un subsistema
Recuperación de un Cuando se inicia y se detiene el monitor de estado, se genera una
subsistema de un estado de alerta informativa. Si el monitor de estado tiene problemas de
advertencia o crítico comunicación con otros subsistemas del dispositivo, también se genera
una alerta. Es posible que el registro de eventos proporcione detalles
sobre las causas de las alertas de advertencia y críticas.
Eliminación de un grupo o dispositivo

Cuando un dispositivo ya no forme parte del sistema o ya no se emplee un grupo, elimínelos del árbol
de navegación del sistema.
Procedimiento
1 En el árbol de navegación del sistema, resalte el dispositivo o el grupo que desee eliminar y haga
clic en el icono Eliminar de la barra de acciones.
2 Cuando se le solicite confirmación, haga clic en Aceptar.
Actualización de dispositivos
Es posible actualizar manualmente los dispositivos del sistema para que su información coincida con la
del ESM.
•
En la barra de herramientas de acciones, haga clic en el icono Actualizar dispositivos .
Conecte los dispositivos físicos y virtuales a McAfee ESM para permitir el análisis forense, la
supervisión de aplicaciones y bases de datos, la correlación avanzada basada en reglas y riesgo, y la
generación de informes de conformidad en tiempo real.
Véase también
Página Configuración del dispositivo en la página 77
Contenido
Página Configuración del dispositivo
Configuración de Event Receiver

3
Configuración de Enterprise Log Manager (ELM)

Configuración de Advanced Correlation Engine (ACE)
Configuración de Application Data Monitor (ADM)
Configuración de Database Event Monitor (DEM)
Configuración del ESM distribuido (DESM)
Configuración de ePolicy Orchestrator
Configuración de Nitro Intrusion Prevention System (Nitro IPS)
Configuración de McAfee Vulnerability Manager
Configuración de McAfee Network Security Manager
Página Configuración del dispositivo

Permite configurar y aplicar las opciones del dispositivo. Las opciones de configuración disponibles
varían en función del tipo de dispositivo.
Opción Definición
Configuración de la ACL Configure las opciones de control de acceso para restringir el acceso al
dispositivo.
Configurar opciones Definir la configuración de los registros de DEM.
avanzadas de DEM
Aplicar Haga clic aquí para escribir las opciones de configuración en el DEM.
Compresión Establecer el nivel de compresión que se debe aplicar a todos los datos que
entran en el ELM.
Datos Seleccionar el tipo de datos que se enviarán del ESM al dispositivo.
Archivado de datos Configurar el receptor para reenviar una copia de seguridad de los datos sin
procesar al dispositivo de almacenamiento para su almacenamiento a largo
plazo.
IP de ELM Si ha elegido enviar los datos de este dispositivo al ELM, puede actualizar la
dirección IP del ELM al que está vinculado el dispositivo.
Flujo Activar o desactivar el registro de datos de flujo.
Interfaz Configurar las interfaces de red del dispositivo con el ESM.
Licencia Ver y actualizar la información de licencias del DEM.
Registro Si dispone de un dispositivo ELM en el sistema, establezca el grupo de registro
predeterminado para el dispositivo en caso de que desee que los datos
recibidos se envíen al ELM.
Migrar base de datos En un dispositivo ELM, permite configurar una ubicación alternativa para
almacenar los registros generados.
Configuración NTP Sincronizar la hora del dispositivo con un servidor NTP.
Contraseñas Si la regla correspondiente al evento cuyos datos de sesión está visualizando
está relacionada con las contraseñas, seleccione esta opción en caso de que
desee que la contraseña asociada al evento aparezca en el Visor de sesión.
Restaurar configuración Restaurar el archivo de configuración del dispositivo, guardado durante el
proceso de copia de seguridad de ESM. Esta copia de seguridad incluye
archivos .conf para SSH, red, SNMP, etc.
Capturas SNMP Configurar las capturas SNMP generadas por el dispositivo.
Sincronizar dispositivo Sincronizar la configuración del origen de datos del dispositivo o del
dispositivo virtual con la de ESM. Si va a sincronizar un receptor, los
dispositivos dependientes del receptor también se agregarán como
dispositivos a McAfee ESM.

3

Opción Definición
Sincronizar ELM Si ha elegido enviar los datos de este dispositivo al ELM, sincronice el ELM con
el dispositivo.
Sincronizar archivos Haga clic aquí para sincronizar todos los archivos de configuración del DEM.
Zona horaria Configurar el ADM para ajustarlo a su zona horaria.
Véase también
Configuración de dispositivos en la página 76
Configuración de Event Receiver

Event Receiver permite la recopilación de eventos de seguridad y datos de flujo de red mediante orígenes
de varios proveedores, incluidos firewalls, redes privadas virtuales (VPN), enrutadores, Nitro IPS/IDS,
NetFlow, sFlow, etc.
Event Receiver permite la recopilación de estos datos y los normaliza a fin de obtener una solución única
que se puede administrar. Esto ofrece una vista única de los dispositivos de diversos proveedores,
tales como Cisco, Check Point o Juniper, y permite la recopilación de datos de eventos y flujos en
dispositivos Nitro IPS y enrutadores que envían datos al receptor.
Se pueden utilizar receptores de disponibilidad alta en modo principal y secundario que actúen como
copia de seguridad uno de otro. El receptor secundario (B) supervisa de forma continua el receptor
principal (A), y los cambios de configuración o de información de directiva se envían a ambos
dispositivos. Cuando el receptor B determina que el receptor A ha fallado, desconecta la NIC del origen
de datos del receptor A de la red y se convierte en el nuevo dispositivo principal. Este receptor seguirá
actuando como principal hasta que el usuario intervenga manualmente a fin de restaurar el receptor A
como principal.
Véase también
Visualización de eventos de transmisión en la página 78
Receptores de disponibilidad alta en la página 79
Archivado de datos de receptor sin procesar en la página 90
Visualización de eventos de transmisión

®
El Visor de transmisiones muestra una lista de los eventos que va generando McAfee ePO, McAfee Network
Security Manager, el receptor, el origen de datos, el origen de datos secundario o el cliente
seleccionados. Es posible filtrar la lista y seleccionar un evento para mostrarlo en una vista.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el dispositivo que quiera ver y, después, haga clic
en el icono Ver eventos de transmisión en la barra de herramientas de acciones.
2 Haga clic en Iniciar para dar comienzo a la transmisión y en Detener para pararla.
3 Seleccione cualquiera de las acciones disponibles en el visor.
Véase también
Página Visor de transmisiones en la página 79

3
Página Visor de transmisiones

®
Permite ver un flujo de los eventos generados por McAfee ePO, McAfee Network Security Manager, el
receptor, el origen de datos, el origen de datos secundario o el cliente seleccionados.
Opción Definición
Inicio Iniciar la transmisión.
Detener Detener la transmisión.
Tabla Permite ver los eventos a medida que entran en el dispositivo.
Sección Paquete Permite ver los detalles del evento seleccionado.
Icono Filtros A fin de filtrar los eventos a medida que se generan, haga clic aquí e introduzca la
información que desee filtrar. Solo se muestran los eventos que coinciden con los
filtros.
Icono Columnas Cambiar las columnas que aparecen en la tabla de transmisión.
Icono Borrar todo Borrar la lista actual de eventos.
Icono Ejecutar vista Ver el evento seleccionado en una vista. Para verla, cierre el visor. El evento
aparecerá en la sección de vistas de la consola.
Véase también
Visualización de eventos de transmisión en la página 78
Receptores de disponibilidad alta

Los receptores de disponibilidad alta se emplean en los modos principal y secundario a fin de que el
receptor secundario pueda asumir de forma fluida las funciones del receptor principal cuando falla.
Esto proporciona una continuidad en la recopilación de datos muy superior a que la que ofrece un
único receptor.
La función de receptores de disponibilidad alta no es conforme a FIPS. Si está obligado a adecuarse a

las normativas de FIPS, no utilice esta función.
Esta configuración consta de dos receptores, uno que actúa como principal o preferido y otro que
actúa como secundario. El receptor secundario supervisa el principal de forma continua. Cuando el
secundario determina que el principal ha fallado, lo detiene y asume su función.
Una vez reparado el principal, se convierte en secundario o pasa de nuevo a ser el principal. Esto se
determina mediante la opción seleccionada en el campo Dispositivo principal preferido de la ficha Receptor de
disponibilidad alta (véase Configuración de dispositivos receptores de disponibilidad alta.
Se pueden adquirir los siguientes modelos de receptor con la función de disponibilidad alta:
• ERC-1225-HA • ERC-1250-HA
• ERC-2230-HA • ERC-1260-HA
• ERC-2250-HA • ERC-2600-HA
• ERC-4245-HA • ERC-4600-HA
• ERC-4500-HA
Estos modelos incluyen un puerto Intelligent Platform Management Interface (IPMI) y un mínimo de 4
NIC, que son necesarias para las funciones de disponibilidad alta (véase Puertos de red de los
receptores de disponibilidad alta).

3
Las tarjetas IPMI eliminan la posibilidad de que las NIC de ambos dispositivos empleen las direcciones
IP y MAC compartidas a la vez, para lo cual se apaga el receptor con el fallo. Las tarjetas IPMI se
conectan mediante un cable cruzado o directo al otro receptor. Los receptores se conectan mediante
un cable cruzado o directo a la NIC de latido. Existe una NIC de administración para la comunicación
con el ESM, así como una NIC de origen de datos para recopilar datos.
Cuando el receptor principal funciona bien y el receptor secundario está en modo secundario, ocurre lo
siguiente:
• Los receptores se comunican constantemente a través de la NIC de latido y la NIC de

administración dedicadas.
• Cualquier certificado recibido, como los de OPSEC o Estreamer, se pasa al otro receptor del par.
• Todos los orígenes de datos utilizan la NIC de origen de datos.
• Cada receptor supervisa su propio estado e informa de él. Esto incluye elementos de estado
internos como errores de disco, bloqueos de base de datos y vínculos perdidos en las NIC.
• El ESM se comunica con los receptores periódicamente para determinar su estado.
• La información de configuración nueva se envía a los dos receptores, el principal y el secundario.
• El ESM también envía la directiva a los dos receptores.
• Las funciones Detener/Reiniciar/Terminal/Call Home se aplican a cada receptor por separado.
En las secciones siguientes se explica lo que ocurre cuando un receptor de disponibilidad alta
experimenta problemas.
Fallo del receptor principal

El responsable de determinar un fallo del receptor principal es el receptor secundario. Debe
determinar el fallo de forma rápida y precisa para minimizar la fuga de datos. Si se produce la
conmutación en caso de error, se pierden todos los datos desde el último envío de datos del dispositivo
principal al ESM y el ELM. La cantidad de datos perdidos depende del rendimiento del receptor y la
tasa con la que el ESM extrae los datos del receptor. Estos procesos rivales se deben equilibrar
cuidadosamente para optimizar la disponibilidad de los datos.
Cuando el receptor principal falla completamente (por ejemplo en caso de corte del suministro de
alimentación o fallo de la CPU), no existe comunicación de latido con el receptor principal. Corosync
reconoce la pérdida de comunicación y marca el receptor principal como fallido. En el receptor
secundario, Pacemaker solicita que la tarjeta IPMI del receptor principal apague el receptor principal.
El receptor secundario asume entonces las direcciones IP y MAC compartidas, e inicia todos los
recopiladores.
Fallo del receptor secundario

El proceso de fallo secundario se produce cuando el receptor secundario deja de responder a la
comunicación de latido. Esto significa que el sistema no ha podido comunicarse con el receptor
secundario tras intentarlo durante un periodo de tiempo mediante las interfaces de administración y
latido.
Si el principal no es capaz de obtener señales de latido e integridad, Corosync marca el secundario

como fallido y Pacemaker utiliza la tarjeta IPMI del secundario para apagarlo.
Problema de estado del dispositivo principal

El estado del receptor principal puede correr riesgos serios. Entre estos riesgos serios están una base
de datos que no responde, una interfaz de origen de datos que no responde y un número excesivo de
errores de disco.

3
Cuando el receptor principal detecta una alerta de Healthmon por cualquiera de estas situaciones,
pone fin a los procesos de Corosync y Pacemaker, además de definir una alerta de Healthmon. La
terminación de estos procesos hace que las tareas de recopilación de datos se transfieran al receptor
secundario.
Problema de estado del dispositivo secundario

Cuando el estado del receptor secundario está en grave peligro, ocurre lo siguiente:
• El receptor secundario informa de los problemas al ESM cuando recibe una consulta y pone fin a los
procesos de Corosync y Pacemaker.
• Si el receptor secundario sigue formando parte del clúster, se elimina a sí mismo del clúster y deja
de estar disponible en caso de fallo del receptor principal.
• El problema de estado se analiza y se intenta repararlo.
• Si el problema de estado se resuelve, el receptor se devuelve a su funcionamiento normal

mediante el procedimiento Nueva puesta en servicio.
• Si el problema de estado no se resuelve, se inicia el proceso Sustitución de un receptor fallido.
Nueva puesta en servicio

Cuando se vuelve a poner en servicio un receptor tras un fallo (por ejemplo, reinicio tras un fallo de
alimentación, reparación del hardware o reparación de la red), ocurre lo siguiente:
• Los receptores que están en modo de disponibilidad alta no empiezan a recopilar datos tras el
inicio. Permanecen en modo secundario hasta que se establecen como principal.
• El dispositivo principal preferido asume la función de principal y empieza a utilizar la IP de origen

de datos compartida y a recopilar datos. Si no existe un dispositivo principal preferido, el
dispositivo principal en ese momento empieza a utilizar la IP de origen de datos compartida y a
recopilar datos.
Para obtener detalles sobre este proceso, consulte Sustitución de un receptor fallido.
Ampliación de receptor de disponibilidad alta

El proceso de ampliación del receptor de disponibilidad alta amplía ambos receptores secuencialmente,
empezando por el secundario. Ocurre de la siguiente forma:
1 El archivo de ampliación se carga al ESM y se aplica al receptor secundario.
2 Se intercambia la función de los receptores principal y secundario mediante el proceso Intercambio

de funciones de receptor de disponibilidad alta, de forma que el receptor ampliado sea ahora el
principal y el que no se ha ampliado aún sea el secundario.
3 El archivo de ampliación se aplica al nuevo receptor secundario.
4 Se vuelven a intercambiar las funciones de los receptores principal y secundario mediante el

proceso Intercambio de funciones de receptor de disponibilidad alta, de forma que los receptores
asuman de nuevo sus funciones originales.
A la hora de realizar una ampliación, es mejor no tener un receptor principal preferido. Consulte
Si su receptor de disponibilidad alta está configurado con un receptor principal preferido, es mejor
cambiar la configuración antes de ampliar. En la ficha Receptor de disponibilidad alta (véase Configuración de
dispositivos receptores de disponibilidad alta), seleccione Ninguno en el campo Dispositivo principal preferido.
Esto permite utilizar la opción Conmutación en caso de error, la cual no está disponible si se ha configurado
un receptor principal preferido. Una vez ampliados ambos receptores, puede aplicar la configuración
de receptor principal preferido de nuevo.

3
Véase también
Configuración de dispositivos receptores de disponibilidad alta en la página 83
Reinicialización del dispositivo secundario en la página 84
Configuración del receptor de disponibilidad alta con IPv6 en la página 84
Restablecimiento de dispositivos de disponibilidad alta en la página 85
Intercambio de funciones de receptores de disponibilidad alta en la página 86
Ampliación de los receptores de disponibilidad alta en la página 87
Comprobación del estado de receptores de disponibilidad alta en la página 88
Sustitución de un receptor con problemas en la página 89
Solución de problemas en un receptor fallido en la página 90
Puertos de red de los receptores de disponibilidad alta

Estos diagramas indican cómo conectar los puertos de red de un receptor de disponibilidad alta.
Creación de una conexión entre receptores de disponibilidad alta 1U

3
Creación de una conexión entre receptores de disponibilidad alta 2U
Configuración de dispositivos receptores de disponibilidad alta

Defina la configuración de los dispositivos receptores de disponibilidad alta.
Antes de empezar
Agregue el receptor que actúa como dispositivo principal (véase Adición de dispositivos a la
consola de ESM). Debe disponer de tres o más NIC.
La función de receptores de disponibilidad alta no es conforme a FIPS. Si está obligado a

adecuarse a las normativas de FIPS, no utilice esta función.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el receptor que será el dispositivo disponibilidad
alta principal y haga clic en el icono Propiedades .
2 Haga clic en Configuración del receptor y, después, en Interfaz.

3
3 Haga clic en la ficha Receptor de disponibilidad alta y seleccione la opción Configurar alta disponibilidad.
4 Rellene la información solicitada y, después, haga clic en Aceptar.
Esto inicia el proceso de aplicación de la clave al segundo receptor, actualiza la base de datos, aplica
globals.conf y sincroniza ambos receptores.
Véase también
Reinicialización del dispositivo secundario

Si se retira del servicio el receptor secundario por cualquier motivo, deberá reinicializarlo después de
volver a instalarlo.
Procedimiento
1 En el árbol de navegación del sistema, seleccione la opción Propiedades de receptor correspondiente al

receptor principal y, después, haga clic en Configuración del receptor | Interfaz | Receptor de disponibilidad alta.
2 Verifique que la dirección IP correcta aparezca en el campo IP de administración secundaria.
3 Haga clic en Reinicializar secundario.
El ESM llevará a cabo los pasos necesarios para reinicializar el receptor.
Véase también
Configuración del receptor de disponibilidad alta con IPv6

Aplique este procedimiento para configurar la disponibilidad alta con IPv6, ya que no se puede
establecer manualmente la dirección IPv6 a través de la pantalla LCD.
Antes de empezar
• Asegúrese de que el ESM utilice IPv6, ya sea de forma manual o automática (Propiedades
del sistema | Configuración de red).
• Averigüe la dirección IP compartida, creada por el administrador de la red.

3
Procedimiento
1 En los dos los receptores del par de disponibilidad alta:

a Encienda el receptor y active IPv6 mediante la pantalla LCD.
b Desplácese hasta Mgt IP Configr | Mgt1 | IPv6 (Conf. IP admin. | Admin.1 | IPv6) y anote la dirección
IP de administración. Esto podría tardar algún tiempo debido a la latencia de la red.
2 Agregue uno de estos receptores al ESM (véase Adición de dispositivos a la consola de ESM).
• Nombre: nombre del par de disponibilidad alta.
• Dirección IP o URL de destino: dirección IPv6 de administración de este receptor de disponibilidad alta,
previamente anotada.
3 Seleccione el dispositivo recién agregado en el árbol de navegación del sistema y, después, haga
clic en Propiedades de receptor | Configuración del receptor | Interfaz.
4 En el campo Modo IPv6, seleccione Manual (el único modo admitido para la disponibilidad alta).
5 Haga clic en Configuración junto a la interfaz número 1, escriba la dirección IP compartida en el

campo IPv6 y haga clic en Aceptar.
Esta dirección se asigna a la interfaz compartida durante la configuración de la disponibilidad alta.

Si no se hace esto, la disponibilidad alta no ofrece una conmutación en caso de error correcta.
6 En Propiedades de receptor, haga clic en Conexión, introduzca la dirección IPv6 compartida en Nombre/
Dirección IP de destino y haga clic en Aceptar.
7 Continúe con el proceso de configuración de la disponibilidad alta que se incluye en Configuración

de dispositivos receptores de disponibilidad alta.
Véase también
Restablecimiento de dispositivos de disponibilidad alta

Si necesita restablecer los receptores de disponibilidad alta al estado en el que se encontraban antes
de configurarlos como tales, puede hacerlo en la consola de ESM o, si falla la comunicación con los
receptores, en el menú de la pantalla LCD.
• Siga uno de estos procedimientos:

3

Restablecer un 1 En el árbol de navegación del sistema, haga clic en Propiedades de receptor y,
receptor en la después, haga clic en Configuración del receptor | Interfaz.
consola de ESM
2 Anule la selección de Configurar alta disponibilidad y haga clic en Aceptar.
3 Haga clic en Sí en la página de advertencia y, después, en Cerrar.

Ambos receptores se reiniciarán tras un tiempo de espera de unos cinco
minutos a fin de devolver las direcciones MAC a sus valores originales.
Restablecer el 1 En el menú LCD del receptor, pulse X.

receptor principal o
secundario en el 2 Pulse la flecha hacia abajo hasta que vea Disable HA (Desactivar
menú de la pantalla disponibilidad alta).
LCD
3 Pulse la flecha hacia la derecha una vez para acceder a Disable Primary
(Desactivar principal) en la pantalla LCD.
4 Para restablecer el receptor principal, pulse la marca de verificación.
5 Para restablecer el receptor secundario, pulse la flecha hacia abajo una

vez y, después, la marca de verificación.
Véase también
Intercambio de funciones de receptores de disponibilidad alta

Este proceso de intercambio iniciado por el usuario permite intercambiar las funciones de los
receptores principal y secundario.
Puede que sea necesario hacerlo para ampliar un receptor, cuando se prepara un receptor para
devolverlo al fabricante o cuando se mueven los cables de un receptor. Este intercambio minimiza la
cantidad de datos perdidos.
Si un recopilador (incluido el dispositivo correspondiente a McAfee ePO) está asociado con un receptor
de disponibilidad alta y se produce una conmutación en caso de error, el recopilador no se podrá
comunicar con el receptor de disponibilidad alta hasta que los conmutadores situados entre ambos
asocien la nueva dirección MAC del receptor que ha fallado con la dirección IP compartida. Esto puede
tardar desde unos minutos a varios días, en función de la configuración de la red.

3
Procedimiento
1 En el árbol de navegación del sistema, seleccione el dispositivo receptor de disponibilidad alta y
haga clic en el icono Propiedades .
2 Seleccione Disponibilidad alta | Conmutación en caso de error. Ocurrirá lo siguiente:

• El ESM indica al receptor secundario que inicie el uso de la IP de origen de datos compartida y
recopile datos.
• El receptor secundario emite un comando de Cluster Resource Manager (CRM) a fin de

intercambiar las direcciones IP y MAC compartidas, además de iniciar los recopiladores.
• El ESM extrae todos los datos de alertas y flujos del receptor principal.
• El ESM marca el receptor secundario como principal y el principal como secundario.
Véase también
Ampliación de los receptores de disponibilidad alta

El proceso de ampliación de receptor de disponibilidad alta amplía ambos receptores secuencialmente,
empezando por el secundario.
Antes de empezar con el proceso de ampliación, realice el proceso Comprobación del estado de
receptores de disponibilidad alta a fin de asegurarse de que los dispositivos receptores de disponibilidad
alta estén listos para la ampliación. En caso contrario, pueden surgir problemas con la ampliación de los
dispositivos y producirse un periodo de inactividad.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el dispositivo receptor de disponibilidad alta y
2 Amplíe el receptor secundario:

a Haga clic en Administración del receptor y seleccione Secundario.
b Haga clic en Actualizar dispositivo, seleccione el archivo que desee usar o navegue hasta él y haga
clic en Aceptar.
El receptor se reiniciará y se actualizará la versión del software.
c En Propiedades de receptor, haga clic en Disponibilidad alta | Volver a poner en servicio.
d Seleccione el receptor secundario y haga clic en Aceptar.

3
3 Convierta el receptor secundario en principal haciendo clic en Disponibilidad alta | Conmutación en caso de
error.
4 Amplíe el receptor secundario, para lo cual deberá repetir el paso 2.
Véase también
Comprobación del estado de receptores de disponibilidad alta

Es posible determinar el estado de un par de receptores de disponibilidad alta antes de llevar a cabo
una ampliación.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el dispositivo receptor de disponibilidad alta
principal y haga clic en el icono Propiedades .
2 En los campos Estado y Estado de secundario, compruebe que el estado sea OK; Estado de disponibilidad alta
del dispositivo: online.
3 Acceda mediante Secure Shell (o SSH) a cada uno de los receptores de disponibilidad alta y ejecute
el comando ha_status en la interfaz de línea de comandos de ambos receptores. La información
resultante muestra el estado de este receptor y el estado que este receptor piensa que tiene el
otro. Tiene un aspecto similar a este:
OK
hostname=McAfee1
mode=primary
McAfee1=online
McAfee2=online
sharedIP=McAfee1
stonith=McAfee2
corosync=running
hi_bit=no

3
4 Compruebe lo siguiente en la información anterior:

• La primera línea de la respuesta es OK.
• El valor de hostname es el mismo que el nombre de host que aparece en la línea de comandos
menos el número de modelo del receptor.
• El valor de mode es primary si el valor de sharedIP coincide con el nombre de host de este
receptor; de lo contrario, el modo será secondary.
• Las siguientes dos líneas muestran los nombres de host de los receptores del par de
disponibilidad alta e indican el estado de funcionamiento de cada uno. El estado en ambos casos
es online.
• La línea correspondiente a corosync= muestra el estado de funcionamiento de corosync, que

debería ser running.
• El valor de hi_bit es no en un receptor y yes en el otro. No importa si se trata de uno o de

otro.
Asegúrese de que solo uno de los receptores de disponibilidad alta se defina con el valor hi_bit.
Si ambos receptores de disponibilidad alta tienen el mismo valor, debería ponerse en contacto
con el Soporte de McAfee antes de realizar la ampliación a fin de corregir esta opción mal
configurada.
5 Acceda mediante Secure Shell (o SSH) a cada uno de los receptores de disponibilidad alta y ejecute
el comando ifconfig en la interfaz de línea de comandos de ambos.
6 Compruebe lo siguiente en los datos generados:

• Las direcciones MAC de eth0 y eth1 son exclusivas en ambos receptores.
• El receptor principal tiene la dirección IP compartida en eth1 y el receptor secundario no tiene

dirección IP en eth1.
Si ambos receptores de disponibilidad alta tienen el mismo valor, llame al Soporte de McAfee
antes de realizar la ampliación a fin de corregir esta opción mal configurada.
Estas comprobaciones garantizan que el sistema funciona y que no existe duplicación de direcciones
IP, lo que implica que los dispositivos se pueden ampliar.
Véase también
Sustitución de un receptor con problemas

Si un receptor secundario tiene un problema de estado que no se puede resolver, puede ser necesario
sustituirlo. Cuando tenga el receptor nuevo, instálelo de acuerdo con los procedimientos contenidos en
la Guía de instalación de McAfee ESM. Una vez que estén definidas las direcciones IP y los cables
conectados, puede proceder a introducir el receptor en el clúster de disponibilidad alta.

3
Procedimiento

receptor de disponibilidad alta y, después, haga clic en Configuración del receptor | Interfaz.
2 Haga clic en la ficha Receptor de disponibilidad alta y compruebe que esté seleccionada la opción Configurar
alta disponibilidad.
3 Verifique que las direcciones IP sean correctas y haga clic en Reinicializar secundario.
El nuevo receptor se integrará en el clúster y se restablecerá el modo de disponibilidad alta.
Véase también
Solución de problemas en un receptor fallido

Si un receptor de una instalación de disponibilidad alta deja de funcionar por cualquier motivo, falla la
escritura de orígenes de datos, opciones de configuración global, opciones de configuración de
agregación, etc., y aparece un error de SSH.
De hecho, la configuración se despliega en el receptor que sigue funcionando, pero aparece un error
cuando no se puede sincronizar con el receptor que no funciona. No obstante, la directiva no se
despliega. En esta situación, existen las siguientes opciones:
• Espere a que haya un receptor secundario disponible y sincronizado para desplegar la directiva.
• Saque el receptor del modo de disponibilidad alta, lo cual provoca entre dos y cinco minutos de
inactividad en el clúster de disponibilidad alta durante los cuales no se recopilan eventos.
Véase también
Archivado de datos de receptor sin procesar

Es posible configurar el receptor de forma que reenvíe una copia de seguridad de los datos sin
procesar al dispositivo de almacenamiento para su almacenamiento a largo plazo.
Los tres tipos de almacenamiento admitidos por el ESM son Server Message Block/Common Internet
File System (SMB/CIFS), Network File System (NFS) y reenvío de syslog. SMB/CIFS y NFS almacenan,
en forma de archivos de datos, una copia de seguridad de todos los datos sin procesar enviados al

3
receptor por orígenes de datos que emplean protocolos de correo electrónico, eStream, HTTP, SNMP,
SQL, syslog y agente remoto. Estos archivos de datos se envían al archivo de almacenamiento cada
cinco minutos. El reenvío de syslog envía los datos sin procesar para los protocolos de syslog a modo
de un flujo continuo de syslogs combinados al dispositivo configurado en la sección Reenvío de syslog de
la página Configuración de archivado de datos. El receptor puede reenviar solamente a un tipo de
almacenamiento en cada ocasión; es posible configurar los tres tipos, pero solo se puede activar uno
de ellos para el archivado de datos.
Esta función no admite los tipos de orígenes de datos Netflow, Sflow e IPFIX.
Véase también
Definición de la configuración de archivado en la página 91
Definición de la configuración de archivado

A fin de almacenar los datos sin procesar de los mensajes de syslog, es necesario configurar las
opciones empleadas por el receptor para el archivado.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después, haga clic en
Configuración del receptor | Archivado de datos.
2 Seleccione el tipo de recurso compartido e introduzca la información solicitada.
Se debe abrir el puerto 445 en el sistema con el recurso compartido CIFS para activar una conexión
de recurso compartido CIFS. De igual forma, se debe abrir el puerto 135 en el sistema con el
recurso compartido SMB para el establecimiento de una conexión SMB.
3 Cuando esté listo para aplicar los cambios al dispositivo receptor, haga clic en Aceptar.
Véase también
Archivado de datos de receptor sin procesar en la página 90
Página Configuración de archivado de datos en la página 91
Página Configuración de archivado de datos

Permite configurar las opciones empleadas por el receptor para el archivado.
Tabla 3-32 Definiciones de opciones de recurso compartido de SMB/CIFS

Opción Definición
Tipo de recurso compartido Seleccione el tipo de recurso compartido SMB o CIFS.
Dirección IP Escriba la dirección IP del recurso compartido.

Nombre de recurso compartido Escriba el nombre del recurso compartido.
Ruta Escriba el subdirectorio del recurso compartido donde se deben almacenar
los datos archivados (por ejemplo, TMP/Almacenamiento). Si el
almacenamiento se produce en el directorio raíz del recurso compartido,
no se requiere la ruta de acceso.

3
Tabla 3-32 Definiciones de opciones de recurso compartido de SMB/CIFS (continuación)

Opción Definición
Nombre de usuario y Escriba un nombre de usuario válido para conectar con el recurso
Contraseña compartido y, después, la contraseña correspondiente a la cuenta de
usuario utilizada durante la conexión con el recurso compartido.
No utilice comas en la contraseña a la hora de conectar con un recurso

compartido SMB/CIFS.
Conectar Permite probar la conexión.
Tabla 3-33 Definiciones de opciones de recurso compartido NFS

Opción Definición
Dirección IP Escriba la dirección IP del punto de montaje y, después, su nombre.
Punto de montaje Escriba el nombre del punto de montaje.

Ruta Escriba el subdirectorio del recurso compartido donde se deben almacenar los datos
archivados (por ejemplo, TMP/Almacenamiento). Si el almacenamiento se produce en
el directorio raíz del recurso compartido, no se requiere la ruta.
Tabla 3-34 Definiciones de opciones de recurso compartido de reenvío de syslog

Opción Definición
Dirección IPv4 o Dirección IPv6 Escriba la dirección IP del servidor de syslog al que se debe reenviar el
flujo de datos.
Ruta IPv4 o Ruta IPv6 Escriba el puerto del servidor de syslog al que se debe reenviar el flujo de
datos.
Véase también
Definición de la configuración de archivado en la página 91
Visualización de los eventos de origen de los eventos de correlación

Es posible ver los eventos de origen de un evento de correlación en la vista Análisis de eventos.
Antes de empezar
Ya debe existir un origen de datos de correlación en el ESM (véase Origen de datos de
correlación y Adición de un origen de datos).
Procedimiento
1 En el árbol de navegación del sistema, expanda el receptor y haga clic en Motor de correlación.
2 En la lista de vistas, haga clic en Vistas de eventos y seleccione Análisis de eventos.
3 En la vista Análisis de eventos, haga clic en el signo más (+) en la primera columna junto al evento de
correlación.
Solo aparecerá el signo más si el evento de correlación tiene eventos de origen.
Los eventos de origen aparecen debajo del evento de correlación.

3
Visualización de estadísticas de rendimiento del receptor

Es posible ver las estadísticas de uso del receptor, que incluyen las tasas de entrada (recopilador) y
salida (analizador) de origen de datos de los últimos diez minutos, la última hora y las últimas 24
horas.
Antes de empezar
Verifique que dispone del privilegio Administración de dispositivo.
Procedimiento
1 En el árbol de navegación del sistema, seleccione un receptor y haga clic en el icono de
propiedades .
2 Haga clic en Administración del receptor | Ver estadísticas | Rendimiento.
3 Vea las estadísticas del receptor.
Si las tasas de entrada superan la tasa de salida en un 15 %, el sistema marca esa fila como crítica
(en las últimas 24 horas) o como advertencia (en la última hora).
4 Para filtrar el origen de datos, seleccione las opciones Todo, Crítico o Advertencia.
5 Seleccione la unidad de medida para mostrar las métricas: por número de kilobytes (KB) o por
número de registros.
6 Para actualizar los datos automáticamente cada diez segundos, seleccione la casilla de verificación
Actualizar automáticamente.
7 Para ordenar los datos, haga clic en el título de columna relevante.
Orígenes de datos de receptor

McAfee Event Receiver permite la recopilación de eventos de seguridad y datos de flujo de red
mediante orígenes de varios proveedores, incluidos firewalls, redes privadas virtuales (VPN),
enrutadores, Nitro IPS/IDS, NetFlow, sFlow, etc. Los orígenes de datos se emplean para controlar qué
datos de eventos debe recopilar el receptor y durante cuánto tiempo. Es necesario agregar orígenes
de datos y definir su configuración de manera que recopilen los datos requeridos.
La página Orígenes de datos es el punto de inicio para administrar los orígenes de datos del dispositivo
receptor. Proporciona una forma de agregar, editar y eliminar orígenes de datos, así como de
importarlos, exportarlos y migrarlos. También se pueden agregar orígenes de datos secundarios y
cliente.
Véase también
Adición de un origen de datos en la página 94
Selección del método de recopilación de orígenes de datos Leer final de archivo(s) en la página
131
Establecimiento del grupo de registro predeterminado en la página 58
Administración de orígenes de datos en la página 98
Establecimiento del formato de fecha para los orígenes de datos en la página 112
Importación de una lista de orígenes de datos en la página 116
Traslado de orígenes de datos a otro sistema en la página 129
Visualización de los archivos generados por los orígenes de datos en la página 132

3
Adición de un origen de datos

Es necesario configurar las opciones correspondientes a los orígenes de datos que hay que agregar al
receptor a fin de recopilar datos.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el receptor al que desee agregar el origen de
datos y haga clic en el icono Propiedades .
2 En Propiedades de receptor, haga clic en Orígenes de datos | Agregar.
3 Seleccione el proveedor y el modelo.
Los campos que hay que rellenar dependen de las selecciones realizadas.
El origen de datos se agregará a la lista de orígenes de datos del receptor, así como al árbol de
navegación del sistema, debajo del receptor seleccionado.
Véase también
131
Página Agregar origen de datos en la página 96
Página Orígenes de datos en la página 95
Página Cambiar de nombre al tipo de asignación de reglas definidas por el usuario en la página
97

3
Página Orígenes de datos

Permite configurar las opciones de todos los orígenes de datos del receptor.

Opción Definición
Tabla de Permite ver los orígenes de datos del sistema, si tienen clientes y el tipo de origen
orígenes de de datos del que se trata. Además, indica si el receptor procesa o no los datos del
datos origen de datos, así como la forma de procesarlos. Las opciones son las siguientes:
• Análisis: los datos recopilados se analizan e insertan en la base de datos.
• Registro: los datos se envían al ELM. Solo está disponible si existe un dispositivo
ELM en el sistema.
• Captura SNMP: el origen de datos acepta capturas SNMP estándar de cualquier
dispositivo de red que se pueda administrar y que tenga la capacidad de enviar
capturas SNMP. Las capturas estándar son: Fallo de autenticación, Inicio en frío,
Pérdida de vecino de EGP, Vínculo inactivo, Vínculo activo e Inicio en caliente.
Una vez que se reciben estas capturas, se genera un evento para el origen de
datos.
Si necesita enviar o recibir capturas SNMP a través de IPv6, tendrá que formular
la dirección IPv6 como una dirección de conversión IPv4. Por ejemplo, la
conversión de 10.0.2.84 a IPv6 tendría este aspecto: 2001:470:B:
654:0:0:10.0.2.84 o 2001:470:B:654::A000:0254.
Es posible cambiar estas opciones de configuración en la tabla mediante su

selección o la anulación de su selección. Además, es posible agregar un grupo de
almacenamiento o un perfil SNMP mediante los iconos Registro o SNMP .
Agregar Permite agregar un origen de datos nuevo al receptor.

Agregar elemento Permite agregar orígenes de datos secundarios a un origen de datos existente.
secundario Esto facilita la organización de los orígenes de datos.
Clientes Permite agregar orígenes de datos cliente, lo cual amplía el número de orígenes de
datos permitidos en un receptor.
Editar Realizar cambios en la configuración del origen de datos seleccionado.
Quitar Eliminar el origen de datos seleccionado.
Importar Importar una lista de orígenes de datos con formato .csv (véase Importación de
una lista de orígenes de datos).
Exportar Exportar una lista de los orígenes de datos que hay actualmente en el sistema.
Migrar Reasignar o redistribuir los orígenes de datos entre los receptores.
Avanzadas Cargar o ver una definición de origen de datos personalizado.
Aprendizaje Permite configurar el receptor para el aprendizaje automático de direcciones IP
automático desconocidas.
Cambiar nombre Modificar los nombres de las entradas de orígenes de datos definidos por el
usuario.
Cargar Cargar un archivo para el origen de datos seleccionado. Esto solo se aplica a
syslog.
Escribir Escribir los cambios realizados en la configuración del origen de datos en el
receptor.
Véase también

3
Página Agregar origen de datos

Los orígenes de datos se emplean para controlar cómo recopila el receptor los datos de registro y de
eventos. Es necesario agregar orígenes de datos y definir su configuración de manera que recopilen
los datos requeridos.

Opción Definición
Usar perfiles del Seleccione esta opción para utilizar un perfil a fin de configurar este origen de
sistema datos. Solo es posible aplicar previamente la configuración de un perfil a los
dispositivos que emplean los protocolos SNMP y syslog.
Proveedor de origen Seleccione el proveedor y el modelo del origen de datos.
de datos, Modelo de Si va a agregar un origen de datos de analizador de syslog avanzado (ASP) que
origen de datos genere datos con una codificación distinta de UTF-8, seleccione Genérico como
proveedor y Analizador de syslog avanzado como modelo.
Formato de datos Seleccione el método de análisis.

Recuperación de Seleccione el método de recopilación de datos. Cuando se emplea SCP, la variable
datos de entorno LANG se debe establecer como lang=C.
Si se selecciona Origen de archivo SCP, no se admiten las rutas de acceso relativas. Es
necesario definir la ubicación completa exacta.
Cuando se selecciona Origen de archivo CIFS u Origen de archivo NFS, es necesario
seleccionar el método de recopilación. Véase Selección del método de recopilación
de orígenes de datos Leer final de archivo(s) para obtener detalles sobre estos
campos.
Activado Seleccione cómo debe procesar los datos el receptor.

• Si selecciona Registro, se le solicitarán detalles al respecto (véase Establecimiento
del grupo de registro predeterminado).
• Si selecciona Captura SNMP, (véase Procesamiento de un origen de datos mediante
una captura SNMP), seleccione el perfil que desee utilizar en la página Perfiles de
orígenes de datos SNMP. Si el perfil que necesita no está en la lista desplegable, haga
clic en el vínculo Perfiles del sistema y agregue un perfil (véase Configuración de
perfiles).
Nombre Escriba un nombre para el origen de datos.

Dirección IP, Nombre Introduzca solamente una dirección IP o un nombre de host. Haga clic en Búsqueda
de host, Búsqueda para agregar el nombre de host si ha introducido una dirección IP, o bien para
agregar la dirección IP si ha introducido un nombre de host. Ahora es posible
configurar un origen de datos WMI con un nombre de host y sin dirección IP.
Resto de campos Rellene los campos restantes, que variarán en función del proveedor, el modelo de
dispositivo, el método de recuperación de datos y el protocolo del modelo de
dispositivo seleccionado.
Interfaz Configure cualquiera de las opciones del receptor principal (véase Configuración
de interfaces). Asegúrese de que los puertos utilizados para la recopilación de
datos estén abiertos en la ficha Comunicación. Estos puertos están cerrados de
forma predeterminada, así que es necesario configurarlos.
Avanzadas Agregue una URL, configure el reenvío de CEF, defina este origen de datos como
recopilador acreditado para la información de administración de identidades o
establezca este origen de datos para la exportación a otro receptor.
Véase también
131

3
Página Cambiar de nombre al tipo de asignación de reglas definidas por el usuario

Permite cambiar los nombres de las entradas de orígenes de datos definidos por el usuario para
hacerlos más descriptivos.
Opción Definición
Tabla Incluye las reglas definidas por el usuario.
Editar Haga clic en esta opción para cambiar el nombre del origen de datos seleccionado.
Véase también
Procesamiento de un origen de datos mediante una captura SNMP

La funcionalidad de captura SNMP permite que un origen de datos acepte capturas SNMP estándar de
cualquier dispositivo de red que se pueda administrar y que tenga la capacidad de enviar capturas
SNMP.
Las capturas estándar son:
• Error de autenticación • Vínculo inactivo
• Inicio en frío • Vínculo activo e Inicio en caliente
• Pérdida de vecino de EGP
A fin de enviar capturas SNMP a través de IPv6, es necesario formular la dirección IPv6 como dirección
de conversión IPv4. Por ejemplo, la conversión de 10.0.2.84 a IPv6 tiene este aspecto:
2001:470:B:654:0:0:10.0.2.84 o 2001:470:B:654::A000:0254.
Si selecciona Captura SNMP, existen tres opciones:

• Si no se ha seleccionado un perfil previamente, aparecerá el cuadro de diálogo Perfiles de orígenes de
datos SNMP, donde podrá seleccionar el perfil que desee utilizar.
• Si ya se ha seleccionado un perfil, aparecerá el cuadro de diálogo Perfiles de orígenes de datos SNMP. Para
cambiar el perfil, haga clic en la flecha hacia abajo en el campo Perfiles del sistema y seleccione un
nuevo perfil.
• Si se ha seleccionado un perfil anteriormente y desea cambiarlo pero la lista desplegable del cuadro
de diálogo Perfiles de orígenes de datos SNMP no incluye el perfil que necesita, cree un perfil SNMP de
origen de datos.
Véase también
Página Perfiles de orígenes de datos SNMP en la página 97
Página Perfiles de orígenes de datos SNMP

Permite seleccionar un perfil SNMP existente para utilizarlo con el origen de datos, o bien agregar un
perfil SNMP nuevo.

Opción Definición
Perfiles del sistema Seleccione un perfil de la lista de perfiles existentes o haga clic en el
vínculo y agregue un perfil nuevo que, después, podrá seleccionar.
Sobrescribir asignación de perfil Seleccione esta opción si desea eliminar cualquier asignación de perfil
existente SNMP existente y utilizar en su lugar este perfil.

3
Véase también
Procesamiento de un origen de datos mediante una captura SNMP en la página 97
Administración de orígenes de datos

Es posible agregar, editar, eliminar, importar, exportar y migrar orígenes de datos, así como agregar
orígenes de datos secundarios y cliente en la página Orígenes de datos.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de datos.
2 Visualice la lista de orígenes de datos del receptor y lleve a cabo cualquiera de las opciones
disponibles a fin de administrarlos.
3 Haga clic en Aplicar o en Aceptar.
Véase también
131
SIEM Collector
SIEM Collector envía los registros de eventos de Windows a un receptor mediante una conexión
cifrada.
Sin SIEM Collector, la recopilación de eventos de Windows se limita al uso del protocolo WMI o un
agente de terceros. En muchos entornos, la directiva de seguridad bloquea el acceso al sistema para
que no se pueda usar WMI.
El tráfico WMI contiene texto no cifrado y solo permite el acceso a registros escritos en el Registro de
eventos de Windows. No es posible acceder a los archivos de registro creados por otros servicios, tales
como DNS, DHCP e IIS, como tampoco por medio de un agente de terceros.
Mediante el uso de SIEM Collector de forma autónoma o como parte de una implementación de
McAfee ePolicy Orchestrator existente es posible agregar la funcionalidad de WMI a los agentes de
McAfee existentes.
Asimismo, puede utilizar SIEM Collector a modo de concentrador para recopilar registros de otros
sistemas a través de RPC sin agregar el paquete de SIEM Collector a todos los sistemas.
Otras funciones disponibles son:
• Complemento para la recopilación de bases de datos SQL definida por el usuario (compatible con
SQL Server y Oracle).
• Complemento para analizar los eventos de Windows exportados en formato .evt o .evtx.
• Complemento para la compatibilidad con la auditoría C2 de SQL Server (formato .trc).

3
Integración de datos de evaluación de vulnerabilidades

La evaluación de vulnerabilidades de los dispositivos DEM y Event Receiver permite integrar datos que
se pueden recuperar de diversos proveedores de evaluación de vulnerabilidades.
Estos datos se pueden usar de varias formas.
• Aumentar la gravedad de un evento de acuerdo con la vulnerabilidad conocida del endpoint a dicho
evento.
• Establecer el sistema para que aprenda automáticamente los activos y sus atributos (sistema
operativo y servicios detectados).
• Crear y manipular la pertenencia a los grupos de activos definidos por el usuario.
• Acceder a información detallada y de resumen sobre los activos de la red.
• Modificar la configuración del Editor de directivas, como por ejemplo activar las firmas de MySQL si se
descubre un activo que ejecuta MySQL.
Es posible acceder a los datos de evaluación de vulnerabilidades generados por el sistema mediante
vistas predefinidas o personalizadas por el usuario. Las vistas predefinidas son:
• Vistas de panel | Panel de vulnerabilidad de activos
• Vistas de conformidad | PCI | Prueba de procesos y sistemas de seguridad | 11.2 - Análisis de vulnerabilidad de red
• Vistas ejecutivas | Vulner. críticas en activos regulados
Para crear una vista personalizada, véase Adición de una vista personalizada.
Si crea una vista que incluya los componentes Número total de vulnerabilidades, Recuento o Dial de control, podría
ver un recuento excesivo de vulnerabilidades. Esto se debe a que la fuente McAfee Threat Intelligence
Services (MTIS) agrega amenazas en función de la vulnerabilidad original de la que informa el origen de
evaluación de vulnerabilidades (véase Evaluación de activos, amenazas y riesgo).
El equipo de McAfee encargado de las reglas conserva un archivo de reglas que asigna un ID de firma
de McAfee a un VIN y a una o varias referencias a un ID de Common Vulnerabilities and Exposure
(CVE), de BugTraq, de Open Source Vulnerability Database (OSVDB) o de Secunia. Estos proveedores
informan de los ID de CVE y BugTraq en sus vulnerabilidades; por tanto, los ID de CVE y BugTraq se
incluyen en esta versión.
Definición de un perfil de sistema de evaluación de vulnerabilidades

Cuando se agrega un origen eEye REM, la página Agregar origen de evaluación de vulnerabilidades ofrece la
opción de utilizar un perfil de sistema previamente definido. Para usar esta función, es necesario
definir antes el perfil.
Procedimiento
1 En el árbol de navegación del sistema, seleccione un dispositivo DEM o Event Receiver y haga clic
en el icono Propiedades .
2 Haga clic en Evaluación de vulnerabilidades | Agregar.
3 En el campo Tipo de origen de evaluación de vulnerabilidades, seleccione eEye REM.
4 Haga clic en Usar perfil del sistema.
5 Haga clic en Agregar y seleccione Evaluación de vulnerabilidades en el campo Tipo de perfil.

3
6 En el campo Agente de perfil, seleccione la versión SNMP de este perfil.
Los campos de la página se activan según la versión seleccionada.
7 Rellene la información solicitada y haga clic en Aceptar.
Véase también
Ficha o página Evaluación de vulnerabilidades en la página 100
Ficha o página Evaluación de vulnerabilidades

Los orígenes de evaluación de vulnerabilidades de ESM permiten la comunicación con proveedores de
evaluación de vulnerabilidades y la recuperación de sus datos. Aquí puede administrar estos orígenes.

Opción Definición
Tabla Ver los receptores y los DEM del sistema, así como sus orígenes de evaluación de
vulnerabilidades.
Agregar Agregar un origen.
Editar Cambiar el origen seleccionado.
Quitar Eliminar el origen de evaluación de vulnerabilidades seleccionado.
Recuperar Recuperar los datos de evaluación de vulnerabilidades para el origen seleccionado.
Escribir Escribir los cambios realizados en el dispositivo.
Cargar (Qualys) Si ha seleccionado Carga manual en el campo Método al agregar un origen de
evaluación de vulnerabilidades, haga clic en esta opción para cargar el archivo.
La carga de un archivo de registro de Qualys QualysGuard tiene un límite de tamaño de 2 GB.
Véase también
Definición de un perfil de sistema de evaluación de vulnerabilidades en la página 99
Adición de un origen de evaluación de vulnerabilidades en la página 100
Adición de un origen de evaluación de vulnerabilidades

A fin de comunicarse con los orígenes de evaluación de vulnerabilidades, es necesario agregar cada
origen al sistema, configurar los parámetros de comunicación correspondientes al proveedor de
evaluación de vulnerabilidades, planificar los parámetros para indicar la frecuencia de recuperación de
datos y modificar los cálculos de gravedad de eventos.
Procedimiento
1 En el árbol de navegación del sistema, seleccione un dispositivo DEM o Event Receiver y haga clic
en el icono Propiedades .
2 Haga clic en Evaluación de vulnerabilidades.
3 Agregue, edite, quite o recupere orígenes de evaluación de vulnerabilidades, además de escribir los
cambios realizados en el dispositivo.
Véase también
Ficha o página Evaluación de vulnerabilidades en la página 100
Página Agregar origen de evaluación de vulnerabilidades en la página 101

3
Página Agregar origen de evaluación de vulnerabilidades

Permite agregar un origen de evaluación de vulnerabilidades al ESM. Los campos que se deben
rellenar dependen del tipo de origen de evaluación de vulnerabilidades seleccionado. Esta lista
contiene todos los campos posibles.
Opción Definición
ID de cliente Escriba el número de ID de cliente de Frontline. Este campo es necesario para
Digital Defense Frontline.
Nombre de la empresa En FusionVM, el nombre de la empresa que se debe analizar. Si este campo se
deja en blanco, se analizarán todas las empresas a las que pertenezca el
usuario. Si introduce más de una empresa, separe los nombres con una coma.
Recuperación de datos (Qualys QualysGuard) Seleccione el método de recuperación de los datos de
evaluación de vulnerabilidades. HTTP/HTTPS es el método predeterminado. Las
otras opciones son SCP, FTP, NFS, CIFS y Carga manual.
Una carga manual de archivo de registro de Qualys QualysGuard tiene un límite

de tamaño de 2 GB.
Dominio Escriba el dominio del equipo Windows (opcional, a menos que el controlador
de dominio o el servidor estén dentro de un dominio).
Directorio de archivo de El directorio donde se encuentran los archivos de análisis exportados.
análisis exportado
Formato de archivo de El formato del archivo de análisis exportado (XML o NBE).
análisis exportado
Directorio de instalación La ubicación donde se instaló Saint en el servidor. El directorio de instalación
para un appliance analizador Saint es /usr/local/sm/.
Dirección IP • Para eEye REM: la dirección IP del servidor eEye que envía información sobre
capturas.
• Para eEye Retina: la dirección IP del cliente que alberga los archivos de
análisis exportados (.rtd).
• Para McAfee Vulnerability Manager: la dirección IP del servidor donde se
®
encuentra la instalación.
• Para Nessus, OpenVAS, LanGuard y Rapid7 Metasploit Pro: la dirección IP del
cliente que alberga los archivos de análisis exportados.
• Para NGS: la dirección IP del sistema que almacena los informes de Squirrel.
• Para Rapid7, Lumension, nCircle y Saint: la dirección IP del servidor
correspondiente.
Directorio de montaje Si selecciona NFS en el campo Método, se agregan los campos de Directorio de
montaje. Indique el directorio de montaje establecido al configurar NFS.
Método El método empleado para recuperar los archivos de análisis exportados
(montaje de SCP, FTP, NFS o CIFS). LanGuard siempre emplea CIFS.

3

Opción Definición
Contraseña • Para McAfee Vulnerability Manager: si emplea el modo de autenticación de
Windows para SQL Server, la contraseña del equipo Windows. De lo contrario,
la contraseña correspondiente a SQL Server.
• Para Nessus, OpenVAS, LanGuard y Rapid7 Metasploit Pro: la contraseña de
SCP o FTP (véase Nombre de usuario).
• Para NGS: la contraseña de los métodos SCP y FTP.
• Para Qualys y FusionVM: la contraseña correspondiente al nombre de usuario
de Qualys Front Office o FusionVM (véase Nombre de usuario).
• Para Rapid7 Nexpose, Lumension, nCircle y Saint: la contraseña que se debe
usar al conectar con el servidor web (véase Nombre de usuario).
• Para Digital Defense Frontline: la contraseña de la interfaz web.
El puerto de escucha de Rapid7 Nexpose, Lumension, nCircle, McAfee

®
Puerto
Vulnerability Manager o el servidor web de Saint. El valor predeterminado para
Rapid7 Nexpose es 3780, en el caso de Lumension es 205, para nCircle es 443,
para McAfee Vulnerability Manager es 1433 y para Saint es 22.
Nombre de proyecto/ Nombre de un proyecto o espacio de trabajo concretos; deje el campo en
espacio de trabajo blanco para incluir todos los proyectos o espacios de trabajo.
Dirección IP de proxy La dirección IP del proxy de HTTP.
Contraseña del proxy La contraseña correspondiente al nombre de usuario del proxy.
Puerto del proxy El puerto de escucha del proxy HTTP.
Nombre de usuario del Un nombre de usuario para el proxy.
proxy
URL del servidor Qualys La URL del servidor Qualys o FusionVM al que enviar la consulta.
o FusionVM
Ruta remota y nombre de Para el método Nessus de CIFS, OpenVAS, eEye Retina, Metasploit Pro,
recurso compartido LanGuard y NGS.
Es posible usar barras diagonales o barras diagonales invertidas en la ruta (por
ejemplo, Archivos de programa\CIFS\va o /Archivos de programa/CIFS/va).
Programar recuperación Indique la frecuencia con la que desea que los datos de evaluación de
de datos del receptor o vulnerabilidades se recuperen del receptor o el DEM.
Programar recuperación
• Cada día: seleccione la hora a la que desee que se recuperen los datos cada
de datos de DEM
día.
• Cada semana: seleccione el día de la semana y la hora del día en que desee que
se recuperen los datos.
• Cada mes: seleccione el día del mes y la hora del día en que desee que se
recuperen los datos.
Si no desea que se recuperen los datos, seleccione Desactivado.
eEye REM no admite la recuperación de datos desde el origen, por lo que los
datos se deben recuperar desde el receptor o el DEM.
Programar recuperación Indique la frecuencia con la que desea que los datos de evaluación de
de datos de evaluación vulnerabilidades se recuperen del origen de evaluación de vulnerabilidades.
de vulnerabilidades Véase Programar recuperación de datos del receptor o Programar recuperación
de datos de DEM para obtener detalles.
Sesión Saint: la sesión de la que se recopilan los datos. Para incluir todas las sesiones,
indique Todo.

3

Opción Definición
Contraseña de Si selecciona authNoPriv o authPriv en el campo Nivel de seguridad SNMP, este campo
autenticación SNMP estará activo. Escriba la contraseña para el protocolo de autenticación
seleccionado en el campo Protocolo de autenticación SNMP.
Protocolo de Si selecciona authNoPriv o authPriv en el campo Nivel de seguridad SNMP, este campo
autenticación SNMP estará activo. Seleccione el tipo de protocolo para este origen: MD5 o SHA1
(SHA1 y SHA hacen referencia al mismo tipo de protocolo). Asegúrese de que
la configuración de REM Events Server coincida con su selección.
Comunidad SNMP La comunidad SNMP establecida al configurar REM Events Server.
Contraseña de privacidad Si selecciona authPriv en el campo Nivel de seguridad SNMP, este campo estará
SNMP activo. Escriba la contraseña para el protocolo de privacidad DES o AES. En el
modo FIPS, la única opción disponible es AES.
Protocolo de privacidad Si selecciona authPriv en el campo Nivel de seguridad SNMP, este campo estará activo
SNMP y podrá seleccionar DES o AES. En el modo FIPS, la única opción disponible es
AES.
Nivel de seguridad SNMP El nivel de seguridad que desee establecer para este origen.
• noAuthNoPriv: sin protocolo de autenticación y sin protocolo de privacidad
• authNoPriv: con protocolo de autenticación pero sin protocolo de privacidad
• authPriv: con protocolo de autenticación y protocolo de privacidad
Los campos de autenticación y privacidad correspondientes a SNMP se
activarán en función del nivel de seguridad seleccionado. Asegúrese de que la
configuración de REM Events Server coincida con su selección.
Nombre de usuario SNMP El nombre de seguridad correspondiente a la configuración de REM Events Server.
Versión de SNMP La versión de SNMP correspondiente al origen. Los campos de SNMP se activan
según la versión seleccionada.
ID de motor SNMPv3 (Opcional) El ID de motor de SNMPv3 del remitente de capturas, en caso de
emplear un perfil SNMPv3.
Contraseña sudo (Opcional) Escriba la contraseña necesaria para acceder al directorio de
instalación de Saint (véase Usar sudo).
Tiempo de espera Este campo permite usar el valor predeterminado de tiempo de espera para un
origen o proporcionar un valor de tiempo de espera concreto. Esto resulta útil si
existe una gran cantidad de datos de evaluación de vulnerabilidades de un
proveedor y la configuración de tiempo de espera predeterminada no permite
recuperar todos los datos o ninguno. Es posible aumentar el valor de tiempo de
espera a fin de que exista más tiempo para la recuperación de datos de
evaluación de vulnerabilidades. Si proporciona un valor, se utilizará para todas
las comunicaciones.
Token (Opcional) Token de autenticación que se puede establecer en la configuración
global de Metasploit.
URL Escriba la URL del servidor de Digital Defense Frontline.
Utilizar proxy HTTP Si decide usar el proxy HTTP, se activarán los campos Dirección IP de proxy, Puerto
del proxy, Nombre de usuario del proxy y Contraseña del proxy.
Usar modo pasivo Si selecciona FTP en el campo Método, este campo se activará. A continuación,
deberá indicar cuándo usar el modo pasivo.
Usar sudo Seleccione esta opción si dispone de acceso al directorio de instalación de Saint
y desea utilizar este acceso (véase Contraseña sudo).

3

Opción Definición
Usar perfil del sistema Indique si desea utilizar un perfil previamente definido. Si selecciona esta
(eEye REM) opción, se desactivarán todos los campos de SNMP. Al seleccionar uno de los
perfiles de sistema existentes, los campos se rellenan con la información del
perfil elegido. Para definir un perfil, véase Definición de un perfil de sistema de
evaluación de vulnerabilidades.
Nombre de usuario Escriba el nombre de usuario de McAfee Vulnerability Manager. Si utiliza el
®
modo de autenticación de Windows para SQL Server, introduzca el nombre de

usuario del equipo Windows. De lo contrario, se trata del nombre de usuario de
SQL Server.
• Para Nessus, OpenVAS y Rapid7 Metasploit Pro: el nombre de usuario
correspondiente a SCP o FTP.
• Para NGS: el nombre de usuario para los métodos SCP y FTP.
• Para Qualys o FusionVM: el nombre de usuario de Front Office o FusionVM
destinado a la autenticación.
• Para Rapid7 Nexpose, Lumension, nCircle y Saint: el nombre de usuario que
se debe usar al conectar con el servidor web.
• Para Digital Defense Frontline: el nombre de usuario de la interfaz web.
Nombre de origen de Escriba el nombre de este origen.

evaluación de
vulnerabilidades
Expresión comodín Una expresión comodín utilizada para describir el nombre de los archivos de
análisis exportados. La expresión comodín puede incluir un asterisco (*) o un
signo de interrogación (?) con la definición estándar de "carácter comodín" en
un nombre de archivo.
Si tiene archivos tanto NBE como XML, deberá especificar si desea archivos NBE
o XML en este campo (por ejemplo, *.NBE o *.XML). Si solo emplea un
asterisco (*), se producirá un error.
Véase también
Adición de un origen de evaluación de vulnerabilidades en la página 100
Recuperación de datos de evaluación de vulnerabilidades

Una vez agregado un origen, es posible recuperar los datos de evaluación de vulnerabilidades. Existen
dos formas de recuperar los datos de evaluación de vulnerabilidades de un origen: de forma
planificada o inmediata. Los dos tipos de recuperación se pueden llevar a cabo en todos los orígenes
de evaluación de vulnerabilidades excepto en Eye REM, donde es necesaria la planificación.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de DEM o Propiedades de receptor y haga clic
en Evaluación de vulnerabilidades.
2 Seleccione el origen de evaluación de vulnerabilidades y, después, elija una de estas opciones.

3

Recuperar • Haga clic en Recuperar.
inmediatamente
El trabajo se ejecutará en segundo plano y se le informará si la recuperación ha
sido correcta (véase Solución de problemas de recuperación de evaluación de
vulnerabilidades en caso contrario).
Planificar 1 Haga clic en Editar.

recuperación
2 En el campo Programar recuperación de datos de evaluación de vulnerabilidades, seleccione
la frecuencia.
4 En la página Evaluación de vulnerabilidades, haga clic en Escribir para escribir los

cambios en el dispositivo.
4
Para ver los datos, haga clic en el icono de inicio rápido de Asset Manager y seleccione la ficha
Evaluación de vulnerabilidades.
Solución de problemas de recuperación de evaluación de vulnerabilidades

Cuando se recuperan datos de evaluación de vulnerabilidades, se le informa en caso de producirse
algún error. A continuación se enumeran algunas de las razones que producen errores de
recuperación.
Este recurso... Provoca...

Nessus, OpenVAS y • Directorio vacío.
Rapid7 Metasploit
Pro • Error de configuración.
• Los datos del directorio ya se recuperaron, por lo que no están actualizados.
Qualys, FusionVM y Los datos del directorio ya se recuperaron, por lo que no están actualizados.
Rapid7 Nexpose
Nessus Si sobrescribe un archivo de Nessus existente al cargar un nuevo archivo de

Nessus en el sitio FTP, la fecha del archivo no cambia; por tanto, al realizar la
recuperación de evaluación de vulnerabilidades, no se devuelven datos porque
se perciben como datos antiguos. Para evitar esta situación, elimine el archivo
de Nessus anterior del sitio de FTP antes de cargar el nuevo, o bien utilice un
nombre distinto para el archivo que cargue.
Proveedores de evaluación de vulnerabilidades disponibles

El ESM se puede integrar con los siguientes proveedores de evaluación de vulnerabilidades.
Proveedor de evaluación de vulnerabilidades Versión

Digital Defense Frontline 5.1.1.4
eEye REM (servidor de eventos de REM) 3.7.9.1721

3
Proveedor de evaluación de vulnerabilidades Versión

eEye Retina 5.13.0, auditorías: 2400
El origen de evaluación de vulnerabilidades eEye Retina es

similar al origen de datos Nessus. Puede elegir entre usar
archivos scp, ftp, nfs o cifs para obtener los archivos .rtd.
Es necesario copiar manualmente los archivos .rtd en un
recurso compartido scp, ftp o nfs antes de extraerlos. Los
archivos .rtd suelen estar ubicados en el directorio Scans
de Retina.
McAfee Vulnerability Manager 6.8, 7.0

Critical Watch FusionVM 4-2011.6.1.48
LanGuard 10.2
Lumension Compatible con PatchLink Security
Management Console 6.4.5 o posterior
nCircle 6.8.1.6
Nessus Compatible con Tenable Nessus
versiones 3.2.1.1 y 4.2, así como los
formatos de archivo NBE, .nessus
(XMLv2) y .nessus (XMLv1); también el
formato XML de OpenNessus 3.2.1
NGS
OpenVAS 3.0, 4.0
Qualys
Rapid7 Nexpose
Rapid7 Metasploit Pro 4.1.4 Update 1, formato de archivo
XML
Se puede reducir la gravedad de un exploit de Metasploit
que empieza por el nombre Nexpose mediante la adición
de un origen de evaluación de vulnerabilidades Rapid7 al
mismo receptor. Si no se puede deducir, la gravedad
predeterminada es 100.
Saint
Creación automática de orígenes de datos

Es posible configurar el receptor para la creación automática de orígenes de datos mediante las cinco
reglas estándar incluidas en el receptor o las reglas que se creen.
Antes de empezar
Asegúrese de que la comprobación automática esté seleccionada en el cuadro de diálogo
Eventos, flujos y registros (Propiedades del sistema | Eventos, flujos y registros), o bien haga clic en el
icono Obtener eventos y flujos de la barra de herramientas de acciones a fin de extraer

eventos, flujos o ambas cosas.

3
Procedimiento
1 En Propiedades de receptor, haga clic en Orígenes de datos | Aprendizaje automático.
2 En la ventana Aprendizaje automático, haga clic en Configurar.
3 En la ventana Editor de reglas de adición automática, asegúrese de que esté seleccionada la opción Activar
creación automática para orígenes de datos y, después, seleccione las reglas de adición automática que
desee que emplee el receptor para crear los orígenes de datos de forma automática.
4 Haga clic en Ejecutar si desea aplicar las reglas seleccionadas a los datos de aprendizaje automático
existentes y, después, haga clic en Cerrar.
Véase también
Administración del aprendizaje automático de orígenes de datos en la página 108
Adición de nuevas reglas de creación automática en la página 107
Adición de nuevas reglas de creación automática

Es posible agregar reglas personalizadas para su uso por parte del receptor a fin de crear orígenes de
datos de forma automática.
Procedimiento
1 En Propiedades de receptor, haga clic en Orígenes de datos | Aprendizaje automático | Configurar | Agregar.
2 En el cuadro de diálogo Configurar regla de adición automática, agregue los datos necesarios para definir la
regla y haga clic en Aceptar.
La nueva regla se agregará a la lista de reglas de adición automática del cuadro de diálogo Editor de
reglas de adición automática. Entonces, podrá seleccionarla de forma que se creen orígenes de datos cuando
los datos de aprendizaje automático cumplan los criterios definidos en la regla.
Véase también
Creación automática de orígenes de datos en la página 106
Página Editor de reglas de adición automática en la página 107
Página Configurar regla de agregación automática en la página 108
Página Editor de reglas de adición automática

Permite ver, seleccionar y aplicar reglas de adición automática a fin de crear orígenes de datos a partir
de los datos de aprendizaje automático.

Opción Definición
Activar creación Crear orígenes de datos automáticamente a partir de los datos de aprendizaje
automática automático. La creación automática se produce siempre que se extraen alertas del
receptor, ya sea manualmente o de forma automática a través del ESM.
Tabla Ver las reglas de agregación automática que existen actualmente en el receptor y
si están o no activadas. Es posible activar o desactivar las reglas de esta lista.
Agregar Agregar una nueva regla de agregación automática.
Editar Realizar cambios en la regla de agregación automática seleccionada.

3

Opción Definición
Quitar Eliminar la regla de agregación automática seleccionada.
Ejecutar ahora Aplicar las reglas activadas a la lista actual de datos de aprendizaje automático.
Botones de flecha Mover la regla de adición automática seleccionada hacia arriba o hacia abajo en la
lista para cambiar su orden. Esto es importante porque los datos de aprendizaje
automático se comparan con las reglas en el orden en que aparecen en la lista, y
se crea un origen de datos en función de la primera regla coincidente.
Véase también
Página Configurar regla de agregación automática

Defina los criterios para una regla que crea orígenes de datos de forma automática.
Opción Definición
Descripción Escriba un nombre que describa la regla.
Tipo Seleccione el tipo de regla en la lista desplegable.
Activar Seleccione esta opción si desea activar esta regla.
Columna Criterios de Defina los criterios con los que deben coincidir los datos recibidos para su adición
coincidencia en como origen de datos o cliente.
aprendizaje automático
Columna Parámetros Defina la configuración para el origen de datos que se creará si los datos
de creación de cliente/ coinciden con los criterios.
origen de datos
• Escriba el nombre para el origen de datos. Este campo admite variables para
representar la dirección IP, el modelo y el nombre de host. Por ejemplo, podría
escribir Data source - {MODEL}_{HOST}_{IP}.
• Seleccione entre origen de datos y cliente.
• Si se trata de un cliente, seleccione el elemento principal contenedor y,
después, seleccione el tipo de cliente.
• Seleccione el proveedor, el modelo, la zona horaria y la zona.
• Si desea que los datos generados por el origen de datos (no aplicable a
clientes) se almacenen en el ELM, haga clic en Grupo de almacenamiento y
seleccione el grupo de almacenamiento.
Véase también
Administración del aprendizaje automático de orígenes de datos

Es posible configurar el ESM para el aprendizaje automático de direcciones IP.
Antes de empezar
Asegúrese de que se hayan definido los puertos para Syslog, MEF y los flujos (véase
Configuración de interfaces).

3
El firewall del receptor se abre durante el tiempo designado para que el sistema pueda aprender una
serie de direcciones IP desconocidas. Posteriormente, se pueden agregar al sistema a modo de
orígenes de datos.
Cuando se lleva a cabo la ampliación, los resultados del aprendizaje automático se borran de la página
Aprendizaje automático. Si hay resultados de aprendizaje automático sobre los que no se ha realizado
ninguna acción antes de la ampliación, deberá llevar a cabo de nuevo el aprendizaje automático tras
ella a fin de recopilar los resultados de nuevo.
Procedimiento
Orígenes de datos | Aprendizaje automático.
2 Defina la configuración según proceda y haga clic en Cerrar.
Véase también
Creación automática de orígenes de datos en la página 106
Página Aprendizaje automático en la página 110
Página Orígenes con aprendizaje automático en la página 112
Página Editar clientes de orígenes de datos en la página 113

3
Página Aprendizaje automático

Permite configurar el receptor para el aprendizaje automático de orígenes de datos.
Opción Definición
Activar o Activar o desactivar el aprendizaje automático.
Desactivar
Los puertos del receptor deben coincidir con los orígenes que envían datos para que se
produzca el aprendizaje automático.
• Seleccione la cantidad de tiempo que desea que se produzca el aprendizaje

automático en el campo horas apropiado (el máximo es 24 horas; 0 corresponde a
continuamente) y haga clic en Activar. El aprendizaje automático dará comienzo y el
texto del botón pasará a ser Desactivar. Cuando el tiempo se acabe, la función de
aprendizaje automático se desactivará y la tabla se rellenará con las direcciones IP
encontradas.
Cuando se utiliza el aprendizaje automático para MEF, no es posible agregar orígenes

de datos de aprendizaje automático mediante un ID de host.
• A fin de detener el proceso antes de que termine la recopilación, haga clic en

Desactivar. La recopilación de datos se detendrá, pero se procesarán los datos
recopilados hasta ese momento.
• Si espera hasta que el proceso finalice, se recopilarán datos durante el periodo de
tiempo indicado. Los datos se procesarán y agregarán a la tabla.
Toda la información recuperada se almacena en el ESM hasta que se activa de nuevo
el aprendizaje automático.
Es posible abandonar la página Aprendizaje automático sin que el aprendizaje automático
deje de funcionar durante el periodo de tiempo seleccionado. Los campos de Estado actual
mostrarán lo que ocurre a lo largo del proceso de aprendizaje automático.
• Aprendizaje automático detenido: no está funcionando actualmente. Esto puede indicar que
el aprendizaje automático no se ha solicitado, o bien que el aprendizaje y el
procesamiento solicitados ya han finalizado.
• Recopilando datos: el aprendizaje automático se ha activado y está recopilando los datos
actualmente. Esto se prolongará durante el periodo de tiempo especificado.
• Procesando datos de aprendizaje automático: el sistema está procesando los datos recopilados.
Esto ocurre después de que se hayan recopilado datos durante el tiempo especificado.
• Se ha producido un error: se ha producido un error mientras se recopilaban o procesaban
los datos.
Configurar Configure reglas para que las direcciones IP recopiladas se puedan agregar a modo de
orígenes de datos de forma automática si cumplen los criterios definidos en la regla.
Tabla Permite ver las direcciones IP de los orígenes de datos de aprendizaje automático. Cada
uno recibe un nombre formado por la dirección IP y Aprendido automáticamente, e
indica el formato de los registros. El sistema también hace el intento de detectar el tipo
de origen de datos.

3

Opción Definición
Agregar Permite agregar las direcciones IP de aprendizaje automático a modo de orígenes de
datos.
1 Seleccione una o varias direcciones IP del mismo tipo en la tabla y haga clic en
Agregar.
2 En la página Orígenes con aprendizaje automático, seleccione una de las opciones.
3 Haga clic en Aceptar. Ocurrirá una de estas cosas:

• Si las direcciones IP seleccionadas no tienen un nombre asociado, se le preguntará
si desea agregar un prefijo a las direcciones seleccionadas.
– Si hace clic en No, las direcciones IP se utilizan como nombres de los orígenes de
datos.
– Si hace clic en Sí, se abre la página Prefijo de nombre. Escriba un nombre y haga clic
en Aceptar. Los nombres de estos orígenes de datos constarán del nombre agregado
y la dirección IP.
• Si las direcciones IP seleccionadas tienen nombres, los orígenes de datos se
agregarán a la lista de la página Orígenes de datos.
Editar nombre Permite editar el nombre predeterminado del elemento seleccionado. El campo de
nombre tiene un límite de 50 caracteres. Cada nombre debe ser exclusivo.
Quitar Permite eliminar las direcciones IP seleccionadas de la lista. La lista no se guarda hasta
que se cierra Aprendizaje automático.
Cambiar tipo Permite cambiar el tipo de la dirección IP seleccionada. Esto puede ser útil si el tipo
sugerido por el sistema no es correcto. La visualización del paquete puede darle la
información necesaria para determinar el tipo correcto.
Actualizar Permite volver a cargar los datos de la página para ver los cambios en los datos de
aprendizaje automático y el estado del aprendizaje automático de syslog, MEF o
Netflow.
Mostrar Permite ver el paquete correspondiente al origen de datos seleccionado.
paquete
Véase también

3
Página Orígenes con aprendizaje automático

Cuando se agregan orígenes mediante el aprendizaje automático como orígenes de datos del receptor,
permite seleccionar las opciones para los orígenes agregados.
Opción Definición
Crear orígenes de datos Crea nuevos orígenes de datos por cada uno de los orígenes de aprendizaje
para los elementos de automático seleccionados. Si se requiere más información para alguno de los
aprendizaje automático orígenes, se abre la página Agregar origen de datos para que pueda agregar la
seleccionados información.
Crear clientes para orígenes Existen las siguientes opciones disponibles:
de datos existentes o crear
• Coincidencia de cliente en tipo: si existe un origen de datos que coincida con la IP
nuevos orígenes de datos
con clientes seleccionada, los elementos se agregan a él a modo de orígenes de datos
cliente de coincidencia por tipo. Si no existe ningún origen de datos que
coincida con la IP seleccionada, se crea uno. Los elementos restantes se
agregan a él a modo de orígenes de datos cliente de coincidencia por tipo.
• Coincidencia de cliente en IP: esta opción permite seleccionar el origen de datos
al que agregar esta dirección IP a modo de cliente. Cuando se selecciona
esta opción, la lista desplegable se activa. Si existen uno o más orígenes de
datos que coincidan con esta dirección IP, aparecerán aquí. Si no existe
ninguno, la única opción disponible es Ninguno: crear nuevo origen de datos.
Seleccione el origen de datos al que desee agregar esta dirección IP a
modo de cliente y, después, haga clic en Aceptar.
Véase también
Establecimiento del formato de fecha para los orígenes de datos

Seleccione el formato de las fechas incluidas en los orígenes de datos.
Procedimiento
1 En el árbol de navegación del sistema, seleccione un receptor y haga clic en el icono Agregar origen de
datos .
2 Haga clic en Opciones avanzadas y realice una selección en el campo Orden en fechas:
• Predeterminado: emplea el orden predeterminado para las fechas (el mes antes que el día).
Cuando se utilizan orígenes de datos cliente, los clientes con esta configuración heredan el
formato de fecha del origen de datos principal.
• Mes antes del día: el mes aparece antes que el día (04/23/2014).
• Día antes del mes: el día aparece antes que el mes (23/04/2014).

3
Véase también
131
Adición de un origen de datos secundario

Es posible agregar orígenes de datos secundarios para facilitar la organización de los orígenes de
datos.
Procedimiento
2 En la tabla de orígenes de datos, haga clic en el origen de datos al que desee agregar uno
secundario.
3 Haga clic en Agregar elemento secundario y rellene los campos de la misma forma que para un origen de
datos principal.
El origen de datos se agrega a modo de elemento secundario debajo del origen de datos principal en
la tabla y en el árbol de navegación del sistema.
Página Editar clientes de orígenes de datos

Permite cambiar el tipo, el proveedor, el modelo y la zona horaria de un origen de datos de
aprendizaje automático.

Opción Definición
Proveedor de origen de datos Seleccione el proveedor del cliente o el origen de datos de aprendizaje
automático.
Modelo de origen de datos Seleccione el modelo del cliente o el origen de datos.
Zona horaria Seleccione la zona horaria del cliente o el origen de datos.
Véase también

3
Orígenes de datos cliente

Es posible ampliar el número de orígenes de datos permitidos en un receptor mediante la adición de
orígenes de datos cliente. En el caso de los orígenes de datos con recopilador de syslog, ASP, CEF,
MEF, NPP y WMI, es posible agregar hasta 32 766 clientes de origen de datos.
Si el origen de datos ya es un elemento principal o secundario, o bien si se trata de un origen de datos

WMI y se ha seleccionado Usar RPC, esta opción no estará disponible.
Puede agregar más de un origen de datos cliente con la misma dirección IP y utilizar el
número de puerto para diferenciarlos. Esto permite separar los datos utilizando un puerto
distinto para cada tipo y luego reenviarlos sirviéndose del mismo puerto al que hayan
llegado.
Al agregar un origen de datos cliente (véase Orígenes de datos cliente y Adición de un

origen de datos cliente), se selecciona si se debe usar el puerto del origen de datos principal
u otro puerto.
Los orígenes de datos cliente tienen las características siguientes:

• No disponen de derechos de VIPS, directiva ni agente.
• No aparecen en la tabla Orígenes de datos.
• Aparecen en el árbol de navegación del sistema.
• Comparten la misma directiva y los mismos derechos que el origen de datos principal.
• Deben encontrarse en la misma zona horaria porque utilizan la configuración del principal.
Los orígenes de datos WMI cliente pueden tener zonas horarias independientes porque la zona horaria
se determina en la consulta enviada al servidor WMI.
Véase también
Adición de un origen de datos cliente en la página 114
Adición de un origen de datos cliente

Puede agregar un cliente a un origen de datos existente a fin de aumentar el número de orígenes de
datos permitidos en el receptor.
Antes de empezar
Agregue el origen de datos al receptor (véase Adición de un origen de datos).
Procedimiento
2 Seleccione el origen de datos al que desee agregar el cliente y haga clic en Clientes.
La página Clientes de orígenes de datos enumera los clientes que forman parte actualmente del origen de
datos seleccionado.
3 Haga clic en Agregar, rellene la información solicitada y haga clic en Aceptar.
Los eventos se dirigen al origen de datos (principal o cliente) que sea más específico. Por ejemplo,
supongamos que tiene dos orígenes de datos cliente, uno con la dirección IP 1.1.1.1 y otro con la

3
dirección IP 1.1.1.0/24, que abarca un rango. Ambos son del mismo tipo. Si un evento coincide con
1.1.1.1, se dirige al primer cliente porque es más específico.
Véase también
Orígenes de datos cliente en la página 114
Página Clientes de orígenes de datos en la página 115
Página Agregar clientes de orígenes de datos en la página 115
Página Clientes de orígenes de datos

Permite administrar los clientes de un origen de datos.

Opción Definición
Tabla de clientes Ver los clientes que forman parte del origen de datos seleccionado en la tabla
Orígenes de datos.
Buscar Si busca un cliente específico, escriba su nombre en el campo y haga clic en Buscar.
Agregar Haga clic en esta opción para agregar un cliente al origen de datos.
Editar Permite editar el cliente seleccionado.
Quitar Haga clic aquí para eliminar el cliente seleccionado.
Véase también
Página Agregar clientes de orígenes de datos

Permite agregar un cliente a un origen de datos.
Opción Definición
Nombre Escriba un nombre para este cliente.
Zona horaria Seleccione la zona horaria en la que se encuentra este origen de datos
cliente.
Orden en fechas Seleccione el formato para la fecha: primero el mes y luego el día o al
contrario.
Dirección IP, Nombre de Escriba la dirección IP o el nombre de host del cliente. Puede tener más de
host un origen de datos cliente con la misma dirección IP. Se utiliza el puerto para
diferenciarlos.
Se requiere TLS en syslog Seleccione esta opción si desea utilizar el protocolo de cifrado Transport Layer
Security (TLS) para syslog.
Puerto Indique si desea que el cliente use el mismo puerto que su elemento principal
u otro de los puertos de la lista.
Coincidir por tipo Seleccione esta opción si desea hacer coincidir los clientes por tipo y,
después, seleccione el proveedor y el modelo del cliente.
Véase también
Localización de un cliente
La página Clientes de orígenes de datos incluye todos los clientes del sistema. Como es posible tener más de
65 000 clientes, se proporciona una función de búsqueda para poder localizar uno concreto en caso de
ser necesario.

3
Procedimiento
Orígenes de datos | Clientes.
2 Introduzca la información que desee buscar y, a continuación, haga clic en Buscar.
Importación de una lista de orígenes de datos

La opción Importar de la página Orígenes de datos permite importar una lista de orígenes de datos guardada
en formato .csv, lo cual elimina la necesidad de agregar, editar o quitar cada origen de datos de forma
individual.
Existen dos situaciones en las que se emplea esta opción:
• Para importar datos de un origen de datos sin procesar copiados de un receptor situado en una
ubicación segura a un receptor situado en una ubicación no segura. Si es esto lo que pretende
hacer, véase Traslado de orígenes de datos a otro sistema.
• Para editar los orígenes de datos de un receptor mediante la adición de orígenes de datos a la lista
existente, la edición de los orígenes de datos existentes o la eliminación de los orígenes de datos
existentes. Si es lo que necesita hacer, siga este procedimiento.
Procedimiento
1 Exporte una lista de los orígenes de datos que hay actualmente en el receptor.
a En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de
datos.
b Haga clic en Exportar y, después, en Sí para confirmar la descarga.
c Seleccione la ubicación para la descarga, cambie el nombre de archivo si procede y haga clic en
Guardar.
Se guardará la lista de orígenes de datos existentes.
d Acceda a este archivo y ábralo.
Aparecerá una hoja de cálculo que muestra los datos sobre los orígenes de datos actuales del
receptor (véase Campos de la hoja de cálculo para la importación de orígenes de datos).
2 Agregue, edite o elimine orígenes de datos en esta lista.

a En la columna A, especifique la acción que se debe realizar con el origen de datos: agregar,
editar o quitar.
b Si va a agregar o editar orígenes de datos, introduzca la información en las columnas de la hoja

de cálculo.
No es posible editar la directiva ni el nombre del origen de datos.
c Guarde los cambios realizados en la hoja de cálculo.
No se puede editar un origen de datos cliente para convertirlo en un origen de datos ni al contrario.

3
3 Importe la lista al receptor.

a En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de
datos.
b Haga clic en Importar, seleccione el archivo y haga clic en Cargar.
No es posible cambiar la directiva ni el nombre del origen de datos.
Se abrirá la página Importar orígenes de datos con los cambios realizados en la hoja de cálculo.
c Para importar los cambios, haga clic en Aceptar.
Los cambios con el formato correcto se agregarán.
d Si existen errores en el formato de los cambios, se describirán mediante un Registro de mensajes.
e Haga clic en Descargar todo el archivo y, después, en Sí.
f Seleccione la ubicación para guardar la descarga, cambie el nombre de archivo si procede y

haga clic en Guardar.
g Abra el archivo descargado.
En él se indican los orígenes de datos con errores.
h Corrija los errores y, después, guarde y cierre el archivo.
i Cierre las ventanas correspondientes a Registro de mensajes e Importar orígenes de datos, haga clic en
Importar y seleccione el archivo guardado.
En Importar orígenes de datos se indican los orígenes de datos corregidos.
j Haga clic en Aceptar.
Véase también
131
Página Cargar una definición de origen de datos personalizado en la página 117
Página Cargar una definición de origen de datos personalizado

Permite agregar definiciones de orígenes de datos personalizados al sistema mediante la carga de un
archivo, así como ver la lista de definiciones instaladas.

Opción Definición
Cargar Haga clic en esta opción y navegue hasta el archivo .npd de definiciones de orígenes de
datos personalizados que desee agregar al ESM. Este archivo lo genera McAfee.
Ver Haga clic en esta opción para ver las definiciones de orígenes de datos que se han instalado.
Véase también

3
Campos de la hoja de cálculo para la importación de orígenes de datos

La hoja de cálculo que se utiliza para importar orígenes de datos dispone de varias columnas, algunas
de las cuales son obligatorias y otras solo se emplean para tipos de orígenes de datos específicos.
Campos obligatorios para todos los orígenes de datos
Columna Descripción Detalles

op Operación que hay que Introduzca una de estas funciones en la columna op:
realizar en el origen de
datos • adición = Agregar un origen de datos.
• editar = Modificar un origen de datos existente.
• eliminación = Eliminar sin volver a asignar.
Si esta columna se deja en blanco, no se realiza ninguna
acción en el origen de datos.
rec_id ID de receptor Este número de ID de dispositivo se puede consultar en la

página Nombre y descripción del receptor.
dsname Nombre del origen de Debe ser exclusivo en el receptor.
datos
Campos utilizados por todos los orígenes de datos

ip Dirección IP válida • Es obligatoria excepto si el protocolo es "corr".
del origen de datos
• Solo se lleva a cabo la validación para los orígenes de datos
activados. Exclusiones:
• Protocolos: cifs, nfs, ftp, scp y http
• Recopilador: "curl" o "mount"
• SNMPTrap: no válido si otros orígenes de datos usan
capturas SNMP y el valor de IPAddress coincide
• nfxsql: no válido si se encuentra la combinación de
IPAddress, "dbname" y "port"
• netflow u opsec: no válidos si se encuentra la combinación
de IPAddress y "port"
• mef es el recopilador (si el analizador es mef, el recopilador
es mef de forma automática): no es válido si se encuentran
mef y el protocolo
model La entrada debe coincidir exactamente, excepto en el caso de

(modelo) los clientes con MatchByFlag = 1 (coincidencia según
IPAddress).
vendor La entrada debe coincidir exactamente, excepto en el caso de
(proveedor) los clientes con MatchByFlag = 1 (coincidencia según
IPAddress).
parent_id ID del origen de Necesario si se trata de un agente o un cliente. Si este ID es un
datos principal nombre, se intenta encontrar el elemento principal del origen
de datos con este nombre que sea un elemento secundario del
receptor especificado.
child_type Tipo de elemento Obligatoria: 0 = no es elemento secundario, 1 = agente, 2 =
secundario de cliente
origen de datos

3

match_type Coincidencia de Obligatoria cuando se agregan o editan orígenes de datos: 1 =
cliente coincidencia por dirección IP, 2 = coincidencia por tipo de
terceros.
parsing Indicador de Indicador de activación (yes/no); el valor predeterminado es
activación del yes.
origen de datos
Campos utilizados por orígenes de datos que no son clientes

snmp_trap_id ID de perfil de la captura El valor predeterminado es 0.
SNMP
elm_logging Registrar en ELM (yes/no) El valor predeterminado es no.
pool Nombre del grupo de ELM El valor predeterminado es en blanco.
meta-vendor El valor predeterminado es en blanco.
meta-product El valor predeterminado es en blanco.
meta_version El valor predeterminado es en blanco.
url URL de detalles de evento El valor predeterminado es en blanco.
parser Método de análisis del formato El valor predeterminado es Predeterminado.
de datos
collector Método de recuperación de El valor predeterminado es Predeterminado. Si parser es
datos mef, collector se define como mef. Se pueden emplear
scp, http, ftp, nfs y cifs si el formato de archivo plano
es compatible con el protocolo.
Campos obligatorios si el formato es CEF o MEF

encrypt Marca de cifrado del El valor predeterminado es F. También se usa si Format (Formato) es
origen de datos Default (Predeterminado), Retrieval (Recuperación) es mef (mef) y
Protocol (Protocolo) es gsyslog (gsyslog). El cifrado debe ser el mismo
para todos los MEF con la misma dirección IP.
hostname Nombre o ID de El valor predeterminado es en blanco. Es opcional si Protocolo es
host gsyslog o syslog. Debe ser exclusivo. Es opcional si Protocolo es nas.
aggregate Retransmisión de Los valores válidos son en blanco y syslogng (syslogng). El valor
syslog predeterminado es en blanco. También se usa si Format (Formato) es
Default (Predeterminado), Retrieval (Recuperación) es Default
(Predeterminada) y Protocol (Protocolo) es gsyslog (gsyslog).
tz_id ID de zona horaria El valor predeterminado es en blanco. También se emplea si el
Formato es Predeterminado y se cumple alguna de estas condiciones:
• El Protocolo es syslog y el Modelo no es Adiscon Windows Events.
• El Protocolo es nfxsql.
• El Protocolo es nfxhttp.
• El Protocolo es correo electrónico.
• El Protocolo es estream.
También se usa para la compatibilidad con algunos formatos de
archivo plano.

3
Otros campos

profile_id Nombre o ID del perfil El valor predeterminado es en blanco. Si el
nombre del perfil no puede encontrar el
registro del perfil, se registra un error.
exportMcAfeeFile Indicador de transporte El valor predeterminado es no. En caso de
del origen de datos usar yes, el origen de datos se incluye en el
transporte de origen de datos.
exportProfileID Nombre de perfil del El valor predeterminado es en blanco.
recurso compartido
remoto
mcafee_formated_file Indicador de análisis de El valor predeterminado es no. Si se utiliza
datos sin procesar yes, el método de análisis emplea el archivo
de datos sin procesar.
mcafee_formated_file_xsum Usar el indicador de El valor predeterminado es no. Si el valor es
suma de comprobación yes, use la suma de comprobación antes de
analizar el archivo de datos sin procesar.
mcafee_formated_file_ipsid El ID original de Nitro Obligatoria si se emplea el archivo de datos
IPS sin procesar.
zoneID Nombre de la zona El valor predeterminado es en blanco.
Policy_Name Nombre o ID de la El valor predeterminado es en blanco. Solo
directiva se usa cuando se agregan orígenes de datos
nuevos. Este valor no se actualiza en una
operación de edición.
Campos validados para protocolos específicos

El protocolo viene determinado por el proveedor y el modelo, excepto cuando el formato es Default
(Predeterminado) o CEF (CEF) y Retrieval (Recuperación) no tiene el valor Default (Predeterminada) ni MEF
(MEF). En tal caso, el protocolo será el valor de Retrieval (Recuperación). Estos campos se validan según
el protocolo especificado en caso de no indicarse el perfil.
Tabla 3-49 Campos de Netflow — Inicio en columna AF

netflow_port El valor predeterminado es 9993.
netflow_repeat_enabled Reenvío activado El valor predeterminado es F.
netflow_repeat_ip Dirección IP de reenvío Obligatoria si repeat_enabled = T. El valor
predeterminado es en blanco.
netflow_repeat_port Puerto de reenvío El valor predeterminado es 9996.
Tabla 3-50 Campos de rdep — Inicio en columna AJ

rdep_sdee_username Obligatoria.
rdep_sdee_password Obligatoria.
rdep_sdee_interval El valor predeterminado es 60 segundos.

3
Tabla 3-51 Campos de Opsec — Inicio en columna AM

opsec_parent Indicador de principal Obligatoria (T/F). T = el origen de datos es
(tipo de dispositivo) principal. F = el origen de datos no es principal.
opsec_authentication Indicador de uso de Se emplea si el principal es T; el valor
autenticación predeterminado es F.
opsec_appname Nombre de aplicación Obligatoria si authentication = T, opcional si es
F; el valor predeterminado es en blanco.
opsec_actkey Clave de activación Obligatoria si authentication = T, opcional si es
F; el valor predeterminado es en blanco.
opsec_parent_id Nombre del elemento El nombre del elemento principal es necesario si
principal del origen de parent = F. Se registra un error si el nombre del
datos elemento principal del origen de datos no puede
encontrar el origen de datos principal.
opsec_port Se emplea si el principal es T; el valor
predeterminado es 18184.
opsec_encryption Indicador de uso de Se emplea si el principal es T; el valor
cifrado predeterminado es F.
opsec_comm_method Método de Se emplea si el principal T; el valor
comunicación predeterminado es en blanco. Debe ser un valor
válido:
• '' (en blanco) • "sslca"
• "asym_sslca" • "sslca_clear"
• "asym_sslca_com • "sslca_comp"
p"
• "asym_sslca_rc4" • "sslca_rc4"
• "asym_sslca_rc4_ • "sslca_rc4_comp"
comp"
• "ssl_clear"
opsec_server_entity_dn Nombre distintivo de El valor predeterminado es en blanco. Se emplea

entidad de servidor si el principal es T. Obligatoria si el tipo de
dispositivo es servidor de registro/CLM o
SMS/CMA secundario.
opsec_collect_audit_events Tipo de recopilación Se emplea si el principal es T; el valor
de OPSEC "Eventos predeterminado es "yes".
de auditoría"
opsec_collect_log_events Marca de tipo de Se emplea si el principal es T; el valor
recopilación de predeterminado es "yes".
eventos de eventos
de registro
opsec_type Tipo de dispositivo Obligatorio. Los valores válidos para este campo
son:
Valor Nombre en lista desplegable del

cliente ligero
0 SMS/CMA
1 Dispositivo de seguridad
2 Servidor de registro/CLM
3 SMS/CMA secundario

3
Tabla 3-52 Campos de WMI — Inicio en columna AY

wmi_use_rpc Marca de uso de RPC El valor predeterminado es no.
wmi_logs Registros de eventos El valor predeterminado es SYSTEM,APPLICATION,SECURITY.
wmi_nbname Nombre de NetBIOS Obligatoria si Recuperación = Predeterminado; de lo contrario, es
opcional. El valor predeterminado es en blanco.
wmi_username Nombre de usuario Obligatoria si Recuperación = Predeterminado; de lo contrario, es
wmi_password Contraseña Obligatoria si Recuperación = Predeterminado; de lo contrario, es
wmi_interval El valor predeterminado es 600.
wmi_version El valor predeterminado es 0.
Tabla 3-53 Campos de gsyslog — Inicio en columna BF

gsyslog_autolearn Marca de compatibilidad con Los valores válidos son: T, F, RECUENTO. El valor
syslogs genéricos predeterminado es F.
gsyslog_type Asignación de regla genérica Obligatoria si autolearn = T; de lo contrario es
opcional. El valor predeterminado es 49190.
gsyslog_mask Se usa si Recuperación = Predeterminado. El valor
Tabla 3-54 Campo de corr — Columna BI

corr_local Marca de uso de datos El valor predeterminado es F. Si el modelo de receptor es
locales ERC-VM-25 o ERC-VM-500, el origen de datos no se
agrega. De lo contrario, no puede haber otros orígenes de
datos que empleen este protocolo.
Tabla 3-55 Campos de sdee — Inicio en columna BJ

sdee_username Obligatoria.
sdee_password Obligatoria.
sdee_uri El valor predeterminado es cgi-bin/sdee-server.
sdee_interval El valor predeterminado es 600 segundos.
sdee_port El valor predeterminado es 443.
sdee_proxy_port El valor predeterminado es 8080.
sdee_use_ssl El valor predeterminado es T.
sdee_proxy_ip Obligatoria si use_proxy = T. El valor predeterminado es en
blanco.
sdee_proxy_username Obligatoria si use_proxy = T. El valor predeterminado es en
blanco.
sdee_proxy_password Obligatoria si use_proxy = T. El valor predeterminado es en
blanco.
sdee_use_proxy El valor predeterminado es F.

3
Tabla 3-56 Campos de mssql — Inicio en columna BU

mssql_parent Tipo de dispositivo El valor predeterminado es T. Servidor = T. Dispositivo
gestionado = F
mssql_port Se emplea si el principal = T. El valor predeterminado es
1433.
mssql_interval Se emplea si el principal = T. El valor predeterminado es
600 segundos.
mssql_username Obligatoria si el principal = T. El valor predeterminado es
en blanco.
mssql_password Obligatoria si el principal = T. El valor predeterminado es
en blanco.
mssql_parent_id Nombre del elemento Se requiere si parent = F. Se registra un error si el
principal nombre del principal no puede encontrar el origen de
datos.
Tabla 3-57 Campos de syslog — Inicio en columna CA

syslog_untrust_iface Interfaz de menos Obligatoria si el Proveedor es CyberGuard.
confianza
syslog_burb Nombre de grupo de Obligatoria si el Proveedor es McAfee y el Modelo es
interfaces de Internet McAfee Firewall Enterprise.
syslog_sg_mc Marca de centro de Opcional si el Proveedor es Stonesoft Corporation;
administración el valor predeterminado es no.
syslog_nsm Marca de Opcional si el Proveedor es Juniper Networks y el
administrador de modelo es Netscreen Firewall/Security Manager
seguridad o Netscreen IDP; el valor predeterminado es no.
syslog_wmi_syslog_format Opcional si el Proveedor es Microsoft y el modelo
es Adiscon Windows Events; el valor
syslog_wmi_version Opcional si el Proveedor es Microsoft y el modelo
es Adiscon Windows Events; el valor
predeterminado es Windows 2000.
syslog_aruba_version Opcional si el Proveedor es Aruba; el valor
syslog_rev_pix_dir Invertir valores de red Opcional si el Proveedor es Cisco y el modelo es
PIX/ASA o Firewall Services Module; el valor
predeterminado es no.
syslog_aggregate Retransmisión de Los valores válidos son en blanco y Proveedor. El
syslog valor predeterminado es en blanco.
syslog_require_tls T/F Indica si se está usando TLS para este origen de
datos.
syslog_syslog_tls_port El puerto que se debe usar para TLS si se utiliza
con syslog.
syslog_mask Máscara de dirección (Opcional) Permite aplicar una máscara a una
IP dirección IP de forma que se acepte un intervalo
de direcciones IP. Un cero (0) en el campo
significa que no se usa ninguna máscara. El
valor predeterminado es 0.

3
Tabla 3-58 Campos de nfxsql — Inicio en columna CM

nfxsql_port El valor predeterminado depende del proveedor y el modelo:
Predeterminado Proveedor Modelo

9117 Enterasys Dragon Sensor o Dragon
Networks Squire
1433 IBM ISS Real Secure Desktop
Protector, ISS Real Secure
Network o ISS Real
Secure Server Sensor
1433 McAfee ePolicy Orchestrator,
firewall de ePolicy
Orchestrator o sistema de
prevención de intrusiones
en host de ePolicy
Orchestrator
3306 Symantec Symantec Mail Security
for SMTP
1433 Websense Websense Enterprise
1433 Microsoft Operations Manager
1433 NetIQ NetIQ Security Manager
1433 Trend Micro Control Manager
1433 Zone Labs Integrity Server
1433 Cisco Security Agent
1127 Sophos Sophos Antivirus
1433 Symantec Symantec Antivirus
Corporate Edition Server
443 Otros
nfxsql_userid Obligatoria.
nfxsql_password Obligatoria.
nfxsql_dbname Nombre de la (Opcional) El valor predeterminado es en blanco.
base de datos
nfxsql_splevel Nivel de Se emplea si Vendor (Proveedor) es IBM (IBM) y Model (Modelo) es
Service Pack ISS Real Secure Desktop Protector (ISS Real Secure Desktop Protector),
ISS Real Secure Network (ISS Real Secure Network) o ISS Real Secure
Server Sensor (ISS Real Secure Server Sensor). El valor
predeterminado es SP4 (SP4).
nfxsql_version (Opcional)
• El valor predeterminado es 9i si el Proveedor es Oracle y el Modelo es
Oracle Audits.
• El valor predeterminado es 3.6 (3.6) si Vendor (Proveedor) es
McAfee y Model (Modelo) es ePolicy Orchestrator, Firewall de
ePolicy Orchestrator o Host IPS de ePolicy Orchestrator.
nfxsql_logtype Tipo de registro Obligatoria si el Proveedor es Oracle y el Modelo es Oracle Audits (FGA,
GA o ambas).
nfxsql_sid SID de base de Opcional si el Proveedor es Oracle y el Modelo es Oracle Audits. El valor
datos predeterminado es en blanco.

3
Tabla 3-59 Campos de nfxhttp — Inicio en columna CU

nfxhttp_port El valor predeterminado es 433.
nfxhttp_userid Obligatoria.
nfxhttp_password Obligatoria.
nfxhttp_mode El valor predeterminado es secure.
Tabla 3-60 Campos de email — Inicio en columna CY

email_port El valor predeterminado es 993.
email_mailbox Protocolo de correo El valor predeterminado es imap pop3.
email_connection Tipo de conexión El valor predeterminado es ssl clear.
email_interval El valor predeterminado es 600 segundos.
email_userid Obligatoria.
email_password Obligatoria.
Tabla 3-61 Campos de estream — Inicio en columna DE

Estos campos se encuentran en la hoja de cálculo. Sin embargo, se requiere un archivo de certificación,
de forma que actualmente se omiten.
jestream_port El valor predeterminado es

993.
jestream_password Obligatoria.
jestream_estreamer_cert_file Obligatoria.
jestream_collect_rna
Tabla 3-62 Campos de origen de archivos — Inicio en columna DI

Se emplea para los protocolos cifs, ftp, http, nfs y scp.
fs_record_lines Número de líneas Se usa si existe compatibilidad con formato de archivo plano. El valor
por registro predeterminado es 1.
fs_file_check Intervalo El valor predeterminado es 15 minutos.
fs_file_completion El valor predeterminado es 60 segundos.
fs_share_path El valor predeterminado es en blanco.
fs_filename Expresión comodín Obligatoria.
fs_share_name Obligatoria si el Protocolo es cifs o nfs (de lo contrario, no se
usa).
fs_username Se emplea si el Protocolo es cifs, ftp o scp. El valor
fs_password Se emplea si el Protocolo es cifs, ftp o scp. El valor
fs_encryption Se emplea si el Protocolo es ftp o http. El valor
predeterminado es no. También se usa si hay compatibilidad
con formato de archivo plano y el Protocolo es ftp.

3
Tabla 3-62 Campos de origen de archivos — Inicio en columna DI (continuación)

fs_port Se emplea si el Protocolo es ftp; el valor predeterminado es
990. Se emplea si el Protocolo es http; el valor predeterminado
es 443. También se usa si hay compatibilidad con formato de archivo
plano y el Protocolo es ftp. El valor predeterminado es 80.
fs_verify_cert Verificar certificado Se emplea si el Protocolo es ftp o http. El valor
SSL predeterminado es no. También se usa si hay compatibilidad
con formato de archivo plano y el Protocolo es ftp.
fs_compression Se emplea si el Protocolo es scp o sftp. El valor
predeterminado es no.
fs_login_timeout Se emplea si el Protocolo es scp. El valor predeterminado es 1
segundo.
fs_copy_timeout Se emplea si el Protocolo es scp. El valor predeterminado es 1
segundo.
fs_wmi_version Se emplea si hay compatibilidad con formato de archivo plano, el
Proveedor es Microsoft y el Modelo es Adiscon Windows Events. El
valor predeterminado es Windows 2000.
fs_aruba_version Se emplea si hay compatibilidad con formato de archivo plano y el
Proveedor es Aruba. El valor predeterminado es 332.
fs_rev_pix_dir Invertir valores de Se emplea si hay compatibilidad con formato de archivo plano, el
red Proveedor es Cisco y el Modelo es PIX/ASA o Firewall Services Module.
El valor predeterminado es no.
fs_untrust_iface Interfaz de menos Obligatoria si hay compatibilidad con formato de archivo plano y el
confianza Proveedor es CyberGuard.
fs_burb Nombre de grupo de Obligatoria si hay compatibilidad con formato de archivo plano, el
interfaces de Proveedor es McAfee y el Modelo es McAfee Firewall
Internet Enterprise.
fs_nsm Marca de Opcional si hay compatibilidad con formato de archivo plano, el
administrador de Proveedor es Juniper Networks y el Modelo es Netscreen Firewall/
seguridad Security Manager o Netscreen IDP. El valor predeterminado es no.
fs_autolearn Admitir syslogs Opcional si hay compatibilidad con formato de archivo plano y la
genéricos Recuperación es gsyslog. Los valores válidos son: T, F y
RECUENTO. El valor predeterminado es F.
fs_type Asignación de regla Obligatoria si autolearn = T; de lo contrario es opcional. El
genérica valor predeterminado es 49190.
fs_binary El valor predeterminado es no.
fs_protocol El valor predeterminado es ''. Se emplea si el analizador es
el predeterminado y el recopilador es un origen de archivos
nfs.
fs_delete_files
Tabla 3-63 Campos de sql_ms — Inicio en columna EH

sql_ms_port El valor predeterminado es 1433.
sql_ms_userid Obligatoria.
sql_ms_password Obligatoria.
sql_ms_dbname Nombre de la base de datos

3
Tabla 3-64 Campo de nas — Columna EL

nas_type El valor predeterminado es 49190 (Definido por el usuario 1). Este campo
solo se utiliza para orígenes de datos de McAfee/PluginProtocol.
Tabla 3-65 Campo de ipfix — Columna EM

ipfix_transport Obligatoria. Los valores válidos son TCP y UDP. El valor predeterminado
es TCP.
Tabla 3-66 Campos de snmp — Inicio en columna EN

snmp_authpass Contraseña de Obligatoria si:
autenticación
• traptype = v3trap y secLevel = authPriv o authNoPriv.
• traptype = v3inform y secLevel = authPriv o authNoPriv.
snmp_authproto Protocolo de Los valores válidos son MD5 o SHA1. Obligatoria si:
autenticación
• traptype = v3trap y secLevel = authPriv o authNoPriv.
• traptype = v3inform y secLevel = authPriv o authNoPriv con
otros tipos de capturas. El valor predeterminado es
MD5.
snmp_community Nombre de comunidad Obligatoria si traptype = v1trap, v2trap, v2inform.

snmp_engineid Obligatoria si traptype = v3trap.
snmp_privpass Contraseña de Obligatoria si:
privacidad
• traptype = snmpv3trap y secLevel = authPriv.
• traptype = snmpv3inform y secLevel = authPriv.
snmp_privproto Protocolo de privacidad Los valores válidos son: DES y AES. Obligatoria si:
• traptype = snmpv3trap y secLevel = authPriv.
• traptype = snmpv3inform y secLevel = authPriv.
Para otros tipos de traptype, el valor predeterminado es
DES.
snmp_seclevel Nivel de seguridad Los valores válidos son: noAuthNoPriv, authNoPriv y authPriv.
Obligatoria si traptype = v3trap o v3inform.
Para otros tipos de traptype, el valor predeterminado es
noAuthNoPriv.
snmp_traptype Obligatoria. Los valores válidos son: v1trap, v2trap, v2inform,

v3trap y v3inform.
snmp_username Obligatoria si traptype = snmpv3 o snmpv3inform.
type Asignación de regla Obligatoria. El valor predeterminado es 49190.
predeterminada
snmp_version Se rellena automáticamente.

3
Tabla 3-67 sql_ws — Inicio en columna EY

sql_ws_port (Opcional) El valor predeterminado depende
del proveedor. El valor predeterminado para
Websense es 1433.
sql_ws_userid Obligatoria.
sql_ws_password Obligatoria.
sql_ws_dbname (Opcional) El valor predeterminado es en
blanco.
sql_ws_db_instance Nombre de instancia de la base Obligatoria.
de datos
Tabla 3-68 sql — Inicio en columna FD

sql_port Puerto utilizado para conectar con la
base de datos
sql_userid ID de usuario de la base de datos
sql_password Contraseña de la base de datos
sql_dbinstance Nombre de la instancia de la base de
datos
sql_config_logging Los valores válidos son 0 (para Base de
datos de SQL Server Express) y 1 (para Base
de datos SQL)
sql_protocol Si el valor de sql_config_logging es 1, el de
esta columna es gsql.
sql_dbname Nombre de la base de datos
Tabla 3-69 oracleidm — Inicio en columna FK

oracleidm_port Puerto usado para conectar con la base de datos de Oracle Identity
Manager.
oracleidm_userid ID de usuario de la base de datos de Oracle Identity Manager.
oracleidm_password Contraseña de la base de datos de Oracle Identity Manager
oracleidm_ip_address Dirección IP de la base de datos de Oracle Identity Manager
oracleidm_dpsid Nombre TNS de la conexión utilizada
Tabla 3-70 text — Inicio en columna FP

Estos campos se utilizan con el origen de datos ePolicy Orchestrator.
text_dbinstance Instancia de base de datos en la que se ejecuta la base de datos de

ePolicy Orchestrator.
text_dbname Nombre de la base de datos de ePolicy Orchestrator
text_password Contraseña de la base de datos de ePolicy Orchestrator
text_port Puerto utilizado para conectar con la base de datos de ePolicy
Orchestrator
text_userid ID de usuario de la base de datos de ePolicy Orchestrator

3
Tabla 3-71 gsql — Inicio en columna FU

gsql_port (Opcional) El valor predeterminado depende del
proveedor. El valor predeterminado para Websense
es 1433.
gsql_userid Obligatoria.
gsql_password Obligatoria.
gsql_dbname (Opcional) El valor predeterminado es en blanco.
gsql_db_instance Nombre de instancia de la Obligatoria.
base de datos
gsql_nsmversion Versión de NSM Obligatoria. Si se deja en blanco, el valor
predeterminado es la versión 6.x.
Migración de orígenes de datos a otro receptor

Es posible reasignar o redistribuir los orígenes de datos entre los receptores de un mismo sistema.
Esto puede resultar especialmente útil si se adquiere un receptor nuevo y se desea equilibrar los
orígenes de datos y los datos asociados entre los dos receptores, o bien si se adquiere un nuevo
receptor más grande para reemplazar al anterior y es necesario transferir los orígenes de datos del
receptor actual al nuevo.
Procedimiento

receptor y haga clic en Orígenes de datos.
2 Seleccione los orígenes de datos que desee migrar y haga clic en Migrar.
3 Seleccione el nuevo receptor en el campo Receptor de destino y haga clic en Aceptar.
Véase también
Página Migrar orígenes de datos en la página 129
Página Migrar orígenes de datos

Permite seleccionar el receptor al que transferir los orígenes de datos.

Opción Definición
Receptor de destino Indica todos los receptores del ESM. Seleccione el receptor al que desee mover los
orígenes de datos seleccionados.
Véase también
Migración de orígenes de datos a otro receptor en la página 129
Traslado de orígenes de datos a otro sistema

A fin de mover los orígenes de datos de un receptor a otro en un sistema distinto, es necesario
seleccionar los orígenes de datos que se van a mover, guardarlos junto con sus datos sin procesar en
una ubicación remota y finalmente importarlos al otro receptor.
Antes de empezar
Para llevar a cabo esta función es necesario disponer de derechos de administración de
dispositivos en ambos receptores.

3
Utilice este procedimiento para mover orígenes de datos de un receptor situado en una ubicación
segura a un receptor situado en una ubicación no segura.
Existen limitaciones a la hora de exportar información de orígenes de datos:

• No se pueden mover los orígenes de datos de flujos (como por ejemplo IPFIX, NetFlow o sFlow).
• Los eventos de origen de los eventos correlacionados no se muestran.
• Si realiza un cambio en las reglas de correlación del segundo receptor, el motor de correlación no
procesará esas reglas. Cuando se mueven los datos de correlación, se insertan esos eventos desde
el archivo.

Seleccionar los 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic
orígenes de datos y en Origen de datos.
la ubicación remota
2 Seleccione el origen de datos y haga clic en Editar.
3 Haga clic en Avanzadas y seleccione Exportar a formato de NitroFile.
Los datos se exportarán a una ubicación remota y se configurarán mediante un

perfil.

A partir de este momento, los datos sin procesar generados por este origen de
datos se copiarán en la ubicación remota.
Crear el archivo de 1 Acceda a la ubicación remota donde están almacenados los datos sin procesar.
datos sin procesar
2 Guarde los datos sin procesar generados en una ubicación que permita mover el
archivo al segundo receptor (como una memoria extraíble que se pueda
transportar a la ubicación no segura).
Crear un archivo 1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y, después,
que describa los haga clic en Origen de datos | Importar.
orígenes de datos
2 Localice el archivo de orígenes de datos movido y haga clic en Cargar.
3 En la lista Perfil de recurso compartido remoto, seleccione la ubicación en la que guardó

los archivos de datos sin procesar. Si el perfil no aparece, haga clic en Perfil de
recurso compartido remoto y agregue el perfil.
Los orígenes de datos se agregarán al segundo receptor y se accederá a los datos
sin procesar a través del perfil de recurso compartido remoto.
Importar archivos 1 En el árbol de navegación del sistema, acceda a Orígenes de datos en el segundo
de datos sin receptor y haga clic en Importar.
procesar y archivos
de orígenes de 2 Localice el archivo de orígenes de datos movido y haga clic en Cargar. La página
datos Importar orígenes de datos muestra los orígenes de datos que se importarán.
3 En la lista Perfil de recurso compartido remoto, seleccione la ubicación en la que guardó
los archivos de datos sin procesar. Si el perfil no aparece, haga clic en Perfil de
recurso compartido remoto y agregue el perfil (véase Configuración de perfiles).

3
Véase también
131
Selección del método de recopilación de orígenes de datos Leer final de archivo(s)

Si selecciona Origen de archivo NFS u Origen de archivo CIFS en el campo Recuperación de datos al agregar un
origen de datos, es necesario elegir un método de recopilación.
Las opciones son las siguientes.
• Copiar archivo(s): se copian los registros completos desde el recurso compartido remoto al receptor
para su procesamiento. Si los archivos de registro son extensos y no se actualizan frecuentemente
con información nueva, copiar el archivo de registro completo puede resultar poco eficiente y lento.
• Leer final de archivo(s): los registros se leen de forma remota y solamente se leen los eventos nuevos.
Cada vez que se lee el registro, la lectura empieza en el punto donde se detuvo anteriormente. Si
el archivo cambia de forma significativa, esto se detecta y se vuelve a leer todo el archivo desde el
principio.
Procedimiento
1 En el árbol de navegación del sistema, haga clic en el receptor y, después, en el icono Agregar origen
de datos de la barra de herramientas de acciones.
2 Proporcione la información solicitada y seleccione Origen de archivo CIFS u Origen de archivo NFS en el
campo Recuperación de datos.
3 En el campo Método de recopilación, seleccione Leer final de archivo(s) y rellene los campos siguientes.
• Registros multilínea delimitados: seleccione esta opción para especificar si los eventos tienen una
longitud dinámica.
• Delimitador de eventos: introduzca una cadena de caracteres que indiquen el final de un evento y el
comienzo de otro. Estos delimitadores varían en gran medida y dependen del tipo de archivo de
registro.
• El delimitador es regex: seleccione esta opción si el valor del campo Delimitador de eventos se debe
analizar como una expresión regular en lugar de como un valor estático.
• Modo de lectura de final: seleccione Principio para analizar los archivos encontrados en la primera
ejecución completamente o Fin para tener en cuenta el tamaño del archivo y recopilar solo los
eventos nuevos.
• Recursividad de subdirectorios: seleccione esta opción para aplicar la recopilación de lectura de final a
los directorios secundarios (subdirectorios) y buscar coincidencias con el campo de expresión
comodín. Si no se selecciona, solamente se buscan los archivos del directorio principal.
4 Rellene los campos restantes y haga clic en Aceptar.

3
Véase también
Página Agregar origen de datos en la página 96
Visualización de los archivos generados por los orígenes de datos

A fin de ver los archivos generados por los orígenes de datos, es necesario acceder a la página Ver
archivos. No es posible acceder a ellos mediante una vista de ESM.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el origen de datos de McAfee.
2 En la barra de herramientas de acciones, haga clic en el icono Ver archivos .

• Escriba un nombre de archivo en el campo Filtro de nombre de archivo para localizar un archivo
concreto.
• Cambie la configuración en el campo Intervalo de tiempo a fin de ver únicamente los archivos
generados durante ese intervalo.
• Haga clic en Actualizar para actualizar la lista de archivos.
• Seleccione un archivo en la lista y haga clic en Descargar para obtener el archivo.
4 Haga clic en Cancelar para cerrar la página.
Véase también
131
Tipos de orígenes de datos definidos por el usuario

En esta tabla se incluyen los tipos definidos por el usuario y su correspondiente nombre o entrada,
que se muestra en el editor de orígenes de datos.
ID Modelo de dispositivo Proveedor Protocolo Prefijo de nombre de Tipo de editor

regla de reglas
49190 User Defined 1 N/D syslog UserDefined1_ Generic

3
ID Modelo de dispositivo Proveedor Protocolo Prefijo de nombre de Tipo de editor

regla de reglas
Orígenes de datos admitidos

McAfee proporciona compatibilidad con nuevos orígenes de datos de forma regular. Los receptores
pueden tener un máximo de 2000, 200 o 50 orígenes de datos.
Para ver las guías de configuración de los orígenes de datos actuales, diríjase al Centro de
conocimiento.
Estos dispositivos pueden tener 2000 orígenes de datos asociados:

• ERC-1225 • ENMELM-5600
• ERC-1250 • ENMELM-5750
• ERC-2230 • ENMELM-6000
• ERC-2250 • ELMERC-2230
• ERC-2600 • ELMERC-2250
• ERC-3450 • ELMERC-2600
• ERC-4245 • ELMERC-4245
• ERC-4600 • ELMERC-4600
• ENMELM-2250 • ESMREC-4245
• ENMELM-5205
El ERC-110 solo admite 50 orígenes de datos y, el resto, puede tener un máximo de 200.
Estas son las correspondencias de los intervalos de orígenes de datos:
• Tipos de orígenes de datos: 1–48 999
• Tipos definidos por el usuario: 49 001–49 999
• Reservado para McAfee (por ejemplo, grupos de reglas): 50 001–65 534
Si utiliza McAfee Firewall Enterprise Event Reporter (ERU), solo estarán disponibles los orígenes de
datos de McAfee.
Configuración para orígenes de datos específicos

Algunos orígenes de datos requieren más información y opciones de configuración especiales.
Véanse las secciones siguientes para obtener detalles.

3
• Check Point • Big Fix
• IBM Internet Security Systems • Formato de evento común

SiteProtector
• McAfee ePolicy Orchestrator • ArcSight
• ePolicy Orchestrator 4.0 • Security Device Event Exchange
• NSM-SEIM • Analizador de syslog avanzado
• Compatibilidad con la retransmisión de • Registro de eventos de WMI

syslog
• Adiscon
También puede consultar las guías de configuración actuales de estos orígenes de datos en el Centro
de conocimiento.
WMI Event Log

WMI es la implementación de Microsoft de Web-Based Enterprise Management (WBEM), según la
definición de Distributed Management Task Force (DMTF).
Se trata de la tecnología de administración principal de los sistemas operativos Windows, y permite el
uso compartido de la información de administración por parte de las aplicaciones de administración. La
capacidad para obtener datos de administración de algunos equipos remotos es lo que hace que WMI
resulte útil.
WMI no es conforme a FIPS. Si está obligado a adecuarse a las normativas de FIPS, no utilice esta
función.
Los registros de eventos de WMI se configuran a modo de origen de datos y se envían a través del
receptor. El receptor sondea el servidor de Windows en el intervalo establecido y recopila los eventos.
El recopilador de WMI puede recopilar eventos de cualquier registro de eventos del equipo Windows.
De forma predeterminada, el receptor recopila registros de seguridad, administración y eventos. Es
posible introducir otros archivos de registro, tales como los de Servicio de directorio o Exchange. Los
datos de registro de eventos se recopilan en el paquete y se pueden visualizar en los detalles de la
tabla de eventos.
Se necesitan privilegios de administrador u operador de copia de seguridad para los registros de

eventos de WMI, excepto cuando se emplea Windows 2008 o 2008 R2 y tanto el origen de datos como
el usuario están correctamente configurados (véase Configuración para la extracción de registros de
seguridad de Windows).
Se admiten estos dispositivos adicionales del origen de datos de WMI:
• McAfee Antivirus • Microsoft SQL Server
• Windows • RSA Authentication Manager
• Microsoft ISA Server • Symantec Antivirus
• Microsoft Active Directory • Microsoft Exchange
Para obtener instrucciones sobre la configuración de WMI y syslog a través de Adiscon, consulte
Configuración de Adiscon.
Cuando se configura un origen de datos de WMI, el proveedor es Microsoft y el modelo es WMI Event Log.

3
Configuración para la extracción de registros de seguridad de Windows

Cuando se utiliza Windows 2008 o 2008 R2, los usuarios sin privilegios de administración pueden
extraer los registros de seguridad de Windows, siempre que el origen de datos WMI Event Log y el
usuario estén bien configurados.
Procedimiento
1 Cree un usuario nuevo en el sistema Windows 2008 o 2008 R2 donde desee leer los registros de
eventos.
2 Asigne el usuario al grupo Lectores del registro de eventos en el sistema Windows.
3 Cree un nuevo origen de datos Microsoft WMI Event Log en McAfee Event Receiver, introduciendo
para ello las credenciales del usuario creado en el Paso 1 (véase Adición de un origen de datos).
4 Seleccione la opción Usar RPC y, a continuación, haga clic en Aceptar.
Origen de datos de correlación

Un origen de datos de correlación analiza los datos que fluyen de un ESM, detecta patrones
sospechosos dentro del flujo de datos, genera alertas de correlación que representan estos patrones e
inserta estas alertas en la base de datos de alertas del receptor.
Un patrón sospechoso se representa mediante los datos interpretados por las reglas de directiva de
correlación, las cuales se pueden crear y modificar. Estos tipos de reglas son independientes y
distintos de las reglas de Nitro IPS o de firewall, y cuentan con atributos que especifican su
comportamiento.
Solo se puede configurar un origen de datos de correlación en un receptor, de forma similar a la

configuración de syslog u OPSEC. Una vez que se ha configurado el origen de datos de correlación de
un receptor, es posible desplegar la directiva predeterminada de correlación, editar las reglas de base
de la directiva predeterminada de la correlación, o bien agregar reglas y componentes personalizados
para, finalmente, desplegar la directiva. Es posible activar o desactivar cada una de las reglas y
establecer el valor de los parámetros que el usuario puede definir. Para obtener detalles sobre la
directiva de correlación, consulte Reglas de correlación.
Cuando se agrega un origen de datos de correlación, el proveedor es McAfee y el modelo es Correlation

Engine.
Cuando se activa el origen de datos de correlación, el ESM envía alertas al motor de correlación del
receptor.

3
Asociación de gravedades y acciones

Los parámetros de gravedad y acción tienen usos ligeramente distintos. El objetivo en ambos casos es
asociar un valor del mensaje de syslog a un valor que encaje en el esquema del sistema.
• severity_map: la gravedad se indica mediante un valor entre 1 (menor gravedad) y 100 (mayor
gravedad), el cual se asigna a los eventos que coinciden con la regla. En algunos casos, el
dispositivo que envía el mensaje puede indicar la gravedad por medio de un número entre uno y
diez o mediante texto (alta, media o baja). Cuando esto ocurre, no se puede capturar como
gravedad, así que es necesario crear una asignación. Por ejemplo, este es un mensaje procedente
de McAfee IntruShield que muestra la gravedad en forma de texto.
<113>Apr 21 07:16:11 SyslogAlertForwarder: Attack NMAP: XMAS Probe (Medium)\000
La sintaxis de una regla que emplee la asociación de la gravedad sería similar a la siguiente (la
asociación de gravedad está en negrita solo para resaltarla):
alert any any any -> any any (msg:"McAfee Traffic"; content:"syslogalertforwarder";
severity_map:High=99,Medium=55,Low=10; pcre:"(SyslogAlertForwarder)\x3a\s+Attack\s+
([^\x27]+)\x27([^\x28]+)\x28"; raw; setparm:application=1; setparm:msg=2;
setparm:severity=3; adsid:190; rev:1;)
severity_map : High=99,Medium=55,Low=10. Esto permite asociar el texto a un número con un

formato que se puede utilizar.
setparm : severity=3. Esto indica que hay que tomar la tercera captura y configurarla como la
gravedad. Todos los modificadores de setparm funcionan de esta forma.
• action_map: se utiliza igual que en el caso de la gravedad. La acción representa la acción realizada
por el dispositivo de terceros. El objetivo en este caso es crear una asignación que resulte útil al
usuario final. Por ejemplo, este es un mensaje de error de inicio de sesión procedente de OpenSSH.
Dec 6 10:27:03 nina sshd[24259]: Failed password for root from 10.0.12.20 port
49547 ssh2
alert any any any -> any any (msg:"SSH Login Attempt"; content:"sshd";
action_map:Failed=9,Accepted=8;
pcre:"sshd\x5b\d+\x5d\x3a\s+((Failed|Accepted)\s+password)\s+for\s+((invalid|
illegal)\s+user\s+)?(\S+)\s+from\s+(\S+)(\s+(\S+)\s+port\s+(\d+))?"; raw;
setparm:msg=1; setparm:action=2; setparm:username=5; setparm:src_ip=6; adsid:190;
rev:1;)
La acción (Failed) se ha asignado a un número. Este número representa las distintas acciones que
se pueden utilizar en el sistema. A continuación se encuentra la lista completa de tipos de acciones
que se pueden utilizar.
• 0 = nulo • 20 = detención
• 1 = paso • 21 = Detección
• 2 = rechazo • 22 = De confianza
• 3 = supresión • 23 = No fiable
• 4 = sdrop • 24 = Falso positivo
• 5 = alerta • 25 = alerta-rechazo
• 6 = predeterminado • 26 = alerta-supresión
• 7 = fallo • 27 = alerta-sdrop

3
• 8 = correcto • 28 = reinicio
• 9 = error • 29 = bloqueo
• 10 = emergencia • 30 = limpieza
• 11 = crítico • 31 = limpieza-error
• 12 = advertencia • 32 = continuación
• 13 = informativo • 33 = infectado
• 14 = depuración • 34 = movimiento
• 15 = estado • 35 = movimiento-error
• 16 = adición • 36 = cuarentena
• 17 = modificación • 37 = cuarentena-error
• 18 = eliminación • 38 = eliminación-error
• 19 = inicio • 39 = denegado
En este ejemplo, se asigna la acción Failed del mensaje de syslog al 9, lo que el sistema
interpreta como Error.
A continuación se ofrece un desglose de la estructura de una regla.
Alert any any any -> any any (msg:”Login Attempt”; content:”sshd”; action_map or
severity_map (if you need it); pcre:”your regular expression goes here”; raw;
setparm:data_tag_goes_here; adsid:190; rev:1;)
Analizador de syslog avanzado

El analizador de syslog avanzado (ASP) proporciona un mecanismo para analizar los datos contenidos
en mensajes de syslog en función de las reglas definidas por el usuario. Las reglas indican al ASP
cómo reconocer un mensaje concreto y en qué parte del mensaje residen datos de eventos
específicos, tales como ID de firma, direcciones IP, puertos, nombres de usuario y acciones.
El ASP se puede utilizar para dispositivos syslog que no se identifiquen específicamente en la página
Agregar origen de datos, o bien cuando el analizador específico de origen no interprete correctamente los
mensajes o interprete completamente puntos de datos relacionados con los eventos recibidos.
También resulta ideal para organizar orígenes de registros complejos, como servidores Linux y UNIX.
Esta funcionalidad requiere escribir reglas (véase Analizador de syslog avanzado) personalizadas para
su entorno Linux o UNIX.
Es posible agregar un origen de datos ASP al receptor mediante la selección de Syslog como
proveedor (véase Adición de un origen de datos). Una vez hecho esto, siga las instrucciones del
fabricante del dispositivo para configurar el dispositivo syslog a fin de enviar datos de syslog a la
dirección IP del receptor.
Cuando se agrega un origen ASP, es necesario aplicar una directiva antes de la recopilación de datos
de eventos. Si activa Admitir syslogs genéricos, podrá aplicar una directiva sin reglas y empezar a recopilar
datos de eventos de forma genérica.
Algunos orígenes de datos, incluidos los servidores Linux y UNIX, pueden producir grandes cantidades
de datos no uniformes que provocan que el receptor no agrupe adecuadamente las apariciones de
eventos similares. Esto produce el aspecto de una amplia gama de eventos distintos cuando, en
realidad, es un mismo evento que se repite con datos de syslog distintos que se envían al receptor.
La adición de reglas al ASP permite sacar el máximo partido de los datos de eventos. El ASP emplea
un formato muy similar al de Snort.

3
ACTION Protocol Src_ip Src_port -> Dst_ip Dst_port (keyword: option; keyword:
option;...;)
Al concatenar un valor literal con una subcaptura de PCRE en las versiones 9.0.0 y posteriores, coloque
los literales entre comillas individualmente si contienen espacios u otros caracteres y deje las
referencias a subcapturas de PCRE sin entrecomillar.
Las reglas se definen como sigue.
Sección Campo Descripción

Encabezado de El encabezado de la regla contiene la acción Alert y el formato any any
regla any. La regla es:
ALERT any any any -> any any
Acción Qué hacer con el evento cuando se produzca una coincidencia. Las
opciones son:
• ALERT: registrar el evento
• DROP: registrar el evento pero no reenviarlo
• SDROP: no registrar el evento ni reenviarlo
• PASS: reenviarlo si se ha definido, pero no registrarlo
Protocol Si el evento define un protocolo, se filtra la coincidencia efectiva en

función del protocolo.
Src/Dst IP Si el evento define una dirección IP de origen o destino, se filtra la
coincidencia efectiva en función de la dirección.
Src/Dst Port Si el evento define un puerto de origen o destino, se filtra la
coincidencia efectiva en función del puerto.
Cuerpo de la El cuerpo de la regla contiene la mayoría de los criterios de
regla coincidencia y define cómo se deben analizar y registrar los datos en la
base de datos de ESM. Los elementos del cuerpo de la regla se definen
mediante pares de palabra clave-opción. Algunas palabras clave no
tienen opción.
msg (Obligatorio) El mensaje que asociar con la regla. Se trata de la cadena
mostrada en el cliente ligero de ESM con fines de generación de
informes a menos que se omita mediante un mensaje pcre/setparm
detectado (véase más adelante). La primera tarea de msg es el nombre
de la categoría seguido por el mensaje en sí (msg: "mensaje de regla
de categoría").
content (Opcional, una o varias instancias) La palabra clave content es un
calificador de texto sin caracteres comodín para el filtrado previo de
eventos a medida que pasan por el grupo de reglas y que puede
contener espacios (por ejemplo, content: "búsqueda 1"; content "algo
más").
procname En muchos sistemas UNIX y Linux, el nombre del proceso (y su ID)
forma parte de un encabezado de mensaje syslog estandarizado. La
palabra clave procname se puede utilizar a fin de filtrar las
coincidencias de eventos para la regla. Se emplea para excluir o filtrar
coincidencias de eventos en las que dos procesos de un servidor Linux
o UNIX pueden tener un texto de mensaje idéntico o similar.
adsid El ID de origen de datos que utilizar. Este valor omite el de Asignación de
regla predeterminada del editor de orígenes de datos.
sid ID de firma de la regla. Es el ID de coincidencia utilizado en el cliente
ligero de ESM a menos que se omita mediante un sid pcre/setparm
detectado.

3
Sección Campo Descripción

rev Revisión de la regla. Se emplea para rastrear los cambios.
severity Un valor entre 1 (menor gravedad) y 100 (mayor gravedad) que se
asigna a los eventos que coinciden con la regla.
pcre La palabra clave PCRE es una expresión regular compatible con Perl
que se compara con los eventos entrantes. La palabra clave PCRE se
delimita mediante comillas, y todas las apariciones de "/" se consideran
caracteres normales. El contenido entre paréntesis se reserva para el
uso de la palabra clave setparm. La palabra clave PCRE puede
modificarse mediante las palabras clave nocase, nomatch, raw y
setparm.
nocase Hace que el contenido de PCRE provoque coincidencia aunque el uso de
mayúsculas y minúsculas no sea igual.
nomatch Invierte la coincidencia de PCRE (equivale a !~ en Perl).
raw Compara la PCRE con todo el mensaje de syslog, incluidos los datos del
encabezado (función, daemon, fecha, host/IP, nombre de proceso e ID
de proceso). Normalmente, el encabezado no se utiliza en la
coincidencia de PCRE.
setparm Puede aparecer más de una vez. A cada conjunto de paréntesis de la
PCRE se le asigna un número por orden de aparición. Esos números se
pueden asignar a etiquetas de datos (por ejemplo:
setparm:username=1). Se toma el texto capturado en el primer
conjunto de paréntesis y se asigna a la etiqueta de datos de nombre de
usuario. Las etiquetas reconocidas se enumeran en la tabla siguiente.
Etiqueta Descripción
* sid Este parámetro capturado omite el sid de la regla coincidente.
* msg Este parámetro capturado omite el mensaje o el nombre de la regla coincidente.
* action Este parámetro capturado indica qué acción realizó el dispositivo de terceros.
* protocol
* src_ip Esto sustituye la IP del origen de syslog, que es la IP de origen predeterminada
para un evento.
* src_port
* dst_ip
* dst_port
* src_mac
* dst_mac
* dst_mac
* genid Se emplea para modificar el sid almacenado en la base de datos, que se usa para
las coincidencias de snort ajenas a McAfee en los preprocesadores snort.
* url Reservada y sin uso por ahora.
* src_username Primer nombre de usuario/nombre de usuario de origen.
* username Nombre alternativo para src_username.
* dst_username Segundo nombre de usuario/nombre de usuario de destino.
* domain
* hostname
* application

3
* severity Debe ser un número entero.
* action map Permite asignar acciones específicas de su producto a las acciones de McAfee. En
el mapa de acciones se distingue entre mayúsculas y minúsculas. Ejemplo: alert
any any any -> any any (msg:"OpenSSH Accepted Password"; content:"Accepted
password for "; action_map:Accepted=8, Blocked=3; pcre:"(Accepted)\s
+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)";
setparm:action=1; sid:31; rev:1;)). Véase Asociación de gravedades y acciones
para obtener detalles.
* severity map Permite asignar gravedades específicas de su producto a la gravedad de McAfee.
Al igual que el mapa de acciones, en el mapa de gravedades se distingue entre
mayúsculas y minúsculas. Ejemplo: alert any any any -> any any (msg:"OpenSSH
Accepted Password"; content:"Accepted password for "; severity_map:High=99,
Low=25, 10=99, 1=25; pcre:"(Accepted)\s+password\s+for\s+(\S+)\s+from\s+
(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;))pri(?:
\x3d|\x3a)\s*(?:p\x5f)?([^\x2c]+). Véase Asociación de gravedades y acciones
para obtener detalles.
* var Otra forma de utilizar setparm. La ventaja es la posibilidad de crear un valor a
partir de diversas capturas de varias PCRE. Es posible crear más de una PCRE que
capture solo una pequeña porción de la cadena en lugar de una PCRE larga con
varias capturas. A continuación se ofrece un ejemplo para capturar un nombre de
usuario y un dominio, además de crear una dirección de correo electrónico a fin de
almacenarla en el campo objectname.
• Sintaxis = var:field=${PCRE:Capture}
• PCRE = no la PCRE real, sino su número correspondiente. Si la regla tiene dos
PCRE, sería la PCRE 1 o 2.
• Captura = no la captura real, sino su número (primera, segunda o tercera
captura [1,2,3]).
• Mensaje de muestra: Un hombre llamado Jim trabaja para McAfee.
• PCRE: (Jim).*?(McAfee)
• Regla: alert any any any -> any any (msg:"Var User Jim"; content:"Jim";
pcre:"(Jim)"; pcre:"(McAfee)"; var:src_username=${1:1}; var:domain=${2:1};
var:objectname=${1:1}@${2:1}.com raw; classtype:unknown; adsid:190; sev:
25; sid:610061000; rev:1; normID:1209008128; gensys:T;)
• Usuario de origen asignado: Jim
• Dominio asignado: McAfee
• objectname asignado: Jim@McAfee.com
* sessionid Se trata de un entero.

* commandname Se trata de un valor de cadena.
* objectname Se trata de un valor de cadena.
* event_action Esta etiqueta se emplea para establecer una acción predeterminada. No se puede
usar event_action y action_map en la misma regla. Por ejemplo, si obtiene un
evento a partir de un inicio de sesión correcto, podría utilizar la etiqueta
event_action y hacer que la acción de inicio de sesión correcto sea la
predeterminada (por ejemplo, event_action:8;).

3
* firsttime_fmt Se usa para establecer la primera aparición del evento. Véase la lista de formatos.
* lasttime_fmt Se usa para establecer la última aparición del evento. Véase la lista de formatos.
Esto se puede utilizar con setparm o con var (var:firsttime="${1:1}" o
setparm:lasttime="1"). Por ejemplo:
alert any any any -> any any (msg:"SSH Login Attempt"; content:"content";
firsttime_fmt:"%Y-%m-%dT%H:%M:%S.%f"; lasttime_fmt:"%Y-%m-%dT%H:
%M:%S.%f" pcre:"PCRE goes here; raw; setparm:firsttime=1;
setparm:lasttime=1; adsid:190; rev:1;)
Para conocer los formatos admitidos actualmente, véase http://

pubs.opengroup.org/onlinepubs/009695399/functions/strptime.html a fin de
obtener más detalles.
%Y - %d - %m %H : %M : %S
%m - %d - %Y %H : %M : %S
%b %d %Y %H : %M : %S
%b %d %Y %H - %M - %S
%b %d %H : %M : %S %Y
%b %d %H - %M - %S %Y
%b %d %H : %M : %S
%b %d %H - %M - %S
%Y %H : %M : %S
%Y %H - %M - %S
%m - %d - %Y
%H : %M : %S
%H - %M - %S
%Y es el año con cuatro dígitos

%m es el número correspondiente al mes (1-12)
%d es la fecha (1-31)
%H corresponde a la hora (1-24)
%M son los minutos (0-60)
%S son los segundos (0-60)
%b es la abreviatura del mes (feb, may)
A continuación se ofrece un ejemplo de una regla que identifica una contraseña a partir de un inicio de
sesión OpenSSH y extrae del evento la dirección IP, el puerto de origen y el nombre de usuario:
alert any any any -> any any (msg:"OpenSSH Accepted Password";content:"Accepted
password for ";pcre:"Accepted\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s
+port\s+(\d+)";setparm:username=1;setparm:src_ip=2;setparm:src_port=3;sid:31;rev:1;)
Para consultar recursos sobre PCRE online, visite http://perldoc.perl.org/perlre.html.
Adición de un origen de datos ASP con codificación diferente

ESM puede leer los datos codificados mediante UTF-8. Si dispone de un origen de datos ASP que
genere datos con una codificación diferente, deberá indicarlo al agregar el origen de datos.

3
Procedimiento
1 En el árbol de navegación del sistema, haga clic en un receptor y, después, en el icono Agregar origen
de datos .
2 Seleccione Genérico en el campo Proveedor de origen de datos y, después, seleccione Analizador de syslog
avanzado en el campo Modelo de origen de datos.
3 Introduzca la información solicitada y seleccione la codificación correcta en el campo Codificación.
Se le aplicará a los datos de este origen de datos un formato legible para el receptor cuando los
reciba.
Security Device Event Exchange (SDEE)

El formato SDEE describe una forma estándar de representar eventos generados por diversos tipos de
dispositivos de seguridad. La especificación SDEE indica que los eventos SDEE se transportan
mediante los protocolos HTTP o HTTPS. Los servidores HTTP que emplean SDEE a fin de proporcionar
información sobre eventos a los clientes se llaman proveedores SDEE, mientras que los emisores de
las solicitudes HTTP se denominan clientes SDEE.
Cisco ha definido algunas extensiones del estándar SDEE, y lo ha llamado estándar CIDEE. El receptor
puede actuar como cliente SDEE que solicita datos CIDEE generados por sistemas de prevención de
intrusiones de Cisco.
Al contrario que algunos de los otros tipos de orígenes de datos admitidos por el receptor, SDEE
emplea un modelo de "extracción", no de "inserción". Esto significa que, periódicamente, el receptor
contacta con el proveedor SDEE y solicita los eventos generados desde la hora del último evento
solicitado. Cada vez que se recuperan eventos del proveedor SDEE, se procesan y almacenan en la
base de datos de eventos del receptor, listos para su recuperación por parte del ESM.
Es posible agregar un proveedor SDEE a un receptor a modo de origen de datos mediante la selección
de Cisco como proveedor y de IOS IPS (SDEE) como modelo de origen de datos (véase Adición de un
origen de datos).
El receptor es capaz de extraer esta información de un evento SDEE/CIDEE:
• Direcciones IP de origen y destino
• Puertos de origen y destino
• Protocolo
• Hora del evento
• Número de eventos (CIDEE proporciona una forma de agregación de eventos que el receptor
respeta)
• ID de firma e ID secundario
• El ID de evento del ESM se calcula a partir del ID de firma y el ID de firma secundario de SDEE
mediante la siguiente fórmula:
ID de ESMI = (ID de SDEE * 1000) + ID secundario de CIDEE
Por tanto, si el ID de firma de SDEE es 2000 y el ID de firma secundaria de CIDEE es 123, el ID de

evento de ESMI sería 2000123.
• VLAN

3
• Gravedad
• Descripción del evento
• Contenido del paquete (si está disponible)
Si el receptor va a conectar con el proveedor SDEE por primera vez, la fecha y hora actuales se
emplean como punto de partida para solicitar eventos. Las conexiones futuras solicitarán todos los
eventos desde la última extracción correcta.
Adición de un origen de datos de ArcSight

Es posible agregar orígenes de datos para un dispositivo ArcSight.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el nodo del receptor.
2
Haga clic en el icono Agregar origen de datos de la barra de herramientas de acciones.
3 Seleccione ArcSight en el campo Proveedor de origen de datos y, después, seleccione Formato de evento común
en el campo Modelo de origen de datos.
4 Asigne un nombre al origen de datos y escriba la dirección IP de ArcSight.
5 Rellene el resto de campos (véase Adición de un origen de datos).
7 Configure un origen de datos por cada origen que reenvíe datos al dispositivo ArcSight.
Los datos recibidos de ArcSight se analizan para poder visualizarlos en la consola de ESM.
Formato de evento común (CEF)

ArcSight puede convertir actualmente eventos de 270 orígenes de datos al formato de evento común
(CEF) mediante conectores inteligentes. CEF es un estándar de interoperabilidad para dispositivos que
generan registros o eventos. Contiene la información más relevante sobre el dispositivo, además de
facilitar el análisis y la utilización de los eventos.
No es necesario que el causante del evento genere de forma explícita el mensaje de evento. El
formato se aplica al mensaje mediante un prefijo común compuesto por campos delimitados por
barras (|). El prefijo es obligatorio y todos los campos especificados deben estar presentes. En la
extensión se especifican campos adicionales. El formato es:
CEF:Versión|Proveedor de dispositivo|Producto de dispositivo|Versión de dispositivo|

IDClaseEventoDispositivo|Nombre|Gravedad|Extensión

3
La parte del mensaje correspondiente a la extensión es un marcador de posición para campos

adicionales. A continuación se ofrecen las definiciones de los campos de prefijo:
• Versión es un número entero que identifica la versión del formato CEF. Los consumidores de eventos
utilizan esta información para determinar lo que representan los campos. Actualmente, solo está
establecida la versión 0 (cero) de este formato. Con el paso del tiempo, es posible que sea
necesario agregar otros campos al "prefijo", lo que requeriría un cambio de número de versión. La
adición de formatos nuevos se gestiona a través del organismo de estandarización.
• Proveedor de dispositivo, Producto de dispositivo y Versión de dispositivo son cadenas que identifican de forma
exclusiva el tipo de dispositivo remitente. Dos productos no pueden emplear el mismo par de
proveedor y producto de dispositivo. Ninguna autoridad central administra estos pares. Los
creadores de los eventos tienen que garantizar la asignación de pares de nombres exclusivos.
• IDClaseEventoDispositivo es un identificador exclusivo del tipo de evento. Puede ser una cadena o un
número entero. IDClaseEventoDispositivo identifica el tipo de evento. En el ámbito de los sistemas
de detección de intrusiones (IDS), cada firma o regla que detecta cierta actividad tiene un
IDClaseEventoDispositivo exclusivo asignado. Esto también es un requisito para otros tipos de
dispositivos, y ayuda a los motores de correlación a manipular los eventos.
• Nombre es una cadena que representa una descripción legible y comprensible para los usuarios
sobre el evento. El nombre del evento no debe contener información específicamente mencionada
en otros campos. Por ejemplo: "Barrido de puertos desde 10.0.0.1 con destino en 20.1.1.1" no es
un nombre de evento adecuado. Debería ser: "Barrido de puertos". El resto de información es
redundante y se puede obtener en los otros campos.
• Gravedad es un número entero y refleja la importancia del evento. Solo se permiten los números del
0 al 10, donde el 10 indica el evento de mayor importancia.
• Extensión es una recopilación de pares de clave y valor. Las claves forman parte de un conjunto
predefinido. El estándar permite la inclusión de claves adicionales, tal y como se explica
posteriormente. Un evento puede contener cualquier número de pares de clave-valor en cualquier
orden y separados por espacios. Si un campo contiene un espacio, como por ejemplo un nombre de
archivo, no supone un problema y se puede registrar exactamente tal cual. Por ejemplo:
fileName=c:\Archivos de programa\ArcSight es un token válido.
Este es un mensaje de muestra para ilustrar el aspecto final:
Sep 19 08:26:10 zurich CEF:0|security|threatmanager|1.0|100|worm successfully stopped|

10|src=10.0.0.1 dst=2.1.2.2 spt=1232
Si utiliza NetWitness, el dispositivo se debe configurar correctamente para el envío de CEF al receptor.
De forma predeterminada, el formato CEF cuando se emplea NetWitness tendrá el siguiente aspecto:
CEF:0|Netwitness|Informer|1.6|{name}|{name}|Medium | externalId={#sessionid}
proto={#ip.proto} categorySignificance=/Normal categoryBehavior=/Authentication/Verify
categoryDeviceGroup=/OS categoryOutcome=/Attempt categoryObject=/Host/Application/
Service act={#action} deviceDirection=0 shost={#ip.host} src={#ip.src}
spt={#tcp.srcport} dhost={#ip.host} dst={#ip.dst} dport={#tcp.dstport}
duser={#username} dproc=27444 fileType=security cs1={#did} cs2={#password} cs3=4 cs4=5
cn1={#rid} cn2=0 cn3=0
El formato correcto requiere el cambio de "dport" en el ejemplo anterior por "dpt".

3
Configuración de Adiscon
Se admite el uso de WMI y syslog a través de Adiscon.
Se debe utilizar la siguiente cadena de formato en Event Reporter con el fin de que el origen de datos
de eventos de Windows de Adiscon para Microsoft funcione correctamente:
%sourceproc%,%id%,%timereported:::uxTimeStamp%,%user%,%category%,%Param0%;%Param1%;
%Param2%;%Param3%;%Param4%;%Param5%;%Param6%;%Param7%;%Param8%;%Param9%;%Param10%;
%Param11%;%Param12%;%Param13%;%Param14%;%Param15%
Compatibilidad con la retransmisión de syslog

El reenvío de eventos de diversos dispositivos a través de un servidor de retransmisión de syslog al
receptor requiere algunas tareas adicionales.
Es necesario agregar un único origen de datos de retransmisión de syslog para que acepte el flujo de
datos, además de otros orígenes de datos. Esto permite al receptor dividir el flujo de datos entre los
orígenes de datos que lo originan. Se admiten Sylog-ng y Splunk. El siguiente diagrama describe esta
situación:
1 Dispositivo Cisco ASA 5 Origen de datos 1: retransmisión de syslog
2 Dispositivo SourceFire Snort 6 Origen de datos 2: Cisco ASA
3 Dispositivo TippingPoint 7 Origen de datos 3: SourceFire Snort
4 Retransmisión de syslog 8 Origen de datos 4: TippingPoint
Con esta situación como ejemplo, sería necesario configurar el origen de datos de retransmisión de
syslog (5) para recibir el flujo de datos de retransmisión de syslog (4) mediante la selección de syslog
en el campo Retransmisión de syslog. Una vez configurado el origen de datos de retransmisión de syslog,
habría que agregar los orígenes de datos de los dispositivos individuales (6, 7 y 8), seleccionando para
ello Ninguna en el campo Retransmisión de syslog, ya que este dispositivo no es un servidor de
retransmisión de syslog.
La función Cargar mensajes de syslog no funciona con una configuración de retransmisión de syslog.
El encabezado de syslog debe configurarse para que tenga un aspecto similar al del siguiente ejemplo:
1 <123> 345 Oct 7 12:12:12 2012 mcafee.com httpd[123]
Donde:
1= Versión de syslog (opcional)

345 = Longitud de syslog (opcional)
<123> = Función (opcional)

3
Oct 7 12:12:12 2012 = Fecha; se admiten cientos de formatos (obligatorio)

mcafee.com Nombre de host o dirección IP (IPv4 o IPv6) (obligatorio)
httpd = Nombre de aplicación (opcional)
[123] PID de aplicación (opcional)
:= Dos puntos (opcional)
El nombre de host y los campos de datos pueden aparecer en cualquier orden. Una dirección IPv6 se
puede delimitar entre corchetes [ ].
Ejecución de la herramienta de configuración de NSM-SIEM

Antes de configurar un origen de datos de NSM, es necesario ejecutar la herramienta de configuración
de NSM-SIEM.
Procedimiento
1 Descargue la herramienta de configuración.

a Acceda al sitio web de descarga de productos de McAfee.
b Introduzca el número de concesión de cliente que se le ha proporcionado en el cuadro de

búsqueda Descargar mis productos.
c Haga clic en Buscar. Los archivos de actualización del producto se encuentran bajo el vínculo de
descarga de MFE <nombre_producto> <versión>.
d Lea el EULA de McAfee y haga clic en Acepto.
e Descargue los archivos correspondientes a la Herramienta de configuración de NSM-SIEM.
2 Ejecute la herramienta de configuración en el servidor de NSM.
La herramienta debería ser capaz de encontrar la ruta de acceso predeterminada de NSM. En caso
contrario, acceda a ella.
3 Introduzca el nombre de usuario, la contraseña y el nombre de base de datos SQL de NSM

introducidos durante la instalación de NSM.
4 Introduzca el nombre de usuario y la contraseña de SIEM del origen de datos y la dirección IP del
receptor al que se agregará el origen de datos.
Estos datos se introducen en la pantalla del origen de datos.

Es posible configurar varios orígenes de datos de ePolicy Orchestrator que apunten a una misma
dirección IP con nombres distintos en el campo de nombre de la base de datos.
Esto permite configurar tantos orígenes de datos de ePolicy Orchestrator como se desee y que todos
apunten a una base de datos distinta en el servidor central. Rellene los campos ID de usuario y Contraseña
con la información que proporciona acceso a la base de datos de ePolicy Orchestrator, y el campo
Versión con la versión del dispositivo ePolicy Orchestrator. El puerto predeterminado es 1433.
El campo Nombre de la base de datos es obligatorio. Si el nombre de la base de datos contiene un guión,
deberá delimitar el nombre mediante corchetes (por ejemplo, [ePO4_WIN-123456]).

3
La opción Consulta de ePO permite realizar una consulta en el dispositivo ePolicy Orchestrator y crear
orígenes de datos cliente. Si se selecciona la opción predeterminada de Coincidir por tipo en el campo Usar
orígenes de datos cliente y se hace clic en Consulta de ePO, se consulta el dispositivo ePolicy Orchestrator y
cualquier producto compatible con ePolicy Orchestrator se agrega a modo de origen de datos cliente.
Se admiten los siguientes productos si están completamente integrados en ePolicy Orchestrator:
• ANTISPYWARE • MNAC
• DLP • POLICYAUDITOR
• EPOAGENT • SITEADVISOR
• GSD • VIRUSCAN
• GSE • SOLIDCORE
• HOSTIPS
Si se selecciona Hacer coincidir en IP, se consulta el dispositivo ePolicy Orchestrator y se crean orígenes de
datos cliente para todos los endpoints de la base de datos de ePolicy Orchestrator. Si existen más de
256 endpoints en la base de datos de ePolicy Orchestrator, se crean varios orígenes de datos con
clientes.
La fecha de evaluación de riesgos de McAfee se adquiere mediante los servidores de ePolicy

Orchestrator. Es posible especificar varios servidores de ePolicy Orchestrator en los que adquirir los
datos de McAfee Risk Advisor. Los datos de McAfee Risk Advisor se adquieren a través de una consulta
de base de datos procedente de la base de datos de SQL Server de ePolicy Orchestrator. La consulta
de base de datos tiene como resultado una lista de calificaciones de reputación de direcciones IP, y se
proporcionan valores constantes para los valores de reputación baja y reputación alta. Todas las listas
de ePolicy Orchestrator y McAfee Risk Advisor se combinan, de forma que las IP duplicadas obtienen la
calificación más alta. Esta lista combinada se envía, con los valores bajos y altos, a todos los
dispositivos ACE empleados para calificar los campos IP de origen e IP de destino.
Al agregar un origen de datos de ePolicy Orchestrator y hacer clic en Aceptar para guardarlo, se le
pregunta si desea usar el origen de datos a fin de configurar los datos de McAfee Risk Advisor. Si hace
clic en Sí, se crearán y desplegarán una regla de origen de enriquecimiento de datos y dos reglas de
calificación ACE (si procede). Para verlas, acceda a las páginas Enriquecimiento de datos y Calificación de
correlación de riesgos. Para utilizar las reglas de calificación es necesario crear un administrador de
correlación de riesgos (véase Adición de un administrador de correlación de riesgos).
SiteProtector de IBM Internet Security Systems

El receptor es capaz de recuperar eventos de un servidor de SiteProtector de Internet Security
Systems (ISS) mediante la realización de consultas en la base de datos de Microsoft SQL Server
utilizada por SiteProtector para almacenar sus eventos.
Al contrario que algunos de los otros tipos de orígenes de datos admitidos por el receptor, la
recuperación de eventos de un servidor de SiteProtector se efectúa mediante un modelo de
"extracción", no de "inserción". Esto significa que, periódicamente, el receptor contacta con la base de
datos de SiteProtector y solicita los eventos nuevos a partir del último evento extraído. Cada vez que
se recuperan eventos del servidor de SiteProtector, se procesan y almacenan en la base de datos de
eventos del receptor, listos para su recuperación por parte del ESM.
Existen dos opciones de tipo de dispositivo disponibles: Servidor y Dispositivo gestionado. La configuración
de un origen de datos con el tipo de dispositivo Servidor seleccionado es el requisito mínimo para
recopilar eventos de un servidor de SiteProtector.
Una vez configurado el origen de datos de servidor de SiteProtector, todos los eventos recopilados
mediante SiteProtector se muestran como pertenecientes a ese origen de datos, independientemente
del activo real que informó del evento al servidor de SiteProtector. Para ampliar la categorización de

3
los eventos en función del activo gestionado que informó del evento a SiteProtector, es posible
configurar orígenes de datos de SiteProtector adicionales con el tipo de dispositivo Dispositivo gestionado
seleccionado.
La opción Avanzadas situada en la parte inferior de la página permite definir una dirección URL que se
puede utilizar para ejecutar URL específicas al visualizar los datos de evento. También se puede definir
un proveedor, un producto y una versión para su uso en el reenvío de eventos con formato de evento
común (CEF). Esta configuración es opcional.
Para que el receptor envíe consultas a la base de datos de SiteProtector sobre eventos, la instalación
de Microsoft SQL Server que alberga la base de datos utilizada por SiteProtector debe aceptar
conexiones del protocolo TCP/IP.
Véase la documentación de Microsoft SQL Server a fin de conocer el procedimiento para activar este
protocolo y definir el puerto utilizado para estas conexiones (el predeterminado es el puerto 1433).
Cuando el receptor conecta con la base de datos de SiteProtector por primera vez, se recuperan los
eventos nuevos generados tras la hora actual. En las conexiones futuras, se solicitan todos los eventos
que se han producido tras el último evento recuperado correctamente.
El receptor extrae esta información de un evento de SiteProtector:
• Direcciones IP de origen y destino (IPv4) • Recuento de eventos
• Puertos de origen y destino • VLAN
• Protocolo • Gravedad
• Hora del evento • Descripción del evento
Configuración de Check Point

Es posible configurar orígenes de datos para Provider 1, Check Point High Availability, y la mayor parte
de entornos Check Point estándar.
El primer paso es agregar el origen de datos de Check Point principal (véase Adición de un origen de
datos). Es necesario agregar un origen de datos para el servidor de registro si el origen de datos
principal no actúa como servidor de registro y se dispone de un servidor de registro dedicado.
Asimismo, se deben agregar los orígenes de datos secundarios que sean necesarios. Si se encuentra
en un entorno de disponibilidad alta, deberá agregar un origen de datos secundario por cada
SMS/CMA secundario.
Procedimiento
1 Agregue un origen de datos principal para el SMS/CMA donde esté almacenado el certificado o la
aplicación OPSEC o, en el caso de un receptor de disponibilidad alta, el SMS/CMA principal.
OPSEC no es conforme a FIPS. Si está obligado a adecuarse a las normativas de FIPS, no utilice esta
función (véase el Apéndice A).
2 Haga clic en Opciones.
3 En la página Configuración avanzada, seleccione el método de comunicación y escriba el Nombre distintivo

de entidad de servidor de este origen de datos.
4 Haga clic dos veces en Aceptar.
5 Haga lo siguiente, si procede:

3
Si recibe este Haga lo siguiente...

error...
SIC Error for lea: Client 1 Compruebe que seleccionó la configuración correcta para Usar autenticación
could not choose an y Usar cifrado al agregar el origen de datos de Check Point.
authentication method for
service lea (Error SIC
Si seleccionó solamente Usar autenticación, el cliente OPSEC intenta
para lea: el cliente
comunicarse con el servidor de registro mediante "sslca_clear". Si
no pudo elegir un
seleccionó Usar autenticación y Usar cifrado, el cliente OPSEC intenta
método de
comunicarse con el servidor de registro mediante "sslca". Si no
autenticación para
seleccionó ninguna de estas opciones, el cliente OPSEC intenta
lea)
comunicarse con el servidor de registro mediante "none".
2 Compruebe que la aplicación OPSEC que está utilizando para

comunicarse con el servidor de registro de Check Point tenga LEA
seleccionado en la sección Client Entities (Entidades cliente).
3 Si verifica que ambos pasos son correctos, localice el archivo
sic_policy.conf en la instalación del servidor de registro de Check Point.
Por ejemplo, en un sistema R65 basado en Linux, este archivo se
encuentra en /var/opt/CPshrd-R65/conf.
4 Cuando determine qué método de comunicación (método de
autenticación del archivo) permite el método de comunicación de LEA
con el servidor de registro, seleccione dicho método en la página
Configuración avanzada como Método de comunicación.
SIC Error for lea: Peer sent • Proporcione una cadena para el cuadro de texto Nombre distintivo de entidad de
wrong DN: <expected dn> servidor mediante la introducción de la cadena que representa "<DN
(Error SIC para lea: esperado>" en el mensaje de error.
el componente envió
un nombre distintivo Una alternativa es localizar el nombre distintivo del servidor de registro de
incorrecto: <nombre Check Point consultando el objeto network del servidor de registro de
distintivo esperado>) Check Point en la interfaz de usuario de SmartDashboard.
El nombre distintivo del SMS/CMA será similar al de la aplicación OPSEC,
basta con sustituir la primera entrada por CN=cp_mgmt. Por ejemplo,
supongamos que el nombre distintivo de la aplicación OPSEC es
CN=mcafee_OPSEC,O=r75..n55nc3. El nombre distintivo del SMS/CMA
sería CN=cp_mgmt,O=r75..n55nc3. El nombre distintivo del servidor de
registro tendría este aspecto: CN=CPlogserver,O=r75..n55nc3.
6 Agregue un origen de datos secundario por cada firewall, servidor de registro o SMS/CMA
secundario administrado por el origen de datos principal configurado (véase Adición de un origen
de datos secundario).
El tipo de dispositivo de todos los orígenes de firewall/gateway es Dispositivo de seguridad. La Consola de

informes principal es, de forma predeterminada, el origen de datos principal.
Grupos de reglas de McAfee

Esta tabla incluye los grupos de reglas de McAfee junto con los ID de origen de datos externo.
ID de origen de Nombre de pantalla RSID correspondiente Intervalo de reglas

datos
50201 Firewall 0 2 000 000–2 099 999
50202 Firewall personalizado 0 2 200 000–2 299 999
50203 Firmas personalizadas 0 5 000 000–5 999 999
50204 Interno 0 3 000 000–3 999 999
50205 Vulnerabilidad y exploit 2 N/D

3
ID de origen de Nombre de pantalla RSID correspondiente Intervalo de reglas

datos
50206 Contenidos para adultos 5 N/D
50207 Chat 8 N/D
50208 Directiva 11 N/D
50209 Peer to Peer 14 N/D
50210 Multimedia 17 N/D
50211 Alfa 25 N/D
50212 Virus 28 N/D
50213 Aplicación de perímetro seguro 31 N/D
50214 Gateway 33 N/D
50215 Malware 35 N/D
50216 SCADA 40 N/D
50217 MCAFEESYSLOG 41 N/D
Orígenes de activos de receptor

Un activo es cualquier dispositivo de la red que disponga de una dirección IP. En la ficha Activo de Asset
Manager es posible crear activos, modificar sus etiquetas, crear grupos de activos, agregar orígenes de
activos y asignar un activo a un grupo de activos. También permite manipular los activos de
aprendizaje automático de un proveedor de evaluación de vulnerabilidades.
La función Orígenes de activos de Propiedades de receptor permite recuperar datos de Active Directory, si está
disponible. Una vez finalizado este proceso, es posible filtrar los datos de eventos mediante la
selección de los usuarios o grupos recuperados en los campos de filtrado de consultas de vista Usuario
de origen y Usuario de destino. Esto aumenta la capacidad de proporcionar datos sobre conformidad para
satisfacer requisitos como los de PCI. Un ESM solo puede tener un origen de activos. Los receptores
pueden tener varios orígenes de activos.
Si dos orígenes de descubrimiento de activos (tales como Evaluación de vulnerabilidades y

Descubrimiento de red) localizan el mismo activo, el método de descubrimiento con mayor prioridad
agregará el activo descubierto a la tabla. Si dos orígenes de descubrimiento tienen la misma prioridad,
el que descubra el activo en último lugar tiene prioridad sobre el primero.
Véase también
Adición de un origen de activos en la página 150
Adición de un origen de activos

A fin de recuperar datos de Active Directory, es necesario configurar un receptor.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de receptor y haga clic en Orígenes de
activos.
2 Haga clic en Agregar y rellene la información solicitada.
3 Haga clic en Aceptar y, después, en Escribir en la página Orígenes de activos.
Véase también
Orígenes de activos de receptor en la página 150

3
Configuración de Enterprise Log Manager (ELM)

El ELM admite el almacenamiento, la administración y el acceso a los datos de registro, así como la
generación de informes.
Los datos recibidos por el ELM se organizan en grupos de almacenamiento, cada uno compuesto de
varios dispositivos de almacenamiento. Se asocia un tiempo de conservación con cada grupo de
almacenamiento y los datos se conservan en el grupo durante el periodo especificado. Las normativas
gubernamentales, del sector y de las empresas requieren que los registros se almacenen durante
periodos de tiempo diferentes.
Es posible configurar trabajos de búsqueda y comprobación de integridad en el ELM. Cada uno de

estos trabajos accede a los registros almacenados y recupera o comprueba los datos definidos en el
trabajo. Posteriormente, se pueden ver los resultados y exportar la información.
Para configurar un ELM, debe conocer lo siguiente:

• Los orígenes que almacenan registros en el ELM
• Los grupos de almacenamiento necesarios y sus tiempos de conservación de datos
• Los dispositivos de almacenamiento necesarios para almacenar los datos
Por lo general, el usuario conoce los orígenes que almacenan registros en el ELM y los grupos de
almacenamiento necesarios. Lo que resulta desconocido son los dispositivos de almacenamiento
necesarios que contienen los datos. El mejor enfoque para hacer frente a esta incertidumbre es:
1 Lleve a cabo un cálculo estimativo conservador sobre los requisitos de almacenamiento.
A partir de la versión 9.0.0, los grupos de almacenamiento de ELM requieren un 10 % del espacio
asignado para la sobrecarga de duplicación. Asegúrese de tener en cuenta este 10 % al calcular el
espacio necesario.
2 Configure los dispositivos de almacenamiento ELM de forma que cumplan los requisitos estimados.
3 Revise los registros del ELM durante un período corto de tiempo.
4 Utilice la información sobre estadísticas de almacenamiento del ELM a fin de modificar las
configuraciones del dispositivo de almacenamiento para ajustarlas a los requisitos de
almacenamiento de datos reales.

3
Preparativos para almacenar datos en el ELM

Existen varios pasos que se deben llevar a cabo a fin de configurar un ELM de forma que almacene
datos.
Paso Acción Descripción

1 Definir los tiempos Según los requisitos de instalación de ELM, defina el número de tiempos
de retención de de retención distintos necesarios. Los tiempos habituales de retención de
datos datos son:
• SOX – 7 años
• PCI – 1 año
• GLBA – 6 años
• Directiva de conservación de datos de la UE – 2 años
• Basilea II – 7 años
• HIPAA – 6 o 7 años
• NERC – 3 años
• FISMA – 3 años
2 Definir los orígenes El objetivo aquí es definir todos los orígenes de los registros almacenados
de datos de en el ELM y calcular el promedio de tamaño en bytes de los registros y el
registro promedio de registros generados por día en cada caso. Basta con que se
trate de un cálculo estimativo. Puede que resulte más fácil estimar el
promedio de tamaño en bytes de los registros y el promedio de registros
generados al día por cada tipo de origen (como por ejemplo firewall,
enrutador, Nitro IPS, ADM, DEM o ELM) y, después, estimar el número de
orígenes de cada tipo. El siguiente paso requiere la asociación de cada
origen con un tiempo de retención definido en el Paso 1, así que
asegúrese de tener esto en cuenta a la hora de calcular los tipos de
orígenes (por ejemplo, firewall SOX o DEM PCI).
3 Definir los grupos En función de los requisitos de instalación de ELM, asocie cada origen u
de almacenamiento origen de registros con un tiempo de retención de datos y defina el
conjunto de grupos de almacenamiento necesarios para la instalación de
ELM.

3
Paso Acción Descripción

4 Estimar los Por cada grupo de almacenamiento, calcule los requisitos de
requisitos de almacenamiento mediante una de las ecuaciones siguientes.
tamaño de los • Con orígenes individuales:
grupos de
almacenamiento ARIGB = 0,1*(TRDD*SUM(PBOD*PRODD))/(1024*1024*1024)
Donde:
ARIGB = Almacenamiento requerido inicial en gigabytes
TRDD = Tiempo de retención de datos en días
SUM() = La suma de todos los orígenes de datos
PBOD = Promedio de bytes de origen de datos por registro
PRODD = Promedio de registros de origen de datos por día
• Con tipos de orígenes:
ARIGB = 0,1*(DRTD*SUM(NDS*PBTOD*PRTODD))/(1024*1024*1024)
Donde:
ARIGB = Almacenamiento requerido inicial en gigabytes
NOD = Número de orígenes de datos de un tipo
SUM() = La suma de todos los tipos de orígenes de datos
PBTOD = Promedio de bytes de tipo de origen de datos por registro
PRTODD = Promedio de registros de tipo de origen de datos por día
5 Crear dispositivos Cree uno o varios dispositivos de almacenamiento ELM de forma que
de almacenamiento sean suficientemente grandes como para almacenar los datos de cada
inicial ARIGB (véase Adición de un dispositivo de almacenamiento para vincular
con un grupo de almacenamiento).
6 Cree grupos de Por cada grupo de almacenamiento definido en el Paso 3, cree un grupo
almacenamiento de almacenamiento de ELM con el tiempo retención asociado del Paso 1,
los valores de ARIGB del Paso 4 y los dispositivos de almacenamiento
asociados del Paso 5 (véase Adición de un grupo de almacenamiento).
7 Iniciar el registro Configure los orígenes para que envíen sus registros al ELM, y deje que
de datos lo hagan durante uno o dos días.
8 Ajustar las Por cada grupo de almacenamiento creado en el Paso 6, ajuste la

estimaciones sobre estimación sobre los requisitos de almacenamiento mediante la ecuación
requisitos de siguiente:
tamaño de los
grupos de ARGB = 1,1*TRDD*PTBGAD/(1024*1024*1024)
almacenamiento Donde:
ARGB = Almacenamiento requerido en gigabytes
PTBGAD = Valor de promedio de tasa de bytes del grupo de
almacenamiento diario del informe estadístico correspondiente
9 Modificar o crear Por cada valor de ARGB del Paso 8, modifique o cree dispositivos de
dispositivos de almacenamiento ELM para que tengan capacidad de almacenar los datos
almacenamiento de ARGB.
10 Modificar los Si fuera necesario, modifique cada uno de los grupos de almacenamiento
grupos de creados en el Paso 6 mediante la adición de los dispositivos de
almacenamiento almacenamiento creados en el Paso 9, o bien aumente la asignación de
los dispositivos de almacenamiento existentes.

3
Configuración del almacenamiento de ELM

A fin de almacenar registros, el ELM debe tener acceso al menos a un dispositivo de almacenamiento.
El requisito de almacenamiento de una instalación de ELM es una función del número de orígenes de
datos, sus características de registro y sus requisitos de tiempo de retención de los datos. El requisito
de almacenamiento varía a lo largo del tiempo porque es probable que cambie durante el ciclo de vida
de una instalación de ELM.
Para obtener detalles sobre la estimación y el ajuste de los requisitos de almacenamiento del sistema,
véase Configuración de ELM.
Terminología de almacenamiento de ELM

Repase estos términos para trabajar con el almacenamiento de ELM:
• Dispositivo de almacenamiento: un dispositivo de almacenamiento de datos al que puede

acceder un ELM. Algunos modelos de ELM ofrecen un dispositivo de almacenamiento incorporado,
otros cuentan con capacidad de conexión SAN y otros tienen ambas opciones. Todos los modelos de
ELM ofrecen capacidad de conexión NAS.
• Asignación de almacenamiento: una cantidad concreta de almacenamiento de datos en un

dispositivo de almacenamiento específico (por ejemplo, 1 TB en un dispositivo de almacenamiento
NAS).
• Tiempo de retención de los datos: la cantidad de tiempo que se almacena un registro.
• Grupo de almacenamiento: una o varias asignaciones de almacenamiento que juntas especifican

una cantidad total de almacenamiento, junto con un tiempo de retención de los datos que define el
número máximo de días que se almacena un registro.
• Origen de registro: cualquier origen de registros almacenados por ELM.
Tipos de dispositivos de almacenamiento de ELM

Cuando se agrega un dispositivo de almacenamiento a un ELM, se debe seleccionar el tipo de
dispositivo del que se trata. Se deben recordar algunas cosas al agregar o editar un dispositivo.
Tipo de Detalles
dispositivo
NFS Para editar el punto de montaje remoto del dispositivo de almacenamiento que
contiene la base de datos de administración de ELM, use la opción Migrar base de datos
a fin de mover la base de datos a un dispositivo de almacenamiento distinto (véase
Migración de la base de datos de ELM). Entonces, es posible cambiar de forma
segura el campo de punto de montaje remoto y mover la base de datos de vuelta al
dispositivo de almacenamiento actualizado.
CIFS • El uso de un tipo de recurso compartido CIFS con versiones del servidor Samba
posteriores a la 3.2 puede provocar la fuga de datos.
• Al conectar con un recurso compartido CIFS, no utilice comas en la contraseña.
• Si emplea un equipo Windows 7 como recurso compartido CIFS, véase
Desactivación del uso compartido de archivos en el Grupo Hogar.
iSCSI • Al conectar con un recurso compartido iSCSI, no utilice comas en la contraseña.

• El intento de conectar varios dispositivos a un IQN puede provocar la fuga de
datos y otros problemas de configuración.

3
Tipo de Detalles
dispositivo
SAN La opción SAN solo está disponible si existe una tarjeta SAN instalada en el ELM y
hay volúmenes SAN disponibles.
Local virtual Esta opción solo está disponible si se ha agregado un dispositivo virtual local al ELM
virtual. Es necesario aplicar formato al dispositivo antes de usarlo para el
almacenamiento (véase Configuración de una unidad local virtual para almacenar
datos).
Desactivación del uso compartido de archivos en el Grupo Hogar

Windows 7 requiere la utilización del uso compartido de archivos en el Grupo Hogar, lo cual funciona
con otros equipos que ejecutan Windows 7, pero no con Samba. Para utilizar un equipo de Windows 7
como recurso compartido CIFS, debe desactivar el uso compartido de archivos en el Grupo Hogar.
Procedimiento
1 Abra el Panel de control de Windows 7 y seleccione Centro de redes y recursos compartidos.
2 Haga clic en Cambiar configuración de uso compartido avanzado.
3 Haga clic en el perfil Casa o trabajo y asegúrese de que esté etiquetado como su perfil actual.
4 Active el descubrimiento de red, el uso compartido de archivos e impresoras y la carpeta pública.
5 Acceda a la carpeta que desee compartir mediante CIFS (inténtelo antes con la carpeta pública) y
haga clic con el botón derecho en ella.
6 Seleccione Propiedades y haga clic en la ficha Compartir.
7 Haga clic en Uso compartido avanzado y seleccione Compartir esta carpeta.
8 (Opcional) Cambie el nombre del recurso compartido y haga clic en Permisos.

Asegúrese de tener los permisos establecidos a su gusto (marca de verificación en Cambiar = se
puede escribir). Si ha activado recursos compartidos protegidos por contraseña, tendrá que
modificar la configuración aquí para asegurarse de que el usuario de Ubuntu esté incluido en el
permiso.
Adición de un dispositivo de almacenamiento para vincular con un grupo de

almacenamiento
A fin de agregar un dispositivo de almacenamiento a la lista de ubicaciones de almacenamiento, es
necesario definir sus parámetros.
Cuando se edita un dispositivo de almacenamiento, es posible aumentar el tamaño, pero no reducirlo.

Un dispositivo no se puede eliminar si está almacenando datos.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupos de
almacenamiento.
2 Haga clic en Agregar junto a la tabla superior.

3
3 En la página Agregar dispositivo de almacenamiento, rellene la información solicitada.
El dispositivo se agrega a la lista de dispositivos de almacenamiento de ELM disponibles.
Es posible editar o eliminar los dispositivos de almacenamiento de la tabla en la página Grupos de

almacenamiento.
Véase también
Página Agregar dispositivo de almacenamiento en la página 156
Página Elegir un dispositivo de almacenamiento en la página 157
Página Agregar dispositivo de almacenamiento

Permite definir los parámetros de conexión de un dispositivo de almacenamiento utilizados en un
grupo de almacenamiento para la retención de datos.

Opción Definición
Tipo de dispositivo Seleccione el tipo de dispositivo de almacenamiento. La migración de la base
de datos de ELM requiere un mínimo de 506 GB de espacio libre en el disco.
Véase Tipos de dispositivos de almacenamiento de ELM en Configuración del
almacenamiento de ELM para obtener detalles sobre cada tipo.
Nombre Introduzca un nombre para el dispositivo de almacenamiento.
Tamaño máx. Seleccione la cantidad máxima de espacio de almacenamiento que desee
asignar en el dispositivo.
• Cuando se agrega un dispositivo de almacenamiento remoto al ELM, el valor
predeterminado de Tamaño máx. es 4 GB. El 1 % del espacio de
almacenamiento se reserva para la administración del almacenamiento
remoto.
• Cuando se agrega un dispositivo de almacenamiento local virtual, el valor
predeterminado de Tamaño máx. es la capacidad total de almacenamiento del
dispositivo. Se reservan 6 GB del espacio de almacenamiento para la
administración del almacenamiento virtual. No es posible ajustar este
campo.
Dirección IP, Punto de Escriba esta información para el dispositivo NFS.

montaje remoto, Ruta
remota
Dirección IP, Nombre de Escriba esta información para el dispositivo CIFS.
recurso compartido
remoto, Ruta, Nombre de
usuario, Contraseña
Dispositivo iSCSI Seleccione el dispositivo agregado (véase Adición de un dispositivo iSCSI).
IQN de iSCSI Seleccione el IQN.
SAN Seleccione el volumen SAN que desee agregar (véase Aplicación de formato a
un dispositivo de almacenamiento SAN para datos de ELM).
Volumen local virtual Seleccione el dispositivo de almacenamiento local virtual. Esta opción solo está
disponible cuando el tipo de dispositivo es Local virtual.
Véase también
Adición de un dispositivo de almacenamiento para vincular con un grupo de almacenamiento
en la página 155

3
Página Elegir un dispositivo de almacenamiento

Permite seleccionar los dispositivos de almacenamiento que se vincularán al grupo de
almacenamiento.
Opción Definición
Dispositivos de Seleccione el dispositivo que desee agregar. Si el dispositivo deseado no
almacenamiento de datos está en la lista, deberá agregarlo (véase Adición de un dispositivo de
almacenamiento para vincular con un grupo de almacenamiento).
Un dispositivo se puede asignar a más de un grupo de forma simultánea.
Espacio de almacenamiento Seleccione la cantidad máxima de espacio del dispositivo para almacenar
datos.
El 10 % del espacio de almacenamiento se emplea para la sobrecarga. Si

selecciona 4 GB en el campo de espacio de almacenamiento, habrá
realmente solo 3,6 de los 4 GB disponibles para almacenar datos.
Dispositivo de Si desea que los datos de este dispositivo de almacenamiento se dupliquen

almacenamiento de datos en otro dispositivo, seleccione el segundo dispositivo de almacenamiento
duplicado (véase Adición de almacenamiento de datos de ELM duplicado).
Véase también
Adición de un dispositivo de almacenamiento para vincular con un grupo de almacenamiento
en la página 155
Adición o edición de un grupo de almacenamiento

Un grupo de almacenamiento incluye una o varias asignaciones de almacenamiento y un tiempo de
retención de datos. Agregue estos elementos al ELM para definir dónde se almacenan los registros de
ELM y cuánto tiempo deben conservarse.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupo de
almacenamiento.
2 Haga clic en Agregar o en Editar junto a la tabla inferior y rellene o modifique la información
solicitada.
Es posible editar los parámetros una vez guardados y eliminar un grupo de almacenamiento, siempre
que este y los dispositivos que tiene asignados no estén almacenando datos.
Véase también
Página Grupos de almacenamiento en la página 158
Página Agregar grupo de almacenamiento en la página 158

3
Página Grupos de almacenamiento

Permite administrar los dispositivos y los grupos de almacenamiento a fin de almacenar datos de ELM.
Opción Definición
Agregar dispositivo de almacenamiento Agregar un dispositivo de almacenamiento que utilizar con un
grupo de almacenamiento para la retención de datos.
Editar dispositivo de almacenamiento Cambiar la configuración de un dispositivo de almacenamiento
existente.
Eliminar dispositivo de almacenamiento Eliminar un dispositivo de almacenamiento del sistema.
Agregar grupo de Agregar un grupo de almacenamiento a fin de albergar una
almacenamiento cantidad máxima de datos durante un periodo de tiempo concreto.
Editar grupo de almacenamiento Cambiar la configuración de un grupo de almacenamiento
existente.
Eliminar grupo de almacenamiento Eliminar un grupo de almacenamiento del sistema.
Reconstruir Reparar grupos de almacenamiento duplicados que han perdido la
conexión con uno de sus dispositivos de almacenamiento. Esta
opción solo está disponible cuando existe un problema con un
grupo de almacenamiento duplicado.
Reducir tamaño Reducir la cantidad de espacio definido para cada asignación.
Actualizar Actualizar la información de las tablas.
Véase también
Adición o edición de un grupo de almacenamiento en la página 157
Página Agregar grupo de almacenamiento

Permite agregar un grupo de almacenamiento donde guardar los datos de registro de ELM.
Opción Definición
Nombre del grupo de Escriba un nombre para este grupo.
almacenamiento
Tiempo de retención de los datos Seleccione la cantidad de tiempo que desee almacenar los datos.
Dispositivos de almacenamiento de Enumera los dispositivos vinculados a este grupo de almacenamiento.
datos vinculados a este grupo de Para agregar dispositivos, haga clic en Agregar.
almacenamiento
Las asignaciones duplicadas que emplean protocolos de red (CIFS, NFS
o iSCSI) requieren configuraciones específicas para funcionar de forma
fiable, como por ejemplo estar en el mismo conmutador y tener una
latencia muy baja. Las especificaciones de red recomendadas son:
• Latencia total (servidor más red) — 10 ms
• Rendimiento total (servidor más red) — 20 Mb/s
En la duplicación se da por hecho un 100 % de disponibilidad
para el recurso compartido.
Columna Activado Seleccione los dispositivos que desee activar para almacenar datos. Los
dispositivos de almacenamiento duplicados se desactivan hasta que
termina el proceso de duplicación.
Las asignaciones de dispositivos de grupo de almacenamiento creadas en la versión 9.0.0 de ESM o

versiones posteriores están limitadas a un terabyte por asignación. Si desea crear un grupo con más de
un terabyte, deberá agregar varios dispositivos de un terabyte.

3
Véase también
Adición o edición de un grupo de almacenamiento en la página 157
Traslado de un grupo de almacenamiento

Cabe la posibilidad de mover un grupo de almacenamiento de un dispositivo a otro.
Antes de empezar
Configure el dispositivo de almacenamiento al que desee mover el grupo de
almacenamiento a modo de duplicado del dispositivo que alberga actualmente el grupo
(véase Adición de almacenamiento de datos de ELM duplicado).
Procedimiento
1 En el árbol de navegación del sistema, seleccione el dispositivo ELM que alberga el grupo de
almacenamiento y haga clic en el icono Propiedades .
2 Haga clic en Grupos de almacenamiento.
3 En la tabla Grupos de almacenamiento, haga clic en los dispositivos duplicados que aparecen bajo el
grupo que se va a mover.
4 Haga clic en Editar y, en la lista desplegable Dispositivos de almacenamiento de datos, seleccione el

dispositivo que duplique el grupo de almacenamiento que desea mover.
Se convertirá entonces en el dispositivo de almacenamiento de datos principal.
5 A fin de duplicar el nuevo dispositivo de almacenamiento de datos, seleccione un dispositivo en la

lista desplegable Dispositivo de almacenamiento de datos duplicado y haga clic en Aceptar.
Reducción del tamaño de asignación de almacenamiento

Si un dispositivo de almacenamiento está lleno debido al espacio asignado a los grupos de
almacenamiento, podría ser necesario reducir la cantidad de espacio definido para cada asignación.
Esto podría ser necesario a fin de asignar espacio en este dispositivo para más grupos de
almacenamiento.
Si la reducción del tamaño de asignación afectara a los datos, se moverían a otras asignaciones del
grupo, en caso de existir espacio disponible. De lo contrario, se eliminarían los datos más antiguos.
Procedimiento
almacenamiento.
2 En la tabla inferior, seleccione el grupo que desee reducir y haga clic en Reducir tamaño.
3 Introduzca la cantidad de reducción que desee aplicar al almacenamiento y haga clic en Aceptar.

3
Duplicación del almacenamiento de datos de ELM

Es posible configurar un segundo dispositivo de almacenamiento de ELM a fin de duplicar los datos
recopilados en el dispositivo principal.
Si el dispositivo principal deja de funcionar por algún motivo, el dispositivo de copia de seguridad
sigue almacenando los datos a medida que llegan. Cuando el dispositivo principal vuelve a funcionar,
se sincroniza automáticamente con la copia de seguridad y reanuda el almacenamiento de los datos
según van llegando. Si el dispositivo principal deja de funcionar de forma permanente, es posible
reasignar la copia de seguridad de forma que se convierta en el dispositivo principal en el ESM y,
después, designar un dispositivo distinto para la duplicación.
Si cualquiera de los dispositivos deja de funcionar, aparece un indicador de estado junto al

dispositivo ELM en el árbol de navegación del sistema.
Un grupo de almacenamiento duplicado podría perder la conexión con su dispositivo de

almacenamiento. La pérdida de conexión puede deberse a lo siguiente:
• El servidor de archivos o la red entre el ELM y el servidor de archivos han fallado.
• El servidor de archivos o la red están fuera de servicio por tareas de mantenimiento.
• Se ha eliminado accidentalmente un archivo de asignación.
Cuando existe un problema con el dispositivo de duplicación, los dispositivos de almacenamiento
muestran un icono de advertencia en la tabla Grupos de almacenamiento. Cabe la posibilidad de utilizar

la función Reconstruir para repararlo.
Adición de almacenamiento de datos de ELM duplicado

Cualquier dispositivo de almacenamiento agregado a la lista de dispositivos disponibles y con el
espacio necesario se puede utilizar para duplicar los datos guardados en un dispositivo de
almacenamiento ELM.
Antes de empezar
Agregue los dos dispositivos que desee usar para duplicar los datos al ESM.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Grupos de
almacenamiento.
2 Haga clic en Agregar junto a la tabla inferior.
3 En la página Agregar grupo de almacenamiento, introduzca la información solicitada y haga clic en Agregar
para seleccionar el dispositivo de almacenamiento y el dispositivo de duplicación.
Un dispositivo se puede asignar a más de un grupo de forma simultánea.
4 Haga clic dos veces en Aceptar.
Reconstrucción de un grupo de almacenamiento duplicado

Si un grupo de almacenamiento duplicado pierde la conexión con sus dispositivos de almacenamiento,
puede emplear la función Reconstruir para repararlo.

3
Procedimiento
almacenamiento.
2 Pase el ratón sobre los dispositivos duplicados que muestran un icono de advertencia.
Un cuadro de información sobre herramientas le indicará que la asignación de ELM se está

reconstruyendo o que el dispositivo duplicado se debe reconstruir.
3 Para reconstruir los dispositivos duplicados, haga clic en ellos y, después, en Reconstruir.
Una vez finalizado el proceso, se le notificará que la reconstrucción de la asignación ha sido correcta.
Desactivación de un dispositivo de duplicación

Si desea dejar de usar un dispositivo para duplicar un grupo de almacenamiento, tendrá que elegir
otro dispositivo para sustituirlo o seleccionar Ninguno.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el ELM que alberga actualmente el grupo de
almacenamiento y haga clic en el icono Propiedades .
2 Haga clic en Grupos de almacenamiento, seleccione los dispositivos duplicados en la tabla Grupo de
almacenamiento y haga clic en Editar.

• Si el dispositivo seleccionado en el campo Dispositivo de almacenamiento de datos duplicado es el que
desea desactivar, haga clic en la flecha desplegable de ese campo y seleccione un dispositivo
distinto para duplicar el dispositivo de almacenamiento de datos, o bien seleccione Ninguno.
• Si el dispositivo seleccionado en el campo Dispositivo de almacenamiento de datos es el que desea

desactivar, haga clic en la flecha desplegable de ese campo y seleccione un dispositivo distinto
para que actúe como dispositivo de almacenamiento de datos.
Aunque el dispositivo ya no se use para la duplicación, seguirá apareciendo en la tabla Dispositivo de

almacenamiento.
Configuración del almacenamiento de datos externo

Existen cuatro tipos de almacenamiento externo que se pueden configurar para almacenar datos de
ELM: iSCSI, SAN, DAS y dispositivo virtual local. Cuando conecte estos tipos de almacenamiento
externo al ELM, podrá configurarlos para almacenar los datos del ELM.

3
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Almacenamiento de
datos.
El sistema devolverá todos los dispositivos de almacenamiento disponibles en las fichas

correspondientes.
2 Haga clic en la ficha iSCSI, SAN, DAS o Local virtual y realice los pasos necesarios.
Adición de un dispositivo iSCSI

Si desea usar un dispositivo iSCSI para el almacenamiento de ELM, es necesario configurar las
conexiones con el dispositivo.
Procedimiento
datos.
2 En la ficha iSCSI, haga clic en Agregar.
Si la conexión es correcta, el dispositivo y sus IQN se agregan tanto a la lista Configuración iSCSI como
a la lista Tipo de dispositivo de la página Agregar dispositivo de almacenamiento (véase Adición de un
dispositivo de almacenamiento para vincular con un grupo de almacenamiento).
Una vez que un IQN empieza a almacenar registros de ELM, el destino iSCSI no se puede eliminar.
Debido a esta limitación, asegúrese de configurar el destino iSCSI con espacio suficiente para el
almacenamiento de ELM.
4 Antes de usar un IQN para el almacenamiento de ELM, selecciónelo en la lista y haga clic en
Formato.
5 A fin de comprobar su estado durante la aplicación de formato, haga clic en Comprobar estado.
6 Si desea descubrir o volver a descubrir los IQN, haga clic en el dispositivo iSCSI y, después, en
Descubrir.
Los intentos de asignar más de un dispositivo a un IQN puede provocar la fuga de datos.
Véase también
Ficha iSCSI en la página 163
Página Configuración iSCSI en la página 163

3
Ficha iSCSI
Permite conectar un dispositivo de almacenamiento iSCSI al ESM para poder almacenar datos del ELM.

Opción Definición
Agregar Permite agregar los parámetros necesarios para conectar con el dispositivo iSCSI.
Eliminar Eliminar la conexión iSCSI seleccionada.
Descubrir Descubrir o volver a descubrir los IQN para el iSCSI seleccionado.
Comprobar estado Comprobar el estado del IQN mientras se le aplica formato.
Formato Aplicar formato al IQN seleccionado antes de usarlo para el almacenamiento de ELM.
Véase también
Adición de un dispositivo iSCSI en la página 162
Página Configuración iSCSI

Permite agregar los parámetros necesarios para conectar con el dispositivo iSCSI.

Opción Definición
Nombre Escriba el nombre del dispositivo iSCSI.
Dirección IP Escriba la dirección IP del dispositivo iSCSI.
Puerto Seleccione el puerto del dispositivo iSCSI.
Véase también
Configuración del almacenamiento de datos de ESM en la página 279
Aplicación de formato a un dispositivo de almacenamiento para datos de ELM

Si tiene una tarjeta SAN en el sistema, puede usarla para almacenar datos de ELM.
Antes de empezar
Instale una tarjeta SAN en el sistema (véase Instalación de los adaptadores SAN qLogic
2460 o 2562 en la Guía de instalación de McAfee ESM, o bien póngase en contacto con el
Soporte de McAfee).
Procedimiento
datos.
2 Haga clic en la ficha SAN y compruebe el estado de los volúmenes SAN detectados.
• Formato necesario: el volumen se debe formatear y no aparece en la lista de volúmenes disponibles
en la página Agregar dispositivo de almacenamiento.
• Formato: el volumen se encuentra en proceso de aplicación de formato y no aparece en la lista de

volúmenes disponibles.
• Preparado: el volumen tiene formato y un sistema de archivos reconocible. Estos volúmenes se

pueden usar para almacenar datos de ELM.

3
3 Si existe un volumen sin formato y desea almacenar datos en él, haga clic en el volumen y,
después, en Formato.
Al formatear un volumen, se eliminan todos los datos almacenados.
4 Para comprobar si el formato está completo, haga clic en Actualizar.
Si ha finalizado la aplicación de formato, el estado cambia a Preparado.
5 Para ver los detalles de un volumen en la parte inferior de la página, haga clic en el volumen.
Ahora podrá configurar el volumen SAN formateado como dispositivo de almacenamiento de ELM.
Asignación de un dispositivo DAS para almacenar datos

Es posible asignar dispositivos DAS que estén disponibles para almacenar datos de ELM.
Antes de empezar
Configure dispositivos DAS.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el ELM al que asignará el dispositivo DAS y haga
clic en el icono Propiedades .
En un dispositivo todo en uno, es posible asignar el DAS al ESM seleccionando el ESM y haciendo clic
en el icono Propiedades.
2 Haga clic en Almacenamiento de datos y, después, haga clic en la ficha DAS.
La tabla DAS incluye los dispositivos disponibles para el almacenamiento.
3 En la tabla, haga clic en uno de los dispositivos que no se hayan asignado para almacenar datos de
ELM o ESM.
4 Haga clic en Asignar y, después, en Sí en la página de advertencia.
Una vez asignado un dispositivo, no se puede cambiar.
El ELM se reiniciará.
Configuración de una unidad local virtual para almacenar datos

En primer lugar, es necesario detectar un dispositivo de almacenamiento virtual en el ELM virtual y
aplicarle formato. Después, podrá utilizarlo para la migración de la base de datos y los grupos de
almacenamiento.
Antes de empezar
Agregue un dispositivo de almacenamiento local virtual al ELM virtual desde su entorno
virtual. Para agregar el almacenamiento, véase la documentación correspondiente al
entorno de máquina virtual.
Entornos virtuales compatibles

3
• VMware
• KVM
• Amazon Web Services
Formatos de unidad compatibles
• SCSI
• SATA
IDE no se admite.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el ELM virtual, haga clic en el icono Propiedades
y, después, haga clic en Almacenamiento de datos.
Aparecerá un icono de carga mientras el sistema devuelve todos los dispositivos de

almacenamiento disponibles. Si el sistema cuenta con un ESM redundante, los dispositivos se
devolverán en la ficha Redundante.
Las particiones raíz y de arranque no están disponibles como opciones de almacenamiento viables.
2 Haga clic en la ficha Local virtual y seleccione un dispositivo de la lista de dispositivos virtuales
disponibles.
La ficha Local virtual solo está disponible si el sistema detecta el almacenamiento virtual.
3 Si la columna Estado indica Formato requerido, haga clic en Formato para aplicar el formato de archivos
ext4 al dispositivo.
El estado cambiará a Preparado.
Ahora podrá usar este dispositivo para la migración de la base de datos y los grupos de
almacenamiento.
Redundancia de ELM
Puede proporcionar redundancia para el registro si agrega un ELM en espera al ELM autónomo
principal de su sistema.
Para activar la redundancia, defina las direcciones IP y el resto de información de red en dos ELM
(véase Configuración de la redundancia de ELM). El ELM en espera debe disponer de dispositivos de
almacenamiento con una cantidad de espacio combinado que coincida con el espacio de
almacenamiento del ELM activo. Tras configurarlos, la configuración de ambos ELM se sincroniza y el
ELM en espera mantiene la sincronización de los datos entre ambos dispositivos.
Existen varias acciones que se llevan a cabo cuando se emplea la redundancia de ELM: cambiar, volver
a poner en servicio, suspender, eliminar y ver el estado. Todas las acciones están disponibles en la
página Propiedades de ELM | Redundancia de ELM.
Cambio
Si el ELM principal deja de funcionar o es necesario sustituirlo, seleccione Cambiar ELM. El ELM en espera
pasa a estar activo y el sistema asocia todos los dispositivos de registro con él. El registro y las
acciones de configuración se bloquean durante el proceso de cambio.

3
Nueva puesta en servicio

Si el ELM en espera deja de funcionar, es necesario volver a ponerlo en servicio una vez que funcione
de nuevo. Si no se detecta ningún cambio en los archivos de configuración, la redundancia se
mantiene como hasta el momento. En caso de que se detecten diferencias en los archivos, el proceso
de redundancia continúa para los grupos de almacenamiento que no tengan problemas, pero se
devuelve un estado de error que indica que uno o varios grupos no están configurados. Deberá
corregir esos grupos manualmente.
Si el ELM en espera se ha sustituido o reconfigurado, el sistema lo detecta y solicita que se vuelva a

aplicar la clave al ELM en espera. A continuación, el ELM activo sincroniza todos los archivos de
configuración con el ELM en espera y la redundancia continúa como hasta el momento.
Suspensión
Es posible suspender la comunicación con el ELM en espera si ha dejado de funcionar o va a dejar de
hacerlo por cualquier motivo. Todas las interrupciones de comunicación y notificaciones de errores
relativas a la redundancia se enmascaran. Cuando el ELM en espera funcione de nuevo, lleve a cabo el
proceso para volver a ponerlo en servicio.
Desactivación de la redundancia en el ELM

Es posible desactivar la redundancia de ELM mediante la opción Quitar. El ELM activo guarda una copia
de los archivos de configuración de redundancia. Si se encuentra este archivo de copia de seguridad al
activar la redundancia de ELM, se le preguntará si desea restaurar los archivos de configuración
guardados.
Visualización del estado

Puede ver detalles sobre el estado de la sincronización de datos entre el ELM en espera y el activo;
para ello, seleccione la opción Estado.
Véase también
Configuración de la redundancia de ELM en la página 166
Configuración de la redundancia de ELM

Si dispone de un dispositivo ELM autónomo en el sistema, puede proporcionar redundancia para el
registro mediante la adición de un ELM en espera.
Antes de empezar
Debe contar con un ELM autónomo instalado (véase la Guía de instalación de McAfee
Enterprise Security Manager 9.5.0) y agregado a la consola de ESM (véase Adición de
dispositivos a la consola de ESM). También se necesita un ELM autónomo instalado, pero no
agregado a la consola. Asegúrese de que no haya datos en el ELM en espera. Póngase en
contacto con el Soporte de McAfee si necesita realizar un restablecimiento a los valores de
fábrica.
Procedimiento
1 En el árbol de navegación del sistema, haga clic en el ELM y, a continuación, en el icono Propiedades
2 En la página Propiedades de ELM, haga clic en Redundancia de ELM y, a continuación, en Activar.

3
3 Escriba la dirección IP y la contraseña del ELM en espera y, a continuación, haga clic en Aceptar.
4 En la página Propiedades de ELM, haga clic en Grupos de almacenamiento y compruebe que esté
seleccionada la ficha Activo.
5 Agregue dispositivos de almacenamiento al ELM activo (véase Adición de un dispositivo de

almacenamiento para vincular con un grupo de almacenamiento).
6 Haga clic en la ficha En espera y, a continuación, agregue dispositivos de almacenamiento que tengan
suficiente espacio combinado para igualar el espacio de almacenamiento del ELM activo.
7 Agregue uno o varios grupos de almacenamiento a cada ELM (véase Adición o edición de un grupo
de almacenamiento).
La configuración de ambos ELM queda sincronizada y el ELM en espera mantiene la sincronización de

los datos entre ambos dispositivos.
Véase también
Redundancia de ELM en la página 165
Página Redundancia de ELM en la página 167
Página Redundancia de ELM

Permite activar y administrar la redundancia de ELM.

Opción Definición
Solo está disponible cuando la redundancia de ELM no está activada.
Activar Haga clic en esta opción y, después, agregue datos sobre el ELM en espera a fin
de activar la redundancia de ELM.
Solo está disponible cuando la redundancia de ELM está activada.
Quitar Permite desactivar la redundancia en el ELM.
Cambiar ELM Permite intercambiar los ELM de manera que el ELM en espera se convierta en el
ELM principal. El sistema asociará todos los dispositivos de registro con él. El
registro y las acciones de configuración se bloquean durante el proceso de
cambio.
Suspender Permite suspender la comunicación con el ELM en espera si este está
experimentando problemas. Todas las interrupciones de comunicación y
notificaciones de errores relativas a la redundancia se enmascaran. Cuando
vuelva a hacer funcionar el ELM en espera, haga clic en Volver a poner en servicio.
Estado Permite ver detalles sobre el estado de la sincronización de los datos entre el ELM
en espera y el activo.
Volver a poner en Permite volver a poner en servicio un ELM en espera reparado o sustituido. Si el
servicio sistema vuelve a hacer funcionar el ELM y no detecta ningún cambio en los
archivos de configuración, la redundancia se mantiene como hasta el momento.
En caso de que el sistema detecte diferencias, el proceso de redundancia
continúa para los grupos de almacenamiento que no tengan problemas y se le
informa de que la configuración de uno o varios grupos no es correcta. Corrija
tales grupos manualmente.
Si sustituye o vuelve a configurar el ELM en espera, el sistema lo detecta y le
solicita que vuelva a regenerarlo. A continuación, el ELM activo sincroniza todos
los archivos de configuración con el ELM en espera y el proceso de redundancia
continúa como hasta el momento.
Véase también
Configuración de la redundancia de ELM en la página 166

3
Administración de la compresión de ELM

Comprima los datos que entran en el ELM a fin de ahorrar espacio en el disco o de procesar más
registros por segundo.
Las tres opciones son Baja (opción predeterminada), Media y Alta. Esta tabla muestra detalles sobre cada
nivel.
Nivel Tasa de compresión Porcentaje de compresión Porcentaje de máximo de
máximo registros procesados por segundo
Baja 14:1 72 % 100 %
Media 17:1 87 % 75 %
Alta 20:1 100 % 50 %
Las tasas de compresión reales variarán en función del contenido de los registros.
• Si está más preocupado por ahorrar espacio en el disco que por el número de registros que se
procesan por segundo, elija la compresión alta.
• Si le interesa más procesar un mayor número de registros por segundo que ahorrar espacio en el
disco, elija la compresión baja.
Véase también
Establecimiento de la compresión de ELM en la página 168
Establecimiento de la compresión de ELM

Seleccione el nivel de compresión para los datos que entran en el ELM a fin de ahorrar espacio en el
disco o de procesar más registros.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y, después, haga clic en
Configuración de ELM | Compresión.
2 Seleccione el nivel de compresión de ELM y haga clic en Aceptar.
Se le notificará cuando se actualice el nivel.
Véase también
Administración de la compresión de ELM en la página 168
Página Compresión de ELM en la página 168
Página Compresión de ELM

Permite seleccionar el nivel de compresión que se aplicará a los datos procesados por este ELM.
Opción Definición
Nivel de compresión de ELM Seleccione Baja, Media o Alta. Véase Establecimiento de la compresión de ELM
para obtener detalles sobre cada una de estas opciones de configuración.
Véase también
Establecimiento de la compresión de ELM en la página 168
Creación de copias de seguridad y restauración de ELM

Si se produce un fallo en el sistema o una fuga de datos, es necesario crear una copia de seguridad de
la configuración actual de los dispositivos ELM. Se guardan todas las opciones de configuración,

3
incluida la base de datos de registro de ELM. Los registros reales que se almacenan en el ELM no se
incluyen en la copia de seguridad.
Se recomienda duplicar los dispositivos que almacenan los datos de registro en el ELM, así como
duplicar la base de datos de administración de ELM. La función de duplicación permite la creación de
copias de seguridad de los datos de registro en tiempo real.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de ELM.
2 Asegúrese de tener seleccionada la opción Información de ELM y haga clic en Copia de seguridad y
restauración.

Crear copia de seguridad de ELM ahora Proporcione la información solicitada y haga clic en Hacer
una copia de seguridad ahora.
Crear copia de seguridad de la Seleccione la frecuencia y proporcione la información
configuración de ELM automáticamente necesaria.
Restaurar una copia de seguridad ahora Haga clic en Restaurar copia de seguridad. La base de datos
de ELM se restaurará a la configuración de una copia de
seguridad anterior.
Procedimientos
• Restauración de los datos de registro y la base de datos de administración de ELM en la
página 170
Si desea reemplazar un ELM, restaure la base de datos de administración y los datos de
registro en el nuevo ELM. Para que esto funcione, los datos de registro y de la base de
datos deben duplicarse.
Véase también
Página Copia de seguridad y restauración en la página 169
Página Copia de seguridad y restauración

Permite crear una copia de seguridad de la configuración actual de un dispositivo ELM para poder
restaurarla en caso de que falle el sistema o se produzca una fuga de datos.

Opción Definición
Frecuencia de copia de seguridad Si desea crear una copia de seguridad de la configuración
automáticamente, seleccione esta opción y defina la frecuencia.
Ubicación de copia de seguridad Seleccione el tipo de recurso compartido e introduzca la información
sobre la ubicación remota donde se almacene la información.
Hacer una copia de seguridad Permite crear una copia de seguridad inmediatamente.
ahora
Restaurar copia de seguridad Permite restaurar la base de datos de ELM a la configuración de una
copia de seguridad anterior. El almacenamiento de datos de ELM no se
restaura.
Restaurar ELM Permite restaurar la base de datos de administración y el
almacenamiento de datos de ELM.

3
Véase también
Creación de copias de seguridad y restauración de ELM en la página 168
Restauración de los datos de registro y la base de datos de administración de ELM

Si desea reemplazar un ELM, restaure la base de datos de administración y los datos de registro en el
nuevo ELM. Para que esto funcione, los datos de registro y de la base de datos deben duplicarse.
Para restaurar los datos de un ELM antiguo a otro ELM nuevo, no cree un ELM nuevo mediante el
Asistente de adición de dispositivos.
Procedimiento
1 En el árbol de navegación del sistema, seleccione la opción Propiedades de ELM correspondiente al ELM
que se va a reemplazar.
Una página de advertencia le informará de que el sistema no puede localizar el ELM.
2 Cierre la página de advertencia y haga clic en Conexión.
3 Introduzca la dirección IP del nuevo ELM y haga clic en Administración de claves | Aplicar clave a dispositivo.
Se le informará cuando se aplique la clave al nuevo dispositivo de forma correcta.
4 Introduzca la contraseña que desee asociar al dispositivo y haga clic en Siguiente.
5 Haga clic en Información de ELM | Copia de seguridad y restauración | Restaurar ELM.
6 Vuelva a sincronizar todos los dispositivos que registren en el ELM mediante la opción Sincronizar ELM
de la página Propiedades | Configuración de cada dispositivo.
La base de datos de administración y los datos de registro de ELM almacenados se restaurarán en el

nuevo ELM. Este proceso puede durar varias horas.
Definición de una ubicación de almacenamiento alternativa

A fin de almacenar los registros de la base de datos de administración de ELM en una ubicación ajena
al ELM, es necesario definir la ubicación de almacenamiento alternativa. También se puede seleccionar
un segundo dispositivo para duplicar lo que se almacene.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y, después, haga clic en
Configuración de ELM | Migrar base de datos.
2 Seleccione el dispositivo de almacenamiento y un dispositivo de duplicación.
Véase también
Migración de la base de datos de ELM en la página 171
Sustitución de una base de datos de administración de ELM duplicada en la página 172
Página Seleccionar ubicación de base de datos en la página 171

3
Página Seleccionar ubicación de base de datos

Permite definir una ubicación alternativa para almacenar registros de la base de datos de
administración de ELM, así como una ubicación para las copias de seguridad.

Opción Definición
Gigabytes de espacio Establezca la cantidad de espacio que se debe asignar a la base de datos
de administración.
Dispositivos de almacenamiento Seleccione la ubicación para almacenar la base de datos de
de datos administración.
Si necesita agregar un dispositivo a la lista o editar un dispositivo que

aparece en la lista, véase Adición de un dispositivo de almacenamiento
para vincular con un grupo de almacenamiento.
Dispositivo de almacenamiento Seleccione una segunda ubicación de almacenamiento para duplicar el

de datos duplicado dispositivo de almacenamiento de datos.
Si amplía el sistema desde una versión anterior a la 9.0, la primera vez

que seleccione la duplicación de cualquiera de los dispositivos existentes
el proceso tardará bastante tiempo.
Véase también
Definición de una ubicación de almacenamiento alternativa en la página 170
Visualización del uso de almacenamiento de ELM

La visualización del uso del almacenamiento de ELM puede ayudarle a tomar decisiones sobre la
asignación de espacio en el dispositivo.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Administración de
ELM.
2 Haga clic en Ver uso.
Aparecerá la página Estadísticas de uso, donde se muestran las estadísticas correspondientes a los
grupos y el dispositivo de almacenamiento de ELM.
Migración de la base de datos de ELM

La base de datos de ELM almacena los registros que rastrean los archivos de registro enviados al ELM.
La cantidad de espacio en el disco disponible en el dispositivo ELM para almacenar la base de datos de
administración depende del modelo.
Al agregar el dispositivo por primera vez, el sistema verifica si tiene espacio libre suficiente en el disco
para almacenar los registros. De no ser así, se le instará a definir una ubicación alternativa para el
almacenamiento de la base de datos de administración. Si el dispositivo cuenta con espacio suficiente
en el disco pero prefiere guardar la base de datos en una ubicación alternativa, puede utilizar Migrar
base de datos en la página Propiedades de ELM para establecer esa ubicación.

3
Migrar base de datos se puede utilizar en cualquier momento. No obstante, si migra la base de datos de
administración una vez que contiene registros, la sesión de ELM permanece en espera durante varias
horas hasta que finaliza la migración, en función del número de registros que contenga. Se
recomienda definir esta ubicación alternativa al configurar el dispositivo por primera vez.
Véase también
Sustitución de una base de datos de administración de ELM duplicada en la página 172
Sustitución de una base de datos de administración de ELM duplicada

Si el dispositivo de almacenamiento de la base de datos de administración duplicada tiene un
problema, podría ser necesario sustituirlo.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el dispositivo ELM con el dispositivo de

almacenamiento de la base de datos de administración que tiene el problema y haga clic en el
icono Propiedades .
2 Haga clic en Configuración de ELM y seleccione Migrar base de datos.
3 En el campo Dispositivos de almacenamiento de datos, seleccione el dispositivo indicado en la lista

desplegable Dispositivo de almacenamiento de datos duplicado.
4 Seleccione un dispositivo nuevo en el campo Dispositivo de almacenamiento de datos duplicado, o bien

seleccione Ninguno para detener la duplicación.
Si el dispositivo que desea no aparece en la lista desplegable, agréguelo antes a la tabla Dispositivo de
almacenamiento.
Véase también
Migración de la base de datos de ELM en la página 171
Recuperación de datos de ELM

Para recuperar datos del ELM, es necesario crear trabajos de búsqueda y comprobación de integridad
en la página Datos.
Un trabajo de comprobación de integridad comprueba si los archivos definidos han sido alterados
desde que se almacenaron originalmente. Esto puede alertar de la modificación no autorizada de
archivos de contenido o archivos críticos del sistema. Los resultados de esta comprobación muestran
qué archivos han sido alterados. Si ninguno lo ha sido, se le notificará que la comprobación ha sido
correcta.
El sistema está limitado a un total de cincuenta trabajos de búsqueda y comprobación de integridad

simultáneos. Si hay más de cincuenta en el sistema, se le informará de que la búsqueda no se puede
realizar. Si hay búsquedas existentes en el sistema, puede eliminarlas para poder llevar a cabo la
nueva búsqueda. Si no tiene búsquedas existentes, el administrador del sistema deberá eliminar los
trabajos de búsqueda o comprobación de integridad iniciados por otros usuarios para que pueda llevar
a cabo su búsqueda.
Una vez iniciada una búsqueda, continúa ejecutándose hasta que termina o alcanza alguno de los
límites establecidos, incluso si se cierra la página Datos. Puede volver a esta pantalla a fin de
comprobar el estado, que aparece en la tabla Resultados de la búsqueda.

3
Véase también
Creación de un trabajo de búsqueda en la página 173
Creación de un trabajo de comprobación de integridad en la página 173
Visualización de los resultados de una búsqueda o una comprobación de integridad en la
página 175
Utilización de expresiones regulares para realizar consultas en el ELM en la página 176
Creación de un trabajo de búsqueda

Para buscar en el ELM archivos que coincidan con ciertos criterios, es necesario definir un trabajo de
búsqueda en la página Datos. Ninguno de los campos de esta pantalla es obligatorio; no obstante,
cuanto mejor defina la búsqueda, más probable será que pueda recuperar los datos que necesita en el
menor tiempo.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Datos.
2 En la ficha Buscar registros y archivos, rellene la información solicitada y haga clic en Buscar.
Véase también
Recuperación de datos de ELM en la página 172
página 175
Creación de un trabajo de comprobación de integridad

Es posible comprobar si los archivos han sido alterados desde que se almacenaron originalmente a
través de la creación de un trabajo de comprobación de integridad en la página Datos. Ninguno de los
campos de la ficha Comprobación de integridad es obligatorio; no obstante, cuanto mejor defina la
búsqueda, más probable será que pueda verificar la integridad de los datos que necesita en el menor
tiempo.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de ELM y haga clic en Datos.
2 Haga clic en la ficha Comprobación de integridad, realice las selecciones solicitadas y haga clic en Buscar.
Véase también
página 175
Ficha Comprobación de integridad en la página 174

3
Ficha Comprobación de integridad

Permite definir los parámetros para comprobar si se han alterado los archivos desde que se
almacenaron originalmente.
Opción Definición
Registros, Archivos Indique si desea comprobar los registros de ELM, los archivos de ELM o
ambos.
Espacio de tiempo Indique el espacio de tiempo de los datos que se deben comprobar.
Dispositivo Haga clic en el icono de filtrado y seleccione los dispositivos que se
comprobarán.
Tipo de dispositivo Haga clic en el icono de filtrado y seleccione los tipos de dispositivos que
se comprobarán.
Nombre de archivo Si desea que se compruebe un archivo concreto, escriba su nombre.
En el nombre de archivo se Si desea que no se distinga entre mayúsculas y minúsculas en el nombre de
distingue entre mayúsculas archivo, seleccione esta opción.
y minúsculas
Limitar tiempo de búsqueda Para limitar el tiempo que se dedica a la búsqueda, seleccione el número de
horas. Si selecciona cero, no existirá límite de tiempo.
Tamaño máx. del archivo de A fin de limitar el tamaño del archivo de resultados, seleccione el número
resultados máximo de MB.
Campo abierto Escriba un nombre descriptivo para el trabajo.
Buscar Haga clic aquí para iniciar el trabajo.
Resultados de la búsqueda Ver la lista de los trabajos completados. El estado de cada trabajo se indicará
en la columna Estado.
• En espera: el trabajo aún no ha empezado a procesarse. El sistema solo
puede procesar diez trabajos a la vez, y los procesa en el orden de
recepción.
• En ejecución: el trabajo está en curso.
• Completo: el trabajo ha finalizado. Puede ver los resultados o descargar la
exportación.
• Límite alcanzado: se ha alcanzado el límite de tiempo o tamaño. Es posible ver
los resultados, pero no están completos.
Ver Ver los resultados del trabajo seleccionado.

Exportar Exportar los resultados del trabajo seleccionado.
Se podrían perder todas las búsquedas de ELM si se elimina más de una

unidad extra de la máquina virtual de ESM al mismo tiempo. Para evitar
perder los resultados, exporte los resultados de búsqueda de ELM.
Eliminar Marcar el trabajo seleccionado para su eliminación.

Volver a cargar búsqueda Llevar a cabo el trabajo seleccionado de nuevo.
Véase también

3
Visualización de los resultados de una búsqueda o una comprobación de integridad

Cuando termina un trabajo de comprobación de integridad o de búsqueda, es posible ver los
resultados.
Antes de empezar
Ejecute un trabajo de búsqueda o comprobación de integridad que produzca resultados.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de ELM.
2 Haga clic en Datos y seleccione la ficha Buscar registros y archivos o la ficha Comprobación de integridad.
3 Resalte el trabajo que desee ver en la tabla Resultados de la búsqueda y haga clic en Ver.
Los resultados del trabajo aparecerán en la página Resultados de búsqueda de ELM.
Se podrían perder todas las búsquedas de ELM si se elimina más de una unidad extra de la máquina
virtual de ESM al mismo tiempo. Para evitar perder los resultados, exporte los resultados de búsqueda
de ELM.
Véase también
Página Resultados de búsqueda de ELM en la página 175
Página Resultados de búsqueda de ELM

Permite ver y administrar los resultados de una búsqueda de ELM.
Opción Definición
Parámetros Ver los parámetros utilizados para generar los resultados de la página.
Exportar Exportar un resumen de los datos.
Se podrían perder todas las búsquedas de ELM si se elimina más de una unidad extra
de la máquina virtual de ESM al mismo tiempo. Para evitar perder los resultados,
exporte los resultados de búsqueda de ELM.
Descargar archivo Para guardar los datos de archivos específicos, resalte los archivos en la tabla y haga
clic en esta opción.
Valor Ver el valor del elemento seleccionado en la lista.
Véase también
página 175

3
Utilización de expresiones regulares para realizar consultas en el ELM

El ELM utiliza índices de Bloom para optimizar las consultas. Aunque pueden utilizarse la mayoría de
expresiones regulares compatibles con PERL (PCRE) para las búsquedas del ELM, no todas las PCRE
pueden optimizarse para el uso de Bloom.
Aunque el optimizador de expresiones regulares de Bloom realiza un ajuste previo para ofrecer
búsquedas óptimas, es posible obtener un rendimiento aún mejor de las consultas si se tienen en
cuenta algunas cosas.
• Solo pueden utilizarse las partes obligatorias de la expresión regular para el filtrado de Bloom. El
filtro de Bloom solo emplea las subcadenas de la expresión regular que existen en todas las
cadenas coincidentes. La única excepción es que se puede utilizar una agrupación de OR de un
nivel de profundidad como (seth|matt|scott|steve).
• No se pueden utilizar las partes obligatorias de una expresión regular con menos de cuatro
caracteres. Por ejemplo, seth.*grover utiliza seth y grover con Bloom, pero tom.*wilson solo
emplea wilson porque tom es demasiado corto.
• Las agrupaciones de OR que contienen subcadenas no constantes o una subcadena demasiado

corta no se pueden utilizar. Por ejemplo, no se puede utilizar (start|\w\d+|ending) porque el
elemento central de la lista de OR no es una constante que se pueda buscar en Bloom. Otro
ejemplo sería (seth|tom|steve), que no se puede utilizar porque tom es demasiado corto; sin
embargo, se podría utilizar (seth|matt|steve).
El proceso del optimizador de base de datos ejecuta la consulta de expresión regular para Bloom. Este
optimizador deconstruye la expresión regular y localiza las subcadenas constantes obligatorias.
A modo de ejemplo, la expresión regular original es:
\|\|(626|629|4725|4722)\|\|.*\|\|(bbphk)\|\|
La única parte de esta expresión que utiliza Bloom es bbphk. Este cambio reduce el conjunto de
búsqueda de más de un millón de archivos a tan solo 20 000.
La expresión regular se puede optimizar aún más de la forma siguiente:
(\|\|626\|\||\|\|629\|\||\|\|4725\|\||\|\|4722\|\|).*\|\|bbphk\|\|
En este ejemplo, se ha desplazado \|\| de antes y después del primer grupo a delante y detrás de
cada elemento del grupo, lo cual tiene dos consecuencias:
• Permite la inclusión de los caracteres de barra vertical.
• Permite que los elementos del primer grupo, que se ignoraban porque solo tenían tres caracteres,
contengan más de cuatro, lo que implica que pueden utilizarse.
Además, los paréntesis en torno a bbphk se han eliminado, puesto que no se necesitaban e indicaban
al filtro de Bloom que se trataba de un nuevo subgrupo. La realización de estos tipos de ajustes
manuales en la expresión regular puede reducir de forma eficaz la búsqueda todavía más, hasta llegar
a unos 2000 archivos solamente.
Véase también
página 175

3
Configuración de Advanced Correlation Engine (ACE)

McAfee Advanced Correlation Engine (ACE) identifica y califica los eventos de amenaza en tiempo real
mediante la lógica basada tanto en reglas como en el riesgo.
Solo tiene que identificar lo que le resulta valioso (usuarios o grupos, aplicaciones, servidores
específicos o subredes) y el ACE le alertará si el activo está amenazado. Las pistas de auditoría y las
reproducciones históricas son compatibles con el ajuste de reglas, la conformidad y el análisis forense.
El ACE se puede configurar con los modos en tiempo real o histórico.
• Modo en tiempo real: los eventos se analizan a medida que se recopilan para la detección
inmediata de riesgos y amenazas.
• Modo histórico: se reproducen los datos disponibles recopilados mediante uno de los motores de
correlación o ambos para la detección histórica de amenazas y riesgos. Cuando el ACE descubre
nuevos ataques zero-day, determina si la organización ha estado expuesta al ataque en el pasado,
permitiendo así la detección de amenazas subzero-day.
Los dispositivos ACE complementan las capacidades de correlación de eventos existentes en el ESM,
ya que proporcionan dos motores de correlación dedicados. Puede aplicar a cada dispositivo ACE una
configuración propia para administradores de riesgos, recuperación de registros y eventos, conexión y
directivas.
• Correlación de riesgos: genera una calificación de riesgo mediante la correlación sin reglas. La
correlación basada en reglas solo detecta patrones de amenazas conocidas, lo cual requiere un
ajuste constante de las firmas y actualizaciones para que resulte efectiva. En la correlación sin
reglas, las firmas de detección se sustituyen por una configuración única: basta con identificar lo
que es importante para la empresa (como un servicio o una aplicación particulares, un grupo de
usuarios o tipos concretos de datos). La Correlación de riesgos rastrea entonces toda la actividad
relacionada con estos elementos, creando así una calificación de riesgo dinámica que sube o baja
en función de la actividad en tiempo real.
Cuando una calificación de riesgo supera un umbral determinado, el ACE genera un evento y alerta
del aumento del nivel de amenaza. Otra posibilidad es que el motor de correlación basado en
reglas tradicional emplee el evento como condición para un incidente más amplio. El ACE conserva
una pista de auditoría completa de las calificaciones de riesgo a fin de permitir todo tipo de análisis
e investigaciones sobre la situación de las amenazas a lo largo del tiempo.
• Correlación basada en reglas: detecta las amenazas a través de la correlación de eventos

tradicional basada en reglas para analizar la información recopilada en tiempo real. El ACE
correlaciona todos los registros, eventos y flujos de red junto con información contextual como
identidad, funciones, vulnerabilidades, etc. a fin de detectar patrones indicativos de una amenaza
mayor.
Los Event Receivers son compatibles con la correlación basada en reglas para toda la red. El ACE
complementa esta capacidad y proporciona un recurso de procesamiento dedicado para
correlacionar volúmenes aún mayores de datos, ya sea como suplemento de los informes de
correlación existentes o para sustituirlos por completo.
Puede aplicar a cada dispositivo ACE una configuración propia para administradores de riesgos,
recuperación de registros y eventos, conexión y directivas.
Selección del tipo de datos para el ACE

ESM recopila datos tanto de eventos como de flujos. Seleccione qué tipo de datos se deben enviar al
ACE. La opción predeterminada es enviar solo datos de eventos.

3
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Configuración ACE.
2 Haga clic en Datos y seleccione Datos de evento, Datos de flujo o ambos.
Adición de un administrador de correlación

Para utilizar la correlación de reglas o riesgos, es necesario agregar administradores de correlación de
reglas o riesgos.
Antes de empezar
Debe existir un dispositivo ACE en el ESM (véase Adición de dispositivos a la consola de
ESM).
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de ACE.
2 Haga clic en Administración de correlación y, después, en Agregar.
3 Seleccione el tipo de administrador que desee crear y haga clic en Aceptar.
Véase Configuración de Advanced Correlation Engine (ACE) para obtener información sobre los tipos
de administradores.
4 Introduzca la información solicitada y, a continuación, haga clic en Finalizar.
Adición de un administrador de correlación de riesgos

Es necesario agregar administradores a fin de contribuir al cálculo de los niveles de riesgo para los
campos designados.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Administración de
2 Haga clic en Agregar y rellene la información solicitada en cada una de las fichas.
3 Haga clic en Finalizar y, después, en Escribir para escribir los administradores en el dispositivo.
Véase también
Página Administración de correlación en la página 179
Asistente Agregar administrador de correlación en la página 179

3
Página Administración de correlación

Permite administrar los administradores de correlación, los cuales contribuyen a calcular los niveles de
riesgo.

Opción Definición
Tabla Ver los administradores de correlación existentes en el ACE.
Agregar Agregar un nuevo administrador de correlación.
Editar Editar el administrador de correlación seleccionado.
Quitar Eliminar el administrador seleccionado.
Activado Activar el administrador seleccionado.
Número máximo de combinaciones Seleccione el número máximo de combinaciones de campos que puede
de campo tener un administrador. Este límite contribuye a mejorar el tiempo de
procesamiento en el sistema. Se trata de un número de cuatro cifras.
Escribir Escribir los administradores de correlación en el dispositivo.
Véase también
Adición de un administrador de correlación de riesgos en la página 178
Asistente Agregar administrador de correlación

Agregue un administrador de correlación para facilitar el cálculo de los niveles de riesgo.
Ficha Opción Definición
Principal Nombre Escriba un nombre para el administrador.
Activar Anule la selección de esta opción si desea desactivar el administrador.
Usar datos de eventos, Seleccione una opción o ambas para indicar el tipo de datos que desee
Usar datos de flujos usar.
Registro, Grupos de Seleccione Registro para guardar los registros en el ELM. Seleccione el
almacenamiento grupo de almacenamiento del ELM donde quiera que se guarden los
registros.
Si no ha seleccionado un ELM para almacenar los datos, véase

Establecimiento del grupo de registro predeterminado.
Zona Si desea que los datos se asignen a una zona, selecciónela en la lista
desplegable (véase Administración de zonas).
Tolerancia de orden de (Solo Correlación de reglas) Seleccione la cantidad de tiempo que los
tiempo eventos pueden estar fuera de lugar según la correlación de reglas. Por
ejemplo, si el valor es 60 minutos, se utilizará un evento con 59
minutos de retraso.
Campos Campo Seleccione los campos que debe usar este administrador para
correlacionar los eventos (máximo de cinco por administrador).
Porcentaje Seleccione el porcentaje que desee para cada campo. El total debe
sumar una calificación global del 100 %.
Las actualizaciones de riesgo, cuando se encuentran por debajo del

100 % del nivel crítico, informan de su criticidad según lo que se haya
definido como Información, Leve, Advertencia, Grave y Crítico (véase
la ficha Umbrales). Por ejemplo, si su idea de Información corresponde al
50 % del valor crítico cuando el riesgo está al 50 % de criticidad, la
gravedad será en realidad 20 en lugar de 50.

3

Correlacionar Seleccione esta opción si no desea que se use un campo para
determinar la exclusividad. Debido a la memoria necesaria, no se
recomienda la correlación con respecto a varios campos de cardinalidad
alta.
El número de líneas de riesgo generadas dependerá del número de

combinaciones exclusivas de todos los campos correlacionados.
Umbrales Sección superior Permite establecer los umbrales de calificación para activar un evento
por cada nivel de criticidad.
Sección inferior Permite establecer la tasa de reducción de la calificación. La
configuración predeterminada establece que, por cada 120 segundos
que una calificación esté en un contenedor, se reducirá en un 10 %
hasta que alcance una calificación de 5. Entonces, se elimina el
contenedor de los valores de campos exclusivos.
Filtros AND lógico, OR lógico Permiten configurar la estructura para los filtros mediante elementos
lógicos (véase Elementos lógicos).
Componente de filtrado
de campos Arrastre y suelte el icono Coincidir componente en un elemento lógico y,
después, rellene la página Agregar campo de filtro.
Para editar las condiciones de un componente una vez agregado a un
elemento lógico, haga clic en el icono Menú correspondiente al

componente y seleccione Editar. Esto le permitirá realizar cambios en la
configuración.
Véase también
Adición de un administrador de correlación de riesgos en la página 178
Adición de una calificación de correlación de riesgos

Es necesario agregar sentencias condicionales que asignen una calificación a un campo de destino.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Calificación de
Véase también
Página Calificación de correlación de riesgos en la página 181
Asistente de calificación de correlación de riesgos en la página 181

3
Página Calificación de correlación de riesgos

La calificación de correlación de riesgos permite agregar sentencias condicionales de calificación. Estas
se basan en un campo de riesgo, el cual contiene un valor que genera una calificación definida para un
campo de riesgo de destino.
Opción Definición
Tabla Ver las calificaciones de correlación de riesgos existentes.
Agregar Permite agregar una calificación de correlación de riesgos.
Editar Cambiar la configuración de la calificación seleccionada.
Quitar Eliminar la calificación seleccionada.
Activado Seleccione esta opción si desea activar la calificación de correlación de riesgos para la
sentencia condicional seleccionada. La configuración se refleja en la columna Activado de la
tabla.
Escribir Escribir la nueva configuración en el dispositivo.
Véase también
Adición de una calificación de correlación de riesgos en la página 180
Asistente de calificación de correlación de riesgos

Permite agregar una sentencia condicional que asigna una calificación.
Opción Definición
Calificación activada Seleccione esta opción si desea activar la sentencia condicional.
Tipo de datos Seleccione el tipo de datos que desee que resulte visible para la sentencia
condicional. Puede seleccionar Evento, Flujo o ambos tipos.
Campo de calificación Busque el campo que recibirá la calificación deseada.
Campo de búsqueda Busque el campo con el que hacer coincidir el tipo de origen.
Tipo de origen Seleccione el tipo de origen que utilizar para la comparación. Si el tipo de
origen seleccionado contiene un valor de calificación además del valor de
coincidencia, se aplicará esa calificación; también es posible asignar una
calificación introducida manualmente si se marca la casilla de verificación de la
columna Usar calificación.
Valor Escriba o seleccione el valor de comparación. Las opciones disponibles en esta
columna varían en función del tipo de origen seleccionado en la columna
anterior.
Usar calificación Seleccione la casilla de verificación para utilizar una calificación introducida
manualmente.
Calificación La calificación que se asignará al Campo de calificación seleccionado. Existe la
posibilidad de aplicar una calificación fusionada al campo de calificación
cuando se introducen varias reglas en la cuadrícula.
Ponderación Ponderación asignada a la fila o el tipo de origen para una calificación
fusionada de la sentencia condicional. No puede superar el 100 %.
Botón Agregar fila Permite agregar una nueva fila condicional a la sentencia condicional general.
Ponderación total Total de cada una de las filas o tipos de origen bajo la columna de
ponderación.
Intervalo de calificación de El intervalo de calificación que se puede asignar al campo seleccionado como
riesgo actual para campo de calificación en función del resultado de las filas condicionales.
Véase también
Adición de una calificación de correlación de riesgos en la página 180

3
Utilización de la correlación histórica

La opción de correlación histórica permite correlacionar los eventos pasados.
Cuando se descubre una vulnerabilidad nueva, es importante comprobar los eventos y registros
históricos para ver si ha sido víctima de algún exploit en el pasado. La función de reproducción de red
fácil del ACE permite reproducir los eventos históricos mediante el motor de correlación sin reglas de
Correlación de riesgos y el motor de correlación de eventos estándar basado en reglas, con lo cual es
posible examinar los eventos históricos con respecto al panorama de amenazas actual. Esto puede
resultar útil en las siguientes situaciones:
• No tenía la correlación activada en el momento en que se activaron ciertos eventos y se da cuenta

de que la correlación podría haber revelado información valiosa.
• Está configurando una nueva correlación en función de los eventos activados en el pasado y desea
probarla para confirmar que ofrece los resultados esperados.
Tenga en cuenta lo siguiente cuando utilice la correlación histórica:
• La correlación en tiempo real deja de funcionar hasta que se desactiva la correlación histórica.
• La distribución de riesgo se verá distorsionada por la agregación de eventos.
• Al pasar de nuevo a la correlación de riesgos en tiempo real en el administrador de riesgos, es

necesario ajustar los umbrales.
Para configurar y ejecutar la correlación histórica es necesario:
1 Agregar un filtro de correlación histórica.
2 Ejecutar una correlación histórica.
3 Descargar y ver los eventos históricos correlacionados.
Véase también
Adición y ejecución de una correlación histórica en la página 182
Descarga y visualización de los eventos de correlación histórica en la página 183
Adición y ejecución de una correlación histórica

A fin de correlacionar los eventos pasados, es necesario configurar un filtro de correlación histórica y,
después, ejecutar la correlación.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Histórica.
3 Seleccione Activar correlación histórica y haga clic en Aplicar.
La correlación en tiempo real deja de funcionar hasta que se desactiva la correlación histórica.
4 Seleccione los filtros que desee ejecutar y haga clic en Ejecutar ahora.
El ESM revisa los eventos, aplica los filtros y empaqueta los eventos aplicables.
Véase también
Utilización de la correlación histórica en la página 182
Página Correlación histórica en la página 183
Página Filtro de correlación histórica en la página 183

3
Página Correlación histórica

Configure un filtro para poder correlacionar eventos pasados.
Opción Definición
Activar correlación histórica Seleccione esta opción si desea que la correlación histórica esté activada en el
ACE.
La correlación en tiempo real deja de funcionar cuando se activa la correlación

histórica.
Tabla Ver los filtros que hay actualmente en el ACE.

Agregar Agregar un filtro para recuperar datos de eventos de correlación histórica.
Editar Cambiar la configuración de filtrado para el filtro seleccionado.
Quitar Eliminar un filtro.
Ejecutar ahora Ejecutar los filtros seleccionados en ese momento. El ESM revisa los eventos,
aplica los filtros y empaqueta los eventos aplicables.
Véase también
Página Filtro de correlación histórica

La adición de un filtro de correlación histórica permite correlacionar los eventos pasados.
Opción Definición
Nombre Escriba un nombre para este filtro.
Espacio de tiempo Seleccione el espacio de tiempo para correlacionar los eventos históricos.
Resto de campos Seleccione o escriba los valores por los que desee filtrar. Aparecerá una sugerencia
sobre el campo en el que haga clic en la parte inferior de la página.
Véase también
Descarga y visualización de los eventos de correlación histórica

Una vez ejecutada la correlación histórica, es posible descargar y ver los eventos que ha generado.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de ACE y haga clic en Eventos y registros |
Obtener eventos.
Los eventos resultantes de la ejecución de la correlación histórica se descargarán al ESM.
2 Cierre la ventana Propiedades de ACE.
3 Para ver los datos:

a En el árbol de navegación del sistema, seleccione el dispositivo ACE para el que acaba de
ejecutar los datos históricos.
b En la lista desplegable correspondiente al periodo de tiempo de la barra de herramientas,

seleccione el periodo especificado al configurar la ejecución.

3
Los resultados de la consulta aparecerán en el panel de visualización.
Véase también
Utilización de la correlación histórica en la página 182
Configuración de Application Data Monitor (ADM)

McAfee Application Data Monitor (ADM) rastrea el uso de todos los tipos de datos confidenciales en la
red mediante el análisis de los protocolos subyacentes, la integridad de las sesiones y el contenido de
las aplicaciones.
Cuando ADM detecta una infracción, conserva todos los detalles de la sesión de aplicación para su uso
en la respuesta ante incidentes y el análisis forense, o bien de acuerdo con los requisitos de auditoría
de conformidad. Al mismo tiempo, ADM proporciona visibilidad con respecto a las amenazas que se
enmascaran como aplicaciones legítimas.
ADM puede detectar la transmisión de información confidencial en los datos adjuntos de correo
electrónico, los mensajes instantáneos, las transferencias de archivos, las solicitudes HTTP POST u
otras aplicaciones. Cabe la posibilidad de personalizar las capacidades de detección de ADM mediante
la definición de diccionarios propios de información confidencial y delicada. Al hacerlo, ADM puede
detectar estos tipos de datos confidenciales, alertar al personal apropiado y registrar la transgresión a
fin de conservar una traza de auditoría.
ADM supervisa, descodifica y detecta anomalías en los siguientes protocolos de aplicación.
• Transferencia de archivos: FTP, HTTP, SSL (configuración y certificados únicamente)
• Correo electrónico: SMTP, POP3, NNTP, MAPI
• Chat: MSN, AIM/Oscar, Yahoo, Jabber, IRC
• Correo web: Hotmail, Hotmail DeltaSync, Yahoo Mail, AOL Mail, Gmail
• P2P: Gnutella, bitTorrent
• Shell: SSH (solo detección), Telnet
ADM acepta expresiones de regla y las comprueba en relación con el tráfico supervisado, tras lo cual
inserta registros en la tabla de eventos de la base de datos por cada regla activada. Almacena el
paquete que activó la regla en el campo correspondiente de la tabla de eventos. También agrega
metadatos de nivel de aplicación a las tablas de consultas y dbsession de la base de datos por cada
regla activada. Almacena una representación en texto de la pila del protocolo en el campo de paquete
de la tabla de consultas.
ADM puede generar los siguientes tipos de eventos.

3
• Metadatos: ADM genera un evento de metadatos por cada transacción que tiene lugar en la red
con detalles tales como direcciones, protocolo, tipo de archivo y nombre de archivo. La aplicación
coloca los eventos de metadatos en la tabla de consultas y los agrupa a través de la tabla de
sesiones. Por ejemplo, si se transfieren tres archivos en una sesión FTP, ADM los agrupa juntos.
• Anomalía de protocolo: las anomalías de protocolo están codificadas de forma permanente en

los módulos de protocolo e incluyen eventos tales como que un paquete TCP sea demasiado corto o
para contener un encabezado válido y que un servidor SMTP devuelva un código de respuesta no
válido. Los eventos de anomalía de protocolo son poco comunes y se incluyen en la tabla de
eventos.
• Activador de regla: los eventos de activación de reglas se generan mediante expresiones de regla
que detectan anomalías en los metadatos generados por el motor de Internet Communications
Engine (ICE). Estos eventos podrían incluir anomalías tales como protocolos utilizados fuera de las
horas habituales o que un servidor SMTP se comunique inesperadamente mediante FTP. Los
eventos de activación de reglas deberían ser poco habituales, y se colocan en la tabla de eventos.
La tabla de eventos contiene un registro por cada anomalía de protocolo o evento de activación de
regla detectados. Los registros de evento se vinculan a las tablas de sesiones y consultas mediante el
ID de sesión (sessionid), donde hay disponibles más detalles sobre las transferencias de red (eventos
de metadatos) que activaron el evento. Cada evento está vinculado también con la tabla de paquetes,
donde hay disponibles datos de paquete sin procesar sobre el paquete que activó el evento.
La tabla de sesiones contiene un registro por cada grupo de transferencias de red relacionadas (tales
como un grupo de transferencias de archivos mediante FTP en una misma sesión). Los registros de
sesión están vinculados con la tabla de consultas a través del ID de sesión, donde se encuentran más
detalles acerca de las transferencias de red individuales (eventos de metadatos). Además, si una
transferencia de la sesión provoca una anomalía de protocolo o activa una regla, existe un vínculo a la
tabla de eventos.
La tabla de consultas contiene un registro por cada evento de metadatos (transferencias de contenido
que tienen lugar en la red). Los registros de consulta se vinculan a la tabla de sesiones a través del ID
de sesión. Si la transferencia de red representada por el registro activa una anomalía de protocolo o
una regla, existe un vínculo con la tabla de eventos. También existe un vínculo con la tabla de
paquetes mediante el campo de texto, donde se encuentra una representación textual de la pila de
contenido o el protocolo completo.
Configuración de la zona horaria de ADM

El dispositivo ADM está configurado para GMT, pero el código de ADM está preparado para que el
dispositivo se configure de acuerdo con su zona horaria. Como resultado, las reglas emplean el
activador de tiempo como si se encontrara en GMT, en lugar de hacerlo cuando se espera.
El ADM se puede configurar de acuerdo con la zona horaria de su elección. Esto se tiene en cuenta a la
hora de evaluar las reglas.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de ADM y haga clic en Configuración de ADM.
2 Haga clic en Zona horaria y seleccione su zona horaria.
Véase también
Página Configurar zona horaria de ADM en la página 186

3
Página Configurar zona horaria de ADM

Permite configurar la zona horaria para los eventos que registre este ADM.
Véase también
Configuración de la zona horaria de ADM en la página 185
Visualización de contraseñas en el Visor de sesión

El Visor de sesión permite ver los detalles de las últimas 25 000 consultas del ADM de una sesión. Las
reglas correspondientes a algunos de los eventos podrían estar relacionadas con las contraseñas. Es
posible indicar si se deben mostrar o no las contraseñas en el Visor de sesión. De forma predeterminada,
no se muestran.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de ADM y haga clic en Configuración de ADM.
La opción Contraseñas indica que el registro está Desactivado.
2 Haga clic en Contraseñas, seleccione Activar registro de contraseñas y, después, haga clic en Aceptar.
El sistema ejecutará el comando y le avisará cuando haya terminado.
La opción Contraseñas indica ahora que el registro está Activado.
Diccionarios de Application Data Monitor (ADM)

Cuando se escriben reglas para ADM, es posible recurrir a diccionarios que convierten las claves
capturadas en la red en valores definidos. Asimismo, se pueden ver las claves sin valor que emplean
de forma predeterminada el valor booleano verdadero cuando están presentes.
Los diccionarios de ADM permiten especificar las claves de un archivo con rapidez en lugar de tener
que escribir una regla individual por cada palabra. Por ejemplo, configurar una regla a fin de
seleccionar el correo electrónico que contenga palabras concretas, compilar un diccionario con
palabras inadecuadas e importar este diccionario. Es posible crear una regla como la siguiente para
comprobar la existencia de correo electrónico que contenga alguna de las palabras del diccionario:
protocol == email && naughtyWords[objcontent]
Cuando se escribe una regla mediante el editor de reglas de ADM, cabe la posibilidad de seleccionar el
diccionario al que debe hacer referencia la regla.
Los diccionarios admiten millones de entradas.
La adición de un diccionario a una regla implica los pasos siguientes:

1 Configurar y guardar un diccionario que incluya las claves y, si procede, los valores.
2 Administrar el diccionario en el ESM.
3 Asignar el diccionario a una regla.
Véase también
Configuración de un diccionario de ADM en la página 187
Administración de diccionarios de ADM en la página 190
Cómo hacer referencia a un diccionario de ADM en la página 192
Ejemplos de diccionarios de ADM en la página 189

3
Configuración de un diccionario de ADM

Un diccionario es un archivo de texto sin formato que consta de una entrada por línea. Hay
diccionarios de una columna y de dos columnas. Cuando existen dos columnas, se incluyen tanto una
clave como un valor.
Las claves pueden ser IPv4, MAC, números, expresiones regulares y cadenas. Los tipos de valores son
booleanos, IPv4, IPv6, MAC, números y cadenas. El valor es optativo y, de forma predeterminada, se
utiliza el valor booleano verdadero si no se indica otro.
Los valores de un diccionario de una o dos columnas deben ser de los tipos admitidos por ADM:
cadena, expresión regular, número, IPv4, IPv6 o MAC. Los diccionarios de ADM deben respetar las
siguientes directrices de formato:
Tipo Reglas de sintaxis Ejemplos Contenido de

coincidencia
Cadena • Las cadenas se deben “Contenido malo” Contenido malo
delimitar entre comillas dobles “Dijo: \“Contenido malo\”” Dijo: “Contenido
• Las comillas dobles incluidas malo”
en una cadena deben ir
acompañadas de barras
diagonales invertidas a modo
de caracteres de escape antes
de cada comilla
Expresión • Las expresiones regulares se /[Aa]pple/ Apple o apple

regular delimitan mediante barras /apple/i Apple o apple
diagonales simples
/ [0-9]{1,3}\.[0-9]{1,3}\. Direcciones IP:
• Las barras diagonales y los [0-9]\.[0-9]/
caracteres de expresión 1.1.1.1
/1\/2 de todo/
regular reservados incluidos en 127.0.0.1
la expresión regular se deben
1/2 de todo
acompañar de barras
diagonales invertidas como
caracteres de escape
Números • Valores decimales (0-9) Valor decimal 123

• Valores hexadecimales Valor hexadecimal 0x12ab
(0x0-9a-f) Valor octal 0127
• Valores octales (0-7)

3
Tipo Reglas de sintaxis Ejemplos Contenido de

coincidencia
Booleanos • Pueden ser verdaderos o falsos Literales booleanos verdadero
• Todo en minúscula falso
IPv4 • Se puede escribir en el 192.168.1.1 192.168.1.1

formato estándar de cuatro 192.168.1.0/24 192.168.1.[0 –
números separados por puntos 255]
192.168.1.0/255.255.255.0
• Se puede escribir en notación 192.168.1.[0 –
CIDR 255]
• Se puede escribir en formato
largo con máscaras completas
Tenga en cuenta lo siguiente sobre los diccionarios:
• Las listas (varios valores separados por comas y delimitados por paréntesis) no se permiten en los
diccionarios.
• Una columna solo puede constar de un tipo compatible con ADM. Esto significa que no se pueden
combinar y hacer coincidir varios tipos (cadena, expresión regular e IPv4, por ejemplo) en un único
archivo de diccionario de ADM.
• Pueden contener comentarios. Todas las líneas que comienzan con el carácter de almohadilla (#)
se consideran comentarios en un diccionario de ADM.
• Los nombres solo pueden constar de caracteres alfanuméricos y de subrayado, además de tener
una longitud total igual o inferior a 20 caracteres.
• No se admiten las listas.
• En las versiones de ADM anteriores a la 8.5.0, se deben editar o crear fuera del ESM mediante
cualquier editor de texto. Se pueden importar o exportar desde el ESM para facilitar la modificación
o creación de nuevos diccionarios de ADM.
Véase también
Diccionarios de Application Data Monitor (ADM) en la página 186

3
Ejemplos de diccionarios de ADM

El motor del ADM puede buscar coincidencias entre el contenido de objetos o cualquier otra métrica o
propiedad y un diccionario de una única columna para indicar un valor verdadero o falso (existe en el
diccionario o no existe en el diccionario).
Tabla 3-91 Ejemplos de diccionarios de una columna

Tipo de diccionario Ejemplo
Diccionario de cadenas con “Cialis”
palabras comunes en spam
“cialis”
“Viagra”
“viagra”
“web para adultos”
“Web para adultos”
“¡actúe ahora, no se lo piense!”
Diccionario de expresiones /(contraseña|contras|con)[â-z0-9]{1,3}(admin|inicio|contraseña|

regulares con palabras clave usuario)/i
de autorización
/(consumidor|cliente)[â-z0-9]{1,3}cuenta[â-z0-9]{1,3}número/i
/fondos[â-z0-9]{1,3}transacción/i
/fondos[â-z0-9]{1,3}transferencia[â-z0-9]{1,3}[0-9,.]+/i
Diccionario de cadenas con "fec72ceae15b6f60cbf269f99b9888e9"

valores de hash de
ejecutables maliciosos "fed472c13c1db095c4cb0fc54ed28485"
conocidos "feddedb607468465f9428a59eb5ee22a"
"ff3cb87742f9b56dfdb9a49b31c1743c"
"ff45e471aa68c9e2b6d62a82bbb6a82a"
"ff669082faf0b5b976cec8027833791c"
"ff7025e261bd09250346bc9efdfc6c7c"
Direcciones IP de activos 192.168.1.12

críticos
192.168.2.0/24
192.168.3.0/255.255.255.0
192.168.4.32/27
192.168.5.144/255.255.255.240

3
Tabla 3-92 Ejemplos de diccionarios de dos columnas

Tipo de diccionario Ejemplo
Diccionario de cadenas con “Cialis” “genérico”
palabras y categorías
comunes en spam “cialis” “genérico”
“Viagra” “genérico”
“viagra” “genérico”
“web para adultos” “adultos”
“Web para adultos” “adultos”
“¡actúe ahora, no se lo piense!” “fraude”
Diccionario de expresiones /(contraseña|contras|con)[â-z0-9]{1,3}(admin|inicio|contraseña|

regulares con palabras clave usuario)/i “credenciales”
y categorías de autorización
/(consumidor|cliente)[â-z0-9]{1,3}cuenta[â-z0-9]{1,3}número/i
“pii”
/fondos[â-z0-9]{1,3}transacción/i “sox”
/fondos[â-z0-9]{1,3}transferencia[â-z0-9]{1,3}[0-9,.]+/i “sox”
Diccionario de cadenas con "fec72ceae15b6f60cbf269f99b9888e9" “Troyano”

valores de hash y categorías
de ejecutables maliciosos "fed472c13c1db095c4cb0fc54ed28485" “Malware”
conocidos "feddedb607468465f9428a59eb5ee22a" “Virus”
"ff3cb87742f9b56dfdb9a49b31c1743c" “Malware”
"ff45e471aa68c9e2b6d62a82bbb6a82a" “Adware”
"ff669082faf0b5b976cec8027833791c" “Troyano”
"ff7025e261bd09250346bc9efdfc6c7c" “Virus”
Direcciones IP y grupos de 192.168.1.12 “Activos críticos”

activos críticos
192.168.2.0/24 “LAN”
192.168.3.0/255.255.255.0 “LAN”
192.168.4.32/27 “DMZ”
192.168.5.144/255.255.255.240 “Activos críticos”
Véase también
Administración de diccionarios de ADM

Una vez configurado y guardado un diccionario nuevo, es necesario importarlo al ESM. También es
posible exportarlo, editarlo y eliminarlo.
Procedimiento
1 En el Editor de directivas, haga clic en Herramientas y después seleccione Administrador de diccionarios de ADM.
La pantalla Administrar diccionarios de ADM muestra los cuatro diccionarios predeterminados (botnet,
foullanguage, icd9_desc y spamlist) y los diccionarios que se hayan importado al sistema.

3
2 Lleve a cabo cualquiera de las acciones disponibles y, después, haga clic en Cerrar.
Véase también
Página Administrar diccionarios de ADM en la página 191
Página Editar diccionario de ADM en la página 191
Página Importar diccionario de ADM en la página 192
Página Administrar diccionarios de ADM

Permite administrar la lista de diccionarios de ADM disponibles en el ESM para poder usarlas en reglas
de ADM.

Opción Definición
Importar Importar un diccionario de ADM al ESM.
Exportar Exportar el diccionario de ADM seleccionado a un archivo local.
Editar Editar el diccionario seleccionado.
Eliminar Eliminar el diccionario seleccionado.
Cuando se elimina un diccionario, cualquier intento de desplegar un grupo de reglas con

reglas que hagan referencia a este diccionario provocará un error de compilación. Si asigna
este diccionario a una regla, vuelva a escribir la regla para que no haga referencia al
diccionario (véase Cómo hacer referencia a un diccionario de ADM) o bien no siga con la
eliminación.
Véase también
Página Editar diccionario de ADM

Permite realizar cambios en un diccionario de ADM.

Opción Definición
Buscar Si desea buscar una entrada concreta, escriba en el campo y haga clic en esta opción.
Tabla Ver las entradas existentes. Es posible agregar entradas nuevas y cambiar o eliminar las
existentes.
Véase también

3
Página Importar diccionario de ADM

Permite importar un diccionario de ADM al ESM.

Opción Definición
Diccionario Buscar el archivo de diccionario y cargarlo.
Tipo de clave Seleccione el tipo de clave empleado en el diccionario.
Si existe una discrepancia entre lo seleccionado en los campos Tipo de clave y Tipo de valor y el
contenido del archivo, se le informará de que los datos no son válidos.
Tipo de valor Seleccione el tipo de valor empleado en el diccionario.
Véase también
Cómo hacer referencia a un diccionario de ADM

Cuando se importa un diccionario al ESM, es posible hacer referencia a él en el momento de escribir
las reglas.
Antes de empezar
Importe el diccionario al ESM.
Procedimiento
1 En el panel Tipos de regla del Editor de directivas, haga clic en Nueva | Regla de ADM.
2 Agregue la información solicitada y, después, arrastre y suelte un elemento lógico en el área Lógica
de expresión.
3
Arrastre y suelte el icono Componente de expresión en el elemento lógico.
4 En la página Componente de expresión, seleccione el diccionario en el campo Diccionario.
5 Rellene los campos restantes y haga clic en Aceptar.
Véase también
Material de referencia para reglas de ADM

Este apéndice incluye material que puede ayudarle a la hora de agregar reglas de ADM al Editor de
directivas.
Véase también
Sintaxis de las reglas de ADM en la página 193
Tipos de términos para reglas de ADM en la página 195
Referencias métricas para reglas de ADM en la página 197
Propiedades específicas de protocolos en la página 199
Anomalías de protocolo en la página 200

3
Sintaxis de las reglas de ADM

Las reglas de ADM son muy similares a las expresiones de C.
La principal diferencia es un conjunto más amplio de literales (números, cadenas, expresiones

regulares, direcciones IP, direcciones MAC y booleanos). Los términos de cadena se pueden comparar
con literales de cadena y expresión regular a fin de comprobar su contenido, pero también se pueden
comparar con números para comprobar su longitud. Los términos numéricos, de dirección IP y de
dirección MAC solo se pueden comparar con el mismo tipo de valor literal. La única excepción es que
cualquier cosa se puede tratar como un booleano para comprobar su existencia. Algunos términos
pueden tener varios valores, como por ejemplo la siguiente regla, que se activaría en el caso de los
archivos PDF contenidos en archivos .zip: type = = application/zip && type = = application/pdf.
Tabla 3-96 Operadores

Operador Descripción Ejemplo
&& AND lógico protocol = = http && type = = image/gif
|| OR lógico time.hour < 8 || time.hour > 18
^^ XOR lógico email.from = = "a@b.com" ^êmail.to = = "a@b.com"
! NOT unario ! (protocol = = http | | protocol = = ftp)
== Igual que type = = application/pdf
!= No igual que srcip ! = 192.168.0.0/16
> Mayor que objectsize > 100M
>= Mayor o igual que time.weekday > = 1
< Menor que objectsize < 10K
<= Menor o igual que time.hour < = 6
Tabla 3-97 Literales

Literal Ejemplo
Número 1234, 0x1234, 0777, 16K, 10M, 2G
Cadena "una cadena"
Expresión regular /[A-Z] [a-z]+/
IPv4 1.2.3.4, 192.168.0.0/16, 192.168.1.0/255.255.255.0
MAC aa:bb:cc:dd:ee:ff
Booleano true, false
Tabla 3-98 Compatibilidad entre tipos y operadores

Tipo Operadores Notas
Número = =, ! =, >, > =, <, < =
Cadena = =, ! = Comparar el contenido de la cadena con una cadena/expresión

regular
Cadena >, > =, <, <= Comparar la longitud de la cadena
IPv4 = =, ! =

3
Tabla 3-98 Compatibilidad entre tipos y operadores (continuación)

Tipo Operadores Notas
MAC = =, ! =
Booleano = =, ! = Comparar con verdadero/falso; también admite la comparación
implícita con verdadero, por ejemplo, lo siguiente comprueba si
aparece el término “email.bcc”: email.bcc
Tabla 3-99 Gramática de las expresiones regulares de ADM

Operadores básicos
| Alternancia (o)
* Cero o más
+ Uno o más
? Cero o uno
() Agrupación (a | b)
{} Intervalo repetitivo {x} o {,x} o {x,} o {x,y}
[] Intervalo [0-9a-z] [abc]
[^ ] Intervalo exclusivo [âbc] [^0-9]
. Cualquier carácter
\ Carácter de escape
Caracteres de escape
\d Dígito [0-9]
\D No dígito [^0-9]
\e Escape (0x1B)
\f Avance de página (0x0C)
\n Avance de línea (0x0A)
\r Retorno de carro (0x0D)
\s Espacio en blanco
\S No espacio en blanco
\t Tabulación (0x09)
\v Tabulación vertical (0x0B)
\w Palabra [A-Za-z0-9_]
\W No palabra
\x00 Representación hexadecimal
\0000 Representación octal
^ Inicio de línea

3
Caracteres de escape
S Fin de línea
Los caracteres de anclaje de inicio y fin de línea (^ y $) no funcionan con objcontent.
Clases de caracteres POSIX

[:alunum:] Dígitos y letras
[:alpha:] Todas las letras
[:ascii:] Caracteres ASCII
[:blank:] Espacio y tabulación
[:cntrl:] Caracteres de control
[:digit:] Dígitos
[:graph:] Caracteres visibles
[:lower:] Letras minúsculas
[:print:] Espacios y caracteres visibles
[:punct:] Puntuación y símbolos
[:space:] Todos los caracteres de espacio en blanco
[:upper:] Caracteres en mayúscula
[:word:] Caracteres de palabras
[:xdigit:] Dígito hexadecimal
Véase también
Material de referencia para reglas de ADM en la página 192
Tipos de términos para reglas de ADM

Todos los términos de una regla de ADM son de un tipo concreto.
Cada uno de los términos es una dirección IP, una dirección MAC, un número, una cadena o un valor
booleano. Además, existen dos tipos adicionales de literales: expresiones regulares y listas. Un
término de un tipo específico, por lo general, solo se puede comparar con un literal del mismo tipo o
una lista de literales de ese tipo (o una lista de listas de...). Existen tres excepciones a esta regla:
1 Un término de cadena se puede comparar con un literal numérico para comprobar su longitud. La
regla siguiente se activa si una contraseña tiene menos de ocho caracteres de longitud (“password”
es un término de cadena): password < 8
2 Es posible comparar un término de cadena con una expresión regular. La siguiente regla se activa
si una contraseña solo contiene letras minúsculas: password == /^[a-z]+$/
3 Todos los términos se pueden comprobar con respecto a literales booleanos a fin de averiguar si
están presentes o no. La siguiente regla se activa si un mensaje de correo electrónico tiene una
dirección CC (“email.cc” es un término de cadena): email.cc == true

3
Tipo Descripción del formato

Direcciones • Los literales de dirección IP se escriben con el formato estándar de cuatro números
IP separados por puntos y no se delimitan mediante comillas: 192.168.1.1
• Las direcciones IP pueden presentar una máscara expresada en notación CIDR
estándar; no deben existir espacios en blanco entre la dirección y la máscara:
192.168.1.0/24
• Las direcciones IP también se pueden escribir con el formato largo:
192.168.1.0/255.255.255.0
Direcciones • Los literales de dirección MAC se escriben mediante la notación estándar y, al igual
MAC que las direcciones IP, no se delimitan mediante comillas: aa:bb:cc:dd:ee:ff
Números • Todos los números de las reglas de ADM son enteros de 32 bits. Se pueden expresar
en formato decimal: 1234
• Se pueden expresar en formato hexadecimal: 0xabcd
• Se pueden expresar en formato octal: 0777
• Se les puede agregar una letra para multiplicarlos por 1024 (K), 1 048 576 (M) o
1 073 741 824 (G): 10M
Cadenas • Las cadenas se delimitan mediante comillas dobles: "esto es una cadena"
• Las cadenas pueden usar secuencias de escape estándar de C: "\tEsto es una
\"cadena\" que contiene\x20secuencias de escape\n"
• Al comparar un término con una cadena, el término debe coincidir con la cadena al
completo. Si un mensaje de correo electrónico tiene la dirección de origen
“alguien@lugar.com”, no se activará la siguiente regla: email.from == “@lugar.com”
• Para usar la coincidencia parcial con un término, hay que usar un literal de
expresión regular en su lugar. Se deben utilizar literales de cadena siempre que sea
posible, ya que resultan más eficaces.
Todos los términos de dirección de correo electrónico y URL se normalizan antes de la

coincidencia, por lo que no es necesario tener en cuenta cosas como los comentarios
incluidos en las direcciones de correo electrónico.
Booleanos • Los literales booleanos son verdadero (true) y falso (false).

3
Tipo Descripción del formato

Expresiones • Los literales de expresión regular emplean la misma notación que algunos
regulares lenguajes, como Javascript y Perl, por lo que la expresión regular se delimita
mediante barras diagonales: /[a-z]+/
• Las expresiones regulares pueden ir seguidas de indicadores de modificación
estándar, aunque "i" es el único que se reconoce actualmente (sin distinción entre
mayúsculas y minúsculas): /[a-z]+/i
• Los literales de expresión regular deben emplear la sintaxis ampliada POSIX. En este
momento, las extensiones Perl funcionan para todos los términos excepto el de
contenido, pero esto podría cambiar en versiones futuras.
• Si se compara un término con una expresión regular, esta puede coincidir con
cualquier subcadena incluida en el término a menos que se apliquen operadores de
anclaje dentro de ella. La siguiente regla se activa si se detecta un mensaje de
correo electrónico con la dirección “alguien@lugar.com”: email.from == /
@lugar.com/
Listas • Los literales de lista constan de uno o varios literales delimitados por corchetes y
separados por comas: [1, 2, 3, 4, 5]
• Las listas pueden contener cualquier tipo de literal, incluidas otras listas:
[192.168.1.1, [10.0.0.0/8, 172.16.128.0/24]]
• Las listas solo deben contener un tipo de literal; no es correcto combinar cadenas y
números, cadenas y expresiones regulares o direcciones IP y direcciones MAC.
• Cuando se emplea una lista con cualquier operador relacional distinto de “no igual a”
(!=), la expresión es verdadera si el término coincide con cualquier literal de la lista.
La siguiente regla se activa si la dirección IP de origen coincide con cualquiera de las
direcciones IP de la lista: srcip == [192.168.1.1, 192.168.1.2, 192.168.1.3]
• Esto es equivalente a: srcip == 192.168.1.1 || srcip == 192.168.1.2 || srcip ==
192.168.1.3
• Cuando se utiliza con el operador “no igual a” (!=), la expresión es verdadera si el
término no coincide con todos los literales de la lista. La siguiente regla se activa si
la dirección IP de origen no es 192.168.1.1 ni 192.168.1.2: srcip != [192.168.1.1,
192.168.1.2]
• Esto es equivalente a: srcip != 192.168.1.1 && srcip != 192.168.1.2
• Las listas también se pueden usar con otros operadores relacionales, aunque no
tiene mucho sentido. La siguiente regla se activa si el tamaño del objeto es superior
a 100, o bien si es superior a 200: objectsize > [100, 200]
• Esto es equivalente a: objectsize > 100 || objectsize > 200
Véase también
Referencias métricas para reglas de ADM

A continuación se incluyen listas de referencias métricas para expresiones de regla de ADM, las cuales
están disponibles en la página Componente de expresión cuando se agrega una regla de ADM.
En el caso de las propiedades y las anomalías comunes, el valor de parámetro o tipo que se puede
indicar para cada una se muestra entre paréntesis tras la referencia métrica.
Propiedades comunes

3
Propiedad o término Descripción

Protocol (número) El protocolo de aplicación (HTTP, FTP, SMTP, etc.).
Object Content (cadena) El contenido de un objeto (texto de un documento, mensaje de correo
electrónico o mensaje de chat, etc.). La coincidencia de contenido no
está disponible para los datos binarios. Sin embargo, los objetos
binarios se pueden detectar mediante el tipo de objeto (objtype).
Object Type (número) Especifica el tipo de contenido de acuerdo con ADM (documentos de
Office, mensajes, vídeos, audio, imágenes, archivos, ejecutables, etc.).
Object Size (número) Tamaño del objeto. Es posible agregar los multiplicadores numéricos K,
M y G tras el número (10K, 10M, 10G).
Object Hash (cadena) El hash del contenido (actualmente, MD5).
Object Source IP Address Dirección IP de origen del contenido. La dirección IP se puede
(número) especificar como 192.168.1.1, 192.168.1.0/24 o
192.168.1.0/255.255.255.0.
Object Destination IP Dirección IP de destino del contenido. La dirección IP se puede
Address (número) especificar como 192.168.1.1, 192.168.1.0/24 o
192.168.1.0/255.255.255.0.
Object Source Port El puerto TCP/UDP de origen del contenido.
(número)
Object Destination Port El puerto TCP/UDP de destino del contenido.
(número)
Object Source IP v6 Dirección IPv6 de origen del contenido.
Address (número)
Object Destination IPv6 Dirección IPv6 de destino del contenido.
Address (número)
Object Source MAC Address Dirección MAC de origen del contenido (aa:bb:cc:dd:ee:ff).
(nombre de MAC)
Object Destination MAC Dirección MAC de destino del contenido (aa:bb:cc:dd:ee:ff).
Address (nombre de MAC)
Flow Source IP Address Dirección IP de origen del flujo. La dirección IP se puede especificar
(IPv4) como 192.168.1.1, 192.168.1.0/24 o 192.168.1.0/255.255.255.0.
Flow Destination IP Address Dirección IP de destino del flujo. La dirección IP se puede especificar
(IPv4) como 192.168.1.1, 192.168.1.0/24 o 192.168.1.0/255.255.255.0.
Flow Source Port (número) Puerto TCP/UDP de origen del flujo.
Flow Destination Port Puerto TCP/UDP de destino del flujo.
(número)
Flow Source IPv6 Address Dirección IPv6 de origen del flujo.
(número)
Flow Destination IPv6 Dirección IPv6 de destino del flujo.
Address (número)
Flow Source MAC Address Dirección MAC de origen del flujo.
(nombre de MAC)
Flow Destination MAC Dirección MAC de destino del flujo.
Address (nombre de MAC)
VLAN (número) ID de LAN virtual.
Day of Week (número) El día de la semana. Los valores válidos oscilan entre 1 y 7; el 1
corresponde al lunes.
Hour of Day (número) La hora del día correspondiente a GMT. Los valores válidos oscilan entre
0 y 23.

3
Propiedad o término Descripción

Declared Content Type Tipo de contenido de acuerdo con el servidor. En teoría, el tipo de
(cadena) objeto (objtype) es siempre el tipo real, mientras que el tipo de
contenido declarado (content-type) no resulta fiable, ya que el servidor
o la aplicación lo pueden falsificar.
Password (cadena) La contraseña utilizada por la aplicación para la autenticación.
URL (cadena) URL del sitio web. Solo es aplicable en el caso del protocolo HTTP.
File Name (cadena) Nombre del archivo transferido.
Display Name (cadena)
Host Name (cadena) Nombre de host de acuerdo con la búsqueda DNS.
Anomalías comunes
• User logged off (literal booleano)
• Authorization error (literal booleano)
• Authorization successful (literal booleano)
• Authorization failed (literal booleano)
Véase también
Propiedades específicas de protocolos

Además de proporcionar propiedades que son comunes a la mayoría de protocolos, el ADM también
ofrece propiedades específicas de algunos protocolos que pueden emplearse con reglas de ADM. Todas
las propiedades específicas de protocolos están disponibles también en la página Componente de expresión
a la hora de agregar una regla de ADM.
Ejemplos de propiedades específicas de protocolos

Estas propiedades se aplican a las tablas siguientes:
* Solo detección
** Sin descifrado, se capturan los certificados X.509 y los datos cifrados
*** A través del módulo RFC822
Tabla 3-100 Módulos de protocolo de transferencia de archivos

FTP HTTP SMB* SSL**
Nombre de pantalla Nombre de pantalla Nombre de pantalla Nombre de pantalla
Nombre de archivo Nombre de archivo Nombre de archivo Nombre de archivo
Nombre de host Nombre de host Nombre de host Nombre de host
URL Referer
URL
Todos los encabezados HTTP

3
Tabla 3-101 Módulos de protocolo de correo electrónico

DeltaSync MAPI NNTP POP3 SMTP
CCO*** CCO CCO*** CCO*** CCO***
CC*** CC CC*** CC*** CC***
Nombre de pantalla Nombre de Nombre de Nombre de pantalla Nombre de
pantalla pantalla pantalla
De*** De***
De De*** De***
Nombre de host Nombre de host
Nombre de host Nombre de host Nombre de host
Asunto*** Asunto***
Asunto Asunto*** Para***
Para*** Para***
Para Para*** Asunto***
Nombre de usuario
Nombre de
usuario
Tabla 3-102 Módulos de protocolo de correo web

AOL Gmail Hotmail Yahoo
Nombre de datos Nombre de datos Nombre de datos Nombre de datos
adjuntos adjuntos adjuntos adjuntos
CCO*** CCO*** CCO*** CCO***
CC*** CC*** CC*** CC***
Nombre de pantalla Nombre de pantalla Nombre de pantalla Nombre de pantalla
Nombre de archivo Nombre de archivo Nombre de archivo Nombre de archivo
Nombre de host Nombre de host Nombre de host Nombre de host
De*** De*** De*** De***
Asunto*** Asunto*** Asunto*** Asunto***
Para*** Para*** Para*** Para***
Véase también
Anomalías de protocolo
Más allá de las propiedades comunes y las propiedades de protocolos específicos, ADM también
detecta cientos de anomalías en protocolos de bajo nivel, de transporte y de aplicación. Todas las
propiedades de anomalía de protocolo son de tipo booleano y están disponibles en la página Componente
de expresión cuando se agrega una regla de ADM.
Tabla 3-103 IP
Término Descripción
ip.too-small El paquete IP es demasiado pequeño para contener un encabezado válido.
ip.bad-offset El desplazamiento de datos de IP sobrepasa el final del paquete.
ip.fragmented El paquete IP está fragmentado.

3
Tabla 3-103 IP (continuación)

ip.bad-checksum La suma de comprobación del paquete IP no coincide con los datos.
ip.bad-length El campo totlen del paquete IP sobrepasa el final del archivo.
Tabla 3-104 TCP

tcp.too-small El paquete TCP es demasiado pequeño para contener un
encabezado válido.
tcp.bad-offset El desplazamiento de datos de TCP sobrepasa el final del
paquete.
tcp.unexpected-fin El indicador TCP FIN está definido con un estado no establecido.
tcp.unexpected-syn El indicador TCP SYN está definido con un estado establecido.
tcp.duplicate-ack Los datos de ACK del paquete TCP ya se han confirmado.
tcp.segment-outsidewindow El paquete TCP está fuera de la ventana (la ventana pequeña

de TCP del módulo, no la ventana real).
tcp.urgent-nonzero-withouturg- flag El campo urgent de TCP no tiene un valor igual a cero pero no
se ha definido el indicador URG.
Tabla 3-105 DNS

dns.too-small El paquete DNS es demasiado pequeño para contener un
encabezado válido.
dns.question-name-past-end El nombre de pregunta de DNS sobrepasa el final del paquete.
dns.answer-name-past-end El nombre de respuesta de DNS sobrepasa el final del paquete.
dns.ipv4-address-length-wrong La dirección IPv4 de la respuesta de DNS no tiene 4 bytes de

longitud.
dns.answer-circular-reference La respuesta de DNS contiene una referencia circular.
Véase también
Configuración de Database Event Monitor (DEM)

McAfee Database Event Monitor (DEM) consolida la actividad de base de datos en un repositorio de
auditoría centralizado y proporciona funciones de normalización, correlación, análisis y generación de
informes sobre dicha actividad. Si la actividad de la red o un servidor de base de datos coincide con
patrones conocidos que indican un acceso a datos malicioso, el DEM genera una alerta. Además, todas
las transacciones se registran para garantizar la conformidad.
El DEM permite administrar, editar y ajustar las reglas de supervisión de bases de datos desde la
misma interfaz que proporciona las funciones de análisis y generación de informes. Resulta fácil
ajustar perfiles específicos de supervisión de bases de datos (qué reglas se implementan, qué
transacciones se registran, etc.), lo cual reduce los falsos positivos y mejora la seguridad en general.

3
El DEM auditar de forma no intrusiva las interacciones de los usuarios y las aplicaciones con las bases
de datos mediante la supervisión de paquetes de red, de forma similar a los sistemas de detección de
intrusiones. Para garantizar que la actividad de todos los servidores de base de datos se pueda
supervisar a través de la red, coordine el despliegue inicial del DEM junto con sus equipos de conexión
de red, seguridad, conformidad y bases de datos.
Los equipos encargados de las funciones de red emplean puertos SPAN en los conmutadores, TAP de
red o concentradores para replicar el tráfico de base de datos. Este proceso permite escuchar o
supervisar el tráfico en los servidores de base de datos y crear un registro de auditoría.
Visite el sitio web de McAfee para obtener información sobre las plataformas y las versiones de
servidor de base de datos compatibles.
Sistema operativo Base de datos Appliance DEM

Windows (todas las versiones) Microsoft SQL Server¹ MSSQL 7, 2000, 2005, 2008,
2012
Windows, UNIX/Linux (todas las Oracle² Oracle 8.x, 9.x, 10g, 11g (c),
versiones) 11g R2³
Sybase 11.x, 12.x, 15.x
DB2 8.x, 9.x, 10.x
Informix (disponible en la 11.5
versión 8.4.0 o posterior)
Windows, UNIX/Linux (todas las MySQL Sí, 4.x, 5.x, 6.x
versiones)
PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x
Teradata 12.x, 13.x, 14.x
InterSystems Cache 2011.1.x
UNIX/Linux (todas las versiones) Greenplum 8.2.15
Vertica 5.1.1-0
Mainframe DB2/zOS Todas las versiones
AS400 DB2 Todas las versiones
1 Compatibilidad con descifrado de paquetes para Microsoft SQL Server disponible en la versión 8.3.0
y posteriores.
2 Compatibilidad con descifrado de paquetes para Oracle disponible en la versión 8.4.0 y posteriores.
3 Oracle 11g está disponible en la versión 8.3.0 y posteriores.
Lo siguiente es aplicable a estos servidores y estas versiones:
• Se admiten tanto las versiones de 32 bits como las de 64 bits de los sistemas operativos y las
plataformas de base de datos.
• MySQL solo se admite en plataformas Windows de 32 bits.
• El descifrado de paquetes se admite en MSSQL y Oracle.
Actualización de la licencia de DEM

El DEM incluye una licencia predeterminada. Si cambia las capacidades del DEM, McAfee le enviará
una nueva licencia en un mensaje de correo electrónico y deberá actualizarla.

3
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Configuración de DEM.
2 Haga clic en Licencia | Actualizar licencia y pegue la información que le ha enviado McAfee en el campo.
El sistema actualizará la licencia y le avisará cuando haya terminado.
4 Despliegue la directiva en el DEM.
Véase también
Página Actualizar licencia de DEM en la página 203
Página Actualizar licencia de DEM

Permite ver las limitaciones de la licencia actual del DEM, así como actualizarla.

Opción Definición
Actualizar licencia Permite actualizar la licencia del DEM.
Página Actualizar licencia Copie la licencia que le ha enviado McAfee, péguela aquí y haga clic en Aceptar.
Véase también
Actualización de la licencia de DEM en la página 202
Sincronización de los archivos de configuración de DEM

Cuando los archivos de configuración de DEM no están sincronizados con el dispositivo DEM, es
necesario escribirlos en el DEM.
Procedimiento
2 Haga clic en Sincronizar archivos.
Aparecerá un mensaje que indica el estado de la sincronización.
Configuración de opciones avanzadas de DEM

Estas opciones avanzadas cambian o aumentan el rendimiento del DEM.
Procedimiento
2 Haga clic en Opciones avanzadas y defina la configuración o anule la selección de algunas opciones si
experimenta una carga muy elevada en el DEM.

3
Véase también
Página Opciones de DEM avanzadas en la página 204
Página Opciones de DEM avanzadas

Permite cambiar o aumentar el rendimiento del DEM.
Opción Definición
Defina las opciones de configuración siguientes según proceda.
Nivel de detalle del Permite establecer el nivel de detalle de la información de registro enviada del
archivo de registro agente de DEM al administrador del DEM. Estas son las tres opciones: Información,
Advertencia y Depuración.
Si selecciona Depuración, la información será muy detallada y puede consumir una

gran parte de espacio de disco.
Puerto de registro de Cambiar los puertos predeterminados de registro y servicio del agente. Se trata
agente y Puerto de de los puertos que se emplean para comunicarse con el agente.
servicio de agente
Usar cifrado Indique si se debe cifrar o no la información enviada al administrador de DEM
desde el agente de DEM. Este registro se descifra cuando se recibe.
IP de servidor Kerberos Indique la dirección IP del servidor Kerberos si desea recuperar los nombres de
usuario mediante el análisis del protocolo Kerberos para la autenticación de la
base de datos con el uso de la Seguridad integrada de Windows.
Es posible especificar diversas opciones de IP, puertos y VLAN mediante el

formato siguiente: IP;PUERTO;VLAN;IP;PUERTO (por ejemplo,
10.0.0.1;88;11,10.0.0.2;88;12). IPv6 también se admite con este mismo
formato.
Memoria compartida Elija el tamaño del búfer que empleará el DEM para procesar eventos de base de
datos. El aumento del tamaño del búfer proporciona un mejor rendimiento.
Repositorio de eventos Seleccione la ubicación desde la que se recuperarán los eventos. Si selecciona
Archivo, se leerá el archivo del DEM local y se analizarán esos eventos. Si
selecciona EDB, se recopilarán los eventos de la base de datos.

Opción Definición
Anule la selección de cualquiera de estas opciones si experimenta una sobrecarga en el DEM.
Captura de paquetes de McAfee Proporciona al DEM una forma más rápida de analizar los datos de la
Firewall base de datos.
Rastreo de transacciones Rastrear las transacciones de base de datos y conciliar los cambios
automáticamente. Anule su selección para aumentar la velocidad del
DEM.
Rastreo de identidades de usuario Rastrear las identidades de usuario cuando no se propagan a la base de
datos debido al uso de nombres de usuario genéricos para acceder a la
base de datos. Anule su selección para aumentar la velocidad del DEM.
Enmascaramiento de datos Evitar la visualización no autorizada de datos confidenciales gracias a la
confidenciales sustitución de la información de carácter confidencial por una cadena
genérica definida por el usuario, denominada “máscara”. Anule su
selección para aumentar la velocidad del DEM.
Auditoría de hosts locales Auditar los hosts locales para rastrear las rutas de acceso desconocidas
a la base de datos y enviar eventos en tiempo real. Anule su selección
para aumentar la velocidad del DEM.

3

Opción Definición
Análisis de consultas Llevar a cabo inspecciones de consultas. Anule su selección para
aumentar la velocidad del DEM.
Captura de primera fila de resultado Permite ver la primera fila del resultado de una consulta cuando se
recupera un paquete para un evento y se ha establecido una gravedad
para la sentencia de selección inferior a 95. Anule su selección para
aumentar la velocidad del DEM.
Compatibilidad de variable de Reutilizar la variable de enlace de Oracle una y otra vez sin necesidad
enlace de volver a analizar el comando cada vez que se ejecuta.
Véase también
Configuración de opciones avanzadas de DEM en la página 203
Aplicación de las opciones de configuración al DEM

Los cambios realizados en las opciones de configuración del DEM deben aplicarse al dispositivo DEM.
En caso de no aplicar algún cambio de configuración, la opción Aplicar correspondiente a Configuración de
DEM permite hacerlo para todas las opciones de configuración del DEM.
Procedimiento
Un mensaje le informará de la escritura de las opciones de configuración en el DEM.
Definición de acciones para eventos de DEM

La configuración de Administración de acciones del DEM define las acciones y operaciones para los eventos
que se emplean en las reglas de filtrado y las directivas de acceso a datos. Es posible agregar acciones
personalizadas y establecer la Operación para las acciones predeterminadas y personalizadas.
El DEM incluye acciones predeterminadas que pueden verse haciendo clic en Editar globales en la página
Administración de acciones, y estas son las operaciones predeterminadas:
• ninguna • secuencia de comandos
• ignorar • restablecer
• rechazar
Si se selecciona Secuencia de comandos como operación, se necesita un alias (alias de secuencia de

comandos) que apunte a la secuencia de comandos real (nombre de secuencia de comandos), la cual
se ejecutará cuando se produzca un evento con la importancia indicada. Se pasan dos variables de
entorno a la secuencia de comandos: ALERT_EVENT y ALERT_REASON. ALERT_EVENT contiene una
lista de métricas separadas por comas. El DEM proporciona una secuencia de comandos bash de
muestra (/home/auditprobe/conf/sample/process_alerts.bash) para demostrar cómo se puede
capturar la acción de importancia en una secuencia de comandos.
Recuerde lo siguiente cuando trabaje con acciones y operaciones:

• Las acciones aparecen por orden de prioridad.
• Un evento no lleva a cabo una acción, como por ejemplo enviar una captura SNMP o un mensaje a
un localizador, a menos que se especifique como acción de alerta.

3
• Cuando una regla cumple los requisitos para más de un nivel de alerta, solo se puede realizar una
acción para el nivel de alerta más alto.
• Los eventos se escriben en un archivo de eventos independientemente de la acción. La única

excepción es una operación Rechazar.
Véase también
Adición de una acción de DEM en la página 206
Edición de una acción personalizada de DEM en la página 207
Establecimiento de la operación para una acción de DEM en la página 207
Adición de una acción de DEM

Si se agrega una acción a la administración de acciones de DEM, aparece en la lista de acciones
disponibles para una regla de DEM en el Editor de directivas. A continuación, es posible seleccionarla como
acción para una regla.
Procedimiento
1
En el árbol de navegación del sistema, haga clic en el icono del Editor de directivas y, después, en
Herramientas | Administrador de acciones de DEM.
La página Administración de acciones de DEM enumera las acciones existentes por orden de prioridad.
No es posible cambiar el orden de prioridad de las acciones predeterminadas.
2 Haga clic en Agregar y, después, escriba un nombre y una descripción para la acción.
No es posible eliminar una acción personalizada una vez agregada.
La nueva acción se agregará a la lista de Administración de acciones de DEM.
La operación predeterminada para una acción personalizada es Ninguna. Para cambiarla, véase
Establecimiento de la operación para una acción de DEM.
Véase también
Definición de acciones para eventos de DEM en la página 205
Página Regla de acción de DEM en la página 206
Página Regla de acción de DEM

Permite definir la configuración para una acción de DEM.

Opción Definición
Nombre de la acción Escriba el nombre para la acción.
Descripción (Opcional) Escriba una descripción para esta acción.
Véase también

3
Edición de una acción personalizada de DEM

Tras agregar una acción a la lista de administración de acciones del DEM, podría ser necesario editar
su nombre o cambiar la prioridad.
Procedimiento
1
En el árbol de navegación del sistema, haga clic en el icono del Editor de directivas y, después, en
Herramientas | Administrador de acciones de DEM.
2 Haga clic en la acción personalizada que necesite cambiar y realice una de estas acciones:
• Para cambiar el orden de prioridad, haga clic en las flechas hacia arriba o hacia abajo hasta que
se encuentre en la posición correcta.
• Para cambiar el nombre o la descripción, haga clic en Editar.
Véase también
Establecimiento de la operación para una acción de DEM

Todas las acciones de regla tienen una operación predeterminada. Cuando se agrega una acción de
DEM personalizada, la operación predeterminada es Ninguna. Es posible cambiar la operación de
cualquier acción a Ignorar, Rechazar, Secuencia de comandos o Restablecer.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Administración de
acciones.
2 Resalte la acción que desee editar y haga clic en Editar.
3 Seleccione una operación y haga clic en Aceptar.
Véase también
Página Administración de acciones en la página 208
Página Administración de acciones de DEM en la página 208

3
Página Administración de acciones

Permite cambiar la operación de una acción de regla.

Opción Definición
Operación Seleccione lo que desea que haga esta acción si la regla activa un evento. Las
opciones son las siguientes:
• Ninguna: no se hace nada.
• Ignorar: el evento se mantiene en la base de datos pero no aparece en la interfaz de
usuario.
• Rechazar: el evento no se mantiene en la base de datos ni aparece en la interfaz de
usuario.
• Secuencia de comandos: se ejecuta una secuencia de comandos previamente definida.
• Restablecer: se intenta interrumpir la conexión de la base de datos mediante el envío
de paquetes TCP RST al cliente y el servidor.
Nombre de Si selecciona Secuencia de comandos como operación, deberá definir el nombre de la

secuencia de secuencia de comandos. Si no hay ninguna secuencia de comandos en la lista
comandos desplegable, haga clic en Nombre de secuencia de comandos y seleccione un archivo en la
página Administración de archivos de secuencias de comandos.
Véase también
Página Administración de acciones de DEM

Permite agregar y organizar acciones globales para poder seleccionarlas a modo de acción para una
regla.
Opción Definición
Agregar Agregar una acción nueva.
No es posible eliminar una acción personalizada una vez agregada.
Editar Cambiar el nombre o la descripción de la acción personalizada seleccionada.

Flechas Subir y Bajar Permiten cambiar el orden de las acciones personalizadas.
No es posible cambiar el orden de prioridad de las acciones predeterminadas.
Véase también
Utilización de máscaras de datos confidenciales

Las máscaras de datos confidenciales evitan que se puedan ver sin la autorización pertinente datos
confidenciales gracias a la sustitución de los datos confidenciales por una cadena genérica,
denominada “máscara”. Se agregan tres máscaras de datos confidenciales estándar a la base de datos

3
del ESM cuando se agrega un dispositivo DEM al sistema, pero es posible agregar otras nuevas y
editar o eliminar las existentes.
Estas son las máscaras estándar:
• Nombre de máscara de datos confidenciales: Máscara de número de tarjeta de crédito
Expresión: ((4\d{3})|(5[1-5]\d{2})|(6011))-?\d{4}-?\d{4}-?\d{4}|3[4,7]\d{13}
Índice de subcadenas: \0
Patrón de enmascaramiento: ####-####-####-####
• Nombre de máscara de datos confidenciales: Enmascarar primeros 5 caracteres de NSS
Expresión: (\d\d\d-\d\d)-\d\d\d\d
Patrón de enmascaramiento: ###-##
• Nombre de máscara de datos confidenciales: Enmascarar contraseña de usuario en sentencias SQL
Expresión: create\s+user\s+(\w+)\s+identified\s+by\s+(\w+)
Patrón de enmascaramiento: ********
Véase también
Administración de máscaras de datos confidenciales en la página 209
Administración de máscaras de datos confidenciales

A fin de proteger la información confidencial introducida en el sistema, es posible agregar máscaras de
datos confidenciales y editar o eliminar las existentes.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Máscaras de datos
confidenciales.
2 Seleccione una opción y rellene la información solicitada.
3 Haga clic en Aceptar y, después, en Escribir para agregar la configuración al DEM.
Véase también
Utilización de máscaras de datos confidenciales en la página 208
Página Máscaras de datos confidenciales en la página 210

3
Página Máscaras de datos confidenciales

Permite agregar una máscara de datos confidenciales a fin de proteger la información de carácter
confidencial introducida en el ESM.

Opción Definición
Nombre de máscara de datos Escriba un nombre para la máscara de datos confidenciales.
confidenciales
Expresión Escriba una expresión regular conforme a la sintaxis de expresión
regular compatible con Perl (PCRE) (véase Utilización de máscaras de
datos confidenciales para ver ejemplos).
Índice de subcadenas Seleccione una opción.
Las opciones dependen del número de paréntesis () utilizados en la

expresión. Si solo dispone de un conjunto de paréntesis, las opciones
serán \0 y \1. Si selecciona \0, toda la cadena se sustituirá por la
máscara. Si selecciona \1, solo se sustituyen las cadenas por la
máscara.
Patrón de enmascaramiento Escriba el patrón de enmascaramiento que debe aparecer en lugar del
valor original.
Véase también
Administración de máscaras de datos confidenciales en la página 209
Administración de la identificación de usuarios

Gran parte de la seguridad se basa en el simple principio de que los usuarios deben identificarse y
distinguirse unos de otros, aunque a menudo se emplean nombres de usuario genéricos para acceder
a la base de datos. La administración de identificadores proporciona una forma de capturar el nombre
de usuario real en caso de estar presente en alguna parte de la consulta mediante el uso de patrones
de expresión regular.
Resulta bastante fácil que las aplicaciones puedan sacar partido de esta función de seguridad. Se
agregan dos reglas de identificador de usuario a la base de datos del ESM cuando se agrega un
dispositivo DEM al sistema.
• Nombre de regla de identificador: Obtener nombre de usuario de sentencia SQL
Expresión: select\s+username=(\w+)
Aplicación: Oracle
• Nombre de regla de identificador: Obtener nombre de usuario de procedimiento almacenado
Expresión: sessionStart\s+@appname='(\w+)', @username='(\w+)',
Aplicación: MSSQL
Es posible realizar una correlación avanzada de usuarios mediante la correlación de los registros de
administración de identidad y acceso presentes en el ESM y correspondientes a: DEM, aplicación,
servidor web y sistema.
Véase también
Adición de una regla de identificador de usuario en la página 211

3
Adición de una regla de identificador de usuario

A fin de asociar las consultas de base de datos con personas, cabe la posibilidad de usar las reglas de
identificación de usuarios existentes o de agregar una regla nueva.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Administración de
identificadores.
3 Haga clic en Aceptar y, después, en Escribir para escribir la configuración en el DEM.
Véase también
Administración de la identificación de usuarios en la página 210
Página Reglas de identificador de usuario en la página 211
Página Reglas de identificador de usuario

Permite agregar una regla de identificación de usuarios para asociar las consultas de base de datos
con personas.

Opción Definición
Nombre de regla de Escriba un nombre para esta regla de identificador.
identificador
Expresión Escriba una expresión regular conforme a la sintaxis PCRE (véase
Administración de la identificación de usuarios para ver ejemplos).
El operador de la expresión regular implementa la biblioteca PCRE para la

coincidencia de patrones mediante la misma semántica que Perl 5. La sintaxis
general es: <"nombre métrica"> EXPRESIÓN REGULAR <"patrón">. Para
obtener información sobre PCRE, consulte http://www.pcre.org.
Aplicación Seleccione la aplicación (tipo de base de datos) donde se observa la

información.
Índice de subcadenas Seleccione una subcadena.
Las opciones dependen del número de paréntesis () utilizados en la expresión.

Si dispone de un conjunto de paréntesis, las opciones serán \0 y \1.
Véase también
Adición de una regla de identificador de usuario en la página 211
Acerca de los servidores de base de datos

Los servidores de base de datos supervisan la actividad de base de datos. Si la actividad detectada en
un servidor de base de datos coincide con un patrón conocido que indica un acceso a datos malicioso,
se genera una alerta. Cada DEM puede supervisar un máximo de 255 servidores de base de datos.
El DEM admite actualmente los siguientes servidores y versiones de base de datos.

3
SO Base de datos Appliance DEM

Windows (todas las versiones) Microsoft SQL Server¹ MSSQL 7, 2000, 2005, 2008, 2012
Windows UNIX/Linux (todas Oracle² Oracle 8.x, 9.x, 10g, 11g³, 11g R2
las versiones)
Sybase 11.x, 12.x, 15.x
DB2 8.x, 9.x, 10.x
Informix (véase la nota 4) 11.5
MySQL Sí, 4.x, 5.x, 6.x
PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x
Teradata 12.x, 13.x, 14.x
InterSystems Cache 2011.1.x
UNIX/Linux (todas las Greenplum 8.2.15
versiones)
Vertica 5.1.1-0
Mainframe DB2/zOS Todas las versiones
AS 400 DB2 Todas las versiones
1 Compatibilidad con descifrado de paquetes para Microsoft SQL Server disponible en las versiones
8.3.0 y posteriores.
2 Compatibilidad con descifrado de paquetes para Oracle disponible en las versiones 8.4.0 y
posteriores.
3 Oracle 11g está disponible en la versión 8.3.0 y posteriores.
4 Existe compatibilidad con Informix en las versiones 8.4.0 y posteriores.
• Se admiten tanto las versiones de 32 bits como las versiones de 64 bits de los sistemas operativos
y las plataformas de base de datos.
• MySQL solo se admite en plataformas Windows de 32 bits.
• El descifrado de paquetes se admite para MSSQL y Oracle.
Véase también
Administración de servidores de base de datos en la página 212
Administración de notificaciones de descubrimiento de base de datos en la página 215
Administración de servidores de base de datos

La página Servidores de base de datos es el punto de inicio para la administración de la configuración de
todos los servidores de base de datos del dispositivo DEM.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y haga clic en Servidores de base de
datos.
2 Seleccione cualquiera de las opciones disponibles.

3
Véase también
Acerca de los servidores de base de datos en la página 211
Administración de notificaciones de descubrimiento de base de datos en la página 215
Página Servidores de base de datos en la página 213
Página Agregar servidor de base de datos en la página 213
Página Servidores de base de datos

El dispositivo DEM supervisa las bases de datos definidas en los servidores de base de datos.

Opción Definición
Tabla Ver la lista de servidores de base de datos del DEM.
Agregar Agregar un nuevo servidor de base de datos.
Agregar agente El agente de McAfee DEM ya no se comercializa. Si adquirió la licencia para el agente de
DEM de una versión anterior a la 9.2 y necesita ayuda, póngase en contacto con el
Soporte de McAfee.
Editar Realizar cambios en el servidor de base de datos seleccionado.
Quitar Eliminar el servidor de base de datos seleccionado.
Copiar Crear una copia del servidor de base de datos seleccionado.
Escribir Aplicar la configuración de los servidores de base de datos al DEM.
Activar Haga clic si desea recibir una notificación de alerta cuando se encuentren servidores de
bases de datos nuevos.
Desactivar Permite desactivar la notificación.
Véase también
Página Agregar servidor de base de datos

Permite agregar un servidor de base de datos para supervisar la actividad de base de datos. Es posible
asociar un máximo de 255 servidores de base de datos con un único DEM.
Opción Definición
Activado Indique si desea que el DEM procese los datos correspondientes a este servidor
de base de datos. Si se desactiva, las opciones de configuración se guardan en el
ESM para su uso en el futuro.
Grupo de Haga clic y seleccione un grupo de almacenamiento si desea que los datos
almacenamiento recibidos se envíen al dispositivo ELM.
Zona Si tiene zonas definidas en el sistema, seleccione la zona a la que desee asignar
este servidor de base de datos. Para agregar una zona al sistema, haga clic en
Zona.
Tipo de base de datos Seleccione el tipo de base de datos. Los campos restantes variarán en función de
lo que se seleccione en este campo.
El DEM implementa un controlador PI JDBC para conectar con el sistema PI. PI

SQL Data Access Server (DAS) actúa como gateway entre el controlador PI JDBC
y PI OLEDB. Proporciona comunicación de red segura (HTTPS) con PI JDBC y
ejecuta consultas como cliente PI OLEDB.

3

Opción Definición
Nombre del servidor de Escriba un nombre para este servidor de base de datos.
base de datos
Si ha seleccionado PIServer en el campo Tipo de base de datos, este campo será
Nombre de origen de datos DAS, que corresponde al nombre del servidor PI al que
accederá el gateway de Data Access Server (DAS). Debe coincidir exactamente
con el especificado en la configuración de DAS. Puede ser el mismo que el
nombre de host de DAS si el servidor DAS está instalado en el mismo host que el
servidor PI.
URL del dispositivo Si está disponible, escriba la dirección URL para ver la información del servidor
de base de datos. Si la dirección URL introducida incluye la dirección de una
aplicación de terceros, puede adjuntar variables a la dirección URL mediante el
icono correspondiente .
Dirección IP Introduzca una única dirección para este servidor de base de datos o DAS en el
campo de dirección IP. Este campo acepta una única dirección IP con formato de
notación de puntos IPv4. No se aceptan las máscaras para estas direcciones IP.
Grupo de prioridad Asigne el servidor de base de datos a un grupo de prioridad. Esto permite
equilibrar la carga de datos procesados por el DEM. Es posible ver una lista de
los servidores de base de datos y los grupos de prioridad a los que pertenecen
en la tabla Servidores de base de datos.
ID de LAN virtual Escriba el ID de LAN virtual, en caso de ser necesario. Si introduce el valor "0",
representa todas las VLAN.
Opción de codificación Seleccione una de las opciones disponibles: Ninguna, UTF8 o BIG5.
Seleccionar opciones Seleccione una de las opciones siguientes (las opciones disponibles dependen del
especiales tipo de base de datos seleccionado):
• Es necesario especificar la Redirección de puerto cuando se supervisa un servidor
Oracle que se ejecuta en una plataforma Windows.
• Se debe seleccionar El servidor usa canalizaciones con nombre si el servidor de base de
datos emplea el protocolo SMB de canalizaciones con nombre. El nombre de
canalización predeterminado para MSSQL es \\.\pipe\sql\query, y el puerto
predeterminado es el 445.
• Se debe seleccionar Puertos dinámicos si el servidor de base de datos tiene
puertos dinámicos TCP activados. Introduzca un número de puerto para el
servidor de base de datos o DAS en el campo Puerto. Este puerto es el puerto
de servicio del servidor de base de datos donde este escucha las conexiones.
Algunos números de puertos predeterminados habituales son: 1433 para
Microsoft SQL Server (MSSQL), 1521 para Oracle, 3306 para MySQL, 5461
para Data Access Server (DAS) y 50000 para DB2/UDB.
Autenticación Kerberos Indique si desea que SQL Server emplee la autenticación Kerberos.
Tipo de cifrado RSA Seleccione Ninguno o RSA.
Nivel de cifrado RSA Seleccione la opción adecuada en función de lo que haya elegido para el cifrado
forzado: Descifrar paquetes de inicio de sesión si el valor de Cifrado forzado es No y Descifrar
todos los paquetes si el valor de Cifrado forzado es Sí.
Clave RSA Haga clic en Examinar y seleccione el archivo de Clave RSA, o bien copie la clave del
archivo y péguela en el campo Clave RSA.
La consola de ESM solo acepta certificados RSA con el formato de archivo .pem y
sin contraseña.

3

Opción Definición
Nombre de usuario Escriba el nombre de usuario para el inicio de sesión de PI DAS. Ya que PI DAS
se instala en Windows, emplea la seguridad integrada de Windows. El nombre de
usuario debe especificarse con el formato dominio\nombre de inicio de sesión.
Contraseña Escriba la contraseña correspondiente al nombre de usuario de DAS.
Recuperar registros de Indique si desea que se sondee la base de datos de archivos del servidor PI en
archivado busca de cambios para todos los puntos.
Puntos que supervisar Introduzca una lista de puntos separados por comas para que se supervisen
solamente esos puntos.
Véase también
Administración de notificaciones de descubrimiento de base de datos

El DEM cuenta con una función de descubrimiento de bases de datos que proporciona una lista de
excepciones de servidores de base de datos que no se supervisan. Esta lista permite a un
administrador de seguridad descubrir los nuevos servidores de base de datos agregados al entorno y
los puertos de escucha no autorizados abiertos para acceder a los datos a través de bases de datos.
Cuando esta función está activada, aparece una notificación de alerta en la vista Análisis de eventos. Es
posible elegir entonces si agregar o no el servidor a los supervisados en el sistema.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de DEM y, después, haga clic en Servidores
de base de datos | Activar.
Se le notificará la activación.
2 Haga clic en Aceptar para cerrar Propiedades de DEM.
3 Para ver las notificaciones, haga clic en el dispositivo DEM en el árbol de navegación del sistema y
seleccione Vistas de evento | Análisis de eventos.
4 Para agregar el servidor al sistema, seleccione la vista Análisis de eventos, haga clic en el icono Menú
y seleccione Agregar servidor.
Véase también
Acerca de los servidores de base de datos en la página 211
Configuración del ESM distribuido (DESM)

El ESM distribuido (DESM) proporciona una arquitectura distribuida que permite a un ESM principal
conectar con un máximo de 100 dispositivos y recopilar datos en ellos. El dispositivo principal extrae
los datos del dispositivo en función de filtros definidos por el usuario. Además, es posible acceder a
información detallada fácilmente sobre los datos que se originan y se conservan en el dispositivo ESM.
El DESM debe aprobar el ESM principal para permitirle extraer eventos. El principal puede establecer
filtros, sincronizar orígenes de datos e insertar sus tipos personalizados. No puede obtener reglas ni
eventos del DESM hasta que está aprobado.

3
Si inicia sesión con privilegios de administrador en el DESM, aparece una notificación que indica "Este
ESM se ha agregado como ESM distribuido en otro servidor. A la espera de aprobación para conectar.".
Cuando se hace clic en Aprobar ESM jerárquicos, se puede seleccionar el tipo de comunicación que el ESM
principal puede tener con el DESM.
El ESM principal no administra los dispositivos que pertenecen al dispositivo ESM. El ESM principal
muestra el Árbol de sistemas del dispositivo ESM al que está directamente conectado. No extrae
eventos ni muestra los dispositivos ESM secundarios de los dispositivos. Las barras de herramientas se
desactivan en todos los dispositivos secundarios del DESM.
El dispositivo principal no administra los datos que residen en el dispositivo ESM. En su lugar, un
subconjunto de los datos del dispositivo ESM se transfiere y almacena en el ESM principal según los
filtros que se hayan definido.
Adición de filtros de DESM

Los datos transferidos desde el dispositivo ESM al DESM principal dependen de los filtros definidos por
el usuario. Cuando se guardan estos filtros, equivale a aplicar el filtro en el dispositivo ESM, de forma
que se puedan generar los hashes o conjuntos de bits apropiados. Ya que la finalidad de la función del
DESM es permitir la recopilación de datos específicos del dispositivo ESM (no TODOS los datos), es
necesario establecer filtros para que se recuperen los datos del ESM.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de DESM y haga clic en Filtros.
2 Introduzca los datos solicitados y, a continuación, haga clic en Aceptar.

Es posible agregar un dispositivo ePolicy Orchestrator al ESM, cuyas aplicaciones aparecerán como
elementos secundarios en el árbol de navegación del sistema. Una vez autenticado, podrá acceder a
algunas funciones del ESM, además de asignar etiquetas de ePolicy Orchestrator a direcciones IP de
origen o destino directamente y a los eventos generados por alarmas.
ePolicy Orchestrator se debe asociar con un receptor, ya que los eventos se extraen del receptor, no de
ePolicy Orchestrator.
Debe contar con privilegios de lectura en la base de datos principal y la base de datos de ePolicy
Orchestrator para poder usar ePolicy Orchestrator.
®
Si el dispositivo McAfee ePO tiene un servidor de McAfee Threat Intelligence Exchange (TIE), se
agrega automáticamente al agregar el dispositivo McAfee ePO al ESM (véase Integración con Threat
Intelligence Exchange).
Ejecución de ePolicy Orchestrator

Si dispone de un dispositivo ePolicy Orchestrator o un origen de datos en el ESM y la dirección IP de
ePolicy Orchestrator se encuentra en la red local, puede ejecutar la interfaz de ePolicy Orchestrator
desde ESM.
Antes de empezar
Agregue un dispositivo ePolicy Orchestrator o un origen de datos al ESM.
Esta función está disponible en ePolicy Orchestrator 4.6 o posterior.

3
Procedimiento
1 En el árbol de navegación del sistema, seleccione una vista.
2 Seleccione un resultado de un componente de tabla, lista o gráfico de barras o circular que

devuelva datos de IP de origen o destino.
3
En el menú del componente , haga clic en Acción | Ejecutar ePO.
• Si solo dispone de un dispositivo ePolicy Orchestrator o un origen de datos en el sistema y ha
seleccionado una IP de origen o de destino en el Paso 1, se ejecutará ePolicy Orchestrator.
• Si dispone de más de un dispositivo ePolicy Orchestrator u origen de datos en el sistema,

seleccione aquel al que desee acceder y se ejecutará ePolicy Orchestrator.
• Si ha seleccionado un evento o un flujo en un componente de tabla en el Paso 1, indique si

desea acceder a la dirección IP de origen o de destino y, después, se ejecutará ePolicy
Orchestrator.
Autenticación de dispositivos McAfee ePO

Se requiere autenticación para poder utilizar las etiquetas o acciones de McAfee ePO o McAfee Real
Time for McAfee ePO.
Hay dos tipos de autenticación:
• Cuenta global única: si pertenece a un grupo que dispone de acceso a un dispositivo McAfee ePO,
puede utilizar estas funciones tras introducir las credenciales globales.
• Cuenta distinta para cada dispositivo por usuario: se necesitan privilegios para ver el dispositivo en
el árbol de dispositivos.
Cuando utilice acciones, etiquetas o McAfee Real Time for McAfee ePO, emplee el método de
autenticación seleccionado. Si las credenciales no se encuentran o no son válidas, se le solicitará que
introduzca credenciales válidas, las cuales deberá guardar para futuras comunicaciones con este
dispositivo.
Al ejecutar informes, enriquecimiento de datos y listas de vigilancia dinámicas en segundo plano

mediante McAfee Real Time for McAfee ePO, se utilizan las credenciales de McAfee ePO suministradas
originalmente.
Configuración de la autenticación mediante cuentas independientes

La configuración predeterminada es la autenticación mediante una cuenta global. Hay dos cosas que
debe hacer para configurar la autenticación mediante cuentas independientes.
1 Cerciórese de que Solicitar autenticación de usuario esté seleccionado al agregar el dispositivo McAfee ePO
al ESM o al establecer su configuración de conexión (véase Adición de dispositivos a la consola de
ESM o Cambio de la conexión con ESM).
2 Introduzca sus credenciales en la página Opciones (véase Adición de credenciales de autenticación

de McAfee ePO).

3
Adición de credenciales de autenticación de McAfee ePO

Antes de utilizar las etiquetas o acciones de McAfee ePO o McAfee Real Time for McAfee ePO, es
necesario agregar las credenciales de autenticación al ESM.
Antes de empezar
Instale un dispositivo McAfee ePO en el ESM (véase Adición de dispositivos a la consola de
ESM).
Si no dispone de nombre de usuario y contraseña para el dispositivo, póngase en contacto

con el administrador del sistema.
Procedimiento
1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones y, después, en
Credenciales de ePO.
2 Haga clic en el dispositivo y, después, en Editar.
3 Proporcione el nombre de usuario y la contraseña; a continuación, haga clic en Probar conexión.
Asignación de etiquetas de ePolicy Orchestrator a las direcciones IP

La ficha Etiquetado de ePO muestra las etiquetas disponibles. Es posible asignar etiquetas a los eventos
generados por una alarma y ver si una alarma dispone de etiquetas de ePolicy Orchestrator. También
se puede seleccionar una o varias etiquetas en esta página y aplicarlas a una dirección IP.
A fin de acceder a la funcionalidad de etiquetado, es necesario disponer de los permisos Aplicar, excluir y
borrar etiquetas y Activar agentes; ver el registro de actividad del agente en ePolicy Orchestrator.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de ePO y haga clic en Etiquetando.
2 Introduzca la información solicitada y, a continuación, haga clic en Asignar.
Las etiquetas seleccionadas se aplicarán a la dirección IP.
Véase también
Página Etiquetando en la página 219

3
Página Etiquetando
Permite asignar etiquetas a las direcciones IP.

Opción Definición
Tabla de etiquetado Contiene las etiquetas disponibles en el dispositivo.
Dirección IP para asignar las Escriba un nombre de host o dirección IP (se puede usar una lista
etiquetas seleccionadas delimitada por comas) y, después, seleccione una o varias etiquetas en la
lista Etiquetas.
Para acceder a la funcionalidad de etiquetado, es necesario disponer de

los permisos Aplicar, excluir y borrar etiquetas y Activar agentes; ver el registro de
actividad del agente.
Activar cliente Permite activar la aplicación para aplicar las etiquetas inmediatamente.
Asignar Permite aplicar las etiquetas seleccionadas a la dirección IP.
Véase también
Asignación de etiquetas de ePolicy Orchestrator a las direcciones IP en la página 218
Adquisición de datos de McAfee Risk Advisor

Es posible especificar varios servidores de ePolicy Orchestrator en los que adquirir los datos de McAfee
Risk Advisor. Los datos se adquieren mediante una consulta de base de datos procedente de la base
de datos de SQL Server de ePolicy Orchestrator.
La consulta de base de datos tiene como resultado una lista de calificaciones de reputación de
direcciones IP, y se proporcionan valores constantes para los valores de reputación baja y reputación
alta. Todas las listas de ePolicy Orchestrator y McAfee Risk Advisor se combinan, de forma que las IP
duplicadas obtienen la calificación más elevada. Esta lista combinada se envía, con los valores bajos y
altos, a todos los dispositivos ACE empleados para calificar los campos IP de origen e IP de destino.
Cuando agregue ePolicy Orchestrator, se le preguntará si desea configurar los datos de McAfee Risk
Advisor. Si hace clic en Sí, se crearán y desplegarán una regla de origen de enriquecimiento de datos y
dos reglas de calificación ACE (si procede). Para verlas, acceda a las páginas Enriquecimiento de datos y
Calificación de correlación de riesgos. Si desea utilizar las reglas de calificación, es necesario crear un
administrador de correlación de riesgos.
Activación de la adquisición de datos de McAfee Risk Advisor

Cuando se activa la adquisición de datos de McAfee Risk Advisor en ePolicy Orchestrator, se genera
una lista de calificaciones que se envía a todos los dispositivos ACE para que la usen en la calificación
de los campos IP de origen e IP de destino.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de ePO | Administración de dispositivos y,

después, haga clic en Activar.
Se le informará cuando la adquisición haya sido activada.
Véase también
Página Administración de ePO en la página 220

3
Página Administración de ePO

Permite administrar el registro de ELM, la asignación de zonas, la actualización de las aplicaciones, la
prioridad y la adquisición de datos de McAfee Risk Advisor.

Opción Definición
Administrar registro de Configurar el grupo de registro predeterminado para el dispositivo seleccionado
ELM (véase Establecimiento del grupo de registro predeterminado). Esta opción solo
está disponible si hay un ELM presente en el ESM.
Zona Asignar McAfee ePO a una zona o cambiar la configuración actual (véase
Administración de zonas).
Actualizar dispositivo Actualizar la lista de aplicaciones desde el dispositivo McAfee ePO y crear un
manualmente origen de datos cliente por cada aplicación.
Hora de última Ver la última vez que se actualizaron las aplicaciones.
actualización
Activar MRA Activar la adquisición de datos de McAfee Risk Advisor (véase Adquisición de
datos de McAfee Risk Advisor).
Prioridad Cabe la posibilidad de que tenga más de un dispositivo McAfee ePO, origen de
activos o dispositivo de evaluación de vulnerabilidades configurado para recibir
los mismos activos o amenazas. En tal caso, seleccione la prioridad que debe
tener la información de este dispositivo McAfee ePO si los dispositivos reciben la
misma información.
Por ejemplo, su equipo está supervisado por ePO-1 y EV-1. ePO-1 recopila
información sobre el software y el hardware de su equipo, mientras que EV-1
recopila el hecho de que su equipo tiene Windows instalado. Establezca ePO-1
para que tenga una prioridad superior a la de EV-1, de manera que la
información que recopile no se pueda sobrescribir con la información recopilada
por EV-1.
Planificar actualización A fin de actualizar automáticamente la lista de aplicaciones del dispositivo ePolicy
de aplicación Orchestrator, seleccione la frecuencia en la lista desplegable.
Véase también
Activación de la adquisición de datos de McAfee Risk Advisor en la página 219
Realización de acciones de McAfee Real Time for McAfee ePO

Es posible ejecutar acciones de McAfee Real Time for McAfee ePO en los resultados de una pregunta
desde el ESM y el componente que muestra una dirección IP en la vista.
Antes de empezar
Diseñe y ejecute una pregunta de McAfee Real Time for McAfee ePO (véase Consulta en
McAfee ePO del panel de McAfee Real Time for McAfee ePO).
Procedimiento
1
En la consola de ESM, haga clic en el icono de menú de un componente de vista que muestre
los resultados de una pregunta de McAfee Real Time for McAfee ePO.
2 Resalte Acciones y, a continuación, haga clic en Acciones de Real Time for ePO.
3 En la ficha Dispositivos, seleccione el dispositivo McAfee ePO para realizar la acción.

3
4 En la ficha Acciones, haga clic en una acción de la lista de acciones disponibles para los dispositivos
seleccionados.
5 En la ficha Filtros, especifique un conjunto de filtros que aplicar a la pregunta y, a continuación,

pulse Finalizar.
Los filtros no están disponibles en el panel o los componentes de McAfee ePO.
Integración con Threat Intelligence Exchange

Threat Intelligence Exchange verifica la reputación de los programas ejecutables en los endpoints
conectados a estos archivos.
Cuando se agrega un dispositivo McAfee ePO al ESM, el sistema detecta de forma automática si hay
un servidor de Threat Intelligence Exchange conectado al dispositivo. De ser así, el ESM empieza a
escuchar los eventos de DXL y de registro.
Cabe la posibilidad de experimentar un retardo cuando el ESM conecta con DXL.
Cuando se detecta el servidor de Threat Intelligence Exchange, las listas de vigilancia, el

enriquecimiento de datos y las reglas de correlación de Threat Intelligence Exchange se agregan
automáticamente y las alarmas de Threat Intelligence Exchange se activan. Recibirá una notificación
visual con un vínculo al resumen de los cambios realizados. También se le notificará si el servidor de
Threat Intelligence Exchange se agrega al servidor de McAfee ePO después de que el dispositivo se
haya agregado al ESM.
Cuando se hayan generado eventos de Threat Intelligence Exchange, podrá ver su historial de
ejecución (véase Visualización del historial de ejecución y configuración de acciones de Threat
Intelligence Exchange) y seleccionar las acciones que desee realizar con los datos maliciosos.
Reglas de correlación
Existen seis reglas de correlación optimizadas para los datos de Threat Intelligence Exchange. Estas
reglas generan eventos que se pueden buscar y ordenar.
• TIE - Reputación de GTI cambiada de limpia a contaminada
• TIE - Archivo malicioso (SHA-1) encontrado en un número creciente de hosts
• TIE - Nombre de archivo malicioso encontrado en un número creciente de hosts
• TIE - Varios archivos maliciosos encontrados en un único host
• TIE - Reputación de TIE cambiada de limpia a contaminada
• TIE - Aumento de archivos maliciosos detectado en todos los hosts
Alarmas
El ESM tiene dos alarmas que se podrían activar al detectar eventos importantes de Threat
Intelligence Exchange.
• Umbral de archivos dañados de TIE superado se activa a partir de la regla de correlación TIE - Archivo malicioso
(SHA-1) encontrado en un número creciente de hosts.
• Archivo desconocido ejecutado de TIE se activa a partir de un evento de TIE específico y agrega
información a la lista de vigilancia IP de orígenes de datos de TIE.
Lista de vigilancia
La lista de vigilancia IP de orígenes de datos de TIE conserva una lista de sistemas que han activado la
alarma Archivo desconocido ejecutado de TIE. Se trata de una lista de vigilancia estática sin caducidad.

3
Historial de ejecución de Threat Intelligence Exchange

Es posible ver el historial de ejecución de cualquier evento de Threat Intelligence Exchange (véase
Visualización del historial de ejecución y configuración de acciones de Threat Intelligence Exchange),
el cual incluye una lista de las direcciones IP que han intentado ejecutar el archivo. En esta página,
puede seleccionar un elemento y realizar cualquiera de estas acciones:
• Crear una lista de vigilancia. • Agregar la información a una lista negra
• Anexar la información a una lista de • Exportar la información a un archivo .csv

vigilancia
• Crear una alarma.
Véase también
Visualización del historial de ejecución y configuración de acciones de Threat Intelligence
Exchange en la página 222
Visualización del historial de ejecución y configuración de acciones de Threat

Intelligence Exchange
La página del historial de ejecución de Threat Intelligence Exchange muestra una lista de los sistemas
que han ejecutado el archivo asociado con el evento seleccionado.
Antes de empezar
Es necesario que exista un dispositivo ePolicy Orchestrator con un servidor de Threat
Intelligence Exchange conectado en el ESM.
Procedimiento
1 En el árbol de navegación del sistema de la consola de ESM, haga clic en el dispositivo ePolicy
Orchestrator.
2 En la lista desplegable de vistas, seleccione Vistas de evento | Análisis de eventos y, después, haga clic en
el evento.
3
Haga clic en el icono de menú y seleccione Acciones | Historial de ejecución de TIE.
4 En la página Historial de ejecución de TIE, vea los sistemas que han ejecutado el archivo de Threat
Intelligence Exchange.
5 Para agregar estos datos a su flujo de trabajo, haga clic en un sistema, haga clic en el menú
desplegable Acciones y seleccione una opción para abrir su página de ESM.
6 Configure la acción seleccionada (véase la Ayuda online para obtener instrucciones).
Véase también
Integración con Threat Intelligence Exchange en la página 221

3
Consultas en dispositivos McAfee ePO sobre informes o vistas

Es posible consultar varios dispositivos McAfee ePO en relación con un informe o vista si están
integrados con McAfee Real Time for McAfee ePO.
Antes de empezar
Compruebe que los dispositivos McAfee ePO consultados estén integrados con McAfee Real
Procedimiento
1 En el árbol de navegación del sistema, haga clic en el sistema en cuestión, haga clic en el icono
Propiedades y, después, en Informes.
2 Haga clic en Agregar, rellene las secciones de la 1 a la 4 y, a continuación, haga clic en Agregar en la
sección 5.
3 En el editor Diseño del informe, arrastre y suelte un componente de Tabla, Gráfico de barras o Gráfico circular.
4 En el Asistente de consultas, seleccione Real Time for McAfee ePO en la lista desplegable y, a continuación,
seleccione el elemento o la pregunta para la consulta.
5 Haga clic en Siguiente, después en Dispositivos y, a continuación, seleccione los dispositivos McAfee
ePO que consultar.
6 (Opcional) Haga clic en Filtros, agregue valores de filtrado para la consulta y, después, haga clic en
Aceptar.
7 Si ha seleccionado Pregunta de ePO personalizada en la lista desplegable, haga clic en Campos, seleccione
los elementos que desee incluir en la pregunta y haga clic en Aceptar.
8 Haga clic en Finalizar para cerrar el Asistente de consultas, defina las propiedades en el panel Propiedades y
guarde el informe.
Consultas en dispositivos McAfee ePO para el enriquecimiento de datos

Es posible ejecutar una consulta en varios dispositivos McAfee ePO para el enriquecimiento de datos si
están integrados con McAfee Real Time for McAfee ePO.
Antes de empezar
Procedimiento
1
En el árbol de navegación del sistema, seleccione el sistema, haga clic en el icono Propiedades y,
después, haga clic en Enriquecimiento de datos.
2 Haga clic en Agregar, escriba un nombre y realice las selecciones en la ficha Principal.

3
3 En la ficha Origen, seleccione McAfee Real Time for McAfee ePO en el campo Tipo y, después,
seleccione los dispositivos en el campo Dispositivo.
4 Establezca el resto de la configuración en las fichas Consulta, Calificación y Destino; a continuación,

haga clic en Finalizar.
Consulta de dispositivos McAfee ePO en el panel de McAfee Real Time for

McAfee ePO
Se puede ejecutar una consulta de varios dispositivos McAfee ePO en la vista del panel de McAfee Real
Antes de empezar
Procedimiento
1 En el árbol de navegación del sistema, haga clic en los dispositivos McAfee ePO que consultar.
2 En la consola de ESM, haga clic en la lista de vistas y seleccione McAfee Real Time for McAfee ePO.
3 Seleccione los filtros en el panel Filtros:

a En la sección Elementos, haga clic en el campo abierto y seleccione los elementos para la
consulta.
b En la sección Filtros, seleccione el tipo de filtro y escriba el filtro en el campo abierto.
c Seleccione la acción de filtrado y escriba el valor.
4
Haga clic en el icono Ejecutar consulta .
Configuración de Nitro Intrusion Prevention System (Nitro IPS)

El dispositivo McAfee Nitro Intrusion Prevention System (Nitro IPS) detecta intentos de intrusión en la
red sofisticados, además de registrar e impedir de forma activa esos intentos. El dispositivo Nitro IPS
incluye un administrador de datos incrustado (empleado para la administración, la adquisición y el
análisis de datos), así como funciones de análisis de intrusión avanzadas, como, por ejemplo, la
detección de anomalías.
El dispositivo deja pasar, suprime y registra los paquetes de forma selectiva a medida que llegan, todo
ello en función de un conjunto de reglas definido por el usuario que se especifica mediante un
lenguaje de reglas estándar del sector. Cada dispositivo Nitro IPS contiene un componente de firewall
completamente funcional controlado por reglas de firewall estándar del sector, el cual proporciona
capacidades de inspección de paquetes de bajo nivel y un registro de sistema estándar.
Asistente de detección de anomalías

Cualquier dispositivo virtual o IPS tiene acceso a la detección de anomalías, pero solo resulta útil si se
han recopilado datos de flujo. El Asistente de detección de anomalías según la tasa muestra una lista y una
descripción de todas las variables disponibles en el dispositivo seleccionado.
Ciertas reglas de firewall se basan en la tasa o velocidad. Una regla basada en la tasa es una regla
que solo activa una alerta si el tráfico de red supera los umbrales definidos por las variables de la
categoría de firewall del Editor de directivas. Los valores predeterminados para estas variables podrían no
tener sentido en el caso del tráfico de su red, así que el Asistente de detección de anomalías según la tasa

3
proporciona la capacidad de analizar los gráficos de los datos de flujo de la red en relación con estos
parámetros. Después, se pueden seleccionar los valores predeterminados, especificar valores propios
o hacer que el ESM analice los datos e intente establecer las mejores opciones para los valores de
acuerdo con el historial de tráfico de la red. Todas las redes son distintas, así que se recomienda
familiarizarse con el historial de tráfico mediante la revisión de estos informes de análisis visual a fin
de elegir los mejores valores en su caso.
El asistente lleva a cabo muchos cálculos complicados a fin de ofrecer los valores sugeridos para los
parámetros de anomalía basada en la tasa, así como para presentar un análisis visual de los patrones
del tráfico de la red. Si Nitro IPS, el dispositivo virtual, Event Receiver y el origen de datos tienen una
gran cantidad de datos de flujo, se recomienda limitar el intervalo de tiempo utilizado en estos
cálculos. Use unos pocos días o una semana de actividad de red normal como referencia para calcular
estos valores. El uso de un periodo de tiempo mayor podría hacer que los cálculos tardaran más de lo
deseado.
A continuación se ofrece una lista de las reglas de firewall de anomalía basada en la tasa y las
variables que afectan a su funcionamiento:
Regla Variables
Large inbound byte rate LARGE_INBOUND_BYTE_RATE_LIMIT,
LARGE_INBOUND_BYTE_RATE_SECONDS
Large inbound bytes LARGE_INBOUND_BYTES_LIMIT
Large inbound network connections rate LARGE_IB_CONN_RATE_BURST,
LARGE_IB_CONN_RATE_LIMIT
Large inbound packet rate LARGE_INBOUND_PACKET_RATE_LIMIT,
LARGE_INBOUND_PACKET_RATE_SECS
Large inbound packet LARGE_INBOUND_PACKETS_LIMIT
Large outbound byte rate LARGE_OUTBOUND_BYTE_RATE_LIMIT,
LARGE_OUTBOUND_BYTE_RATE_SECONDS
Large outbound network connection rate LARGE_OB_CONN_RATE_BURST,
LARGE_OB_CONN_RATE_LIMIT
Large outbound packet rate LARGE_OUTBOUND_PACKET_RATE_LIMIT,
LARGE_OUTBOUND_PACKET_RATE_SECS
Large outbound packets LARGE_OUTBOUND_PACKETS_LIMIT
Long connection duration LONG_DURATION_SECONDS
Véase también
Edición de variables de detección de anomalías en la página 225
Generación de un Informe de análisis en la página 226
Edición de variables de detección de anomalías

El Asistente de detección de anomalías según la tasa enumera las variables de detección de anomalías y
proporciona varias opciones para analizar los datos de detección de anomalías basada en la tasa.

3
Procedimiento
1 En el árbol de navegación del sistema, seleccione un dispositivo virtual o Nitro IPS que recopile
datos de flujo y haga clic en el icono Propiedades .
2 Haga clic en Editar en el campo Asistente de detección de anomalías.
3 Lleve a cabo cualquiera de las funciones disponibles y, después, haga clic en Aceptar.
Véase también
Asistente de detección de anomalías en la página 224
Generación de un Informe de análisis en la página 226
Generación de un Informe de análisis

El Informe de análisis proporciona un análisis visual sobre diversos aspectos del tráfico de la red.
Este informe resulta útil para obtener una idea de los patrones de tráfico de la red a través de una
inspección visual. Los datos recopilados pueden ayudarle a tomar decisiones a fin de elegir los valores
correspondientes a los parámetros de reglas de anomalías según la tasa.
Con el fin de generar un informe, el dispositivo debe tener al menos 10 000 flujos generados.
Procedimiento
1 En el árbol de navegación del sistema, seleccione un dispositivo Nitro IPS que haya recopilado
datos de flujo y haga clic en el icono Propiedades .
2 Haga clic en Editar en el campo Asistente de detección de anomalías.
3 Haga clic en Análisis | Informe de análisis y seleccione el intervalo de tiempo y la variable para el
informe.
Se generará el informe. Es posible acercar o alejar las escalas vertical y horizontal mediante los iconos
circulares situados en los ejes del gráfico, que se pueden arrastrar en caso de estar disponibles.
Véase también
Asistente de detección de anomalías en la página 224
Edición de variables de detección de anomalías en la página 225
Acceso a reglas de firewall y estándar

Las reglas se agregan y administran en el Editor de directivas. No obstante, es posible leer, escribir, ver,
exportar e importar reglas de firewall y estándar de los dispositivos IPS o IPS virtuales.
Las reglas no se deben administrar de forma regular desde esta página. Si cambia las reglas de esta
forma, la configuración de directiva del dispositivo no estará sincronizada con la configuración del Editor
de directivas.

3
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de IPS y haga clic en Reglas de firewall o en
Reglas estándar.
2 Seleccione cualquiera de las opciones y haga clic en Aceptar.
Véase también
Reglas de firewall en la página 227
Páginas Reglas estándar o Reglas de firewall en la página 228
Reglas de firewall
Las reglas de firewall se usan para detectar los eventos de red en función de la información de los
paquetes, como por ejemplo el protocolo, el puerto o la dirección IP de un dispositivo Nitro IPS.
La directiva de firewall analiza los paquetes entrantes y toma decisiones según la información inicial
encontrada antes de que el paquete se pase al motor de inspección profunda de paquetes (DPI). Las
reglas de firewall bloquean elementos tales como las direcciones IP no válidas o falsificadas. También
rastrean la velocidad y el tamaño del tráfico de red.
Estos son los tipos de reglas de firewall:
• Anomaly (Anomalía): detecta anomalías. Muchas reglas basadas en anomalías coinciden unas con
otras y se utilizan con los valores establecidos en la ficha Variables. Por ejemplo, la regla Duración de
conexión prolongada y la variable Segundos de duración prolongada se emplean juntas para determinar el
número de segundos antes de que se active la regla. Para ver detalles más específicos sobre cada
regla, consulte la sección de detalles en la parte inferior de la página.
• Anti-Spoof (Antifalsificación): detecta direcciones IP no válidas. Por ejemplo, si una dirección IP

interna reservada se detecta entrando en la red a través de un dispositivo, se activa la regla
antifalsificación.
• Blacklist (Lista negra): determina la acción que se llevará a cabo con los paquetes que se envían con
origen o destino en una dirección IP o un puerto incluidos en la lista negra.
• DHCP: activa o desactiva la capacidad de permitir el tráfico DHCP a través de un dispositivo.
• IPv6: detecta el tráfico IPv6.
• Port-Block (Bloqueo de puertos): bloquea ciertos puertos.
Detección de anomalías
que solo activa una alerta si el tráfico de la red supera los umbrales definidos por las variables de la
parámetros (véase Asistente de detección de anomalías).
Excepciones de firewall
Las excepciones de firewall son necesarias a veces para que ciertos tipos de tráfico puedan pasar por
el firewall cuando, de lo contrario, quedarían bloqueados. Por ejemplo, si una dirección interna válida
procede de fuera de la red, como una red privada virtual (VPN), activa una alerta de direcciones IP
falsas entrantes. A fin de detener la alerta, es necesario configurar una excepción para la regla de
firewall.

3
También se puede considerar una excepción como una excepción a los patrones definidos en otras
excepciones, creando así una excepción para la lista de excepciones (en otras palabras, incluir una
dirección o un bloque de direcciones). Si es necesario comprobar una dirección con respecto a una
regla de firewall y la dirección IP está en un bloque de direcciones que ya se ha aceptado, se puede
excluir de la lista de excepciones mediante la introducción de la dirección IP (o la máscara) y la
selección de la casilla.
A modo de ejemplo, la lista de excepción ya contiene el bloque de direcciones 10.0.0.0/24. Todas las
direcciones de este intervalo son una excepción a la regla. Si la dirección de origen 10.0.0.1 está
activa para esta regla, seleccione Considerar esto como excepción a los patrones definidos en otras excepciones y
escriba 10.0.0.1 en el campo de origen. La regla de firewall se aplica entonces a 10.0.0.1, pero no al
resto de direcciones del bloque 10.0.0.0/24, ya que 10.0.0.1 es ahora la excepción a la lista de
excepciones.
Véase también
Acceso a reglas de firewall y estándar en la página 226
Adición de una regla de firewall personalizada en la página 516
Adición de excepciones de firewall en la página 518
Páginas Reglas estándar o Reglas de firewall

Las reglas se agregan y administran en el Editor de directivas. No obstante, es posible leer, escribir, ver,
exportar e importar reglas de firewall y estándar del dispositivo IPS.

Opción Definición
Leer Recuperar las reglas del dispositivo. Las reglas se almacenan en un búfer de la base de
datos de ESM.
Escribir Escribir las reglas de la copia de la base de datos de ESM almacenada en el búfer en el
dispositivo.
Ver Ver las reglas almacenadas actualmente en la copia de ESM almacenada en el búfer.
Exportar Exportar las reglas de la copia de ESM almacenada en el búfer a un archivo local.
Importar Importar las reglas del archivo local para sobrescribir la copia de ESM almacenada en el
búfer. Si desea que estas reglas se almacenen en el dispositivo, haga clic en Escribir.
Véase también
Lista negra de dispositivo virtual o IPS

La lista negra bloquea el tráfico a medida que fluye por el dispositivo antes de que el motor de
inspección profunda de paquetes (DPI) lo analice.
Mediante el Editor de la lista negra es posible administrar manualmente los orígenes bloqueados, los
destinos bloqueados y la configuración de exclusión del dispositivo. También se puede indicar si el
dispositivo debe estar sujeto o no a la configuración de la Lista negra global. La casilla de verificación
Incluir lista negra global, situada en la parte superior del editor, debe estar seleccionada si desea que el
dispositivo incluya dicha configuración.
La pantalla Editor de la lista negra incluye tres fichas:

3
• Orígenes bloqueados: realiza una comparación con la dirección IP de origen del tráfico que pasa por el
dispositivo.
• Destinos bloqueados: realiza una comparación con la dirección IP de destino del tráfico que pasa por el
dispositivo.
• Exclusiones: impide la adición automática a cualquiera de las listas negras. Cabe la posibilidad de
agregar a las exclusiones las direcciones IP críticas (por ejemplo, los servidores DNS y de otro tipo
o las estaciones de trabajo de los administradores del sistema) para asegurarse de que nunca se
incluyan automáticamente en las listas negras, independientemente de los eventos que puedan
generar.
Es posible configurar entradas tanto en Orígenes bloqueados como en Destinos bloqueados a fin de limitar el
efecto de la lista negra a un puerto de destino concreto.
Asimismo, es posible agregar o eliminar hosts de la lista negra manualmente. Cuando se selecciona
una de las fichas del Editor de la lista negra, se puede agregar o modificar una entrada. Entre los campos
necesarios para agregar una entrada se incluyen Dirección IP, Puerto (versiones 6.2.x y posteriores) y
Duración (ya sea permanente o temporal). También existe un campo Descripción, que es opcional.
Recuerde lo siguiente cuando agregue entradas:
• Las opciones Agregar y Modificar se activan en función de la información que se modifique. Al cambiar
la dirección IP o el puerto, se activa Agregar. Si cambia la duración o la descripción, se activa
Modificar.
• Las entradas de las listas Orígenes bloqueados y Destinos bloqueados se pueden configurar para que se
incluyan en la lista negra en todos los puertos o en un puerto específico.
• Las entradas que usen un intervalo enmascarado de direcciones IP deben configurarse con el
puerto establecido como cualquiera (0), y la duración debe ser permanente.
• Es posible agregar entradas de forma temporal (se especifica en minutos, horas o días) o
permanente. No obstante, las entradas de Exclusiones deben ser permanentes.
• Aunque estas listas requieren un formato de dirección IP, existe una herramienta que ayuda a
aportar significado a estas direcciones. Tras introducir una dirección IP o nombre de host en el
campo Dirección IP, en el botón situado junto al control se leerá Resolver o Búsqueda en función del
valor introducido. Al seleccionar Resolver se resuelve el nombre de host introducido y se rellena el
campo Dirección IP con esa información, además de moverse el nombre de host al campo Descripción.
Al seleccionar Búsqueda se realiza una búsqueda sobre la dirección IP y se rellena el campo Descripción
con los resultados de la búsqueda. Algunos sitios web tienen más de una dirección IP, o bien tienen
direcciones IP que no siempre coinciden, de forma que no se debe confiar en esta herramienta para
garantizar el bloqueo de ciertos sitios web.
Es posible seleccionar direcciones IP en la lista y ver los eventos que han generado en un informe de
resumen. Esto permite ver los eventos que activaron las infracciones, los eventos agregados a la lista
negra y otros ataques que puedan haber instigado antes de su inclusión en la lista negra.
El Editor de la lista negra también permite aplicar, volver a cargar y eliminar eventos.
Véase también
Administración de la lista negra de IPS en la página 229
Configuración de inclusión automática en la lista negra en la página 231
Administración de la lista negra de IPS

Es posible administrar la lista negra de IPS en el Editor de la lista negra. Cabe la posibilidad de agregar,
modificar o eliminar elemento, escribir los cambios en la lista negra, leer la información nueva y
actualizada del dispositivo, ver eventos generados por las direcciones IP causantes de infracciones o
resolver un nombre de host o dirección IP.

3
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de IPS y, después, haga clic en Lista negra
| Editor.
2 Seleccione las fichas Orígenes bloqueados, Destinos bloqueados o Exclusiones.
3 Lleve a cabo las acciones que desee y, después, haga clic en Cerrar.
Véase también
Lista negra de dispositivo virtual o IPS en la página 228
Página Editor de la lista negra en la página 230
Página Editor de la lista negra

Permite administrar los orígenes bloqueados, los destinos bloqueados y la configuración de la lista
negra de exclusión.

Opción Definición
Incluir lista negra global Seleccione esta opción si desea agregar las entradas de la lista negra global a
esta lista negra.
Ficha Orígenes Permite administrar las direcciones IP de origen que se desea bloquear.
bloqueados
Ficha Destinos Permite administrar las direcciones IP de destino que se desea bloquear.
bloqueados
Ficha Exclusiones Permite administrar la lista de direcciones IP que nunca se deben incluir en la
lista negra de forma automática, como los servidores DNS o de otro tipo, o bien
la estación de trabajo del administrador del sistema.
Dirección IP A la hora de agregar un elemento a una lista, escriba la dirección IP.
Búsqueda Permite buscar la descripción correspondiente a la dirección IP introducida.
Agregar Tras escribir la dirección IP, haga clic aquí para agregarla a la lista.
Puerto Escriba un número de puerto si desea restringir el efecto de la lista negra a un
puerto de destino específico. La configuración predeterminada es cero (0), lo
cual permite cualquier puerto.
Modificar Puede cambiar la descripción de un elemento de lista negra existente y,
después, hacer clic en esta opción.
Descripción (Opcional) Introduzca una descripción para la dirección IP o haga clic en Búsqueda
para localizar una descripción. A fin de cambiar la descripción de una dirección
existente, realice los cambios y haga clic en Modificar.
Duración Seleccione la cantidad de tiempo que debe durar la inclusión en la lista negra.
Icono Escribir Haga clic aquí cuando esté listo para guardar los elementos nuevos en el ESM. Si
sale de la página de lista negra antes de escribir los cambios, no se guardarán.
Icono Leer Haga clic aquí para actualizar los orígenes bloqueados, los destinos bloqueados y
las exclusiones.
Icono Quitar Permite quitar el elemento seleccionado de la lista negra. El campo Estado
cambiará a Eliminar en la siguiente operación de escritura.
Icono Ver eventos Permite generar un informe de eventos procedentes de las direcciones IP que los
provocan. El informe se muestra a modo de vista en la consola.

3
Véase también
Configuración de inclusión automática en la lista negra

La página Configuración de lista negra automática permite administrar las opciones de configuración de
inclusión automática en la lista negra para el dispositivo.
La configuración de inclusión automática en la lista negra se lleva a cabo en cada dispositivo de forma
independiente.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de IPS y, después, haga clic en Lista negra
| Configuración.
2 Defina la configuración según proceda y haga clic en Aceptar.
Véase también
Lista negra de dispositivo virtual o IPS en la página 228
Página Configuración de lista negra automática en la página 231
Página Configuración de lista negra automática

Permite definir las opciones de configuración de lista negra automática para el dispositivo
seleccionado.

Opción Definición
Las alertas de lista negra Emplea el recuento de agregación de eventos para la inclusión en la lista negra
se deben activar cuando después de que una regla se haya activado un número específico de veces. El
el recuento de eventos valor predeterminado es 10. Para que la inclusión en la lista negra se produzca
alcance tras una sola infracción de una regla de inclusión automática en la lista negra,
utilice el valor 1.
Duración de lista negra Define la cantidad de tiempo que una dirección IP infractora debe permanecer
automática en la lista negra antes de que se elimine. El valor se puede especificar en
minutos, horas o días.
Agregar a lista de Agrega el host infractor de un evento a las listas negras de orígenes y destinos
destinos bloqueados si la bloqueados. Esto se debe a que algunos eventos son generados por el emisor
respuesta activa la alerta de una conexión, mientras que otros los genera el host situado en el otro
extremo de la conexión y que responde a la solicitud del emisor.
Una vez agregado un host a la lista negra, los intentos de este host de enviar
datos a través del dispositivo generarán uno de estos cuatro eventos: LISTA
NEGRA Destino entrante (2000050), LISTA NEGRA Origen entrante (2000049),
LISTA NEGRA Destino saliente (2000052) o LISTA NEGRA Origen saliente
(2000051). El uso predeterminado de estos eventos es el bloqueo, lo que
significa que todo el tráfico de los orígenes o destinos incluidos en la lista negra
no pasará por el dispositivo. Sin embargo, la acción realizada para estos cuatro
eventos de lista negra se puede modificar de la misma forma que en caso de
cualquier otra regla. A estas cuatro reglas de lista negra específicas se puede
acceder mediante la opción Firewall del panel Tipos de regla del Editor de directivas.
Véase también

3
Configuración de McAfee Vulnerability Manager

McAfee Vulnerability Manager se puede agregar al ESM a modo de dispositivo, lo cual permite iniciar
un análisis de McAfee Vulnerability Manager desde el ESM. Esto resulta útil si ha adquirido un
dispositivo McAfee Vulnerability Manager y desea ejecutarlo desde el ESM.
McAfee Vulnerability Manager se debe asociar con un receptor, ya que los eventos se extraen del
receptor, no de McAfee Vulnerability Manager.
Véase también
Obtención del certificado y la frase de contraseña de McAfee Vulnerability Manager en la
página 232
Ejecución de análisis de McAfee Vulnerability Manager en la página 232
Configuración de la conexión con McAfee Vulnerability Manager en la página 233
Obtención del certificado y la frase de contraseña de McAfee Vulnerability

Manager
Es necesario obtener el certificado y la frase de contraseña de McAfee Vulnerability Manager antes de
configurar las conexiones de McAfee Vulnerability Manager. Esta tarea no se lleva a cabo en el ESM.
Procedimiento
1 En el servidor donde se ejecute el administrador de certificados de Foundstone, ejecute Foundstone

Certificate Manager.exe.
2 Haga clic en la ficha Create SSL Certificates (Crear certificados SSL).
3 En el campo Host Address (Dirección del host) escriba el nombre de host o la dirección IP del sistema
que alberga la interfaz web de McAfee Vulnerability Manager y, a continuación, haga clic en Resolver.
4 Haga clic en Create Certificate using Common Name (Crear certificado mediante nombre común) para
generar la frase de contraseña y un archivo .zip.
5 Cargue el archivo .zip y copie la frase de contraseña generada.
Véase también
Configuración de McAfee Vulnerability Manager en la página 232
Ejecución de análisis de McAfee Vulnerability Manager

La página Análisis muestra todos los análisis de vulnerabilidades que se están ejecutando o se han
ejecutado desde McAfee Vulnerability Manager, así como su estado. Cuando se abre esta página, una
API comprueba si existen credenciales de inicio de sesión web predeterminadas. De ser así, la lista de
análisis se rellena en función de esas credenciales y se carga cada 60 segundos. También es posible
iniciar un nuevo análisis desde esta página.

3
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de MVM y haga clic en Análisis.
2 Haga clic en Nuevo análisis y rellene la información solicitada.
Una vez terminado el análisis, se agrega a la lista de análisis.
Véase también
página 232
Configuración de la conexión con McAfee Vulnerability Manager

Es necesario configurar las conexiones de McAfee Vulnerability Manager con la base de datos a fin de
extraer los datos de evaluación de vulnerabilidades de McAfee Vulnerability Manager, así como para
que la interfaz de usuario web pueda llevar a cabo análisis en McAfee Vulnerability Manager.
Antes de empezar
Es necesario obtener el certificado y la frase de contraseña correspondientes a McAfee
Vulnerability Manager.
El cambio de esta configuración no afecta al dispositivo en sí. Solamente afecta a la forma en que el
dispositivo se comunica con ESM.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de MVM y haga clic en Conexión.
Véase también
página 232
Configuración de McAfee Network Security Manager

Es posible agregar McAfee Network Security Manager al ESM a modo de dispositivo, lo que permite
acceder a algunas funciones desde el ESM. Esto resulta útil si ha adquirido un dispositivo y desea
acceder a él desde el ESM.
Cuando se agrega un dispositivo McAfee Network Security Manager al ESM, los sensores del
dispositivo aparecen como elementos secundarios debajo del dispositivo en el árbol de navegación del
sistema. El dispositivo se debe asociar con un receptor, ya que los eventos se extraen del receptor, no
de McAfee Network Security Manager.

3
Véase también
Adición de una entrada de lista negra en la página 234
Adición o eliminación de una entrada de lista negra previamente borrada en la página 235
Recopilación de capa 7 en un dispositivo NSM en la página 235
Adición de una entrada de lista negra

McAfee Network Security Manager aplica la inclusión en lista negra a través de los sensores. La página
Lista negra muestra las entradas de lista negra definidas para el sensor seleccionado. Desde esta página,
es posible agregar, editar y eliminar elementos de la lista negra.
Es necesario ser superusuario para utilizar la función de lista negra.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de NSM, haga clic en Lista negra y
seleccione un sensor.
2 Para aplicar las entradas de la lista negra global a este sensor, seleccione Incluir lista negra global.
El elemento de lista negra global se agregará a la lista. Si existen direcciones IP duplicadas, la

dirección de la lista negra global sobrescribirá la dirección de McAfee Network Security Manager.
Una vez que se selecciona esta opción, no se puede deshacer de forma automática. Es necesario
eliminar los elementos manualmente.
La entrada aparecerá en la lista negra hasta que caduque.
Véase también
Configuración de McAfee Network Security Manager en la página 233
Página Agregar entrada de lista negra de NSM en la página 234
Página Agregar entrada de lista negra de NSM

Permite definir la configuración para una entrada de la lista negra.

Opción Definición
Dirección IP Escriba la dirección IP que desee incluir en la lista negra.
Duración Seleccione la cantidad de tiempo que desee que esta dirección permanezca en la lista
negra.
Descripción Escriba una descripción para esta entrada.
Véase también

3
Adición o eliminación de una entrada de lista negra previamente borrada

Cualquier entrada iniciada en el ESM se muestra con un icono indicador y el estado Eliminado si tiene
una duración que no ha caducado pero, sin embargo, no aparece en la lista de entradas de lista negra
cuando se realiza una consulta en McAfee Network Security Manager (Manager).
Esta situación se produce si la entrada ha sido eliminada pero la eliminación no se ha iniciado en el
ESM. Es posible volver a agregar esta entrada o eliminarla de la lista negra.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades de NSM y haga clic en Lista negra.
2 Seleccione la entrada eliminada en la lista de entradas de la lista negra y, después, haga clic en
Agregar o en Eliminar.
Véase también
Recopilación de capa 7 en un dispositivo NSM

Los datos de capa 7 se introducen en la base de datos de NSM una vez escrito el evento de NSM en su
base de datos. No se insertan en el sistema como parte del evento.
Para extraer la información de capa 7 de NSM, es posible retrasar el momento de extracción del
evento a fin de incluir los datos de capa 7. Este retraso se aplica a todos los eventos de NSM, no solo
a los que tienen datos de capa 7 asociados.
Puede configurar este retraso al llevar a cabo tres acciones distintas relacionadas con NSM:
• Adición de un dispositivo McAfee NSM a la consola
• Configuración de un dispositivo NSM
• Adición de un origen de datos NSM
Adición de un dispositivo McAfee NSM

Al agregar el dispositivo NSM al ESM (véase Adición de dispositivos a la consola de ESM), seleccione
Activar recopilación de capa 7 y establezca el retraso en la cuarta página del Asistente de adición de dispositivos.
Configuración de un dispositivo NSM

Tras agregar un dispositivo NSM a la consola de ESM, puede establecer la configuración de conexión
para el dispositivo (véase Cambio de la conexión con ESM). Es posible seleccionar Activar recopilación de capa 7 y
establecer el retraso en la página Conexión.
Adición de un origen de datos NSM

Para agregar un origen de datos NSM a un receptor (véase Adición de un origen de datos), seleccione
McAfee en el campo Proveedor de origen de datos y Network Security Manager - SQL Pull (ASP) en el campo Modelo de
origen de datos. Es posible seleccionar Activar recopilación de capa 7 y establecer el retraso en la página Agregar
origen de datos.

3
Véase también

Entre los servicios auxiliares se cuentan los servidores de Remedy, los servidores del protocolo
Network Time Protocol (NTP) y los servidores DNS. Configure estos servidores para que se
comuniquen con el ESM.
Contenido
Información general del sistema
Opciones de configuración del servidor de Remedy
Detención de la actualización automática del Árbol de sistemas de ESM
Definición de la configuración de los mensajes
Configuración de NTP en un dispositivo
Configuración de las opciones de red
Sincronización de la hora del sistema
Instalación de un nuevo certificado
Configuración de perfiles
Configuración de SNMP
Información general del sistema

En la página Propiedades del sistema | Información del sistema , se puede ver información general sobre el
sistema y el estado de diversas funciones. En la página Registro del sistema, se pueden ver los eventos
que se han producido en el sistema o los dispositivos.
Puede consultar esta información cuando hable con el Soporte de McAfee sobre su sistema, a la hora
de configurar funciones tales como la agregación de eventos o flujos, o bien para comprobar el estado
de una actualización de reglas o de una copia de seguridad del sistema.
• Las opciones Sistema, ID de cliente, Hardware y Número de serie proporcionan información sobre el sistema y
su estado operativo actual.
• La opción Estado de base de datos aparece cuando la base de datos está realizando otras funciones (por
ejemplo, una reconstrucción de la base de datos o en segundo plano) junto con el estado de esas
funciones. El estado OK significa que la base de datos funciona de la forma normal.
• Reloj del sistema muestra la hora y la fecha en que se abrieron o actualizaron por última vez las
Propiedades del sistema.
• Actualización de reglas, Eventos, flujos y registros y Copia de seguridad y restauración muestran la última vez que se
actualizaron las reglas, se recuperaron los eventos, flujos y registros, y se realizó una operación de
copia de seguridad y restauración.
• En el modo FIPS, Prueba automática de FIPS y Estado muestran la última vez que se realizó una prueba
automática de FIPS, así como su estado.
• Ver informes muestra los informes Recuento de tipos de dispositivos y Hora del evento.
Véase también
Página Información del sistema en la página 237

3
Página Información del sistema

Permite ver información general sobre el sistema y el estado de las diversas funciones. Esto puede
resultar útil cuando hable con el Soporte de McAfee sobre su sistema, a la hora de configurar
funciones tales como la agregación de eventos o flujos, o bien para comprobar el estado actual de una
actualización de reglas o de una copia de seguridad del sistema.

Opción Definición
Sistema El tipo de dispositivo, la versión del software y el número de compilación, y el
ID de equipo, que es un número exclusivo asignado a cada dispositivo.
ID de cliente El número que se le asigna cuando configura sus credenciales permanentes en

McAfee.
Hardware Información sobre el hardware y la memoria.
Número de serie El número de serie del fabricante de este dispositivo.
Reloj del sistema (GMT) La fecha y la hora en que se abrió o actualizó por última vez la página
Propiedades del sistema. Si hace clic en el vínculo, podrá realizar cambios en el
reloj del sistema y la configuración de NTP.
Sincronizar relojes de Permite sincronizar la hora del ESM y los servidores NTP con la de los
dispositivos dispositivos.
Actualización de reglas La última vez que se actualizaron las reglas, cómo se actualizaron y, en caso
de no haber configurado las credenciales permanentes, cuándo caduca la
licencia (véase Comprobación de la existencia de actualizaciones de reglas u
Obtención y adición de credenciales de actualización de reglas).
Eventos, flujos y registros La última vez que el sistema comprobó la existencia de eventos, flujos y
registros, así como cuándo volverá a hacerlo. Puede hacer clic en el vínculo
para descargarlos inmediatamente o configurar la comprobación automática
(véase Eventos, flujos y registros).
Copia de seguridad y La última vez que se realizó una copia de seguridad del sistema, y si se hizo
restauración de forma manual o automática. Haga clic en el vínculo para definir la
configuración de copia de seguridad y restauración (véase Copia de seguridad
y restauración de la configuración del sistema).
Estado de base de datos El estado de la base de datos. Si se está realizando alguna función, como por
ejemplo la reconstrucción de la base de datos o una reconstrucción en
segundo plano, muestra el estado de esa función. El estado OK significa que
funciona de la forma normal.
Actualizar información del Actualiza los datos que aparecen en la página.

sistema
Informes de resumen de Muestra los informes Recuento de tipos de dispositivos y Hora del evento. Es posible
dispositivos exportar un archivo .csv con estos datos.
Véase también
Información general del sistema en la página 236
Opciones de configuración del servidor de Remedy

Si utiliza un sistema Remedy, debe configurar las opciones correspondientes para que el ESM se pueda
comunicar con él.
Antes de empezar
Configure el sistema Remedy.

3
Procedimiento
Configuración personalizada | Remedy.
2 En la página Configuración de Remedy, introduzca la información sobre su sistema Remedy y haga clic
en Aceptar.
Al seleccionar Enviar evento a Remedy en la vista Análisis de eventos, el correo electrónico se rellena con la
información introducida en esta página.
Véase también
Página Configuración de Remedy en la página 238
Página Configuración de Remedy

Permite configurar el Servidor de correo electrónico de Remedy para que el ESM se pueda comunicar con el
sistema Remedy.

Opción Definición
Host Escriba el host del sistema Remedy.
Puerto Cambie el número de puerto, si procede.
Usar TLS Seleccione esta opción si desea usar TLS como protocolo de cifrado.
Nombre de usuario Escriba el nombre de usuario del sistema Remedy, en caso de ser necesario.
Contraseña Escriba la contraseña del sistema Remedy, en caso de ser necesaria.
Dirección de origen Escriba la dirección de correo electrónico del remitente del mensaje de Remedy.
Dirección de destino Escriba la dirección de correo electrónico a la que se enviará el mensaje de Remedy.
Véase también
Opciones de configuración del servidor de Remedy en la página 237
Detención de la actualización automática del Árbol de sistemas

de ESM
El Árbol de sistemas de ESM se actualiza automáticamente cada cinco minutos. Puede detener esta
actualización automática si es necesario.
Antes de empezar
Es necesario disponer de derechos de Administración del sistema para cambiar esta
configuración.
Durante la actualización, no es posible seleccionar dispositivos en el árbol. Si tiene muchos

dispositivos en el ESM, esto puede interferir con el acceso a la página Propiedades de los dispositivos.

3
Procedimiento
1
En el Árbol de sistemas, seleccione el ESM y haga clic en el icono Propiedades .
2 Haga clic en Configuración personalizada y anule la selección de Actualización automática del Árbol de sistemas.
Para actualizar manualmente el Árbol de sistemas, haga clic en el icono Actualizar dispositivos , situado
en la barra de herramientas de acciones del Árbol de sistemas.

Cuando se definen las acciones de alarma o se configuran los métodos de entrega informes, se puede
optar por enviar mensajes. Pero, en primer lugar, es necesario conectar el ESM con el servidor de
correo e identificar los destinatarios de los mensajes de correo electrónico, SMS, SNMP o syslog.
ESM envía notificaciones de alarma mediante el protocolo SNMP v1. SNMP emplea UDP como protocolo
de transporte para transmitir datos entre los administradores y los agentes. En una configuración
SNMP los agentes, como el ESM, reenvían eventos a los servidores SNMP (denominados estación de
administración de red o NMS) mediante paquetes de datos conocidos como capturas. Otros agentes de
la red pueden recibir informes de eventos de la misma forma que reciben notificaciones. Debido a las
limitaciones de tamaño de los paquetes de captura SNMP, el ESM envía cada línea de informe en una
captura distinta.
Syslog también puede enviar informes de consulta en CSV generados por el ESM. Syslog envía estos
informes de consulta en CSV con el método de una línea por mensaje de syslog, con los datos de cada
línea de los resultados de la consulta organizados mediante campos separados por comas.
Véase también
Conexión con el servidor de correo en la página 239
Administración de destinatarios en la página 240
Adición de grupos de destinatarios de correo electrónico en la página 241
Creación de plantillas de mensajes de alarma en la página 348
Configuración de alarmas de correlación para la inclusión de eventos de origen en la página
350
Administración de los destinatarios de alarmas en la página 351
Conexión con el servidor de correo

Configure las opciones para conectar con el servidor de correo de manera que pueda enviar mensajes
de alarma e informes.
Antes de empezar
Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso con
privilegios de administración de usuarios.

3
Procedimiento
1 En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el icono
Propiedades .
2 Haga clic en Configuración de correo electrónico e introduzca la información solicitada para conectar con el
servidor de correo.
Host y Puerto Introduzca el host y el puerto del servidor de correo electrónico.
Usar TLS Indique si desea usar el protocolo de cifrado TLS.
Nombre de usuario y Escriba el nombre de usuario y la contraseña para acceder al servidor de
Contraseña correo electrónico.
Título Escriba un título genérico para todos los mensajes de correo electrónico
enviados desde su servidor de correo, por ejemplo, la dirección IP de ESM,
a fin de identificar qué ESM ha generado el mensaje.
De Escriba su nombre.
Configurar destinatarios Permite agregar, editar o eliminar destinatarios (véase Administración de
los destinatarios de alarmas en la página 351).
3 Envíe un mensaje de correo electrónico de prueba para verificar la configuración.
4 Permite agregar, editar o eliminar destinatarios (véase Administración de los destinatarios de

alarmas en la página 351).
5 Haga clic en Aplicar o en Aceptar para guardar la configuración.
Véase también
Definición de la configuración de los mensajes en la página 239
Administración de destinatarios
Es posible enviar mensajes de alarma o informe en diversos formatos, cada uno con una lista de
destinatarios que se puede administrar. Las direcciones de correo electrónico se pueden agrupar, de
forma que es posible enviar un mensaje a varios destinatarios a la vez.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración de
correo electrónico.
2 Haga clic en Configurar destinatarios y seleccione la ficha a la que desee agregarlos.
El destinatario se agregará al ESM y podrá seleccionarlo en cualquier parte donde se empleen

destinatarios dentro del ESM.

3
Véase también
Adición de grupos de destinatarios de correo electrónico

Agrupe los destinatarios de correo electrónico para poder enviar un mensaje a varios destinatarios a la
vez.
Antes de empezar
Los destinatarios y sus direcciones de correo electrónico deben estar presentes en el
sistema (véase Adición de un usuario).
Procedimiento
1 En el árbol de navegación del sistema, haga clic en el sistema y, después, en el icono de Propiedades
2 Haga clic en Configuración de correo electrónico, después en Configurar destinatarios y, después, en Grupos de
correo electrónico | Agregar.
3 Escriba un nombre para el grupo, seleccione los usuarios que formarán parte de él y haga clic en
Aceptar.
El grupo se agregará a la sección Grupos de destinatarios de correo electrónico de la página Grupos de correo
electrónico.
Véase también
Configuración de NTP en un dispositivo

Cabe la posibilidad de sincronizar la hora del dispositivo con el ESM mediante un servidor NTP
(Network Time Protocol).
Procedimiento
2 Haga clic en Configuración | NTP.
Procedimientos
• Visualización del estado de los servidores NTP en la página 242
Es posible ver el estado de todos los servidores NTP del ESM.

3
Véase también
Visualización del estado de los servidores NTP en la página 242
Página Configurar servidores NTP en la página 242
Página Configurar servidores NTP

Permite administrar los servidores NTP para el dispositivo e indicar si se utilizarán servidores NTP para
la sincronización de tiempo.

Opción Definición
Usar servidores NTP para Seleccione esta opción para utilizar los servidores NTP a fin de sincronizar la
sincronización de tiempo hora del dispositivo en lugar de emplear el reloj del sistema.
Tabla Ver los servidores NTP predeterminados y los que se han agregado al
dispositivo.
Columna Servidor NTP Haga clic en esta columna para agregar las direcciones IP de los servidores
NTP que desee agregar al dispositivo. Se pueden agregar hasta diez
servidores.
Las direcciones de servidores NTP en dispositivos de tipo IPS deben ser

direcciones IP.
Columnas Clave de Escriba la clave de autenticación y el ID de clave de cada uno de los

autenticación e ID de clave servidores NTP (póngase en contacto con el administrador de red si no los
conoce).
Estado Haga clic para ver el estado de los servidores NTP de la lista. Si ha realizado
cambios en la lista de servidores, deberá hacer clic en Aceptar para guardar
los cambios y cerrar la página; después, vuelva a abrirla antes de hacer clic
en Estado.
Véase también
Configuración de NTP en un dispositivo en la página 241
Visualización del estado de los servidores NTP

Es posible ver el estado de todos los servidores NTP del ESM.
Antes de empezar
Agregue servidores NTP al ESM o los dispositivos (véase Sincronización de la hora del
sistema o Configuración de NTP en un dispositivo).
Procedimiento
1 En el árbol de navegación del sistema, realice una de las siguientes acciones:

• Seleccione Propiedades del sistema | Información del sistema y haga clic en Reloj del sistema.
• En el árbol de navegación del sistema, seleccione un dispositivo, haga clic en el icono Propiedades
y seleccione Configuración | NTP.
2 Haga clic en Estado, visualice los datos del servidor NTP y haga clic en Cerrar.
Véase también
Configuración de NTP en un dispositivo en la página 241
Página Estado de servidor NTP en la página 243

3
Página Estado de servidor NTP

Permite ver el estado de los servidores NTP. Si ha realizado cambios en la lista de servidores NTP de
las páginas Reloj del sistema o Configurar servidores NTP, puede que los cambios tarden hasta 10 minutos en
aparecer en esta página.

Opción Definición
Columna Servidor Incluye las direcciones IP de los servidores NTP. Estas marcas pueden aparecer
NTP antes de la dirección:
• * – Servidor al que se hace referencia
• + – Seleccionado, incluido en el conjunto final
• # – Seleccionado, la distancia supera el valor máximo
• o – Seleccionado, con el uso de Pulso Por Segundo (PPS)
• x – Marca de falso de origen
• . – Seleccionado al final de la lista de candidatos
• - – Descartado por el algoritmo de clúster
Columna Accesible Sí significa que se puede acceder al servidor, y No que no se puede.

Columna Ninguna significa que no se han proporcionado las credenciales, Incorrecta significa
Autenticación que las credenciales no eran correctas y Sí significa que se han proporcionado las
credenciales.
Columna Condición La condición corresponde a la marca de la columna Servidor NTP. Candidato significa
que es una opción posible, sys.peer significa que es la opción actual y rechazo
significa que no resulta accesible. Si todos los servidores presentan el valor
rechazo, es posible que la configuración de NTP se esté reiniciando.
Véase también
Visualización del estado de los servidores NTP en la página 242
Configuración de las opciones de red

Configure la forma en que ESM conecta con la red mediante la adición del gateway de servidor de ESM
y las direcciones IP de servidor DNS, la definición de la configuración del servidor proxy, la
configuración de SSH y la adición de rutas estáticas.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración de
red.
2 Rellene la información para configurar la conexión con la red.

3
Procedimientos
• Configuración del puerto IPMI en el ESM o los dispositivos en la página 256
Configure la red para el puerto IPMI con el fin de configurar IPMI en el ESM o sus
dispositivos.
• Configuración del control del tráfico de red en el ESM en la página 258
Defina un valor de salida de datos máximo para el ESM.
• Configuración de DHCP en la página 262
El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para
distribuir de forma dinámica los parámetros de configuración de la red, tales como las
direcciones IP de interfaces y servicios.
• Configuración de DHCP en una VLAN en la página 263
El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para
distribuir de forma dinámica los parámetros de configuración de la red, tales como las
direcciones IP de interfaces y servicios.
Página Configuración de red

Permite definir la configuración para la conexión entre el ESM y la red.
Principal Interfaz 1 e Interfaz 2 Seleccione Interfaz 1, Interfaz 2 o ambas opciones y, después, haga clic en
Configuración. Siempre se debe tener activada al menos una interfaz.
Las versiones 4 y 5 de Firefox actualmente no pueden eliminar "[ ]"

de la dirección al verificar el certificado, por lo que no pueden
resolver las direcciones IPv6 mientras intentan obtener los
certificados a través de IPv6. Para solucionar este problema, agregue
un registro para la dirección IPv6 en el archivo /etc/hosts (Linux) o
C:\WINDOWS\system32\drivers\etc\hosts (Windows) y utilice el
nombre de host en lugar de la dirección IPv6 para navegar al ESM.
Activar SSH Seleccione esta opción para permitir las conexiones SSH. Se debe
(no disponible en definir al menos una interfaz para activar SSH.
el modo FIPS)
ESM y los dispositivos emplean una versión de SSH compatible con
FIPS. Los clientes SSH OpenSSH, Putty, dropbear, Cygwin ssh,
WinSCP y TeraTerm han sido sometidos a pruebas y se sabe que
funcionan. Si utiliza Putty, la versión 0.62 es compatible, y puede
descargarla en http://www.chiark.greenend.org.uk/~sgtatham/
putty/download.html.
Puerto SSH Introduzca el puerto concreto mediante el que se permite el acceso.

Administrar claves SSH Haga clic en Claves SSH. Si ha activado las conexiones SSH, los equipos
de la lista se comunicarán. Para detener la comunicación, elimine el
ID de equipo de la lista.
Configuración IPv6 Seleccione Manual o Automático para activar el modo IPv6.
• Si el valor es Desactivado, el modo IPv6 estará desactivado.
• Si selecciona Automático, se desactivan los campos de IPv6 Principal y
Secundario. Cada host determinará su dirección a partir del contenido
de las publicaciones de usuario recibidas. Se emplea el estándar
IEEE EUI-64 para definir la parte del ID de red de la dirección.
• Si selecciona Manual, se activan los campos de IPv6 Principal y
Secundario. Agregue las direcciones IPv6 en estos campos.

3

Avanzada Permite configurar los mensajes del protocolo Internet Control Message Protocol (ICMP) e
Intelligent Platform Management Interface (IPMI) en el ESM o sus dispositivos.
Mensajes de ICMP Seleccione cualquiera de las siguientes opciones para ICMP.
• Redirigir: el ESM ignora los mensajes de redirección.
• Destino inaccesible: el ESM genera un mensaje cuando un paquete no
se puede entregar en su destino por motivos distintos a la
congestión.
• Activar PING: el ESM envía un mensaje Echo Reply en respuesta a un
mensaje Echo Request enviado a una dirección IPv6 de
multidifusión/difusión por proximidad.
Configuración IPMI Si tiene un NIC IPMI conectado a un conmutador y necesita

administrar de forma remota los dispositivos ESM a través de una
tarjeta IPMI, agregue la configuración de IPMI.
• Activar configuración IPMI: permite el acceso a los comandos de IPMI.
• VLAN, Dirección IP, Máscara de red, Gateway: introduzca los valores de
configuración de la red para el puerto IPMI.
Proxy Si la red cuenta con un servidor proxy, deberá configurar la conexión con el ESM.
IPv4 o IPv6 En los dispositivos, si dispone de una interfaz que emplea una
dirección IPv6, puede seleccionar IPv6. De lo contrario, se selecciona
IPv4.
Dirección IP, Puerto, Introduzca la información necesaria para conectar con el servidor
Nombre de usuario, proxy.
Contraseña
Autenticación básica Permite implementar la comprobación de autenticación básica.
Tráfico Defina un valor máximo de salida de datos para una red y una máscara a fin de controlar
la tasa de envío del tráfico saliente.
Tabla Permite ver los controles que se han configurado.
Columna Red Permite ver las direcciones de las redes en las que el sistema controla
el tráfico saliente en función de lo que se ha definido.
Columna Ver el rendimiento máximo definido para cada red.
Rendimiento máximo
Agregar, Editar, Administrar las direcciones de red que se desea controlar.
Eliminar
Rutas Rutas estáticas Permite agregar, editar o eliminar rutas estáticas. Una ruta estática es
estáticas un conjunto especificado de instrucciones sobre cómo llegar a un host
o una red no disponibles a través del gateway predeterminado.
Cuando se agrega una ruta estática, el cambio se inserta en el ESM y
entra en vigor inmediatamente al hacer clic en Aplicar. Tras la
aplicación de los cambios, el ESM se reinicializa y, por tanto, se
pierden todas las sesiones en curso.
Véase también
Configuración del puerto IPMI en el ESM o los dispositivos en la página 256

3
Ficha Proxy
Si la red cuenta con un servidor proxy, deberá configurar la conexión con el ESM.
Opción Definición
IPv4 o IPv6 (no disponible en todas las Si dispone de una interfaz que emplea una dirección IPv6,
fichas Proxy) puede seleccionar IPv6. De lo contrario, se selecciona IPv4.
Dirección IP, Puerto, Nombre de usuario, Introduzca la información necesaria para conectar con el
Contraseña servidor proxy.
Autenticación básica Permite implementar la comprobación de autenticación
básica.
Ficha Red de los dispositivos

Permite definir la configuración de la interfaz de red de cada dispositivo. Los campos de esta página
dependen del dispositivo.
Tabla 3-128 Definiciones de opciones de la ficha Red

Opción Definición
Configuración de Establezca el NIC de omisión de forma que el dispositivo deje pasar todo el tráfico,
NIC de omisión incluido el malicioso (véase Configuración de NIC de omisión). Los dispositivos en el
modo IDS no tienen capacidad de omisión, de forma que su estado será
Funcionamiento normal.
Recopilar flujos (Opcional) Seleccione esta opción a fin de recopilar flujos para el tráfico con origen
y destino en el dispositivo.
ELM EDS SFTP Si dispone de privilegios de usuario de tipo Acceso a ELM mediante SFTP, podrá ver y
descargar los archivos de registro de ELM almacenados para los dispositivos. Si
dispone de privilegios de tipo Administración de dispositivo, podrá cambiar el puerto para
acceder a estos archivos en el campo ELM EDS SFTP. No utilice los puertos siguientes:
1, 22, 111, 161, 695, 1333, 1334, 10617 y 13666.
Se recomienda usar esta función con uno de los siguientes clientes FTP: WinSCP
5.11, FileZilla, CoreFTP LE o FireFTP.
HOME_NET Escriba las direcciones IP pertenecientes a la organización que determinen la

dirección del tráfico de flujo que recopila el dispositivo.
Interfaces Seleccione las interfaces que se utilizarán y proporcione las direcciones IP de tipo
IPv4 o IPv6. Si introduce una dirección IPv4, agregue la dirección de máscara de
red también. Si introduce una dirección IPv6, incluya la máscara de red en la
dirección o, de lo contrario, recibirá un mensaje de error.
A fin de permitir que el dispositivo se utilice desde varias redes (limitado solamente
a Admin. 1 <interfaz principal> y Admin. 2 <primera interfaz de lista
desplegable>), agregue más interfaces.
Para activar el enlace de NIC, seleccione Administración en el primer campo y,
después, escriba la dirección IP y la máscara de red correspondientes al NIC
principal (primera línea del cuadro de diálogo).

3
Tabla 3-128 Definiciones de opciones de la ficha Red (continuación)

Opción Definición
Modo IPv6 Seleccione si se debe activar o no el modo IPv6.
• Desactivado: el modo IPv6 no está activado. Los campos correspondientes a IPv6
estarán desactivados.
• Automático: el modo IPv6 está activado. Cada host determinará su dirección a
partir del contenido de las publicaciones de usuario recibidas. Se emplea el
estándar IEEE EUI-64 para definir la parte del ID de red de la dirección. Los
campos correspondientes a IPv6 estarán desactivados.
• Manual: el modo IPv6 está activado. Los campos correspondientes a IPv6 estarán
activados.
Modo (Opcional) Permite cambiar el modo a IDS. Esta opción solo se puede cambiar en el
dispositivo Nitro IPS.
Puerto SSH Seleccione el puerto a través del cual se permite el acceso entre ESM y el
dispositivo.
Rutas de tráfico Permite establecer el número de rutas de tráfico de red que pasan por el
dispositivo. Este valor solo se puede cambiar en Nitro IPS, que debe encontrarse en
el modo IPS. Por cada ruta deben existir dos interfaces que no se utilicen como
interfaces de administración.
Véase también
Configuración de interfaces de red en la página 250
Página Propiedades de interfaz

Permite establecer la configuración de Interfaz 1 o Interfaz 2.
Opción Definición
DHCP Si no trabaja en el entorno de nube, active los servicios DHCP. DHCP resulta útil si
es necesario restablecer las direcciones IP de la red.
Si emplea un ESM o ELM redundantes, la redundancia dejará de funcionar si se

cambia la dirección IP del dispositivo redundante.
IPv4, Máscara de Escriba las direcciones IP y una máscara de red para IPv4.
red, IPv6
Las versiones 4 y 5 de Firefox actualmente no pueden eliminar "[ ]" de la dirección
al verificar el certificado, por lo que no pueden resolver las direcciones IPv6 mientras
intentan obtener los certificados a través de IPv6. Para solucionar este problema,
agregue un registro para la dirección IPv6 en el archivo /etc/hosts (Linux) o C:
\WINDOWS\system32\drivers\etc\hosts (Windows) y utilice el nombre de host en
lugar de la dirección IPv6 para navegar al ESM.
Gateway Introduzca el gateway que funciona con la configuración de red. Debe tratarse de
una dirección IPv4.

3
Tabla 3-129 Definiciones de las opciones (continuación)

Opción Definición
Servidor DNS 1 y 2 Especifique al menos un servidor DNS. Sin un servidor DNS, el ESM no puede
comprobar la existencia de actualizaciones de firmas y software en los servidores
de McAfee. Las funciones tales como el correo electrónico y WHOIS también dejan
de estar disponibles sin un servidor DNS válido. Se trata de campos Y/O para las
direcciones IPv4 e IPv6. Es necesario tener una dirección IPv6 definida en Interfaz
1 o 2 a fin de usarla como dirección del servidor DNS.
Configurar las VLAN Haga clic en Avanzada.
y los alias
• Si utiliza una VLAN, agréguela al ESM.
• En caso de disponer de más de una dirección IP para un dispositivo de red,
agregue un alias.
Ficha Comunicación
Permite definir la configuración de comunicación para la interfaz entre el dispositivo y el ESM. Los
campos de esta página dependen del dispositivo.
Tabla 3-130 Definiciones de opciones para la ficha Comunicación en el dispositivo receptor

Opción Definición
Puerto SNMP, Seleccione el puerto en el que se abre el firewall del receptor para poder escuchar la
Puerto de syslog, información del protocolo de entrada del origen de datos. El puerto 0 significa que
Puerto de sFlow la recopilación está desactivada.
El receptor lleva a cabo la recopilación de syslog mediante UDP y TCP.
Puerto TLS de Seleccione el puerto en el que se abre el firewall del receptor para poder escuchar la
syslog información del protocolo TLS de entrada del origen de datos. El puerto
predeterminado es 10514. El puerto 0 significa que la recopilación de syslog
mediante TLS está desactivada. Cuando se agrega un origen de datos, se puede
especificar que solo se acepte syslog mediante TLS de los datos para los que el
puerto está activado. TLS solo admite certificados autofirmados.
Puerto de MEF Seleccione el puerto en el que se abre el firewall del receptor para poder escuchar la
información de MEF de entrada del origen de datos. El puerto predeterminado es
8081. El puerto 0 significa que la recopilación de MEF está desactivada.
Todos los orígenes de datos MEF con la misma dirección IP deben marcarse como
cifrados o sin cifrar.
Puerto IPFIX Seleccione el puerto en el que se abre el firewall del receptor para poder escuchar la
información del protocolo IPFIX de entrada del origen de datos. El puerto
predeterminado es 4739. El puerto 0, que es el predeterminado, indica que la
recopilación de IPFIX está desactivada.
Puertos de NetFlow Seleccione el puerto en el que se abre el firewall del receptor para poder escuchar la
información del protocolo NetFlow de entrada del origen de datos. Esta lista puede
contener varios puertos separados por comas. Un valor en blanco en este campo
significa que la recopilación de NetFlow está desactivada.
Dirección DHCP Un intervalo de direcciones IP DHCP que permite la recopilación de registros
enviados a Event Receiver desde orígenes de datos DHCP contenidos en el intervalo.
Un origen de datos DHCP puede presentar cualquier tipo de datos admitido y
enviado al receptor a través del Recopilador de eventos de Windows de McAfee
Labs.

3
Administración de interfaces de red

La comunicación con un dispositivo puede producirse mediante las interfaces pública y privada de las
rutas de tráfico. Esto significa que el dispositivo es invisible en la red porque no requiere una dirección
IP.
Interfaz de administración
Si lo prefieren, los administradores de red pueden configurar una interfaz de administración con una
dirección IP para la comunicación entre el ESM y el dispositivo. Estas funciones de un dispositivo
requieren el uso de una interfaz de administración:
• Control completo de las tarjetas de red de omisión
• Uso de la sincronización de hora NTP
• Syslog generado por dispositivo
• Notificaciones SNMP
Los dispositivos están equipados al menos con una interfaz de administración, la cual aporta una
dirección IP. Con una dirección IP, el ESM puede acceder directamente al dispositivo sin dirigir la
comunicación hacia otra dirección IP o nombre de host de destino.
No conecte la interfaz de red de administración a una red pública, ya que sería visible en la red pública
y su seguridad podría ponerse en peligro.
En el caso de un dispositivo que se ejecuta en el modo Nitro IPS, deben existir dos interfaces por cada
ruta de tráfico de red. En el modo IDS, deben existir un mínimo de dos interfaces de red en el
dispositivo. Es posible configurar más de una interfaz de red de administración en el dispositivo.
NIC de omisión
Un dispositivo en modo de omisión permite que pase todo el tráfico, incluido el malicioso. En
circunstancias normales, se puede producir una pérdida de conexión de entre uno y tres segundos
cuando el dispositivo pasa al modo de omisión, así como una pérdida de 18 segundos cuando sale de
él. La conexión con ciertos conmutadores, como algunos modelos de Cisco Catalyst, puede alterar
estas cifras. En tal caso, se producirá una pérdida de conexión de 33 segundos cuando el dispositivo
pasa al modo de omisión y cuando sale de él.
Si en su caso se tardan 33 segundos en restablecer la comunicación, puede activar la función Portfast

en el puerto del conmutador y establecer manualmente la velocidad y el dúplex para recuperar los
tiempos normales. Asegúrese de establecer los cuatro puertos (conmutador, tanto en Nitro IPS como
en el otro dispositivo) con la misma configuración o podría producirse un problema de negociación en
el modo de omisión (véase Configuración de NIC de omisión).
Las opciones de omisión disponibles dependen del tipo de NIC de omisión del dispositivo (Tipo 2 o Tipo
3).
Enlace de interfaz de ESM

El ESM intenta activar automáticamente el modo de enlace de NIC cuando detecta dos interfaces de
administración que utilizan la misma dirección IP. Cuando está activado el modo de enlace, se asignan
las mismas direcciones IP y MAC a ambas interfaces. El modo de enlace utilizado es el modo 1
(activo-copia de seguridad).
Para desactivar el enlace de NIC, cambie la dirección IP de una de las interfaces de forma que deje de
coincidir con la otra. Entonces, el sistema desactiva automáticamente el modo de enlace de NIC.

3
Véase también
Adición de VLAN y alias en la página 252
Adición de rutas estáticas en la página 254
NIC de omisión en la página 255
Configuración de NIC de omisión en la página 255
Configuración de interfaces de red

La configuración de interfaz determina cómo conecta ESM con el dispositivo. Es necesario definir estas
opciones para cada dispositivo.
Procedimiento
2 Haga clic en la opción Configuración del dispositivo y, después, en Interfaces.
3 Introduzca los datos solicitados y, a continuación, haga clic en Aplicar.
Todos los cambios se insertarán en el dispositivo y entrarán en vigor de inmediato. Tras la aplicación
de los cambios, el dispositivo se reinicializa y, por tanto, se pierden todas las sesiones en curso.
Véase también
Administración de interfaces de red en la página 249
Ficha Red de los dispositivos en la página 246
Ficha Avanzada de los dispositivos en la página 252
Página Interfaces avanzadas en la página 252
Ficha Red de los dispositivos

Permite definir la configuración de la interfaz de red de cada dispositivo. Los campos de esta página
dependen del dispositivo.
Tabla 3-131 Definiciones de opciones de la ficha Red
Opción Definición
Configuración de Establezca el NIC de omisión de forma que el dispositivo deje pasar todo el tráfico,
NIC de omisión incluido el malicioso (véase Configuración de NIC de omisión). Los dispositivos en el
modo IDS no tienen capacidad de omisión, de forma que su estado será
Funcionamiento normal.
Recopilar flujos (Opcional) Seleccione esta opción a fin de recopilar flujos para el tráfico con origen
y destino en el dispositivo.
ELM EDS SFTP Si dispone de privilegios de usuario de tipo Acceso a ELM mediante SFTP, podrá ver y
descargar los archivos de registro de ELM almacenados para los dispositivos. Si
dispone de privilegios de tipo Administración de dispositivo, podrá cambiar el puerto para
acceder a estos archivos en el campo ELM EDS SFTP. No utilice los puertos siguientes:
1, 22, 111, 161, 695, 1333, 1334, 10617 y 13666.
Se recomienda usar esta función con uno de los siguientes clientes FTP: WinSCP
5.11, FileZilla, CoreFTP LE o FireFTP.

3
Tabla 3-131 Definiciones de opciones de la ficha Red (continuación)

Opción Definición
HOME_NET Escriba las direcciones IP pertenecientes a la organización que determinen la
dirección del tráfico de flujo que recopila el dispositivo.
Interfaces Seleccione las interfaces que se utilizarán y proporcione las direcciones IP de tipo
IPv4 o IPv6. Si introduce una dirección IPv4, agregue la dirección de máscara de
red también. Si introduce una dirección IPv6, incluya la máscara de red en la
dirección o, de lo contrario, recibirá un mensaje de error.
A fin de permitir que el dispositivo se utilice desde varias redes (limitado solamente
a Admin. 1 <interfaz principal> y Admin. 2 <primera interfaz de lista
desplegable>), agregue más interfaces.
Para activar el enlace de NIC, seleccione Administración en el primer campo y,
después, escriba la dirección IP y la máscara de red correspondientes al NIC
principal (primera línea del cuadro de diálogo).
Modo IPv6 Seleccione si se debe activar o no el modo IPv6.

• Desactivado: el modo IPv6 no está activado. Los campos correspondientes a IPv6
estarán desactivados.
• Automático: el modo IPv6 está activado. Cada host determinará su dirección a
partir del contenido de las publicaciones de usuario recibidas. Se emplea el
estándar IEEE EUI-64 para definir la parte del ID de red de la dirección. Los
campos correspondientes a IPv6 estarán desactivados.
• Manual: el modo IPv6 está activado. Los campos correspondientes a IPv6 estarán
activados.
Modo (Opcional) Permite cambiar el modo a IDS. Esta opción solo se puede cambiar en el
Puerto SSH Seleccione el puerto a través del cual se permite el acceso entre ESM y el
dispositivo.
Rutas de tráfico Permite establecer el número de rutas de tráfico de red que pasan por el
dispositivo. Este valor solo se puede cambiar en Nitro IPS, que debe encontrarse en
el modo IPS. Por cada ruta deben existir dos interfaces que no se utilicen como
interfaces de administración.
Véase también

3
Ficha Avanzada de los dispositivos

Permite definir la configuración de red avanzada para el dispositivo seleccionado. Los campos de esta
página varían en función del dispositivo con el que se trabaja.
Opción Definición
Redirigir: si se selecciona esta opción, el ESM ignora los mensajes de redirección.
Destino inaccesible: si se selecciona, el ESM genera un mensaje cuando un paquete no
se puede entregar en su destino por motivos distintos a la congestión.
Activar ping: si se selecciona esta opción, el ESM envía un mensaje Echo Reply en
respuesta a un mensaje Echo Request enviado a una dirección IPv6 de multidifusión/
difusión por proximidad.
Configuración IPMI Para administrar de forma remota los dispositivos ESM a través de una tarjeta IPMI
cuando hay un NIC IPMI conectado a un conmutador, agregue la configuración de
IPMI.
• VLAN, Dirección IP, Máscara de red, Gateway: introduzca los valores de configuración de la
red para el puerto IPMI.
Véase también
Página Interfaces avanzadas

Permite agregar VLAN y alias a la interfaz.

Opción Definición
Agregar alias Resalte la VLAN a la que desee agregar el alias y haga clic en esta opción. Esta opción
no está disponible cuando se selecciona DHCP.
Agregar VLAN Haga clic aquí para agregar una VLAN a la interfaz.
Editar Resalte un alias o una VLAN en la tabla y haga clic aquí para cambiar la configuración.
Eliminar Resalte un alias o una VLAN en la tabla y haga clic aquí para eliminarlos.
Véase también
Adición de VLAN y alias

Es posible agregar redes de área local virtuales (VLAN) y alias a una interfaz de ACE o ELM. Los alias
son pares de dirección IP y máscara de red asignados que se agregan en caso de disponer de un
dispositivo de red con más de una dirección IP.
Procedimiento
1 En el árbol de navegación del sistema, seleccione un dispositivo, haga clic en el icono Propiedades
y, después, en la opción Configuración correspondiente al dispositivo.
2 En la sección Interfaces de la ficha Red, haga clic en Configuración y, después, en Avanzada.

3
3 Haga clic en Agregar VLAN, rellene la información solicitada y haga clic en Aceptar.
4 Seleccione la VLAN a la que desee agregar el alias y haga clic en Agregar alias.
Véase también
Página Agregar alias en la página 253
Página Agregar VLAN en la página 253
Página Agregar alias

Permite agregar un alias, que es un par de dirección IP y máscara de red, en caso de disponer de un
dispositivo con más de una dirección IP.

Opción Definición
VLAN Ver la VLAN a la que pertenece este alias. Este campo se rellena previamente con el
número de la VLAN a la que se va a agregar este alias. Si se trata de la VLAN Sin
etiquetar, el número es el 0.
Versión de IP Seleccione si la dirección IP tiene el formato IPv4 o IPv6.
Dirección IP Escriba la dirección IP del alias.
Máscara de red Si la dirección está en formato IPv4, escriba la máscara de red.
Véase también
Página Agregar VLAN

Permite agregar una VLAN a la interfaz.
Opción Definición
VLAN Introduzca un número para la VLAN.
DHCP Si no trabaja en el entorno de nube, active los servicios DHCP. DHCP resulta útil si es
necesario restablecer las direcciones IP de la red.
Si emplea un ESM o ELM redundantes, la redundancia dejará de funcionar si se cambia la

dirección IP del dispositivo redundante.
IPv4 o IPv6 Seleccione la versión de IP. La opción predeterminada es IPv4. Si tiene IPv6 configurado
con el valor Manual o Automático en la página Configuración de red, el botón de opción IPv6
estará activado. Seleccione esta opción si la dirección IP está en formato IPv6. Al
seleccionarla, se desactiva el campo Máscara de red.
Dirección IP Escriba la dirección IP de la VLAN.
Máscara de red Si la dirección IP está en formato IPv4, agregue la máscara de red.
Véase también

3
Adición de rutas estáticas

Una ruta estática es un conjunto de instrucciones sobre cómo llegar a un host o una red no
disponibles a través del gateway predeterminado.
Procedimiento
2 Haga clic en Configuración | Interfaces.
3 Junto a la tabla Rutas estáticas, haga clic en Agregar.
4 Introduzca la información y, a continuación, haga clic en Aceptar.
Véase también
Página Rutas estáticas en la página 254
Página Agregar ruta estática en la página 254
Página Rutas estáticas

Una ruta estática es un conjunto especificado de instrucciones sobre cómo llegar a un host o una red
no disponibles a través del gateway predeterminado. Si el ESM o los dispositivos necesitan rutas
estáticas para comunicarse con la red, puede administrarlas en esta página.

Opción Definición
Tabla Rutas estáticas Permite ver las rutas estáticas del sistema.
Agregar Agregar la información de una ruta estática.
Editar Realizar cambios en la configuración de la ruta estática seleccionada.
Quitar Eliminar la ruta estática seleccionada.
Véase también
Página Agregar ruta estática

Permite agregar una ruta estática a fin de proporcionar instrucciones sobre cómo llegar a un host o
una red que no están disponibles a través del gateway predeterminado.

Opción Definición
IPv4 o IPv6 Indique si esta ruta estática corresponde al tráfico IPv4 o IPv6.
Red y Gateway Escriba la dirección IP de red y gateway para la ruta.
Máscara Seleccione la máscara.
Véase también

3
NIC de omisión
Un dispositivo en modo de omisión permite que pase todo el tráfico, incluido el malicioso.
En circunstancias normales, se puede producir una pérdida de conexión de entre uno y tres segundos
cuando el dispositivo pasa al modo de omisión, así como una pérdida de 18 segundos cuando sale de
él. La conexión con ciertos conmutadores, como algunos modelos de Cisco Catalyst, puede alterar
estas cifras. En tal caso, se producirá una pérdida de conexión de 33 segundos cuando el dispositivo
pasa al modo de omisión y cuando sale de él.
Si en su caso se tardan 33 segundos en restablecer la comunicación, puede activar la función Portfast

en el puerto del conmutador y establecer manualmente la velocidad y el dúplex para recuperar los
tiempos normales. Asegúrese de establecer los cuatro puertos (conmutador, tanto en Nitro IPS como
en el otro dispositivo) con la misma configuración o podría producirse un problema de negociación en
el modo de omisión.
Las opciones de omisión disponibles dependen del tipo de NIC de omisión del dispositivo (Tipo 2 o Tipo
3).
Enlace de interfaz de ESM

El ESM intenta activar automáticamente el modo de enlace de NIC cuando detecta dos interfaces de
administración que utilizan la misma dirección IP. Cuando está activado el modo de enlace, se asignan
las mismas direcciones IP y MAC a ambas interfaces. El modo de enlace utilizado es el modo 1
(activo-copia de seguridad).
Para desactivar el enlace de NIC, cambie la dirección IP de una de las interfaces de forma que deje de
coincidir con la otra. Entonces, el sistema desactiva automáticamente el modo de enlace de NIC.
Véase también
Configuración de NIC de omisión

En los dispositivos IPS, es posible definir la configuración de omisión de NIC para permitir que pase
todo el tráfico.
Los dispositivos ADM y DEM siempre están en el modo IDS. Puede ver el tipo y el estado del NIC de
omisión, pero no cambiar la configuración.
Procedimiento
2 Haga clic en Configuración | Interfaces.
3 En la página Configuración de la interfaz de red, diríjase a la sección Configuración de NIC de omisión en la parte
inferior.
4 Consulte el tipo y el estado o, en el caso de un IPS, cambie la configuración.

3
Véase también
Configuración del puerto IPMI en el ESM o los dispositivos

Es posible configurar el puerto IPMI en el ESM o cualquiera de sus dispositivos.
Esto permite realizar varias acciones:
• Conectar el controlador de interfaz de red (NIC) de IPMI a un conmutador y tenerlo disponible para
el software IPMI.
• Acceder a una máquina virtual basada en el kernel (KVM) de IPMI.
• Establecer la contraseña de IPMI para el usuario predeterminado tras la ampliación a ESM 9.4.0.
• Acceder a comandos IPMI, como, por ejemplo, en el caso del encendido y el estado de
alimentación.
• Restablecer la tarjeta IPMI.
• Llevar a cabo un restablecimiento en caliente o en frío.
Configuración del puerto IPMI en el ESM o los dispositivos

Configure la red para el puerto IPMI con el fin de configurar IPMI en el ESM o sus dispositivos.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el sistema o cualquiera de los dispositivos y haga
clic en el icono Propiedades .
2 Acceda a la ficha Configuración de red Avanzada.

• En el ESM, haga clic en Configuración de red | Avanzada.
• En un dispositivo, haga clic en la opción Configuración correspondiente y, después, en Interfaces |

Opciones avanzadas
3 Seleccione Activar configuración IPMI e indique la VLAN, la dirección IP, la máscara de red y el gateway
de IPMI.
Si la opción Activar configuración IPMI no está disponible en la BIOS del dispositivo, es necesario
actualizar la BIOS en el dispositivo. Acceda al dispositivo mediante SSH y abra el archivo /etc/
areca/system_bios_update/Contents‑README.txt.
Si está ampliando el dispositivo, puede que reciba un mensaje que solicita el cambio de contraseña
o la aplicación de la clave de nuevo al dispositivo. Si recibe este mensaje, cambie la contraseña del
sistema o vuelva a aplicar la clave al dispositivo para establecer una nueva contraseña a fin de
configurar el IPMI.
Véase también
Página Configuración de red en la página 244

3
Página Configuración de red

Permite definir la configuración para la conexión entre el ESM y la red.
Principal Interfaz 1 e Interfaz 2 Seleccione Interfaz 1, Interfaz 2 o ambas opciones y, después, haga clic en
Configuración. Siempre se debe tener activada al menos una interfaz.
Las versiones 4 y 5 de Firefox actualmente no pueden eliminar "[ ]"

de la dirección al verificar el certificado, por lo que no pueden
resolver las direcciones IPv6 mientras intentan obtener los
certificados a través de IPv6. Para solucionar este problema, agregue
un registro para la dirección IPv6 en el archivo /etc/hosts (Linux) o
C:\WINDOWS\system32\drivers\etc\hosts (Windows) y utilice el
nombre de host en lugar de la dirección IPv6 para navegar al ESM.
Activar SSH Seleccione esta opción para permitir las conexiones SSH. Se debe
(no disponible en definir al menos una interfaz para activar SSH.
el modo FIPS)
ESM y los dispositivos emplean una versión de SSH compatible con
FIPS. Los clientes SSH OpenSSH, Putty, dropbear, Cygwin ssh,
WinSCP y TeraTerm han sido sometidos a pruebas y se sabe que
funcionan. Si utiliza Putty, la versión 0.62 es compatible, y puede
descargarla en http://www.chiark.greenend.org.uk/~sgtatham/
putty/download.html.
Puerto SSH Introduzca el puerto concreto mediante el que se permite el acceso.

Administrar claves SSH Haga clic en Claves SSH. Si ha activado las conexiones SSH, los equipos
de la lista se comunicarán. Para detener la comunicación, elimine el
ID de equipo de la lista.
Configuración IPv6 Seleccione Manual o Automático para activar el modo IPv6.
• Si el valor es Desactivado, el modo IPv6 estará desactivado.
• Si selecciona Automático, se desactivan los campos de IPv6 Principal y
Secundario. Cada host determinará su dirección a partir del contenido
de las publicaciones de usuario recibidas. Se emplea el estándar
IEEE EUI-64 para definir la parte del ID de red de la dirección.
• Si selecciona Manual, se activan los campos de IPv6 Principal y
Secundario. Agregue las direcciones IPv6 en estos campos.
Avanzada Permite configurar los mensajes del protocolo Internet Control Message Protocol (ICMP) e
Intelligent Platform Management Interface (IPMI) en el ESM o sus dispositivos.
• Redirigir: el ESM ignora los mensajes de redirección.
• Destino inaccesible: el ESM genera un mensaje cuando un paquete no
se puede entregar en su destino por motivos distintos a la
congestión.
• Activar PING: el ESM envía un mensaje Echo Reply en respuesta a un
mensaje Echo Request enviado a una dirección IPv6 de
multidifusión/difusión por proximidad.

3

Configuración IPMI Si tiene un NIC IPMI conectado a un conmutador y necesita
administrar de forma remota los dispositivos ESM a través de una
tarjeta IPMI, agregue la configuración de IPMI.
• VLAN, Dirección IP, Máscara de red, Gateway: introduzca los valores de
configuración de la red para el puerto IPMI.
Proxy Si la red cuenta con un servidor proxy, deberá configurar la conexión con el ESM.
IPv4 o IPv6 En los dispositivos, si dispone de una interfaz que emplea una
dirección IPv6, puede seleccionar IPv6. De lo contrario, se selecciona
IPv4.
Dirección IP, Puerto, Introduzca la información necesaria para conectar con el servidor
Nombre de usuario, proxy.
Contraseña
Autenticación básica Permite implementar la comprobación de autenticación básica.
Tráfico Defina un valor máximo de salida de datos para una red y una máscara a fin de controlar
la tasa de envío del tráfico saliente.
Tabla Permite ver los controles que se han configurado.
Columna Red Permite ver las direcciones de las redes en las que el sistema controla
el tráfico saliente en función de lo que se ha definido.
Columna Ver el rendimiento máximo definido para cada red.
Rendimiento máximo
Agregar, Editar, Administrar las direcciones de red que se desea controlar.
Eliminar
Rutas Rutas estáticas Permite agregar, editar o eliminar rutas estáticas. Una ruta estática es
estáticas un conjunto especificado de instrucciones sobre cómo llegar a un host
o una red no disponibles a través del gateway predeterminado.
Cuando se agrega una ruta estática, el cambio se inserta en el ESM y
entra en vigor inmediatamente al hacer clic en Aplicar. Tras la
aplicación de los cambios, el ESM se reinicializa y, por tanto, se
pierden todas las sesiones en curso.
Véase también
Configuración del puerto IPMI en el ESM o los dispositivos en la página 256
Configuración del control del tráfico de red en el ESM

Defina un valor de salida de datos máximo para el ESM.
Esta función resulta útil cuando existen restricciones de ancho de banda y es necesario controlar la
cantidad de datos que puede enviar cada ESM. Las opciones son kilobits (Kb), megabits (Mb) y
gigabits (Gb) por segundo.
Tenga cuidado al configurar esta función, ya que limitar el tráfico puede acarrear una fuga de datos.

3
Procedimiento
1
En el árbol de navegación del sistema, seleccione el sistema y haga clic en el icono Propiedades .
2 Haga clic en Configuración de red y, después, en la ficha Tráfico.
La tabla presenta una lista de los controles existentes.
3 A fin de agregar controles para un dispositivo, haga clic en Agregar, introduzca la dirección y la
máscara de la red, establezca la tasa y, a continuación, haga clic en Aceptar.
Si establece la máscara como cero (0), se controlan todos los datos enviados.
Se controlará la velocidad del tráfico saliente correspondiente a la dirección de red especificada.
Véase también
Ficha Tráfico en la página 56
Página Agregar tasa de rendimiento en la página 56
Ficha Tráfico
Es posible definir un valor máximo de salida de datos para una red y una máscara a fin de controlar la
tasa de envío de tráfico.

Opción Definición
Columna Red Permite ver las direcciones de las redes en las que el sistema controla el
tráfico saliente en función de lo que se haya definido.
Columna Rendimiento máximo Ver el rendimiento máximo definido para cada red.
Agregar, Editar, Eliminar Administrar las direcciones de red que se desea controlar.
Véase también
Página Agregar tasa de rendimiento

Defina un valor máximo de salida de datos para una red y una máscara a fin de controlar la tasa de
envío de tráfico saliente.
Opción Definición
Red Escriba la dirección de la red en la que desee controlar el tráfico saliente.
Máscara (Opcional) Seleccione una máscara para la dirección de red.
Tasa Seleccione kilobits (Kb), megabits (Mb) o gigabits (Gb) y, después, seleccione la tasa por
segundo para el envío de tráfico.
Véase también

3
Uso de los nombres de host

El nombre de host de un dispositivo suele resultar más útil que la dirección IP. Puede administrar los
nombres de host de forma que se asocien con sus correspondientes direcciones IP.
En la página Hosts, es posible agregar, editar, quitar, buscar, actualizar e importar nombres de host, así
como establecer el tiempo tras el que caduca un nombre de host de aprendizaje automático.
Al visualizar los datos de un evento, también se pueden ver los nombres de host asociados con las
direcciones IP del evento; para ello, haga clic en el icono Mostrar nombres de host , situado en la parte
inferior de los componentes de vista.
Si los eventos existentes no están etiquetados con un nombre de host, el sistema realiza una
búsqueda en la tabla de hosts del ESM y etiqueta las direcciones IP con sus nombres de host. Si las
direcciones IP no aparecen en la tabla de hosts, el sistema lleva a cabo una búsqueda DNS a fin de
localizar los nombres de host. Los resultados de la búsqueda se muestran entonces en la vista y se
agregan a la tabla de hosts.
En la tabla de hosts, estos datos se marcan como Aprendido automáticamente y caducan tras el periodo de
tiempo designado en el campo Las entradas caducan después de, situado debajo de la tabla de hosts en la
página Propiedades del sistema | Hosts. Si los datos han caducado, se realiza otra búsqueda DNS la
siguiente vez que se selecciona la opción Mostrar nombres de host en una vista.
La tabla de hosts muestra los nombres de host agregados y de aprendizaje automático, así como sus
direcciones IP. Es posible agregar información a la tabla de hosts manualmente mediante la
introducción de una dirección IP y un nombre de host individualmente, o bien a través de la
importación de una lista delimitada por tabulaciones de direcciones IP y nombres de host (véase
Importación de una lista de nombres de host). Cuantos más datos introduzca de esta forma, menos
tiempo se dedicará a las búsquedas DNS. Si se introduce un nombre de host manualmente no caduca,
pero es posible editarlo o quitarlo.
Véase también
Administración de los nombres de host en la página 260
Importación de una lista de nombres de host en la página 261
Administración de los nombres de host

Lleve a cabo las acciones necesarias para administrar los nombres de host mediante la página Hosts,
tales como agregar, editar, importar, quitar o realizar búsquedas. También es posible establecer el
momento de caducidad de los hosts de aprendizaje automático.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Hosts.
2 Seleccione una opción e introduzca la información solicitada.
Véase también
Uso de los nombres de host en la página 260
Importación de una lista de nombres de host en la página 261
Página Hosts en la página 261
Página Agregar host en la página 261

3
Página Hosts
Permite administrar la lista de nombres de host en el ESM.

Opción Definición
Agregar Permite agregar un nombre de host, o bien un nombre de host y su dirección IP.
Se agregará a la tabla Hosts.
Editar Cambiar el nombre de host asociado con una dirección IP.
Quitar Eliminar el elemento seleccionado de la tabla.
Búsqueda Permite buscar el nombre de host correspondiente a una dirección IP. Esto resulta
útil cuando se configura la información para una red interna. Cuando la búsqueda
finaliza, los resultados aparecen en la tabla.
Actualizar hosts Actualizar la tabla para reflejar los cambios realizados en la lista y las entradas
caducadas.
Importar Importar una lista delimitada por tabulaciones de direcciones IP y nombres de
host (véase Importación de una lista de nombres de host).
Las entradas caducan Establezca la cantidad de tiempo que desea que los nombres de host de
después de aprendizaje automático permanezcan en la tabla. Si no desea que caduquen,
seleccione cero (0) en todos los campos.
Véase también
Página Agregar host

Permite agregar un host individual a la tabla de hosts.
Opción Definición
Nombre de host Escriba un nombre para el host. Puede ser una cadena de hasta 100 caracteres.
Dirección IP Escriba la dirección IP del host en notación IPv4 o IPv6 válidas. Cabe la posibilidad de
incluir una máscara.
Véase también
Importación de una lista de nombres de host

Es posible importar un archivo de texto que contenga las direcciones IP y los correspondientes
nombres de host a la tabla de hosts.
Antes de empezar
Cree el archivo delimitado por tabulaciones de direcciones IP y nombres de host.
Todos los registros del archivo deben estar en una línea distinta, con la dirección IP en primer lugar en
formato IPv4 o IPv6. Por ejemplo:
102.54.94.97 rhino.acme.com
08c8:e6ff:0100::02ff x.acme.com

3
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Hosts
| Importar.
2 Busque el archivo de texto y haga clic en Cargar. Si el archivo contiene direcciones IP que se
encuentran actualmente en la tabla de hosts con otro nombre de host distinto, en la página
Duplicados aparecerán los registros duplicados.
• Para cambiar el nombre de host de la tabla por el incluido en el archivo de texto, selecciónelo en
la columna Uso y haga clic en Aceptar.
• Para conservar los datos de host existentes, no seleccione la casilla de verificación y haga clic en
Aceptar.
Los nuevos datos de host se agregarán a la tabla. La columna Aprendido automáticamente correspondiente
a estos datos indicará No. Ya que los datos se introdujeron manualmente, no caducarán.
Véase también
Uso de los nombres de host en la página 260
Configuración de DHCP
El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para distribuir de
forma dinámica los parámetros de configuración de la red, tales como las direcciones IP de interfaces
y servicios.
Cuando se configura el ESM para el despliegue en el entorno de nube, se activa automáticamente
DHCP y se asigna una dirección IP. Si no se emplea el entorno de nube, puede activar y desactivar los
servicios de DHCP en el ESM, el receptor (si no es de disponibilidad alta), el ACE y el ELM en caso de
disponer de derechos de Administración de dispositivo. Esto resultaría útil si es necesario restablecer
las direcciones IP de la red.
Los alias se desactivan cuando se activa DHCP.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el sistema o un dispositivo y, a continuación,
2 Siga uno de los procedimientos siguientes:

• En el caso del ESM, haga clic en Configuración de red y, a continuación, en la ficha Principal.
• En el caso de un dispositivo, seleccione la opción Configuración del dispositivo, haga clic en

Interfaces y, a continuación, en la ficha Red.
3 Haga clic en la opción Configuración correspondiente al campo Interfaz 1 y, después, seleccione DHCP.
En el caso de los dispositivos distintos de los receptores, se le informará de que los cambios
requieren el reinicio del servidor de ESM.

3
Configuración de DHCP en una VLAN

El protocolo Dynamic Host Configuration Protocol (DHCP) se emplea en las redes IP para distribuir de
forma dinámica los parámetros de configuración de la red, tales como las direcciones IP de interfaces
y servicios.
Cuando se configura el ESM para el despliegue en el entorno de nube, se activa automáticamente
DHCP y se asigna una dirección IP. Si no se emplea el entorno de nube, puede activar y desactivar los
servicios de DHCP en las VLAN, el ESM, el receptor (si no es de disponibilidad alta), el ACE y el ELM en
caso de disponer de derechos de Administración de dispositivo. Esto resultaría útil si es necesario
restablecer las direcciones IP de la red.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el sistema o un dispositivo y, a continuación,

• En el caso del ESM, haga clic en Configuración de red y, a continuación, en la ficha Principal.
• En el caso de un dispositivo, seleccione la opción Configuración del dispositivo, haga clic en

Interfaces y, a continuación, en la ficha Red.
3 Haga clic en la opción Configuración correspondiente al campo Interfaz 1 y, después, seleccione Avanzada.
4 Haga clic en Agregar VLAN, escriba la VLAN y seleccione DHCP.
5 Haga clic en Aceptar para volver a la página Configuración de red y, después, haga clic en Aplicar.
En el caso de los dispositivos distintos de los receptores, se le informará de que los cambios requieren
el reinicio del servidor de ESM.
Sincronización de la hora del sistema

Ya que las actividades generadas por el ESM y sus dispositivos cuentan con marca de tiempo, es
importante que el ESM y los dispositivos estén sincronizados a fin de mantener una referencia
constante para los datos recopilados. Se puede configurar la hora del sistema del ESM o seleccionar
que el ESM y los dispositivos se sincronicen con un servidor NTP.
Véase también
Configuración de la hora del sistema en la página 263
Sincronización de los relojes de dispositivos en la página 264
Configuración de la hora del sistema
Antes de empezar
Si desea agregar servidores NTP al ESM, configure dichos servidores y obtenga sus claves
de autorización y sus ID de clave.

3
Procedimiento
2 Haga clic en Reloj del sistema (GMT), defina la configuración y haga clic en Aceptar.
Las direcciones de servidores NTP en dispositivos de tipo IPS deben ser direcciones IP.
La información de los servidores se guarda en el archivo de configuración. Posteriormente, se puede

acceder de nuevo a la lista de servidores NTP y comprobar su estado.
Véase también
Sincronización de la hora del sistema en la página 263
Página Reloj del sistema en la página 264
Página Reloj del sistema

Permite configurar el reloj del sistema o seleccionar servidores NTP para la sincronización horaria del
ESM.
Opción Definición
Establecer la hora del sistema Si no utiliza un servidor NTP para sincronizar la hora del sistema,
de ESM (GMT) en asegúrese de que la fecha y la hora se configuren como GMT.
Usar servidores NTP para Seleccione esta opción para utilizar servidores NTP a fin de sincronizar la
sincronización de tiempo hora del sistema en lugar de emplear el reloj del sistema.
Columna Servidor NTP Es posible agregar las direcciones IP de los servidores NTP haciendo clic en
esta columna. Se pueden agregar hasta diez servidores.
Las direcciones de servidores NTP en dispositivos de tipo IPS deben ser

direcciones IP.
Columnas Clave de Escriba la clave de autenticación y el ID de clave de cada uno de los

autenticación e ID de clave servidores NTP (póngase en contacto con el administrador de red si no los
conoce).
Estado Haga clic para ver el estado de los servidores NTP de la lista. Si ha
realizado cambios en la lista de servidores, deberá hacer clic en Aceptar para
guardar los cambios y cerrar la página; después, vuelva a abrirla antes de
hacer clic en Estado.
Véase también
Configuración de la hora del sistema en la página 263
Sincronización de los relojes de dispositivos

Es posible sincronizar los relojes de los dispositivos con el reloj del ESM de forma que los datos
generados por los diversos sistemas reflejen la misma configuración.

3
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema o la opción Propiedades del
dispositivo y, después, haga clic en Sincronizar en el campo Sincronizar reloj del dispositivo.
Se le informará cuando finalice la sincronización o en caso de que exista algún problema.
2 Haga clic en Actualizar a fin de actualizar los datos de la página Información del sistema o la página
Información del dispositivo.
Véase también
Sincronización de la hora del sistema en la página 263
Instalación de un nuevo certificado

El ESM incluye un certificado de seguridad autofirmado predeterminado para esm.mcafee.local. La
mayoría de navegadores web muestran una advertencia que indica que la autenticidad del certificado
no se puede verificar. Una vez obtenido el par de claves del certificado SSL que desee usar para el
ESM, deberá instalarlo.
Procedimiento
ESM.
2 Haga clic en la ficha Administración de claves y, después, en Certificado.
3 Haga su selección y, a continuación, haga clic en Cerrar.
Véase también
Página Administrar certificado en la página 265
Página Administrar certificado

Permite instalar un certificado SSL en el ESM.
Opción Definición
Cargar certificado Instale el certificado, la clave y los archivos de cadena opcionales, en caso de
disponer de ellos. Se le pedirá que cargue el archivo .crt, después el
archivo .key y, por último, los archivos de cadena.
Filtro de certificado Genere e instale un certificado de seguridad autofirmado para el ESM. Haga
autofirmado clic en Generar e introduzca la información en la página Administrar certificado.
Haga clic en Aceptar y, después, en Generar.
Solicitud de firma de Genere una solicitud de certificado que enviar a una autoridad de
certificado certificación para su firma.
• Haga clic en Generar, introduzca la información en la página Administrar
certificado y, después, haga clic en Aceptar.
• Descargue el archivo .zip que contiene un archivo .crt y otro .key.
• Extraiga el archivo .crt y envíelo a la autoridad de certificación.
Regenerar certificados de Regenere el certificado original.

McAfee predeterminados

3
Véase también
Instalación de un nuevo certificado en la página 265
Configuración de perfiles
Defina perfiles para el tráfico basado en syslog a fin de poder realizar configuraciones que compartan
información común sin tener que introducir los detalles en cada ocasión. Cabe la posibilidad también
de agregar un perfil de comando remoto (URL o script) y utilizarlo en una vista o una alarma.
Procedimiento
perfiles.
2 Para agregar un perfil, haga clic en Agregar en la ficha Perfiles del sistema y rellene los datos del perfil.
3 Para agregar un comando remoto, haga clic en la ficha Comando remoto y rellene la información
solicitada.
Véase también
Página Administrador de perfiles en la página 266
Página Agregar perfil del sistema en la página 267
Ficha Comandos remotos en la página 268
Página Comando remoto en la página 268
Página Administrador de perfiles

Permite administrar los perfiles del sistema para utilizarlos en el reenvío de eventos, la configuración
de orígenes de datos, el descubrimiento de red, la evaluación de vulnerabilidades, las capturas SNMP y
los recursos compartidos remotos.

Opción Definición
Tabla Perfiles del sistema Ver los perfiles que hay actualmente en el sistema.
Agregar Permite agregar un perfil.
Editar Cambiar el perfil seleccionado.
Quitar Eliminar el perfil seleccionado.
Véase también
Configuración de perfiles en la página 266

3
Página Agregar perfil del sistema

Agregue un perfil de sistema para poder utilizarlo en el reenvío de eventos, la configuración de
orígenes de datos, el descubrimiento de red, la evaluación de vulnerabilidades, las capturas SNMP y
los recursos compartidos remotos.

Opción Definición
Contraseña de Si selecciona authNoPriv o authPriv en el campo Nivel de seguridad, este campo estará
autenticación activo. Escriba la contraseña para el protocolo de autenticación seleccionado en
el campo Protocolo de autenticación.
Protocolo de Si selecciona authNoPriv o authPriv en el campo Nivel de seguridad, este campo estará
autenticación activo. Seleccione el tipo de protocolo para este origen: MD5 o SHA1. SHA1 y SHA
hacen referencia al mismo tipo de protocolo.
Nombre de comunidad Escriba la cadena de comunidad de la captura SNMP.

Compresión En el caso de un recurso compartido remoto de SCP, seleccione si desea utilizar
la compresión.
Cifrado En el caso de un recurso compartido remoto de SCP, seleccione si desea utilizar
el cifrado.
ID de motor Introduzca el ID de motor SNMPv3 del remitente de las capturas. No es un
campo obligatorio.
Registros de eventos Los registros de eventos de WMI predeterminados son SYSTEM, APPLICATION y
SECURITY, pero se admiten otros registros. A la hora de introducir nombres
adicionales, recuerde que se distingue entre mayúsculas y minúsculas, deben
separarse mediante comas y no deben existir espacios entre ellos. Es necesario
disponer de acceso a fin de leer los registros. Solo se pueden extraer los
registros de seguridad si se es administrador. Es posible extraer registros de
orígenes de datos WMI sin privilegios de administrador si se configuran
correctamente.
Función Seleccione la función a la que se enviará el mensaje de reenvío de eventos.
Intervalo Seleccione el intervalo en minutos de comprobación del proveedor WMI en
busca de eventos nuevos.
Dirección IP Captura SNMP: escriba la dirección IP del servidor de eEye que envía información
de capturas.
Reenvío de eventos: escriba la dirección IP a la que se reenviarán los eventos.
Contraseña La contraseña utilizada para conectar con el proveedor WMI.

Protocolo de privacidad Si selecciona authPriv en el campo Nivel de seguridad correspondiente a SNMP, este
campo estará activo. Seleccione DES o AES. En el modo FIPS, la única opción
disponible es AES.
Agente de perfil Seleccione el agente para este perfil. Los campos restantes variarán en función
de lo que se seleccione en este campo.
Nombre de perfil Escriba un nombre descriptivo para este perfil.
Tipo de perfil Seleccione el tipo de perfil. Los campos restantes de esta página variarán en
función de lo que se seleccione en este campo. Su uso es evidente en la
mayoría de los casos.
Puerto Cambie el puerto de conexión si el predeterminado no es correcto.
Protocolo Seleccione el protocolo de transporte.
Dirección IP remota, Si ha seleccionado CIFS o NFS como agente de perfil, escriba esta información
Punto de montaje para el dispositivo de almacenamiento.
remoto, Ruta remota

3

Opción Definición
Nivel de seguridad Seleccione el nivel de seguridad de este perfil de SNMPv3.
• noAuthNoPriv: sin protocolo de autenticación y sin protocolo de privacidad
• authNoPriv: con protocolo de autenticación pero sin protocolo de privacidad
• authPriv: con protocolo de autenticación y protocolo de privacidad
Los campos Autenticación y Privacidad se activarán en función del nivel de seguridad
seleccionado.
Enviar paquete Seleccione esta opción si desea enviar el paquete de evento.

Gravedad Seleccione la gravedad de la información reenviada.
Nombre de usuario El nombre de usuario utilizado para conectar con el proveedor WMI. En el caso
de los usuarios de dominio, introduzca el nombre de usuario con el formato
dominio\usuario.
Véase también
Ficha Comandos remotos

Permite administrar los perfiles de comandos remotos para poder ejecutarlos en una vista o una
alarma. Las secuencias de comandos tienen la capacidad de hacer referencia a variables desde
consultas o eventos.

Opción Definición
Tabla Comandos remotos Ver los comandos remotos que hay disponibles actualmente en el sistema.
Agregar Agregar un nuevo comando remoto.
Editar Cambiar el comando remoto seleccionado.
Quitar Eliminar el comando remoto seleccionado.
Véase también
Página Comando remoto

Las opciones de configuración de comando remoto se emplean para ejecutar un comando en cualquier
dispositivo que acepte conexiones SSH, excepto los dispositivos de McAfee del ESM. Si agrega un
perfil, podrá acceder a él siempre que necesite agregar un comando remoto.
Opción Definición
Nombre Escriba un nombre para este perfil de comando remoto.
Descripción Describa lo que hace este comando.
Tipo Seleccione el tipo de comando remoto del que se trata.
Zona horaria Seleccione la zona horaria que se utilizará.
Formato de fecha Seleccione el formato para la fecha.

3

Opción Definición
Host, Puerto, Nombre de usuario, Escriba la información correspondiente a la conexión SSH.
Contraseña
Cadena de comando Escriba la cadena de comando para la conexión SSH. Para insertar
variables en la cadena de comando, haga clic en el icono Insertar variable
y seleccione las variables.
Véase también
Configuración de SNMP
Es posible configurar las opciones empleadas por el ESM para enviar capturas de vínculo activo/
inactivo y de inicio en caliente/frío, tanto para el ESM como para cada uno de los dispositivos,
recuperar las tablas de sistema e interfaz de MIB-II y permitir el descubrimiento del ESM a través del
comando snmpwalk.
SNMPv3 es compatible con las opciones NoAuthNoPriv, AuthNoPriv y AuthPriv, con el uso de MD5 o
Secure Hash Algorithm (SHA) para la autenticación y de Data Encryption Standard (DES) o Advanced
Encryption Standard (AES) para el cifrado (MD5 y DES no están disponibles en el modo FIPS).
Es posible realizar solicitudes SNMP a un sistema ESM sobre la información de estado de

mantenimiento de un dispositivo ESM, receptor o Nitro IPS, y se pueden enviar capturas SNMPv3 a un
ESM para la adición a la lista negra de uno o varios de sus dispositivos Nitro IPS gestionados. Todos
los appliances de McAfee se pueden configurar también para enviar capturas de vínculo activo/inactivo
y de inicio en caliente/frío a uno o varios destinos de su elección (véase SNMP y la MIB de McAfee).
Véase también
Configuración de las opciones de SNMP en la página 269
Configuración de una captura SNMP para la notificación de fallos de alimentación en la página
272
SNMP y la MIB de McAfee en la página 273
Extracción de la MIB de ESM en la página 278
Configuración de las opciones de SNMP

Configure las opciones que utiliza ESM para el tráfico SNMP entrante y saliente. Solo los usuarios con
nombres que no incluyan espacios pueden realizar consultas SNMP.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración
SNMP.
2 Introduzca la información necesaria en las fichas Solicitudes SNMP y Capturas SNMP.

3
Véase también
Configuración de SNMP en la página 269
272
Página Configuración SNMP en la página 270
Página Configuración SNMP en la página 271
Página Configuración SNMP

Permite configurar las opciones empleadas por el ESM para el tráfico SNMP.
Solicitudes Puerto de solicitud Seleccione el puerto por el que debe pasar el tráfico.
SNMP
Aceptar Seleccionar los tipos de capturas que se aceptarán.
Permitir SNMPv1/2c Seleccione esta opción si desea permitir el tráfico SNMP de la
versión 1 y la versión 2, y escriba el tipo de comunidad.
Permitir SNMPv3 Seleccione esta opción si desea permitir el tráfico SNMP de la
versión 3, y seleccione el nivel de seguridad, el protocolo de
autenticación y el protocolo de privacidad.
Direcciones IP de Ver las direcciones IP que el ESM permite o considera de confianza.
confianza Es posible agregar direcciones nuevas y editar o eliminar las
existentes. La dirección IP puede incluir una máscara.
Ver ID de Ver una lista de los ID de dispositivo que se pueden usar al enviar
dispositivos solicitudes SNMP.
Ver MIB Ver la MIB (Management Information Base, base de datos de
información de administración) de McAfee, la cual define los
identificadores de objeto (OID) de cada objeto o característica de
interés.
Capturas SNMP Puerto de captura En la ficha Capturas SNMP, establezca el puerto por el que debe pasar
el tráfico de captura en frío/en caliente, así como el tráfico de
entrada de lista negra y de vínculo activo/inactivo.
Capturas de vínculo Seleccione esta opción si desea que se envíen capturas de vínculo
activo/inactivo activo/inactivo. Si selecciona esta función y emplea varias
interfaces, se le notificará cuando una interfaz deje de funcionar, así
como cuando vuelva a estar activa.
El tráfico de captura en frío/en caliente se permite de forma

automática. Se genera una captura de inicio en frío siempre que se
reinicia el servicio SNMP. El servicio SNMP se reinicia cuando
cambia la configuración de SNMP, se modifica un usuario, se
modifica un grupo, un usuario inicia sesión con autenticación
remota, se reinicia el ESM, se reinicia cpservice, y en otras
situaciones. Se genera una captura de inicio en caliente cuando se
reinicia el sistema.
Capturas de base de Seleccione esta opción si desea que se envíe una captura SNMP
datos activa/inactiva cuando la base de datos (cpservice, IPSDBServer) se active o se
desactive.
Captura de error de Seleccione esta opción si desea que se envíe una captura SNMP
registro de seguridad cuando no se escriba un registro en la tabla de registros.

3

Error de hardware Seleccione esta opción si desea recibir una notificación cuando falle
general cualquiera de las fuentes de alimentación del ESM (DAS o hardware
general). Esto contribuye a evitar el apagado del sistema debido a
un fallo de alimentación.
Destinos Seleccione los nombres de perfil de los sistemas a los que desee
enviar las notificaciones. La tabla muestra todos los perfiles de
captura SNMP disponibles en el sistema. Para editar esta lista, haga
clic en Editar perfiles y agregue, edite o elimine perfiles en la lista del
Administrador de perfiles.
Véase también
Página Configuración SNMP

Permite definir qué capturas SNMP se deben enviar, así como sus destinos.

Solicitudes Puerto de solicitud Seleccione el puerto por el que debe pasar el tráfico.
SNMP
Aceptar Permite aceptar las solicitudes de estado de dispositivo.
Permitir SNMPv1 Seleccione esta opción si desea permitir el tráfico SNMP de la versión
1 y la versión 2, y establezca la cadena de comunidad.
Permitir SNMPv3 Seleccione esta opción si desea permitir el tráfico SNMP de la versión
3, y seleccione el nivel de seguridad, el protocolo de autenticación y
el protocolo de privacidad.
Direcciones IP de Permite ver las direcciones IP que el dispositivo permite o considera
confianza de confianza. Es posible agregar direcciones nuevas y editar o
eliminar las existentes. La dirección IP puede incluir una máscara.
Debe existir una dirección IP de confianza.
Ver MIB Ver la MIB (Management Information Base, base de datos de

información de administración) de McAfee, la cual define los
identificadores de objeto (OID) de cada objeto o característica de
interés.
Capturas SNMP Puerto de captura Establezca el puerto por el que debe pasar el tráfico de captura en
frío/en caliente, así como el tráfico de lista negra y de vínculo activo/
inactivo.
Capturas de vínculo Seleccione esta opción para enviar capturas de vínculo activo/
activo/inactivo inactivo. Si selecciona esta función y emplea varias interfaces, se le
notificará cuando una interfaz deje de funcionar, así como cuando
vuelva a estar activa.
El tráfico de captura en frío/en caliente se permite de forma

automática. Se genera una captura de inicio en frío cuando se
producen un cierre o un restablecimiento completos. Se genera una
captura de inicio en caliente cuando se reinicia el sistema.
Capturas de base Seleccione esta opción para enviar una captura SNMP cuando la base
de datos activa/ de datos (cpservice, IPSDBServer) se active o se desactive.
inactiva

3

Captura de error de Seleccione esta opción para enviar una captura SNMP cuando no se
registro de escriba un registro en la tabla de registros.
seguridad
Destinos Seleccione los nombres de perfil de los sistemas a los que desee
enviar las notificaciones. La tabla muestra todos los perfiles de
captura SNMP disponibles en el sistema. Para editar esta lista, haga
clic en Editar perfiles y agregue, edite o elimine perfiles en la lista del
Administrador de perfiles.
Si configura SNMP en un receptor de disponibilidad alta, las capturas para el receptor principal tendrán
su origen en la dirección IP compartida. Por tanto, cuando configure los escuchas, establezca uno para
la dirección IP compartida.
Véase también
Configuración de una captura SNMP para la notificación de fallos de

alimentación
Seleccione una captura SNMP para que se le notifiquen los errores de hardware generales y los fallos
de alimentación de DAS con objeto de evitar que el sistema se apague debido a esta situación.
Antes de empezar
• Verifique que dispone de derechos de administrador o pertenece a un grupo de acceso
con privilegios de administración de alarmas.
• Prepare el receptor de capturas SNMP (necesario solo si no dispone ya de un receptor

de capturas SNMP).
Procedimiento
Propiedades .
2 Haga clic en Configuración SNMP y, después, en la ficha Capturas SNMP.
3 En Puerto de captura, escriba 162, seleccione Error de hardware general y haga clic en Editar perfiles.
4 Haga clic en Agregar e introduzca la información solicitada como sigue.

• Tipo de perfil: seleccione Captura SNMP.
• Dirección IP: escriba la dirección a la que desee enviar la captura.
• Puerto: escriba 162.
• Nombre de comunidad: escriba Público.
Recuerde lo que introduzca en los campos Puerto y Nombre de comunidad.
5 Haga clic en Aceptar y, después, en Cerrar en la página Administrador de perfiles.
El perfil se agregará a la tabla Destinos.
6 Seleccione el perfil en la columna Uso y haga clic en Aceptar.

3
Si falla una fuente de alimentación, se envía una captura SNMP y aparece una marca de estado de
mantenimiento junto al dispositivo en el árbol de navegación del sistema.
Véase también
SNMP y la MIB de McAfee

Es posible acceder a diversos aspectos de la línea de productos de McAfee a través de SNMP. La MIB
(Management Information Base, base de datos de información de administración) de McAfee define el
identificador de objeto (OID) de cada objeto o característica de interés.
La MIB define grupos de objetos para:

• Alertas: un ESM puede generar y enviar capturas de alertas mediante el reenvío de eventos. Un
receptor puede recibir capturas de alertas gracias a la configuración de un origen de datos SNMP de
McAfee.
• Flujos: un receptor puede recibir capturas de flujos gracias a la configuración de un origen de

datos SNMP de McAfee.
• Solicitudes de estado de ESM: un ESM puede recibir solicitudes de estado de sí mismo y de los
dispositivos que administra, así como responder a ellas.
• Lista negra: un ESM puede recibir capturas que definen entradas para las listas negras y de
cuarentena, las cuales a su vez se aplican a los dispositivos Nitro IPS que administra.
La MIB de McAfee también define las convenciones textuales (tipos enumerados) de los valores, entre
las que se incluyen:
• La acción realizada cuando se recibe una alerta
• La dirección y el estado del flujo
• Los tipos de orígenes de datos
• Las acciones de lista negra
La MIB de McAfee es sintácticamente conforme con SNMPv2 Structure of Management Information

(SNMPv2-SMI). Los productos de McAfee que utilizan SNMP se pueden configurar para funcionar a
través de SNMPv1, SNMPv2c y SNMPv3 (lo cual incluye la autenticación y el control de acceso).
Las solicitudes de estado se realizan mediante la operación GET de SNMP. Las aplicaciones de
administración de SNMP utilizan la operación GET de SNMP para recuperar uno o varios valores de los
objetos administrados que mantiene el agente SNMP (en este caso, el ESM). Las aplicaciones suelen
llevar a cabo una solicitud GET de SNMP mediante el suministro del nombre de host del ESM y uno o
varios OID junto con la instancia concreta del OID.
El ESM responde con un valor de devolución o un error. Por ejemplo, una solicitud y una respuesta de
estado para un dispositivo Nitro IPS con el ID de Nitro IPS 2 podría tener un aspecto similar al
siguiente:
OID de solicitud y respuesta Unidades Valor de respuesta Significado

1.3.6.1.4.1.23128.1.3.2.1.2 Interno Nombre del dispositivo Nitro
IPS
1.3.6.1.4.1.23128.1.3.2.2.2 2 Identificador único del ESM

para el dispositivo Nitro IPS

3

1.3.6.1.4.1.23128.1.3.2.3.2 1 La comunicación con Nitro
IPS está disponible (1) o no
está disponible (0)
1.3.6.1.4.1.23128.1.3.2.4.2 Ok Estado de Nitro IPS
1.3.6.1.4.1.23128.1.3.2.5.2 off Estado de las NIC de

omisión de Nitro IPS
1.3.6.1.4.1.23128.1.3.2.6.2 Nitro IPS Modo de Nitro IPS (Nitro IPS

o IDS)
1.3.6.1.4.1.23128.1.3.2.7.2 Porcentaje 2 Porcentaje instantáneo

combinado de carga de la
CPU
1.3.6.1.4.1.23128.1.3.2.8.2 MB 1010 Total de RAM de Nitro IPS
1.3.6.1.4.1.23128.1.3.2.9.2 MB 62 RAM disponible
1.3.6.1.4.1.23128.1.3.2.10.2 MB 27648 Total de espacio de la

unidad de disco duro
particionado para la base de
datos de Nitro IPS
1.3.6.1.4.1.23128.1.3.2.11.2 MB 17408 Espacio libre de la unidad de

disco duro disponible para la
base de datos de Nitro IPS
1.3.6.1.4.1.23128.1.3.2.12.2 Segundos 120793661 Hora actual del sistema del

desde dispositivo Nitro IPS
01/01/1970
00:00:00.0
(GMT)
1.3.6.1.4.1.23128.1.3.2.13.2 7.1.3 Información de versión y

20070518091421a compilación de Nitro IPS
1.3.6.1.4.1.23128.1.3.2.14.2 ABCD:1234 ID de equipo de Nitro IPS
1.3.6.1.4.1.23128.1.3.2.15.2 Nitro IPS Número de modelo de Nitro

IPS
1.3.6.1.4.1.23128.1.3.2.16.2 Alertas por 140 Tasa de alertas (por minuto)

minuto durante un mínimo de 10
minutos
1.3.6.1.4.1.23128.1.3.2.17.2 Flujos por 165 Tasa de flujos (por minuto)

minuto durante un mínimo de 10
minutos
Siguiendo con el ejemplo anterior, el administrador de SNMP realiza una solicitud al agente de SNMP,
el ESM. Los números significan lo siguiente:
• 1.3.6.1.4.1.23128: el número de empresa de McAfee asignado por la Autoridad de asignación de
números de Internet (IANA).
• 1.3.2: una solicitud de estado de Nitro IPS.

3
• Del segundo al último número (1–17 en el ejemplo anterior): para solicitar los diversos aspectos
del estado de Nitro IPS.
• El último número (2): la instancia concreta del OID, el ID de Nitro IPS.
El ESM responde rellenando los enlaces de OID con los resultados de la solicitud de estado.
Las tablas siguientes muestran el significado de los OID del ESM y el receptor.
Tabla 3-149 Estado de ESM

OID de solicitud y respuesta Unidades Valor de Significado
respuesta
1.3.6.1.4.1.23128.1.3.1.1 Porcentaje 4 Porcentaje instantáneo
combinado de carga de la CPU
1.3.6.1.4.1.23128.1.3.1.2 MB 3518 Total de RAM
1.3.6.1.4.1.23128.1.3.1.3 MB 25 RAM disponible
1.3.6.1.4.1.23128.1.3.1.4 MB 1468006 Total de espacio de la unidad

de disco duro particionado
para la base de datos de ESM
1.3.6.1.4.1.23128.1.3.1.5 MB 1363148 Espacio libre de la unidad de

disco duro disponible para la
base de datos de ESM
1.3.6.1.4.1.23128.1.3.1.6 Segundos desde 1283888714 Hora actual del sistema en el

01/01/1970 ESM
00:00:0.0
(GMT)
1.3.6.1.4.1.23128.1.3.1.7 8.4.2 Versión y compilación del ESM
1.3.6.1.4.1.23128.1.3.1.8 4EEE:6669 ID de equipo del ESM
1.3.6.1.4.1.23128.1.3.1.9 ESM Número de modelo del ESM
Tabla 3-150 Estado del receptor

1.3.6.1.4.1.23128.1.3.3.1.x Receptor Nombre del receptor
1.3.6.1.4.1.23128.1.3.3.2 .x 2689599744 Identificador único del

ESM para el receptor
1.3.6.1.4.1.23128.1.3.3.3.x 1 Indica que la

comunicación con el
receptor está disponible
(1) o no está disponible
(0)
1.3.6.1.4.1.23128.1.3.3.4.x Aceptar Indica el estado del

receptor
1.3.6.1.4.1.23128.1.3.3.5.x Porcentaje 2 Porcentaje instantáneo

combinado de carga de la
CPU
1.3.6.1.4.1.23128.1.3.3.6.x MB 7155 Total de RAM
1.3.6.1.4.1.23128.1.3.3.7.x MB 5619 RAM disponible

3
Tabla 3-150 Estado del receptor (continuación)

1.3.6.1.4.1.23128.1.3.3.8.x MB 498688 Total de espacio de la
unidad de disco duro
particionado para la base
de datos del receptor
1.3.6.1.4.1.23128.1.3.3.9.x MB 472064 Espacio libre de la unidad

de disco duro disponible
para la base de datos del
receptor
1.3.6.1.4.1.23128.1.3.3.10.x Segundos 1283889234 Hora actual del sistema en

desde el receptor
01/01/1970
00:00:0.0
(GMT)
1.3.6.1.4.1.23128.1.3.3.11.x 7.1.3 Versión y compilación del

20070518091421a receptor
1.3.6.1.4.1.23128.1.3.3.12.x 5EEE:CCC6 ID de equipo del receptor
1.3.6.1.4.1.23128.1.3.3.13.x Receiver Número de modelo del

receptor
1.3.6.1.4.1.23128.1.3.3.14.x Alertas por 1 Tasa de alertas (por

minuto minuto) durante un
mínimo de 10 minutos
1.3.6.1.4.1.23128.1.3.3.15.x Flujos por 2 Tasa de flujos (por

minuto minuto) durante un
mínimo de 10 minutos
x = ID de dispositivo. Para acceder a una lista de ID de dispositivo, acceda a Propiedades del sistema |
Configuración SNMP y haga clic en Ver ID de dispositivos.
Las entradas de eventos, flujos y lista negra se envían mediante capturas SNMP o solicitudes de
información. Una captura de alerta enviada desde un ESM configurado para el reenvío de eventos
podría tener un aspecto similar al siguiente:
OID Valor Significado

1.3.6.1.4.1.23128.1.1.1 780 ID de alerta del ESM
1.3.6.1.4.1.23128.1.1.2 6136598 ID de alerta del dispositivo
1.3.6.1.4.1.23128.1.1.3 Interno Nombre de dispositivo
1.3.6.1.4.1.23128.1.1.4 2 ID de dispositivo
1.3.6.1.4.1.23128.1.1.5 10.0.0.69 IP de origen
1.3.6.1.4.1.23128.1.1.6 27078 Puerto de origen
1.3.6.1.4.1.23128.1.1.7 AB:CD:EF:01:23:45 MAC de origen
1.3.6.1.4.1.23128.1.1.8 10.0.0.68 IP de destino
1.3.6.1.4.1.23128.1.1.9 37258 Puerto de destino

3
OID Valor Significado

1.3.6.1.4.1.23128.1.1.10 01:23:45:AB:CD:EF MAC de destino
1.3.6.1.4.1.23128.1.1.11 17 Protocolo
1.3.6.1.4.1.23128.1.1.12 0 VLAN
1.3.6.1.4.1.23128.1.1.13 Dirección
1.3.6.1.4.1.23128.1.1.14 20 Recuento de eventos
1.3.6.1.4.1.23128.1.1.15 1201791100 Primera vez
1.3.6.1.4.1.23128.1.1.16 1201794638 Última vez
1.3.6.1.4.1.23128.1.1.17 288448 Última vez (microsegundos)
1.3.6.1.4.1.23128.1.1.18 2000002 ID de firma
1.3.6.1.4.1.23128.1.1.19 ANOMALY Inbound High to Descripción de firma

High
1.3.6.1.4.1.23128.1.1.20 5 Acción realizada
1.3.6.1.4.1.23128.1.1.21 1 Gravedad
1.3.6.1.4.1.23128.1.1.22 201 Resultado o tipo de origen de datos
1.3.6.1.4.1.23128.1.1.23 0 ID de firma normalizado
1.3.6.1.4.1.23128.1.1.24 0:0:0:0:0:0:0:0 Dirección IPv6 de origen
1.3.6.1.4.1.23128.1.1.25 0:0:0:0:0:0:0:0 Dirección IPv6 de destino
1.3.6.1.4.1.23128.1.1.26 Aplicación
1.3.6.1.4.1.23128.1.1.27 Dominio
1.3.6.1.4.1.23128.1.1.28 Host
1.3.6.1.4.1.23128.1.1.29 Usuario (origen)
1.3.6.1.4.1.23128.1.1.30 Usuario (destino)
1.3.6.1.4.1.23128.1.1.31 Comando
1.3.6.1.4.1.23128.1.1.32 Objeto
1.3.6.1.4.1.23128.1.1.33 Número de secuencia
1.3.6.1.4.1.23128.1.1.34 Indica si se ha generado en un entorno

de confianza o no de confianza.
1.3.6.1.4.1.23128.1.1.35 ID de la sesión que generó la alerta
Los números significan lo siguiente:

• 1.3.6.1.4.1.23128: el número de empresa de McAfee asignado por la IANA.
• 1.1: una solicitud de estado de Nitro IPS.
• El número final (1–35): para informar de las diversas características de la alerta.

3
Para conocer todos los detalles sobre la definición de la MIB de McAfee, véase https://x.x.x.x/
BrowseReference/NITROSECURITY-BASE-MIB.txt, donde x.x.x.x es la dirección IP del ESM.
Véase también
272
Extracción de la MIB de ESM

Permite ver los objetos y las notificaciones para crear una interfaz con el ESM.
Los objetos y las notificaciones definidas en la MIB se emplean para enviar solicitudes:
• A un ESM para administrar las listas negras y las listas de cuarentena de uno o varios dispositivos
IPS.
• A un ESM que solicita información de estado del propio ESM o de los dispositivos IPS y receptores.
• A un dispositivo para solicitar su información de estado.
Procedimiento
Propiedades .
2 Haga clic en Configuración SNMP y, después, en Ver MIB.
Aparecerá una lista de definiciones de MIB.
Véase también
272

El objetivo de la administración de la base de datos del ESM es proporcionar información y opciones de
configuración a medida que se establecen las funciones en el sistema.
Es posible administrar la configuración de indización de la base de datos, ver e imprimir información
sobre la utilización de memoria de la base de datos para eventos y flujos, configurar ubicaciones de
almacenamiento para particiones inactivas, configurar la directiva de retención de datos para eventos
y flujos, y configurar cómo la base de datos asigna espacio para datos de eventos y flujos.
Si cuenta con más de cuatro CPU en una máquina virtual, puede utilizar el espacio de almacenamiento
adicional para almacenamiento del sistema, de datos y de alto rendimiento.
Si elimina más de una unidad de la máquina virtual de ESM al mismo tiempo, se podrían perder todas
las búsquedas de ELM anteriores. Para evitarlo, exporte los resultados de búsqueda de ELM antes de
realizar este proceso.

3
Configuración del almacenamiento de datos de ESM

Si tiene un dispositivo iSCSI (Internet Small Computer System Interface, interfaz estándar de equipos
pequeños de Internet), SAN (Storage Area Network, red de área de almacenamiento) o DAS
(Direct-attached storage, almacenamiento conectado directamente) conectado al ESM, puede
configurarlo para el almacenamiento de datos.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y, después, haga clic en Base
de datos | Almacenamiento de datos.
2 Haga clic en cualquiera de las fichas, seleccione una acción y rellene la información solicitada.
Las fichas disponibles dependen de los tipos de almacenamiento conectados al ESM.
3 Haga clic en Cancelar para cerrar la página.
Véase también
Página Configuración iSCSI en la página 163
Página Configuración iSCSI

Permite agregar los parámetros necesarios para conectar con el dispositivo iSCSI.

Opción Definición
Nombre Escriba el nombre del dispositivo iSCSI.
Dirección IP Escriba la dirección IP del dispositivo iSCSI.
Puerto Seleccione el puerto del dispositivo iSCSI.
Véase también
Configuración del almacenamiento de datos de ESM en la página 279
Configuración del almacenamiento de datos de máquina virtual

de ESM
Si su máquina virtual de ESM tiene más de cuatro CPU, estará disponible la opción Datos de máquina virtual
en la página Base de datos, la cual permite utilizar el almacenamiento adicional disponible para el
almacenamiento del sistema, de datos y de alto rendimiento de la máquina virtual.
Cada una de las listas desplegables de la página Asignación de datos incluye las unidades de
almacenamiento disponibles que se montan en la máquina virtual.
Procedimiento
de datos | Datos de máquina virtual.
2 En cada uno de los campos, seleccione la unidad en la que desee almacenar los datos. Solo es
posible seleccionar una vez cada unidad.

3
Aumento del número de índices de acumulación disponibles

Debido al número de índices estándar activados en el ESM, solo se pueden agregar cinco índices a un
campo de acumulación. Si necesita más de cinco, puede desactivar los índices estándar que no utilice
en ese momento, tales como los de ID de sesión, MAC de origen/destino, puerto de origen/destino,
zona de origen/destino o geolocalización de origen/destino (hasta un máximo de 42).
Procedimiento
El ESM emplea los índices estándar cuando genera consultas, informes, alarmas y vistas. Si desactiva
alguno y después intenta generar una consulta, un informe, una alarma o una vista que lo utilice, se le
notificará que no se puede procesar porque un índice está desactivado. No se le indicará qué índice
afecta al proceso. Debido a esta limitación, no desactive los índices estándar a menos que determine
que es absolutamente necesario.
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Base de datos.
2 Haga clic en Configuración y, después, en la ficha Indización de acumulación.
3 En la lista desplegable, haga clic en Índices estándar y seleccione Mostrar índices estándar.
Los índices estándar se muestran en el área Activado.
4 Haga clic en los índices estándar que desee desactivar y, después, haga clic en la flecha para
moverlos al área Disponible.
El número de la indicación restante(s), situada en la esquina superior derecha de la página,

aumentará con cada índice estándar desactivado.
Ahora podrá activar más de cinco índices de acumulación para el campo acumulativo seleccionado
(véase Administración de la indización de acumulación).
Configuración de un archivo de particiones inactivas

ESM divide los datos en particiones. Cuando una partición alcanza su tamaño máximo, pasa a estar
inactiva y se elimina. Es posible configurar una ubicación de almacenamiento para las particiones
inactivas de forma que no se eliminen.
Procedimiento
de datos | Archivado.
2 Rellene los campos, que variarán en función del tipo seleccionado.
A medida que las particiones pasen a estar inactivas, se copiarán en esta ubicación y aparecerán en
las fichas Particiones de eventos y Particiones de flujos.
Véase también
Página Particiones inactivas en la página 281

3
Página Particiones inactivas

Permite configurar una ubicación de almacenamiento para particiones inactivas de manera que no se
eliminen del sistema.
Opción Definición
Activado Permite activar el archivado de particiones inactivas.
Tipo Seleccione el tipo de almacenamiento. Las opciones son CIFS, NFS, iSCSI y, si
dispone de una tarjeta SAN instalada, SAN.
El uso de un tipo de recurso compartido CIFS con versiones del servidor Samba
Tamaño Seleccione la cantidad máxima de espacio de almacenamiento que desee

asignar en el dispositivo.
Volumen SAN Si ha seleccionado el tipo SAN, seleccione el volumen de SAN. Aparecerán todos
los volúmenes listos para almacenar datos.
Editar Puede aplicar formato a otros volúmenes y agregarlos a la lista de volúmenes
SAN.
Dirección IP remota, Si ha seleccionado CIFS o NFS, escriba la información sobre el dispositivo de
Punto de montaje almacenamiento en cada uno de estos campos.
remoto, Ruta remota
Nombre de usuario, Si ha seleccionado CIFS, deberá introducir el nombre de usuario y la contraseña
Contraseña para el dispositivo de almacenamiento.
A fin de conectar con un recurso compartido CIFS, no utilice comas en la

contraseña.
Dispositivo iSCSI e IQN Seleccione el dispositivo de almacenamiento iSCSI y el nombre completo de

de iSCSI iSCSI (IQN).
El intento de conectar varios dispositivos a un IQN puede provocar la fuga de

datos y otros problemas de configuración.
En el caso de un dispositivo todo en uno ESM/Event Receiver/ELM, el dispositivo

y sus nombres completos de iSCSI (IQN) aparecerán en estos campos si ya ha
configurado la conexión con la SAN iSCSI del ELM (véase Página Configuración
iSCSI). Si dispone de dispositivos ESM y ELM dedicados, configure la conexión
con el dispositivo iSCSI (véase Página Configuración iSCSI).
Asignación de datos Ajuste el número total de registros de eventos, flujos y registros que se pueden
guardar en este dispositivo en los campos Eventos, Flujos y Registros.
Fichas Particiones de Permiten ver las particiones inactivas de eventos, flujos o registros. Es posible
eventos, Particiones de reactivar hasta 10 particiones mediante su selección en la columna Activo.
flujos o Particiones de
registro
Véase también
Configuración de un archivo de particiones inactivas en la página 280
Configuración de límites de retención de datos

Si cuenta con una configuración que envía datos históricos al sistema, puede seleccionar la cantidad
de tiempo que desea que se conserven los eventos y los flujos, así como limitar la cantidad de datos
históricos insertados.

3
Procedimiento
de datos | Retención de datos.
2 Seleccione cuánto tiempo desea que se conserven los eventos y flujos, y también si desea
restringir los datos históricos.
Véase también
Página Retención de datos en la página 282
Página Retención de datos

Seleccione la cantidad de tiempo que desea que se mantengan los eventos y los flujos, y si desea
limitar los datos históricos.

Opción Definición
Guardar todos los datos que permita el Seleccione esta opción para mantener el número máximo de eventos
sistema o flujos que permita el sistema.
Guardar datos de los últimos Seleccione esta opción si solo desea mantener los eventos y flujos
durante la cantidad de tiempo especificada.
Restringir inserción de datos históricos Seleccione esta opción si desea restringir los datos históricos;
indique la antigüedad que pueden tener los datos en el campo No
insertar datos anteriores a.
Véase también
Configuración de límites de retención de datos en la página 281
Definición de los límites de asignación de datos

El número máximo de registros de eventos y flujos que puede manejar el sistema es un valor fijo. La
asignación de datos permite establecer cuándo espacio se debe asignar a cada uno y cuántos registros
deben incluirse en las búsquedas para optimizar las consultas.
Procedimiento
de datos | Asignación de datos.
2 Haga clic en los marcadores de las líneas de números y arrástrelos a los números que desee, o bien
haga clic en las flechas de los campos Eventos y Flujos.
Véase también
Página Asignación de datos en la página 283

3
Página Asignación de datos

Permite establecer cuánto espacio se debe asignar a los eventos y los flujos, así como cuántos
registros se deben emplear para optimizar la búsqueda.

Opción Definición
Control deslizante Indique qué parte del espacio total se debe asignar a los eventos y qué
superior parte a los flujos.
Control deslizante Defina la cantidad de registros de eventos y flujos en los que se buscará
inferior cuando se realice una consulta.
Este control deslizante no aparece si no existe un dispositivo SSD.
Véase también
Definición de los límites de asignación de datos en la página 282
Administración de la configuración de índice de la base de

datos
Es posible configurar opciones para indizar campos concretos de datos en la base de datos. Los datos
se almacenarán aunque no se indicen, pero no se mostrarán en la mayoría de los resultados de las
consultas.
Procedimiento
de datos | Configuración.
2 Para cambiar la configuración actual en las columnas Eventos y Flujos, haga clic en el elemento que
desee cambiar y seleccione una nueva configuración en la lista desplegable.
3 Si selecciona Personalizado en las columnas de Puerto, se abrirá la pantalla Valores de puerto para poder
seleccionar o agregar un nuevo valor de puerto.
Véase también
Página Indización de base de datos en la página 284
Página Valores de puerto en la página 284

3
Página Indización de base de datos

Permite indicar si la información de puertos y direcciones MAC se debe almacenar o no en los índices
de la base de datos.
Opción Definición
Tabla Permite ver la configuración de indización del ESM y sus dispositivos.
Columnas Dirección MAC Seleccione la configuración actual y elija una de las opciones. Si la
configuración de un dispositivo es Heredar, empleará la configuración del
sistema.
Columnas Puerto Haga clic en la configuración actual y seleccione una de las opciones. Si
selecciona Personalizado, se abrirá la página Valores de puerto para que pueda
seleccionar o agregar un valor de puerto.
Véase también
Administración de la configuración de índice de la base de datos en la página 283
Página Valores de puerto

Permite seleccionar un puerto existente o agregar un nuevo valor de puerto.

Opción Definición
Agregar valor Permite agregar el valor seleccionado al campo Valor actual.
Nuevo Permite agregar un nuevo valor de puerto; para ello, escriba un nombre y su valor. Se
agregará a la lista y se podrá utilizar en el futuro.
Editar Permite cambiar el nombre o el valor de un puerto personalizado.
Eliminar Permite eliminar un puerto personalizado de la lista de puertos.
Valor actual Introduzca un valor de puerto; para ello, escríbalo o resáltelo y haga clic en Agregar valor.
Véase también
Administración de la configuración de índice de la base de datos en la página 283
Administración de la indización de acumulación

Si cuenta con campos personalizados que extraen datos numéricos de un origen, la indización de
acumulación puede llevar a cabo sumas o promedios con estos datos a lo largo del tiempo. Es posible
acumular varios eventos juntos y obtener un promedio de su valor, o bien generar un valor de
tendencia.
Antes de empezar
Configure un tipo personalizado de indización de acumulación (véase Creación de tipos
personalizados).
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Base de datos.
2 Haga clic en Configuración y, después, en la ficha Indización de acumulación.
3 Seleccione los índices y haga clic en Aceptar.

3
Ahora ya es posible configurar una consulta acumulativa para ver los resultados.
Véase también
Ficha Indización de acumulación en la página 285
Ficha Indización de acumulación

Permite seleccionar los índices de acumulación. Puede seleccionar cinco índices para el campo
acumulativo seleccionado. Si necesita más de cinco, puede desactivar los índices estándar y, después,
agregar más índices de acumulación al campo.
Opción Definición
Lista desplegable Seleccione el campo de acumulación al que desee agregar índices. Si necesita
más de cinco índices, seleccione Índices estándar.
Mostrar índices estándar Seleccione esta opción para ver los índices estándar en las listas Activado y
Disponible.
Lista Disponible Si ha seleccionado un campo de acumulación, seleccione los índices que
activar y haga clic en la flecha para moverlos a la lista Activado. La indicación
restante(s) en la esquina superior derecha de la página le permitirá saber
cuántos índices más puede seleccionar para el campo.
Lista Activado Permite ver los índices activados. Si ha seleccionado Mostrar índices estándar, se
mostrarán los índices estándar. Para eliminar uno, selecciónelo y haga clic en
la flecha a fin de moverlo de nuevo a la lista Disponible. Si elimina un índice
estándar, aumentará el número de índices de acumulación que se pueden
agregar al campo acumulativo.
Desde este punto en Seleccione esta opción si desea usar los índices en los datos generados a
adelante partir de este momento.
Reconstruir datos antiguos Seleccione esta opción si desea usar los índices en los datos pasados; a
continuación, seleccione la fecha de inicio de su elección.
Si lo hace, será necesario reconstruir las particiones que contienen los datos.
Véase también
Administración de la indización de acumulación en la página 284
Visualización de la utilización de memoria de la base de datos

Es posible ver e imprimir tablas que detallan la forma en que se utiliza la memoria de la base de
datos.
Procedimiento
de datos | Uso de memoria.
Las tablas Eventos y Flujos incluyen la utilización de memoria por parte de la base de datos.
2
Para imprimir los informes, haga clic en el icono Imprimir .
Véase también
Página Información de la base de datos en la página 286

3
Página Información de la base de datos

Permite ver o imprimir tablas que muestran el uso de memoria de la base de datos.
Opción Definición
Tabla Eventos Ver el uso de memoria para eventos por nombre de índice.
Tabla flujos Ver el uso de memoria para flujos por nombre de índice.
Es posible imprimir un informe de utilización de memoria.
Véase también
Visualización de la utilización de memoria de la base de datos en la página 285

Los usuarios y los grupos se deben agregar al sistema para que tengan acceso al ESM, sus
dispositivos, sus directivas y sus privilegios asociados.
En el modo FIPS, el ESM tiene cuatro funciones de usuario posibles: Usuario, Usuario avanzado, Administrador
de claves y certificados y Administrador de auditorías. Cuando el modo FIPS no está activo, existen dos tipos de
cuentas de usuario: Administrador del sistema y Usuario general.
La página Usuarios y grupos tiene dos secciones:

• Usuarios: muestra los nombres de los usuarios, el número de sesiones que tiene abiertas cada
usuario y los grupos a los que pertenecen.
• Grupos: muestra los nombres de los grupos y una descripción de los privilegios asignados a cada
uno.
Para ordenar las tablas, haga clic en Nombre de usuario, Sesiones o Nombre del grupo.
Privilegios de grupo
Cuando se configura un grupo, se establecen los privilegios de sus miembros.
Si selecciona Limitar el acceso de este grupo en la página Privilegios de Agregar grupo (Propiedades del sistema |
Agregar grupo), el acceso a estas funciones queda limitado.
• Barra de herramientas de acciones: los usuarios no pueden acceder a la administración de
dispositivos, a la administración de varios dispositivos ni al visor de transmisiones de eventos.
• Alarmas: los usuarios del grupo no tienen acceso a los destinatarios, los archivos ni las plantillas de
alarmas. No pueden crear, editar, eliminar, activar ni desactivar alarmas.
• Administrador de activos y Editor de directivas: los usuarios no pueden acceder a estas funciones.
• Administración de casos: los usuarios pueden acceder a todas las funciones salvo Organización.
• ELM: los usuarios pueden realizar búsquedas de ELM mejoradas, pero no pueden guardarlas ni
acceder a las propiedades de dispositivos ELM.
• Filtros: los usuarios no pueden acceder a las fichas de filtros Normalización de cadenas, Active Directory,
Activos, Grupos de activos ni Etiquetas.
• Informes: los usuarios solo pueden ejecutar un informe que les envíe el resultado por correo
electrónico.

3
• Propiedades del sistema: los usuarios solo pueden acceder a Informes y Listas de vigilancia.
• Listas de vigilancia: los usuarios no pueden agregar una lista de vigilancia dinámica.
• Zonas: los usuarios solo pueden ver las zonas a las que tienen acceso en su lista de zonas.
Adición de un usuario
Si dispone de privilegios de administrador del sistema, podrá agregar usuarios al sistema para que
tengan acceso al ESM, sus dispositivos, directivas y privilegios asociados. Una vez agregada, la
configuración del usuario se puede editar o eliminar.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Usuarios y grupos.
2 Introduzca la contraseña de administrador del sistema y, a continuación, haga clic en Aceptar.
3 En la sección Usuarios, haga clic en Agregar y rellene la información solicitada.
Los usuarios se agregarán al sistema con los privilegios asignados a los grupos a los que pertenezcan.
Los nombres de usuario aparecerán en la sección Usuarios de la página Usuarios y grupos. Aparecerá un
icono junto a cada nombre de usuario para indicar si la cuenta está o no activada. Si el usuario tiene
privilegios de administrador, aparecerá un icono de monarca junto a su nombre.
Véase también
Página Agregar usuario en la página 287
Página Usuarios y grupos en la página 289
Página Agregar usuario

Permite agregar un usuario para permitirle el acceso al ESM.

Opción Definición
Nombre de usuario Especifique un nombre de usuario. Si va a emplear la configuración de CAC (véase
Configuración del inicio de sesión mediante CAC), el nombre de usuario
corresponde al EDI-PI de 10 dígitos del usuario.
Alias de usuario (Opcional) Introduzca un alias si no desea que el nombre de usuario resulte
visible. Si emplea la configuración de CAC, podría corresponder al nombre de
usuario.
Contraseña Haga clic en Establecer contraseña, introduzca una contraseña exclusiva para la
cuenta, confírmela y haga clic en Aceptar.

3

Opción Definición
Función (solo Seleccione una función para este usuario. Las opciones son las siguientes:
modo FIPS)
• Usuario: estos usuarios no se pueden agregar a un grupo con privilegios de Usuario
avanzado.
• Usuario avanzado: estos usuarios se consideran administradores del sistema para
fines de UCAPL, pero podrían no disponer de todos los privilegios de un
administrador del sistema. Esta función es necesaria para asignar un usuario a
un grupo con cualquiera de estos privilegios:
• Administración del sistema • Agregar/eliminar directivas
• Administración de usuarios • Variables y reglas personalizadas
• Administración de directivas • Lista negra global
• Administrador de claves y certificados: esta función es necesaria para llevar a cabo

funciones de administración de claves. Un usuario con esta función no se puede
agregar a un grupo con privilegios de Usuario avanzado.
• Administrador de auditorías: esta función es necesaria para configurar los registros.
Un usuario con esta función no se puede agregar a un grupo con privilegios de
Usuario avanzado.
Derechos de Seleccione esta opción si desea que el usuario tenga privilegios de administrador.
administrador (no El administrador del sistema puede otorgar privilegios a los usuarios generales
en modo FIPS) mediante la creación de grupos de acceso y la asignación de usuarios a estos
grupos. El administrador del sistema es el único usuario que tiene acceso a todas
las áreas del sistema, incluida el área de usuarios y grupos.
Desactivar cuenta Seleccione esta opción si desea bloquear el acceso por parte del usuario a su
cuenta en el ESM (véase Desactivación o reactivación de usuarios).
Dirección de correo Agregue la dirección de correo electrónico del usuario, que es opcional a menos
electrónico que el usuario reciba notificaciones de informe o alarma.
• Si la dirección de correo electrónico ya existe en el sistema, selecciónela en la
lista desplegable Dirección de correo electrónico.
• Si la dirección no existe en el sistema, haga clic en Dirección de correo electrónico y
agréguela al sistema.
SMS móvil Agregue el número de SMS (mensaje de texto) del usuario.

• Si el número de envío de SMS ya existe en el sistema, selecciónelo en la lista
desplegable SMS móvil.
• Si el número no existe en el sistema, haga clic en SMS móvil y agréguelo al
sistema.
El usuario es Seleccione los grupos a los que debe pertenecer el usuario.

miembro de
Véase también
Adición de un usuario en la página 287

3
Página Usuarios y grupos

Si dispone de privilegios de administrador del sistema, puede agregar usuarios al sistema y
organizarlos en grupos con privilegios específicos. Estos privilegios limitan las funciones a las que
tendrán acceso.

Opción Definición
Tabla Usuarios Incluye los usuarios con acceso al ESM.
Tabla Grupos Incluye los grupos que hay configurados en el ESM.
Agregar, Editar y Quitar • A la derecha de la tabla Usuarios, permiten agregar usuarios nuevos y editar o
quitar los existentes.
Antes de quitar un usuario, asegúrese de que no esté establecido como

usuario asignado en una alarma.
• A la derecha de la tabla Grupos, permiten agregar grupos nuevos, así como

asignarles usuarios y privilegios.
Véase también
Adición de un usuario en la página 287
Selección de la configuración de usuario

La página Configuración de usuario ofrece la posibilidad de cambiar diversas opciones predeterminadas. Se
puede cambiar la zona horaria, el formato de fecha, la contraseña, la pantalla predeterminada y el
idioma de la consola. También puede elegir si mostrar o no los orígenes de datos desactivados, la ficha
Alarmas y la ficha Casos.
Procedimiento
2 Verifique que esté seleccionada la opción Configuración de usuario.
3 Realice cambios en la configuración según proceda y, después, haga clic en Aceptar.
La consola cambiará de aspecto en función de la configuración establecida.
Véase también
Página Configuración de usuario en la página 290

3
Página Configuración de usuario

Permite definir las opciones de configuración de la consola de ESM de forma que se adapte a sus
necesidades.
Opción Definición
Seleccione una zona horaria y Cambie la zona horaria en la primera lista desplegable o el formato de los
un formato de fecha datos en la segunda.
Todas las vistas, consultas y opciones de configuración muestran datos de

eventos, flujos y registro relativos a esta zona horaria y con este formato
de fecha a menos que se indique lo contrario de forma explícita. Si cambia
esta zona horaria, podrían generarse datos incorrectos. Por tanto, se
recomienda dejar siempre el valor GMT.
Cambiar contraseña En la página Cambiar nombre de usuario y contraseña, cambie el nombre de

usuario y la contraseña para acceder a la consola de ESM. Si no desea que
su nombre aparezca en la barra de navegación de la consola, introduzca
otro nombre de usuario en el campo Alias.
Pantalla predeterminada Seleccione el tipo de pantalla del árbol de navegación del sistema que
desee que aparezca de forma predeterminada al abrir el sistema.
Idioma Seleccione el idioma para la consola.
Mostrar orígenes de datos Seleccione esta opción si desea que los orígenes de datos desactivados se
desactivados en el árbol de muestren en el árbol de navegación del sistema. Se indicarán mediante
sistemas este icono: .
Mostrar panel de alarmas Seleccione esta opción si desea que el panel Alarmas aparezca en la
consola.
Mostrar panel de administración Seleccione esta opción si desea que el panel Casos aparezca en la consola.
de casos
Véase también
Selección de la configuración de usuario en la página 289
Configuración de la seguridad
Use la seguridad de inicio de sesión para configurar las opciones de inicio de sesión estándar,
establecer la lista de control de acceso (ACL) y definir la configuración de Common Access Card (CAC).
También se puede activar la autenticación mediante RADIUS, Active Directory y el protocolo LDAP
(solo disponible si se dispone de privilegios de administrador del sistema).
Funciones de seguridad de ESM

La familia de soluciones Nitro IPS de McAfee está diseñada para que resulte difícil de localizar en una
red e incluso más difícil aún de atacar. Los dispositivos Nitro IPS no cuentan con pila IP de forma
predeterminada, así que los paquetes no se pueden dirigir directamente a Nitro IPS.
La comunicación con un dispositivo Nitro IPS se lleva a cabo mediante la tecnología Secure Encrypted
Management (SEM, administración cifrada segura) de McAfee. SEM es un canal cifrado AES en banda
que mitiga el riesgo de ataques de reproducción o de intermediario.
Un dispositivo Nitro IPS solo se comunica a través del canal SEM cuando el emisor es un ESM
autorizado. No inicia la comunicación por su cuenta. La comunicación entre un ESM y la consola de ESM
también se envía mediante una conexión cifrada, la cual es conforme con FIPS.

3
El ESM recupera actualizaciones autenticadas y cifradas de firmas y software a través del servidor
central de McAfee mediante un mecanismo de comunicación cifrada. Existen mecanismos, tanto de
hardware como de software, para garantizar que los dispositivos se administren únicamente desde un
ESM debidamente autorizado.
Definición de la configuración de inicio de sesión estándar

Es posible ajustar la configuración para los procedimientos de inicio de sesión estándar mediante la
definición de la cantidad de intentos de inicio de sesión que se pueden realizar en un periodo de
tiempo especificado, cuánto tiempo puede estar inactivo el sistema, las opciones relacionadas con las
contraseñas y si se debe mostrar o no el ID del último usuario al iniciar sesión.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad de inicio
de sesión.
2 Defina las opciones en la ficha Estándar.
3 Haga clic en Aceptar o en Aplicar.
Véase también
Ficha Estándar en la página 291
Ficha Estándar
Permite definir la configuración de inicio de sesión general para el sistema.

Opción Definición
Intentos de inicio de sesión Especifique el número de inicios de sesión fallidos consecutivos que se
fallidos permitidos permiten en una única sesión. Si se supera este número en el tiempo
especificado, la cuenta se bloqueará y el administrador del sistema tendrá
que desbloquearla mediante Usuarios y grupos. El valor 0 indica que se permite
un número infinito de intentos de inicio de sesión.
La cuenta principal no se puede bloquear.
Espacio de tiempo de intentos Defina el espacio de tiempo para los intentos de inicio de sesión fallidos
de inicio de sesión fallidos consecutivos. El intervalo oscila entre 0 y 1440 minutos. Este campo
funciona junto con Intentos de inicio de sesión fallidos permitidos. Cuando se alcanza
el número de intentos fallidos permitido en el espacio de tiempo
especificado, la cuenta se bloquea. Permanecerá bloqueada durante el
tiempo definido en el campo Duración de bloqueo en error de inicio de sesión o hasta
que la desbloquee el administrador del sistema.
Duración de bloqueo en error Especifique la cantidad de tiempo que debe permanecer bloqueada una
de inicio de sesión cuenta si se bloquea automáticamente debido a los inicios de sesión fallidos.
El valor máximo es 1440 minutos; 0 significa que no se debe desbloquear
automáticamente. Transcurrido ese tiempo, la cuenta se desbloquea
automáticamente. Esto no afecta a las cuentas que se han bloqueado
manualmente. Los administradores pueden desbloquear la cuenta en
cualquier momento.

3

Opción Definición
Valor de tiempo de espera de Especifique la cantidad de tiempo que debe transcurrir sin actividad de
interfaz de usuario forma que aparezca la pantalla de inicio de sesión para la sesión actual. Por
ejemplo, si el valor se establece en 30 minutos, la aplicación muestra
automáticamente la pantalla de inicio de sesión tras 30 minutos de
inactividad, lo cual obliga a iniciar sesión de nuevo para poder reanudar las
actividades. El valor 0 significa que no existe límite.
Bloquear automáticamente las Configure el ESM para que bloquee las cuentas de usuario que no tengan
cuentas inactivas después de derechos de administrador tras el número especificado de días de
inactividad. El valor máximo es 365 días; el mínimo es 0, que equivale a
desactivar esta función. El bloqueo permanece hasta que un administrador
desbloquea la cuenta.
Sesiones activas de un Establezca el número de sesiones activas que puede tener un usuario
usuario simultáneamente. El máximo es 10; el valor 0 desactiva la restricción.
Mostrar el último ID de Indique si desea que el campo de nombre de usuario se rellene

usuario al iniciar sesión automáticamente con el utilizado en el último inicio de sesión correcto.
Configuración de la ACL Seleccione esta opción si desea establecer una lista de direcciones IP que
pueden acceder al sistema o que tienen el acceso bloqueado.
Véase también
Definición de la configuración de inicio de sesión estándar en la página 291
Definición de la configuración de contraseña de inicio de sesión

Existen varias opciones de configuración que se pueden definir en relación con la contraseña de inicio
de sesión del sistema.
Antes de empezar
Debe tener derechos de administrador del sistema.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Seguridad
de inicio de sesión.
2 Haga clic en la ficha Contraseñas, realice sus selecciones y haga clic en Aplicar o en Aceptar.
Véase también
Ficha Contraseñas en la página 293

3
Ficha Contraseñas
Si dispone de privilegios de administrador, puede definir diversas opciones de configuración para las
contraseñas del sistema.
Opción Definición
Contraseña avanzada Seleccione esta opción si desea que el sistema exija que todas las contraseñas
requerida cumplan los siguientes requisitos de longitud y caracteres. Como mínimo:
• 15 caracteres de longitud
• 2 números
• 2 símbolos o signos de puntuación
• 2 letras minúsculas
• 2 letras mayúsculas
• No se permiten 4 o más caracteres repetidos consecutivos
Si una contraseña no cumple estos requisitos, no se acepta.
Caducidad de la Especifique con qué frecuencia se debe cambiar la contraseña. El intervalo oscila
contraseña entre 0 y 365 días. Si se selecciona 0, la contraseña no caduca.
Notificación previa a Seleccione el número de días antes de la caducidad de la contraseña para
caducar la contraseña recordarle al usuario que debe cambiar la contraseña. El valor máximo es 30 y el
mínimo 1.
Período de gracia de Seleccione el período de tiempo tras caducar la contraseña de un usuario en que
caducidad de aún podrá iniciar sesión. Tras el período de gracia, la cuenta se bloquea y es
contraseña necesario que la desbloquee el administrador.
Inicios de sesión en Seleccione las veces que un usuario podrá iniciar sesión durante el período de
período de gracia tiempo especificado tras caducar la contraseña. Tras este número de inicios de
sesión en el período de gracia, la cuenta se bloquea y es necesario que la
desbloquee el administrador.
Número de historiales Indique si el historial de contraseñas utilizadas por una persona debe
de contraseñas almacenarse en el sistema y cuántos historiales se deben almacenar por cada
usuario. El intervalo oscila entre 0 y 100 contraseñas. Si se indica 0, no se
almacena el historial. Si existe un historial, se comprueba cuando un usuario
modifica una contraseña. En caso de no ser exclusiva, se devuelve un error y la
contraseña no se actualiza. Si es exclusiva, la contraseña se cambia y se agrega
una entrada nueva al historial. Si se alcanza el límite de almacenamiento, se
borra la contraseña más antigua.
Restringir cambios de Permite restringir la frecuencia con que un usuario puede cambiar la contraseña.
contraseña una vez Por ejemplo, si selecciona 12, los usuarios no podrán cambiar sus contraseñas
cada más de una vez cada 12 horas.
Véase también
Definición de la configuración de contraseña de inicio de sesión en la página 292
Configuración de las opciones de autenticación RADIUS

Es posible configurar el ESM para autenticar a los usuarios mediante un servidor RADIUS.

3
Procedimiento
de sesión.
2 Seleccione la ficha RADIUS y rellene los campos correspondientes al servidor principal. El servidor
secundario es opcional.
3 Haga clic en Aceptar o en Aplicar.
Cuando se activa el servidor, todos los usuarios excepto el administrador del sistema se autentican a
través de RADIUS. Si la autenticación está desactivada, los usuarios configurados para la autenticación
mediante RADIUS no pueden acceder a ESM.
Véase también
Página Configuración de autenticación RADIUS en la página 294
Página Configuración de autenticación RADIUS

Es posible configurar el ESM para autenticar a los usuarios mediante un servidor RADIUS.
RADIUS no es conforme a FIPS. Si está obligado a cumplir las normas de FIPS, se recomienda no utilizar
esta función.

Opción Definición
Activado Seleccione esta opción para activar la autenticación RADIUS. Cuando
está activada, todos los usuarios excepto el administrador del sistema
se deben autenticar a través del servidor RADIUS. Si la autenticación
está desactivada, los usuarios configurados para la autenticación
mediante RADIUS no pueden acceder al sistema.
Dirección IP del servidor principal y Introduzca la dirección IP del servidor RADIUS. No es necesario
Dirección IP del servidor secundario indicar la dirección IP, el puerto de servidor y el secreto compartido
secundarios.
Puerto del servidor principal y Puerto Introduzca el puerto del servidor RADIUS.
del servidor secundario
Secreto compartido principal y Introduzca el secreto compartido (similar a una contraseña)
Secreto compartido secundario correspondiente al servidor RADIUS.
Véase también
Configuración de las opciones de autenticación RADIUS en la página 293
Configuración de la lista de control de acceso

Es posible configurar una lista con las direcciones IP que pueden acceder al ESM o que tienen el
acceso bloqueado.

3
Procedimiento
de sesión.
2 Haga clic en Configuración de la ACL y, después, agregue direcciones IP a la lista.
3 Haga clic en Aceptar para guardar la configuración y cerrar la Lista de control de acceso.
Cabe la posibilidad de editar o quitar direcciones IP en la lista ACL.
Véase también
Página Lista de control de acceso en la página 295
Página Lista de control de acceso

Permite configurar una lista de direcciones IP que pueden acceder al ESM o a un dispositivo, o bien
que tienen el acceso bloqueado.

Opción Definición
Permitir estas direcciones Seleccione esta opción si desea permitir el acceso de las direcciones IP al
sistema.
Rechazar estas direcciones Seleccione esta opción si desea bloquear el acceso de las direcciones IP al
ESM.
Tabla Dirección/máscara IP Permite ver las direcciones IP ya agregadas a la lista.
Agregar Permite agregar una dirección IP o máscara a la lista.
Editar Permite cambiar la dirección IP resaltada en la lista.
Quitar Permite eliminar la dirección IP resaltada en la lista.
Véase también
Configuración de la lista de control de acceso en la página 294
Configuración de CAC
Es posible autenticarse con el ESM proporcionando credenciales CAC a través del navegador en lugar
de introduciendo un nombre de usuario y una contraseña.
Las CAC contienen un certificado de cliente que identifica al usuario, de forma similar a un certificado
de servidor que identifica un sitio web. Si activa la función CAC, se da por hecho que está familiarizado
con la autenticación basada en CAC. Se espera que conozca qué navegadores son compatibles con
esta funcionalidad y que esté familiarizado con el identificador personal para el intercambio electrónico
de datos (EDI-PI) asociado con las CAC.
Los certificados se revocan en ocasiones. Las listas de revocación de certificados (CRL) proporcionan
una forma para que los sistemas estén al tanto de estas revocaciones. Cabe la posibilidad de cargar
manualmente un archivo .zip con archivos CRL.
ActivClient es el único software intermedio CAC compatible con Windows. A fin de usar la
autenticación CAC en el ESM desde Windows a través de Internet Explorer, hay que tener ActivClient
instalado en el equipo cliente. Una vez instalado ActivClient, se emplea para administrar las
credenciales CAC en lugar del administrador de tarjetas inteligentes nativo de Windows. Lo más
probable es que el software ActivClient ya esté instalado si el cliente accede a otros sitios compatibles

3
con CAC. Las instrucciones sobre la configuración de ActivClient y la ubicación del software para su
descarga se pueden obtener en http://militarycac.com/activclient.htm o en la intranet de su
organización.
Cuando se utiliza la validación CAC para la autenticación de aplicaciones, la seguridad del sistema
depende de la seguridad de la autoridad de certificación (CA). Si la CA está expuesta a riesgos, los
inicios de sesión mediante CAC también lo estarán.
Véase también
Configuración del inicio de sesión mediante CAC en la página 296
Configuración del inicio de sesión mediante CAC

A fin de configurar el inicio de sesión CAC, es necesario cargar los certificados raíz de CA, activar la
función de inicio de sesión mediante CAC y activar un usuario CAC mediante el establecimiento del
nombre distintivo completo (FQDN) del titular de la tarjeta como nombre de usuario. El titular de la
tarjeta puede entonces acceder al ESM mediante un navegador compatible con CAC sin tener que
introducir un nombre de usuario y una contraseña.
ESM es compatible con los lectores de tarjetas Gemalto y Oberthur ID One. Llame al Soporte técnico si
necesita ayuda con su lector de tarjetas.
Procedimiento
1 Cargue el certificado raíz de CA.

a En el panel de control de su equipo, haga clic en Opciones de Internet | Contenido | Certificados |
Entidades de certificación raíz de confianza.
b Seleccione su CA raíz actual y haga clic en Exportar.
c En el Asistente para exportar certificados, haga clic en Siguiente, seleccione X.509 codificado base 64 y haga
clic en Siguiente.
d Introduzca la ubicación y el nombre del archivo que va a exportar, haga clic en Siguiente y,
después, en Finalizar.
e En el árbol de navegación del sistema de la consola del ESM, acceda a Propiedades del sistema, haga
clic en Seguridad de inicio de sesión y, después, seleccione la ficha CAC.
f Haga clic en Cargar, navegue hasta el archivo exportado y cárguelo en el ESM.
2 En la ficha Seguridad de inicio de sesión | CAC, introduzca la información y realice las selecciones
solicitadas; a continuación, haga clic en Aceptar.
3 Active cada uno de los usuarios CAC.

a En Propiedades del sistema, haga clic en Usuarios y grupos y escriba la contraseña del sistema.
b En la tabla Usuarios, resalte el nombre del usuario y haga clic en Editar.
c Sustituya el nombre del campo Nombre de usuario por el FQDN.
d (Opcional) Introduzca el nombre de usuario en el campo Alias de usuario y haga clic en Aceptar.
Véase también
Configuración de CAC en la página 295
Página Configuración de Common Access Card en la página 297

3
Página Configuración de Common Access Card

Permite configurar los usuarios de forma que puedan acceder a la consola de ESM mediante un
navegador compatible con CAC sin que se les solicite el nombre de usuario y la contraseña.

Opción Definición
El modo CAC está Seleccione el modo correspondiente a Common Access Card (CAC). Las opciones
actualmente son las siguientes:
establecido en
• DESACTIVADO: esta es la opción predeterminada. El inicio de sesión CAC está
desactivado, así que los usuarios deben iniciar sesión mediante el cuadro de
inicio de sesión de ESM.
• OPCIONAL: la autenticación CAC está disponible, pero si el usuario no
proporciona un certificado, aparece el cuadro de inicio de sesión de ESM como
si el modo CAC estuviera desactivado.
• REQUERIDO: solo se puede acceder al sistema mediante el inicio de sesión CAC.
El cuadro de inicio de sesión no se muestra nunca. Si selecciona esta opción,
introduzca un código PIN de seguridad en Código PIN de seguridad para modo requerido
(IPv4). Se trata del código PIN que se introduce en el panel LCD si es necesario
cambiar el modo CAC a OPCIONAL en caso de que se bloquee el acceso al
sistema de todos los usuarios. El código PIN debe tener el formato IPv4
(10.0.0.0) porque así lo reconoce el panel LCD.
Los certificados y las autoridades de certificación caducan, así que el modo

REQUERIDO podría llegar a bloquear el acceso de todos los usuarios al ESM. Existe
un botón de modo a prueba de errores situado en el panel LCD, en la parte
delantera del ESM, que cambia el modo CAC de nuevo a OPCIONAL.
Credenciales de Permite cargar la cadena de certificados raíz de CA de forma que el ESM tenga
certificado acceso a ellos. Es posible ver el archivo de certificado o descargarlo a una
ubicación seleccionada.
Lista de revocación de Cargue la lista de certificados revocados o descárguelos a la ubicación de su
certificados elección.
Configurar un Configure una planificación de recuperación automática; para ello, escriba la
programa de dirección URL y la frecuencia con la que el ESM debería buscar actualizaciones de
recuperación archivos de revocación.
Véase también
Configuración del inicio de sesión mediante CAC en la página 296
Configuración de las opciones de autenticación de Active Directory

Es posible configurar el ESM de forma que los usuarios se autentiquen mediante Active Directory. Cuando
está activada esta opción, todos los usuarios excepto el administrador del sistema se autentican a
través de Active Directory. Si la autenticación está desactivada, los usuarios configurados para la
autenticación mediante Active Directory no pueden acceder al sistema.
Antes de empezar
• Configure un Active Directory al que se pueda acceder desde ESM.
• Cree un grupo (véase Configuración de grupos de usuarios) con el mismo nombre que el
grupo de Active Directory que tiene acceso al ESM. Por ejemplo, si asigna al grupo el
nombre "Usuarios de McAfee", deberá acceder a Propiedades del sistema | Usuarios y grupos y
agregar un grupo con el nombre "Usuarios de McAfee".

3
Procedimiento
de sesión.
2 Haga clic en la ficha Active Directory y seleccione Activar autenticación de Active Directory.
3 Haga clic en Agregar y agregue la información solicitada para configurar la conexión.
4 Haga clic en Aceptar en la página Conexión de Active Directory.
Véase también
Página Autenticación de Active Directory en la página 298
Página Conexión de Active Directory en la página 298
Página Autenticación de Active Directory

Permite ver la lista de dominios de Active Directory y configurar el ESM para autenticar los usuarios
mediante Active Directory.

Opción Definición
Activar autenticación de Active Seleccione esta opción o anule su selección para activar o desactivar la
Directory autenticación de usuarios mediante Active Directory. Si anula la selección
de la autenticación, los usuarios configurados para la autenticación
mediante Active Directory no podrán acceder al sistema.
Agregar Permite configurar la conexión con Active Directory.
Editar Realizar cambios en el dominio seleccionado en la lista.
Eliminar Eliminar el dominio seleccionado en la lista.
Véase también
Configuración de las opciones de autenticación de Active Directory en la página 297
Página Conexión de Active Directory

Permite configurar la conexión entre el ESM y Active Directory.

Opción Definición
Usar como Seleccione esta opción si desea usar este dominio como predeterminado.
predeterminado
Nombre de dominio Escriba el nombre del dominio.
Cuando se inicia sesión en el sistema, se puede utilizar este nombre de

dominio como nombre de usuario. Si inicia sesión mediante su nombre de
usuario, se empleará el dominio designado como predeterminado.

3

Opción Definición
Botón Agregar Permite agregar direcciones IP utilizadas para Active Directory.
• Servidor de administración: seleccione esta opción si se trata de la dirección del
servidor de administración. De lo contrario, anule su selección.
Una de las direcciones introducidas debe identificar el host donde se ejecuta

el servidor de administración.
• Dirección IP: escriba la dirección IP para Active Directory.

• Puerto y Puerto LDAP: permite cambiar los valores predeterminados, si procede.
• Usar TLS: seleccione esta opción a fin de utilizar el protocolo de cifrado TLS
para los datos.
Botón Editar Realizar cambios en la configuración existente de direcciones IP.

Botón Eliminar Eliminar una dirección IP existente.
Véase también
Configuración de las opciones de autenticación de Active Directory en la página 297
Configuración de credenciales para McAfee ePO

Es posible limitar el acceso a un dispositivo McAfee ePO mediante la configuración de credenciales de
usuario.
Antes de empezar
El dispositivo McAfee ePO no debe estar configurado para requerir la autenticación de
usuario global (véase Configuración de la autenticación de usuarios global).
Procedimiento
1 En la barra de navegación del sistema de la consola de ESM, haga clic en opciones y seleccione
Credenciales de ePO.
2 Haga clic en el dispositivo y, después, en Editar.
Si la columna de estado del dispositivo indica No necesario, el dispositivo está configurado para la
autenticación de usuarios global. Es posible cambiar el estado en la página Conexión del dispositivo
(véase Cambio de la conexión con ESM).
3 Escriba el nombre de usuario y la contraseña, compruebe la conexión y haga clic en Aceptar.
Para acceder a este dispositivo, los usuarios necesitan el nombre de usuario y la contraseña
agregados.
Véase también
Página Credenciales de McAfee ePO en la página 300

3
Página Credenciales de McAfee ePO

Permite establecer las credenciales de usuario a fin de limitar el acceso a un dispositivo McAfee ePO.

Opción Definición
Tabla Ver los dispositivos McAfee ePO del ESM. Si la columna Estado indica No necesario, el
dispositivo está configurado para la autenticación de usuarios global. Si indica Sin credenciales,
el dispositivo está configurado para requerir la autenticación individual de los usuarios.
Para cambiar la configuración de autenticación de los usuarios, acceda al cuadro de diálogo

Propiedades del dispositivo McAfee ePO, haga clic en Conectar y cambie la configuración en el
campo Solicitar autenticación de usuario.
Editar Haga clic en esta opción para agregar o cambiar las credenciales necesarias para que una
persona acceda al dispositivo McAfee ePO seleccionado. Escriba el nombre de usuario y la
contraseña; a continuación, haga clic en Probar conexión.
Eliminar Haga clic en esta opción para eliminar las credenciales del dispositivo seleccionado. Se le
pedirá confirmación.
Véase también
Configuración de credenciales para McAfee ePO en la página 299
Desactivación o reactivación de usuarios

Si un usuario supera los intentos de inicio de sesión permitidos en el espacio de tiempo definido en
Seguridad de inicio de sesión, use esta función para reactivar la cuenta. También puede usar esta función si
es necesario bloquear el acceso de un usuario temporal o permanentemente sin eliminarlo del
sistema.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema | Usuarios y grupos.
2 En la tabla Usuarios, resalte el nombre del usuario y haga clic en Editar.
3 Seleccione o anule la selección de Desactivar cuenta y haga clic en Aceptar.
El icono situado junto al nombre de usuario en Usuarios y grupos refleja el estado de la cuenta.
Autenticación de usuarios mediante un servidor LDAP

Es posible configurar ESM de forma que los usuarios se autentiquen mediante un servidor LDAP.
Procedimiento
de sesión.
2 Haga clic en la ficha LDAP.
3 Rellene los campos y, después, haga clic en Aplicar o en Aceptar.

3
Cuando está activada esta opción, todos los usuarios excepto el administrador del sistema se deben
autenticar con el servidor LDAP. Si la autenticación está desactivada, los usuarios configurados para la
autenticación LDAP no pueden acceder al sistema.
Véase también
Página Autenticación LDAP en la página 301
Página Autenticación LDAP

Permite configurar los usuarios para la autenticación con un servidor LDAP.
Opción Definición
Activar Si desea que todos los usuarios excepto el administrador del sistema se
autentiquen mediante el servidor LDAP, seleccione Activar. Si la autenticación
está desactivada, los usuarios configurados para la autenticación mediante
LDAP no pueden acceder al sistema.
Dirección IP Escriba la dirección IP del servidor LDAP.
Puerto Cambie el puerto del servidor, si procede.
Usar TLS o Usar SSL Seleccione estas opciones si desea emplear un protocolo de cifrado para los
datos.
Nombre del dominio base Escriba el dominio en el que se deben comprobar las credenciales.
Atributo de grupo Atributo donde se almacena la información sobre el grupo del usuario.
Normalmente, no es necesario modificar este campo.
Filtro de grupo Filtro utilizado para recopilar información de grupo. Puede incluir o excluir
grupos específicos de los resultados de la búsqueda.
Filtro de usuario Filtro utilizado para recopilar información de usuario. Puede incluir o excluir
usuarios específicos de los resultados de la búsqueda.
Véase también
Autenticación de usuarios mediante un servidor LDAP en la página 300
Configuración de grupos de usuarios

Los grupos constan de usuarios que heredan la configuración aplicada al grupo. Cuando se agrega un
grupo, se le deben asignar dispositivos, directivas y privilegios.
Procedimiento
Usuarios y grupos | Agregar.
2 Rellene la información solicitada en cada ficha y, después, haga clic en Aceptar.
El grupo se agregará a la tabla Grupos de la página Usuarios y grupos.

3
Véase también
Página Agregar grupo en la página 302
Página Usuarios en la página 303
Página Privilegios en la página 303
Página Permisos en la página 304
Página Dispositivos en la página 305
Página Directivas en la página 305
Página Filtros de dirección IP en la página 305
Página Agregar zonas de grupo en la página 306
Página Reenvío de eventos en la página 306
Página Restricciones de tiempo para grupo en la página 306
Página Informes en la página 307
Página de acceso a Vistas en la página 307
Página de acceso Listas de vigilancia en la página 307
Página Agregar grupo

Permite configurar grupos con privilegios específicos para poder asignarles usuarios y asegurarse de
que tienen acceso a las funciones necesarias.

Opción Definición
Nombre y descripción Escriba el nombre para este grupo y una descripción.
Usuarios Seleccione los usuarios que formarán parte de este grupo.
Privilegios Seleccione los privilegios asociados con este grupo. Cuando resalte un privilegio,
podrá ver una descripción en el cuadro Descripción.
Dispositivos Permite seleccionar los dispositivos a los que podrán acceder los usuarios. Si
selecciona todos los dispositivos, los usuarios también tendrán acceso a los
dispositivos nuevos que se agreguen al sistema.
Directivas Seleccione las directivas que los usuarios pueden usar y modificar.
Filtros de dirección IP Si desea restringir el acceso por parte de los usuarios a datos de informes o
alarmas únicamente en el caso de una dirección IP concreta, haga clic en Agregar y
escriba la dirección.
Zonas Seleccione las zonas a las que los usuarios pueden acceder y modificar.
Reenvío de eventos Seleccione los destinos de reenvío de eventos a los que los usuarios pueden
acceder y modificar. Esto define los dispositivos desde los que un usuario puede
reenviar datos, en caso de que el grupo también disponga del privilegio de
reenvío de eventos, así como los filtros que especifican los tipos de eventos que
se reenvían. Cuando se agrega un destino de reenvío de eventos a un usuario
concreto, se agrega a todos los grupos de los que forma parte el usuario, siempre
que los grupos tengan el privilegio de reenvío de eventos.
Si un destino de reenvío de eventos no pertenece a un grupo de acceso, cuenta

con acceso a todos los dispositivos.
Restricciones de Permite agregar restricciones de día y hora a fin de limitar el acceso por parte del
tiempo para grupo grupo al ESM.
Informes Permite seleccionar los informes que pueden ver y modificar los usuarios de este
grupo. El grupo debe tener el privilegio Informes.
Vistas Permite seleccionar las vistas que pueden ver y modificar los usuarios de este
grupo. También puede compartir la visibilidad con otros usuarios y grupos.

3

Opción Definición
Listas de vigilancia Permite seleccionar las listas de vigilancia que pueden ver y modificar los usuarios
de este grupo. También puede compartir la visibilidad con otros usuarios y
grupos.
Filtros Seleccione los conjuntos de filtros que los usuarios de este grupo podrán ver,
modificar o ambas cosas.
Véase también
Configuración de grupos de usuarios en la página 301
Página Usuarios
Seleccione los usuarios que formarán parte de este grupo.
Opción Definición
Tabla Muestra todos los usuarios que se han agregado al sistema. Seleccione los usuarios
que desee agregar al grupo.
Seleccionar todo Selecciona todos los usuarios. Después, podrá anular la selección de los usuarios
que no formarán parte del grupo.
No seleccionar nada Anula la selección de todos los usuarios. Después, podrá seleccionar los usuarios
que formarán parte del grupo.
Véase también
Página Privilegios
Permite agregar o eliminar los privilegios asociados a este grupo.
Opción Definición
Limitar el acceso de este grupo Limita los privilegios del grupo (véase Uso de usuarios y grupos).
Lista Privilegios Incluye todos los privilegios disponibles en el ESM. Selecciónelos o anule su
selección de forma individual, o bien haga clic en Seleccionar todo o No
seleccionar nada.
Descripción Muestra una descripción sobre el privilegio seleccionado.
Véase también

3
Página Permisos
Seleccione los usuarios y los grupos que deben tener permiso para leer y modificar las vistas, las listas
de vigilancia o los informes resaltados. Los permisos de los elementos personalizados de solo lectura
solo los puede cambiar el creador de los elementos.

Opción Definición
(Solo vistas)
Heredar permisos de Es necesario disponer de privilegios de tipo Maestro o Administrativo para activar o
la carpeta principal desactivar esta opción.
Esta opción está seleccionada de forma predeterminada. Si no desea que se

hereden los permisos del elemento principal, anule la selección de esta opción. Se
activarán las fichas Grupos y Usuarios.
(Solo informes y
listas de Es necesario disponer de privilegios de tipo Maestro o Administrativo para activar o
vigilancia) desactivar esta opción.
Heredar
configuración de Esta opción está seleccionada de forma predeterminada. Los usuarios heredan los
modificación privilegios de Modificar. Anule la selección de esta opción si desea cambiar la
configuración predeterminada.
Ficha Grupos Incluye todos los grupos a los que tiene acceso en función de su pertenencia a
ellos (véase Configuración de grupos de usuarios). Indique los grupos que deben
tener acceso a los elementos seleccionados. Puede seleccionar Solo lectura, Modificar o
ninguna de las dos opciones. Si no selecciona ninguna, el grupo dispondrá de
derechos de denegación. Si selecciona Modificar, se selecciona automáticamente Solo
lectura.
Se muestra un seudogrupo denominado Predeterminado en el caso de los usuarios de
tipo Maestro o Administrativo. Los grupos que se creen en el futuro obtendrán este
privilegio.
Ficha Usuarios Incluye todos los usuarios a los que tiene acceso en función de su pertenencia a
grupos (véase Configuración de grupos de usuarios). Indique los usuarios que
deben tener acceso a los elementos seleccionados. Puede seleccionar Solo lectura,
Modificar o ninguna de las dos opciones. Si no selecciona ninguna, el usuario
dispondrá de derechos de denegación. Si selecciona Modificar, se selecciona
automáticamente Solo lectura.
Los privilegios de usuario tienen prioridad sobre los privilegios de grupo. Por
ejemplo, si a un usuario solo se le asigna acceso de Lectura a un recurso pero su
grupo tiene acceso para Modificar, el usuario solo podrá Leer los elementos
seleccionados.
Es posible agregar usuarios a la lista o eliminarlos de ella.

1 Haga clic en Agregar, haga clic en los usuarios y, después, haga clic en Aceptar.
2 Por cada usuario, seleccione Leer o Modificar y, después, haga clic en Aceptar.
Si un usuario no está en la lista, el sistema utiliza los privilegios de grupo del
usuario. Si un usuario está en la lista pero no tiene marcadas las opciones Leer o
Modificar, el usuario tendrá derechos de denegación explícitos para el recurso.
Si ha seleccionado más de una vista, lista de vigilancia o informe, una casilla de verificación de triple
estado en la columna Leer o Modificar de la ficha Grupos o Usuarios indica que existe un conflicto en esa
configuración de los elementos seleccionados. No podrá guardar y cerrar la página hasta que resuelva el
conflicto. Haga clic en la casilla de verificación para resolver la configuración de todos los elementos
seleccionados.

3
Véase también
Página Dispositivos
Permite seleccionar los dispositivos a los que podrá acceder este grupo.

Opción Definición
Lista de dispositivos Incluye todos los dispositivos del ESM. Seleccione los dispositivos a los que
debe tener acceso este grupo.
Seleccionar todo Permite seleccionar todos los dispositivos de la lista.
Si selecciona todos los dispositivos, los miembros de este grupo tendrán acceso
automáticamente a los dispositivos nuevos agregados al ESM.
No seleccionar nada Permite anular la selección de todos los dispositivos de la lista.
Véase también
Página Directivas
Permite seleccionar las directivas a las que pueden acceder los usuarios del grupo.
Opción Definición
Lista de directivas Incluye las directivas del ESM. Seleccione las directivas a las que puede acceder
este grupo.
Seleccionar todo Seleccionar todas las directivas.
No seleccionar nada Anular la selección de todas las directivas.
Véase también
Página Filtros de dirección IP

Permite aplicar filtros de dirección IP al grupo. Esto limita los datos que ve un usuario al ejecutar
informes o cuando se selecciona un usuario como destinatario de un informe o una alarma.
Opción Definición
Lista Ver las direcciones IP de la lista.
Agregar Agregar una dirección IP a la lista.
Editar Modificar la dirección IP seleccionada.
Quitar Eliminar la dirección seleccionada de la lista.
Véase también

3
Página Agregar zonas de grupo

Seleccione las zonas a las que puede acceder este grupo.
Opción Definición
Lista de zonas Enumera las zonas que se han agregado al ESM. Permite seleccionar las zonas a las
que puede acceder este grupo.
Seleccionar todo Permite seleccionar todas las zonas de la lista.
No seleccionar nada Permite anular la selección de todas las zonas de la lista.
Véase también
Página Reenvío de eventos

Permite seleccionar los destinos de reenvío de eventos a los que puede acceder este grupo. De esta
forma, se definen los dispositivos desde los que un usuario puede reenviar eventos y los filtros que
especifican los tipos de eventos que se pueden reenviar.

Opción Definición
Lista de destinos de reenvío Enumera los destinos que se han agregado al ESM. Seleccione los
de eventos destinos a los que podrá acceder este grupo.
Si un destino no pertenece a un grupo de acceso, debe disponer de

acceso a todos los dispositivos.
Seleccionar todo Permite seleccionar todos los destinos de la lista.

No seleccionar nada Permite anular la selección de todos los destinos de la lista.
Véase también
Página Restricciones de tiempo para grupo

Permite establecer restricciones para limitar los días y las horas en los que este grupo puede acceder
al ESM. Los usuarios reciben una notificación visual que informa de que la sesión va a caducar 15, 5 y
1 minuto(s) antes de que la sesión caduque.
Opción Definición
Activar restricciones Permite activar restricciones para el grupo.
Zona horaria Seleccione la zona horaria en la que se encuentra el grupo.
Hora de inicio / Hora de fin Seleccione la hora del día de inicio y fin para el acceso por parte del grupo. Si
debe disponer de acceso las 24 horas en los días seleccionados, seleccione
00:00 en ambos campos.
Días de la semana Seleccione los días de la semana que los miembros del grupo pueden acceder
al ESM.
Véase también

3
Página Informes
Permite seleccionar los informes que pueden ver y modificar los usuarios de este grupo. También
puede seleccionar grupos o usuarios con los que compartir los informes.
Opción Definición
Columna Nombre Incluye los informes del ESM.
Columna Leer Seleccione los informes que este grupo podrá leer. Si selecciona Modificar, también
se selecciona Leer.
Columna Modificar Seleccione los informes que este grupo podrá modificar.
Compartir Haga clic en esta opción para seleccionar otros grupos o usuarios a fin de
compartir la visibilidad de los informes seleccionados.
Véase también
Página de acceso a Vistas

Permite elegir las vistas que el grupo seleccionado podrá leer y modificar.

Opción Definición
Columna Nombre Incluye todas las vistas del ESM.
Columna Leer Seleccione las vistas que este grupo podrá leer.
Columna Modificar Seleccione las vistas que este grupo podrá modificar.
compartir la visibilidad de los elementos seleccionados.
Véase también
Página de acceso Listas de vigilancia

Permite elegir las listas de vigilancia que el grupo seleccionado podrá leer y modificar.
Opción Definición
Columna Nombre Incluye todas las listas de vigilancia del ESM.
Columna Leer Seleccione las listas de vigilancia que este grupo podrá leer. Si selecciona Modificar,
también se selecciona Leer.
Columna Modificar Seleccione las listas de vigilancia que este grupo podrá modificar.
compartir la visibilidad de los elementos seleccionados.
Véase también
Adición de un grupo con acceso limitado

Para restringir el acceso de usuarios concretos a funciones del ESM, cree un grupo que incluya dichos
usuarios. Esta opción limita su acceso a: alarmas, administración de casos, informes de ELM, listas de
vigilancia, administración de activos, editor de directivas, zonas, propiedades del sistema, filtros y

3
barra de herramientas de acciones (véase Uso de usuarios y grupos). El resto de funciones estarán
desactivadas.
Procedimiento
1
2 Haga clic en Usuarios y grupos y escriba la contraseña del sistema.

• Si el grupo ya está configurado, selecciónelo en la tabla Grupo y haga clic en Editar.
• Si va a agregar un grupo, haga clic en Agregar junto a la tabla Grupos, rellene el nombre y la
descripción y, a continuación, seleccione los usuarios.
4 Haga clic en Privilegios y seleccione Limitar el acceso de este grupo.
Casi todos los privilegios están desactivados.
5 Seleccione los privilegios que desee que tenga este grupo en la lista de privilegios restantes.
6 Haga clic en cada una de las fichas y defina el resto de la configuración del grupo.
Copia de seguridad y restauración de la configuración del

sistema
Guarde las opciones de configuración actuales del sistema de forma automática o manual de manera
que se puedan restaurar en caso de fallo del sistema o fuga de datos. También se puede establecer y
guardar la configuración actual en un ESM redundante.
Una copia de seguridad estándar guarda todas las opciones de configuración, incluidas las
correspondientes a la directiva, así como a SSH, la red y los archivos SNMP. Cuando se agrega un
dispositivo ESM nuevo, se activa Copia de seguridad y restauración para crear una copia de seguridad cada
siete días. Es posible crear copias de seguridad de los eventos, flujos y registros recibidos por el
sistema. En la primera copia de seguridad de datos de eventos, flujos o registros solamente se
guardan datos a partir del inicio del día en curso. En las copias de seguridad subsiguientes, se guardan
los datos a partir del momento de la última copia de seguridad.
Si crea copias de seguridad de eventos, flujos o registros en el ESM, el espacio de disco del ESM se
reducirá. Se recomienda descargar o eliminar periódicamente los archivos de copia de seguridad del
ESM local.
Para restaurar el sistema, puede seleccionar uno o varios archivos de copia de seguridad en el ESM,
un equipo local o una ubicación remota a fin de revertir toda la configuración y los datos a un estado
anterior. Al poner en práctica esta función, se pierden todos los cambios realizados en la configuración
tras la creación de la copia de seguridad. Por ejemplo, si lleva a cabo una copia de seguridad diaria y
desea restaurar los datos de los últimos tres días, seleccione los tres últimos archivos de copia de
seguridad. Los eventos, flujos y registros de los tres archivos de copia de seguridad se agregarán a los
eventos, flujos y registros que hay en ese momento en el ESM. Todas las opciones de configuración se
sobrescriben entonces con la configuración contenida en la copia de seguridad más reciente.

3
Véase también
Copias de seguridad de la configuración y los datos de sistema de ESM en la página 309
Restauración de la configuración de ESM en la página 310
Restauración de archivos de configuración con copias de seguridad en la página 311
Uso de los archivos de copia de seguridad en ESM en la página 312
Administración del mantenimiento de archivos en la página 312
Copias de seguridad de la configuración y los datos de sistema

de ESM
Existen varias formas de crear copias de seguridad de los datos del ESM. Cuando se agrega un ESM
nuevo, se activa Copia de seguridad y restauración para crear una copia de seguridad cada siete días. Es
posible tanto desactivar esta opción como realizar cambios en la configuración predeterminada.
Procedimiento
Información del sistema | Copia de seguridad y restauración.
2 Defina la configuración de cualquiera de estos elementos:

• Copia de seguridad automática
• Copia de seguridad manual
• ESM redundante
• Restauración del sistema a una copia de seguridad anterior
3 Haga clic en Aceptar para cerrar la página Copia de seguridad y restauración.
Véase también
Copia de seguridad y restauración de la configuración del sistema en la página 308
Página Copia de seguridad y restauración en la página 309
Página Copia de seguridad y restauración

Permite configurar el ESM a fin de crear una copia de seguridad de la configuración del sistema, o bien
restaurar el sistema a una configuración anterior.

Opción Definición
Frecuencia de copia de Cuando se agregan nuevos dispositivos ESM al sistema, la función Copia de
seguridad seguridad y restauración está activada para crear una copia de seguridad cada siete
días. Es posible cambiar la frecuencia o desactivar las copias de seguridad.
Hacer copia de seguridad Seleccione lo que desee incluir en la copia de seguridad.
de datos para

3

Opción Definición
Ubicación de copia de Seleccione dónde desea guardar la copia de seguridad:
seguridad
• ESM: se guarda en el ESM y se accede a ella mediante la página Mantenimiento de
archivos.
• Ubicación remota: se guarda en la ubicación definida en los campos que se
activan. Si va a guardar una copia del ESM y todos los datos del sistema
manualmente, deberá seleccionar esta opción.
Cuando cree una copia de seguridad en un recurso compartido CIFS, escriba

una barra (/) en el campo de ruta remota.
Hacer una copia de Permite crear manualmente una copia de seguridad de la configuración del ESM,
seguridad ahora así como de los eventos, flujos y registros (si se selecciona esta opción). Haga
clic en Cerrar cuando finalice la copia de seguridad correctamente.
Copia de seguridad Guardar manualmente una copia de la configuración y los datos del sistema del
completa ahora dispositivo. Esto no se puede guardar en el ESM, así que deberá seleccionar
Ubicación remota en el campo Ubicación de copia de seguridad e introducir la información
sobre la ubicación.
El uso de un tipo de recurso compartido CIFS con versiones del servidor Samba
Restaurar copia de Restaurar la configuración según una copia de seguridad anterior. Se abrirá la
seguridad página Restaurar para que pueda seleccionar la copia de seguridad.
Redundancia Configure un ESM redundante, el cual creará copias de seguridad de todos los
datos del ESM principal (véase ESM redundante).
Véase también
Restauración de la configuración de ESM

En caso de fallo del sistema o fuga de datos, es posible restaurar el sistema a un estado anterior
mediante la selección de un archivo de copia de seguridad.
Procedimiento
Si la base de datos contiene el máximo de registros permitidos y los registros que se van a restaurar
están fuera del intervalo de datos actual del ESM, los registros no se restauran. Para guardar datos
fuera de este intervalo y acceder a ellos, es necesario disponer de una configuración de archivado de
partición inactiva (véase Configuración de límites de retención de datos).
Información del sistema | Copia de seguridad y restauración | Restaurar copia de seguridad.
2 Seleccione el tipo de restauración que desee realizar.
3 Seleccione el archivo que desee restaurar o introduzca la información sobre la ubicación remota y,
después, haga clic en Aceptar.
La restauración de una copia de seguridad puede tardar bastante tiempo en función del tamaño del
archivo de restauración. El ESM permanecerá offline hasta que termine la restauración por completo.

3
Durante este tiempo, el sistema intentará conectar cada 5 minutos. Cuando el proceso finaliza, se
abre la página Inicio de sesión.
Véase también
Página Restaurar en la página 311
Página Restaurar
Permite restaurar el sistema a la configuración de una copia de seguridad anterior. Esto resulta útil en
caso de fallo del sistema o fuga de datos.
Opción Definición
Tipo de Seleccione el tipo de restauración que necesite llevar a cabo:
restauración
• Archivos de copia de seguridad de ESM locales: restaurar un archivo de copia de
seguridad en el ESM. Seleccione uno en la lista y haga clic en Aceptar.
• Archivos de copia de seguridad remotos: restaurar una copia de la configuración del ESM
y una copia de seguridad incremental de los datos desde una ubicación remota.
• Carpetas de copia de seguridad completa remotas: restaurar una copia de la configuración
del ESM y una copia de seguridad completa de los datos desde una ubicación
remota.
• Buscar archivo que cargar: localizar un archivo de copia de seguridad guardado en el
sistema.
Detalles Ver los detalles del archivo de copia de seguridad seleccionado en la lista de
archivos de copia de seguridad de ESM locales. Es posible descargar este archivo.
Véase también
Restauración de archivos de configuración con copias de

seguridad
Es posible restaurar archivos de configuración de SSH, red, SNMP y de otros tipos con copias de
seguridad creadas en el ESM para cada dispositivo.
Antes de empezar
Cree una copia de seguridad de los archivos de configuración del ESM (véase Copias de
seguridad de la configuración y los datos de sistema de ESM).
Procedimiento
1 En el árbol de navegación del sistema, haga clic en el dispositivo y, después, en el icono de
Propiedades .
2 Haga clic en la opción Configuración correspondiente al dispositivo, haga clic en Restaurar configuración y,
finalmente, haga clic en Sí en la página de confirmación.

3
Véase también
Uso de los archivos de copia de seguridad en ESM

Los archivos de copia de seguridad guardados en el ESM se pueden descargar, eliminar o visualizar.
También puede cargar archivos para agregarlos a la lista de archivos de copia de seguridad.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Mantenimiento de
archivos.
2 En la lista desplegable Seleccionar tipo, seleccione Archivos de copia de seguridad.
3 Seleccione la acción que desee realizar.
Véase también
Administración del mantenimiento de archivos

El ESM almacena archivos de copia de seguridad, actualizaciones de software, registros de alarmas y
registros de informes. Es posible descargar, cargar y quitar archivos de cada una de estas listas.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Mantenimiento de
archivos.
2 En el campo Seleccionar tipo de archivo, seleccione Archivos de copia de seguridad, Archivos de actualización de
software, Archivos de registro de alarmas o Archivos de registros de informes.
3 Seleccione los archivos y haga clic en una de las opciones disponibles.
Véase también
Página Mantenimiento de archivos en la página 313

3
ESM redundante
Página Mantenimiento de archivos

Permite administrar los archivos de copias de seguridad, actualizaciones de software, registros de
alarmas y registros de informes.
Opción Definición
Seleccionar tipo de archivo Seleccionar el tipo de archivo que se desea administrar.
Descargar Guardar el archivo seleccionado en una ubicación ajena al ESM.
Cargar Permite agregar un archivo al ESM.
Quitar Eliminar el archivo seleccionado para que ya no se encuentre en el
ESM.
Actualizar Actualizar la lista de archivos a fin de reflejar los cambios recientes.
Detalles (solo para archivos de Ver los detalles de la copia de seguridad seleccionada.
copia de seguridad)
Configuración (solo para archivos Acceder a la página Copia de seguridad y restauración (véase Copias de
de copia de seguridad) seguridad de la configuración y los datos de sistema de ESM).
Véase también
ESM redundante
La función de ESM redundante permite guardar la configuración actual del ESM en ESM redundantes
que se pueden convertir en el ESM principal en caso de fallo del sistema o fuga de datos. Esta función
solo está disponible para los usuarios con privilegios de administrador del sistema.
Cuando se configura un ESM redundante, los datos de configuración y directiva del ESM principal se
sincronizan automáticamente cada cinco minutos con el ESM redundante. Para configurar un ESM
redundante, es necesario definir la configuración del dispositivo redundante, que recibe la
configuración y los datos del dispositivo principal, así como definir la configuración del dispositivo
principal, que envía la configuración y los datos de copia de seguridad al dispositivo redundante. El
ESM redundante se debe configurar antes de conectarlo al ESM principal.
La función de ESM redundante no está disponible en los dispositivos combinados ESMREC.
Véase también
Configuración de un ESM redundante en la página 313
Sustitución de un ESM redundante en la página 315
Configuración de un ESM redundante

Para guardar la configuración del sistema en un ESM redundante, es necesario configurar cada uno de
los ESM de forma que se comuniquen entre ellos.

3
ESM redundante
Procedimiento
1 Active SSH en el ESM principal y todos los redundantes.

a En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración
de red.
b Asegúrese de que esté seleccionada la opción Activar SSH y haga clic en Aceptar.
2 Configure los ESM redundantes.

a Inicie sesión, acceda a Propiedades del sistema en el árbol de navegación y haga clic en Información del
sistema | Copia de seguridad y restauración | Redundancia.
b En el campo Tipo de ESM, seleccione Redundante, escriba la dirección IP y el puerto SSH del ESM
principal y haga clic en Aceptar.
c Cuando se le advierta de que es necesario reiniciar el servicio, lo cual hace que todos los
usuarios pierdan la conexión con el ESM, haga clic en Sí.
La consola del ESM redundante se cerrará.
3 Inicie sesión en el ESM principal.
4 En el árbol de navegación del sistema, acceda a Propiedades del sistema y haga clic en Información del
sistema | Copia de seguridad y restauración | Redundancia.
5 En el campo de tipo de ESM, seleccione Principal, seleccione el puerto SSH para el ESM principal,
agregue una dirección de correo electrónico y seleccione o agregue el ESM redundante a la tabla.
Puede agregar un máximo de cinco ESM redundantes.
Se le advertirá de que es necesario reiniciar el servicio, lo cual hace que todos los usuarios pierdan
la conexión con el ESM.
7 Haga clic en Sí para continuar con la sincronización.

• Si ha especificado una dirección de correo electrónico para las notificaciones, se enviará un
mensaje de correo electrónico cuando el ESM esté listo para la finalización.
• Si no ha proporcionado un correo electrónico, vuelva a iniciar sesión y compruebe el estado.
8 Finalice la configuración.
a Acceda a la página Configuración de redundancia de nuevo (Paso 2a).
b Haga clic en Finalizar.
Los ESM principal y secundarios se desactivarán para la sincronización final. El sistema volverá a
activarse cuando el proceso termine.
Véase también
ESM redundante en la página 313
Página Configuración de redundancia en la página 315

3
ESM redundante
Página Configuración de redundancia

Permite configurar un ESM principal y otro secundario para guardar la configuración del sistema.

Opción Definición
Tipo de ESM Seleccione si este ESM es el principal o el ESM redundante. Si es el principal,
rellene el resto de los campos. Si es el redundante, introduzca el puerto SSH y la
dirección IP del ESM principal.
Puerto SSH Seleccione el puerto SSH a través del cual se comunican los dispositivos.
Correo electrónico para Escriba la dirección de correo electrónico de la persona que deba recibir la
notificaciones notificación cuando el ESM esté listo para la sincronización final.
Dirección IP del ESM (Cuando se selecciona Redundante) Escriba la dirección IP del ESM principal con el
principal que se va a sincronizar el ESM redundante.
Tabla (Cuando se ha seleccionado Principal) Permite administrar la lista de ESM
redundantes. Se pueden agregar hasta cinco ESM para la sincronización con el
ESM principal. Si ha recibido la notificación para finalizar una sincronización,
haga clic en el ESM y, después, en Finalizar.
Mientras la sincronización final está en curso, los usuarios pierden la conexión

con el ESM.
Exportar archivos
incrementales Utilice esta función solamente si el ESM primario y el redundante no pueden
comunicarse entre sí.
(Cuando se ha seleccionado Principal) Exporte los archivos del ESM principal a una
ubicación remota. Después, podrá transferirlos manualmente al ESM redundante.
Si el perfil de la ubicación remota ya se ha definido, podrá seleccionarlo en la
lista desplegable. De lo contrario, haga clic en Exportar archivos incrementales y
agregue el perfil al ESM.
Véase también
Sustitución de un ESM redundante

Si un ESM redundante deja de funcionar, es posible reemplazarlo por otro nuevo.
Antes de empezar
Agregue el nuevo ESM redundante al sistema.
Procedimiento
2 Haga clic en Copia de seguridad y restauración | Redundancia, seleccione Principal y escriba la nueva dirección
IP redundante en el campo Dirección IP de ESM redundante.
3 Seleccione Redundante y asegúrese de que la dirección IP del ESM principal sea correcta.

3
4 Seleccione Principal y haga clic en Conectar para verificar que existe comunicación entre ambos
dispositivos.
5 Seleccione Sincronizar todo el ESM y haga clic en Aceptar.
Véase también
ESM redundante en la página 313
Desactivación de las consultas compartidas

La función de consultas compartidas reduce la carga sobre el ESM principal en un sistema redundante.
La reducción se logra mediante la ejecución de consultas en los ESM redundantes cuando el intervalo
de fechas especificado de la consulta indica que los datos de la consulta están presentes en un ESM
redundante.
Esta función emplea de forma efectiva los recursos proporcionados por los ESM redundantes. Cuando
la función Consultas compartidas está activada, se envían consultas al ESM redundante si los datos
solicitados abarcan más de 30 días o la hora de inicio de la consulta supera las 12 horas desde la hora
actual del ESM. Los resultados de estas consultas siempre se devuelven al ESM principal.
La opción Consultas compartidas está activada de forma predeterminada. Si el ESM redundante es de un

modelo anterior, es posible que se tarde más en procesar las consultas. Si necesita que las consultas
se procesen con mayor rapidez, puede desactivar esta función.
Procedimiento
1
En el árbol de navegación del sistema, seleccione el ESM y haga clic en el icono Propiedades .
2 Haga clic en Información del sistema | Copia de seguridad y restauración | Redundancia.
3 En la página Configuración de redundancia, anule la selección de Consultas compartidas y, después, haga clic
en Aceptar.
Se produce un reinicio de CPService.
Existen varias operaciones que se pueden realizar para administrar el software, los registros, los
certificados, los archivos de funciones y las claves de comunicación de ESM.

Configuración Administrar Configurar los tipos de eventos que se almacenan en el registro de
registros eventos.
Jerarquía de ESM Configurar las opciones de datos cuando se emplean dispositivos
ESM jerárquicos.
Camuflaje Definir la configuración global para enmascarar ciertos datos en
cualquier registro de alerta enviado mediante el reenvío de eventos
o enviado a un ESM principal.
Registro Enviar eventos internos al ELM para su almacenamiento. Estos datos
se pueden usar con fines de auditoría.

3

Configuración Seleccionar el idioma del sistema que se usará para registrar
regional del sistema eventos, como en el caso del registro de dispositivos y el monitor de
estado.
Asignación de Permite anular la selección de los puertos y los protocolos de forma
nombre que muestren números sin procesar en lugar de nombres. Por
ejemplo, si se anula la selección de Puerto de origen o Puerto de destino,
http:80 se mostrará como 80. Si se selecciona Protocolos, el número
sin procesar 17 aparecerá como udp.
Administración Certificado Instalar un nuevo certificado de Secure Socket Layer (SSL).
de claves
Regenerar SSH Volver a generar el par de claves privada/pública de SSH utilizado
para comunicarse con todos los dispositivos.
Exportar todas las Exportar las claves de comunicación de todos los dispositivos del
claves sistema en lugar de tener que exportarlas una a una.
Restaurar todas las Restaurar las claves de comunicación de todos los dispositivos o los
claves dispositivos seleccionados que se exportaron mediante la función
Exportar todas las claves.
Mantenimiento Actualizar ESM Actualizar el software del ESM mediante el servidor de reglas y las
reglas de McAfee o a través de un ingeniero de seguridad de
McAfee.
Datos de ESM Permite descargar un archivo .tgz que contiene información sobre el
estado del ESM. Este estado puede ayudar al Soporte de McAfee a
solucionar problemas y corregir errores.
Administrador de Ver las consultas en ejecución en el ESM y detenerlas, si procede.
tareas
Apagar Apagar el ESM. Se le advertirá de que esta acción provoca la pérdida
de comunicación de todos los usuarios con el ESM.
Reiniciar Detener y reiniciar el ESM. Se le advertirá de que esta acción
provoca la pérdida de comunicación de todos los usuarios con el
ESM.
Terminal
Esta función está destinada únicamente a usuarios avanzados.
Introducir comandos de Linux en el ESM. El terminal es solo un

emulador parcial del modo por lotes, por lo que no están disponibles
todos los comandos.
• El terminal no mantiene un directorio de trabajo actual.
• No se puede utilizar cd para ir a otro directorio.
• Se deben emplear los nombres de rutas completos.
• Los operadores > y >> no funcionan; todos los resultados se
muestran en pantalla.
Obtener funciones Si ha adquirido funciones adicionales, actívelas en el ESM mediante

la descarga de un archivo cifrado que contiene información sobre las
funciones que admite el ESM.
Establecer funciones Instalar el archivo descargado mediante Obtener funciones.

3

Conectar Sirve para otorgar al Soporte de McAfee acceso a su sistema cuando
solicita ayuda.
Esta opción no es conforme a FIPS, así que no está disponible

cuando se emplea el modo FIPS.
Ver estadísticas Permite acceder a la información siguiente sobre cualquier

dispositivo ESM:
• Estadísticas de utilización de memoria y espacio de intercambio
• Uso de la CPU
• Actividad de conmutación del sistema
• Estadísticas de velocidad de transferencia y entrada/salida
• Promedios de longitud de cola y carga
Véase también
Página Administración de ESM en la página 318
Página Administración de ESM

Permite administrar el software, los registros, las estadísticas de dispositivos, los certificados, los
archivos de funciones y las claves de comunicación del ESM.
Ficha Opción Descripción

Ficha Administrar Configurar los tipos de eventos que se almacenan en el registro de
Configuración registros eventos.
Jerarquía de ESM Configurar las opciones de datos cuando se emplean dispositivos
ESM jerárquicos.
Camuflaje Enmascarar los campos seleccionados en cualquier registro de alerta
enviado mediante el reenvío de eventos o enviado a un ESM
principal.
Registro Enviar eventos internos al ELM para su almacenamiento. Estos datos
se pueden usar con fines de auditoría.
Configuración Seleccione el idioma que se usará para los registros de eventos,
regional del sistema como el monitor de estado y el registro de dispositivos.
Asignación de Permite anular la selección de los puertos y los protocolos de forma
nombre que muestren números sin procesar en lugar de nombres. Por
ejemplo, si se anula la selección de Puerto de origen o Puerto de destino,
http:80 se mostrará como 80. Si se selecciona Protocolos, el
número sin procesar 17 aparecerá como udp.
Ficha Certificado Instalar un nuevo certificado SSL.
Administración
de claves
Regenerar SSH Volver a generar el par de claves privada/pública de SSH utilizado
para comunicarse con todos los dispositivos. Cuando se regenere la
clave, se sustituirá el par de claves anterior en todos los dispositivos
administrados por el ESM.
Exportar todas las Exportar las claves de comunicación de todos los dispositivos del
claves sistema en lugar de tener que exportarlas una a una.
Restaurar todas las Restaurar las claves de comunicación de todos los dispositivos o los
claves dispositivos seleccionados que se exportaron mediante la función
Exportar todas las claves.

3
Ficha Opción Descripción

Mantenimiento Actualizar ESM Actualizar el software del ESM mediante el servidor de reglas y las
reglas de McAfee o a través de un ingeniero de seguridad de
McAfee.
Datos de ESM Permite descargar un archivo .tgz que contiene información sobre el
estado del ESM. Este estado puede ayudar al Soporte de McAfee a
solucionar problemas y corregir errores.
Administrador de Permite ver y administrar las consultas que se están ejecutando en
tareas el ESM.
Apagar Apagar el ESM. Se le advertirá de que esta acción provoca la
pérdida de comunicación de todos los usuarios con el ESM.
Reiniciar Iniciar el ESM. Se le advertirá de que esta acción provoca la pérdida
de comunicación de todos los usuarios con el ESM.
Terminal Introducir comandos de Linux en el ESM. El terminal es solo un
emulador parcial del modo por lotes, así que no estarán disponibles
todos los comandos (véase Comandos de Linux disponibles). El
terminal no identifica un directorio de trabajo actual. No se puede
utilizar cd para cambiar de directorio. Es necesario utilizar los
nombres de ruta completos. Los operadores > y >> no funcionan. El
sistema muestra todos los resultados en la pantalla.
Esta función está destinada únicamente a usuarios avanzados.
Obtener funciones Para activar las funciones nuevas de ESM adquiridas, descargue en
primer lugar un archivo cifrado que contiene información sobre las
funciones de ESM admitidas en su caso actualmente.
Establecer funciones Instalar el archivo descargado mediante Obtener funciones.
Conectar o Otorgar al personal de soporte técnico acceso a su sistema cuando
Desconectar se llama a McAfee para solicitar ayuda.
Esta opción no es conforme a FIPS, así que no está disponible

cuando se emplea el modo FIPS.
Ver estadísticas Permite acceder a la información siguiente sobre cualquier

dispositivo ESM:
• Estadísticas de utilización de memoria y espacio de intercambio
• Uso de la CPU
• Actividad de conmutación del sistema
• Estadísticas de velocidad de transferencia y entrada/salida
• Promedios de longitud de cola y carga
Véase también
Administración de ESM en la página 316
Administración de registros
Existen diversos tipos de eventos que se generan en el ESM. Es posible seleccionar los que se desea
guardar en el registro de eventos.

3
Procedimiento
ESM.
2 Haga clic en Administrar registros y seleccione los tipos de eventos que desee registrar.
Véase también
Página Administración de registro eventos en la página 320
Página Administración de registro eventos

Permite seleccionar los tipos de registros de eventos que debe generar el dispositivo.

Opción Definición
Especifique qué tipos de registros de eventos se Seleccione tipos o anule su selección para especificar qué
deben generar en este dispositivo tipos de registros de eventos desea que recopile este ESM. Al
hacer clic en un tipo, aparece una descripción.
Véase también
Administración de registros en la página 319
Tipos de eventos
Estos son los tipos de registros de eventos generados en el ESM.
Tipo de evento Eventos registrados

Autenticación Inicio de sesión, cierre de sesión y cambios de cuentas de usuario.
Para lograr la conformidad con las normativas de FIPS, Modo de autenticación siempre
debe establecerse con el valor Ninguno.
Copia de seguridad Proceso de copia de seguridad de la base de datos.

Lista negra Envío de entradas de lista negra al dispositivo.
Dispositivo Cualquier cambio de dispositivo o de comunicación, como obtención de eventos,
flujos y registros.
Reenvío de eventos Cambios o errores de reenvío de eventos.
Monitor de estado Eventos de estado de dispositivo.
Notificaciones Cambios o errores de notificación.
Directiva Administración y aplicación de directivas.
Servidor de reglas Descarga y validación de reglas descargadas del servidor de reglas.
En el modo FIPS, las reglas no se deben actualizar mediante el servidor de reglas.
Sistema Cambios de configuración del sistema y registro de reinicio de tablas.

Vistas Cambios en vistas y consultas.

3
Enmascaramiento de direcciones IP
Existe la posibilidad de enmascarar ciertos datos en los registros de eventos enviados mediante el
reenvío de eventos a un ESM principal.
Procedimiento
Administración de ESM | Jerarquía de ESM.
2 Seleccione Camuflar en el caso de los ESM en los que desee enmascarar los datos.
Se abrirá la página Selección de campos de ocultación.
3 Seleccione los campos que desee enmascarar.
Una vez realizada esta configuración, si un ESM principal solicita un paquete de un ESM secundario,
los datos seleccionados se ocultarán.
Véase también
Página ESM jerárquicos en la página 321
Página Selección de campos de ocultación en la página 322
Página Configuración de ocultación en la página 322
Página Red local en la página 322
Página ESM jerárquicos

Apruebe el ESM principal para permitirle extraer eventos del DESM. Sin esta aprobación, el principal
solo puede establecer filtros, sincronizar orígenes de datos e insertar sus tipos personalizados en el
DESM.

Opción Definición
Tabla ESM jerárquicos Permite ver la lista de los ESM principales que acceden a un ESM secundario.
Aprobado Seleccione esta opción para aprobar la comunicación SSH entre el ESM
principal y el DESM.
Camuflar Seleccione esta opción para ocultar los datos elegidos. Se abrirá el cuadro de
diálogo Selección de campos de ocultación.
Haga clic aquí para editar la configuración de ocultación.
Haga clic aquí para eliminar el ESM principal de la tabla. Si lo hace, ya no

podrá recuperar datos del DESM. Un administrador del sistema puede cortar
la comunicación entre un ESM principal y un DESM en cualquier momento.
Véase también
Enmascaramiento de direcciones IP en la página 321

3
Página Selección de campos de ocultación

Seleccione los datos de eventos de DESM que el ESM principal no debería ver.
Opción Definición
Lista Disponible para ocultación Muestra los campos que se pueden ocultar. Esta lista incluye campos
que podrían contener datos confidenciales, así como todos los tipos
personalizados. Para localizar un campo en la lista, escriba el nombre
en el campo de búsqueda.
Lista Campos seleccionados Muestra los campos ocultos actualmente.
Flechas Permiten mover los campos seleccionados de una lista a otra.
Vínculo Configurar las opciones de Haga clic en esta opción para agregar o cambiar la configuración de
ocultamiento globales ocultación para el sistema.
Véase también
Página Configuración de ocultación

Permite enmascarar las direcciones IP que no pertenecen a la red local.

Opción Definición
Valor de origen Si desea asegurarse de que el camuflaje se lleve a cabo de la misma forma
siempre, introduzca un origen en el campo Valor de origen o haga clic en Generar
para generar un origen aleatorio. Esto resulta útil cuando se ocultan las
direcciones IP de varios ESM y se desea mantener los valores sincronizados.
Incluir red local Seleccione esta opción para ocultar las direcciones IP de dentro y fuera de la
red local. Esto abarca los tipos personalizados de IP, tales como las
direcciones IPv4 e IPv6.
Modificar configuración de Haga clic en esta opción para editar las direcciones IP de la red local.
red local
Véase también
Página Red local

Permite establecer los detalles de la red local.
Opción Definición
Campo Red local Introduzca una lista de las direcciones IP o subredes incluidas en la red local,
separadas por comas. Este campo admite un máximo de 2000 caracteres. Si su red
local es más larga, puede consolidar varias subredes en una red local más corta
gracias a la notación CIDR.
Véase también
Descubrimiento de red en la página 485

3
Configuración del registro de ESM

Si tiene un dispositivo ELM en el sistema, puede configurar el ESM de forma que los datos de eventos
internos que genere se envíen al ELM. Para ello, es necesario configurar el grupo de registro
predeterminado.
Antes de empezar
Agregue un dispositivo ELM al sistema.
Procedimiento
ESM.
2 En la ficha Configuración, haga clic en Registro.
3 Lleve a cabo las selecciones necesarias y, a continuación, haga clic en Aceptar.
Véase también
Páginas de Registro en la página 323
Páginas de Registro
Seleccione las opciones de registro predeterminadas y el grupo de almacenamiento para guardar los
datos de eventos internos de ESM.
Opción Definición
Página Configuración de registro Seleccione Registro.
Página Asociación dispositivo - Si no ha asociado un ELM con este ESM, se le preguntará si desea
ELM hacerlo. Haga clic en Sí.
Página Seleccionar ELM para Si dispone de más de un dispositivo ELM en el sistema, seleccione el
registro ELM donde desee almacenar los datos. Este ESM siempre registrará los
datos en el ELM seleccionado.
Página Seleccionar dirección IP de Seleccione la dirección IP mediante la cual desee que se comunique el
ELM ESM con el ELM. Se le notificará cuando el ELM seleccionado esté
correctamente asociado con el dispositivo.
Página No hay grupos de ELM Si no se han configurado grupos de almacenamiento en el ELM, se le
informará de que es necesario agregar grupos de almacenamiento al
ELM antes de activar el registro.
Página Opciones de registro de Seleccione el grupo de almacenamiento donde se deben registrar los
ELM datos.
Véase también
Configuración del registro de ESM en la página 323
Exportación y restauración de claves de comunicación

Es posible exportar las claves de comunicación de todos los dispositivos del sistema a un único
archivo. Una vez exportadas las claves de comunicación, cabe la posibilidad de restaurarlas si es
necesario.
• En el árbol de navegación del sistema, seleccione Propiedades del sistema | Administración de ESM; a
continuación, haga clic en la ficha Administración de claves.

3

Exportar todas las 1 Haga clic en Exportar todas las claves.
claves de comunicación
2 Establezca la contraseña del archivo de claves y haga clic en Aceptar.
3 Seleccione la ubicación donde guardar el archivo y haga clic en Guardar.
Restaurar todas las 1 Haga clic en Restaurar todas las claves.

claves de comunicación
2 Localice el archivo creado al exportar las claves y haga clic en Abrir.
3 Haga clic en Cargar e introduzca la contraseña establecida.
4 Seleccione los dispositivos que desee restaurar y haga clic en Aceptar.
Regeneración de una clave SSH

Es posible volver a generar el par de claves privada/pública de SSH utilizado para comunicarse con
todos los dispositivos.
Procedimiento
ESM.
2 En la ficha Administración de claves, haga clic en Regenerar SSH.
Se le advertirá de que la nueva clave sustituirá a la anterior.
3 Haga clic en Sí.
Cuando se regenere la clave, sustituirá al par de claves anterior en todos los dispositivos
administrados por el ESM.
Administrador de tareas de consultas

Si cuenta con derechos de administrador o usuario principal, puede acceder al Administrador de tareas, que
muestra la lista de las consultas en ejecución en el ESM. A partir de aquí, puede cerrar consultas
concretas si están afectando al rendimiento del sistema. Las consultas de larga ejecución tienen más
probabilidades de afectar al rendimiento.
La finalidad de esta función es solucionar problemas en tiempo de ejecución de ESM, no cerrar

consultas. Utilice esta función con la ayuda del Soporte de McAfee.
Entre las características del administrador de tareas se encuentran:

• Es posible cerrar consultas de informes, vistas, listas de vigilancia, ejecución y exportación,
alarmas y API externas en el sistema. No es posible cerrar las consultas del sistema.
• Cuando se hace clic en una consulta, los detalles aparecen en el área Detalles de consulta.
• De forma predeterminada, la lista se actualiza automáticamente cada cinco segundos. Si selecciona

una consulta y la lista se actualiza automáticamente, permanece seleccionada y se actualizan los
detalles. Si la consulta se completa, deja de aparecer en la lista.
• Si no desea que la lista se actualice automáticamente, anule la selección de Actualizar lista

automáticamente.

3
• Para ver las tareas del sistema, que son las tareas que aún no se han identificado, anule la
selección de Ocultar tareas del sistema.
• Las columnas de la tabla se pueden ordenar.
• Es posible seleccionar y copiar los datos del área Detalles de consulta.
•
Si una consulta se puede cerrar, aparece un icono de eliminación en la última columna. Al hacer
clic en él, se solicita confirmación mediante un cuadro de diálogo.
Administración de consultas en ejecución en ESM

El Administrador de tareas muestra una lista de las consultas que se están ejecutando en el ESM. Es posible
ver su estado y eliminarlas si afectan al rendimiento del sistema.
Procedimiento
1
2 Haga clic en Administración de ESM, después en la ficha Mantenimiento y, por último, en Administrador de
tareas.
3 Revise la lista de consultas en ejecución y realice las acciones necesarias.
Véase también
Página Administrador de tareas en la página 325
Página Administrador de tareas

Permite ver y administrar las consultas que se están ejecutando en el ESM.
Opción Definición
Tabla Ver una lista de las consultas que se están ejecutando en el ESM. Las
columnas de la tabla se pueden ordenar.
Detalles de consulta Ver los detalles sobre la tarea seleccionada en la tabla. Es posible
seleccionar y copiar este texto.
Ocultar tareas del sistema Anule la selección de esta opción para ver las tareas del sistema, que son
las tareas que aún no se han identificado.
Actualizar lista Anule la selección de esta opción si no desea que la lista se actualice
automáticamente automáticamente cada cinco segundos. Si selecciona una consulta y la lista
se actualiza automáticamente, permanece seleccionada y se actualizan los
detalles. Si la consulta se completa, deja de aparecer en la lista.
Haga clic para eliminar la tarea.
Tenga cuidado a la hora de eliminar tareas.
Véase también
Administración de consultas en ejecución en ESM en la página 325
Actualización de un ESM principal o redundante

Si va a ampliar un ESM principal o redundante, es necesario llevar a cabo ciertos pasos para evitar
perder los datos de eventos, flujos y registros.

3
Procedimiento
1 Desactive la recopilación de alertas, flujos y registros.

a En el árbol de navegación del sistema, seleccione Información del sistema y haga clic en Eventos, flujos y
registros.
b Anule la selección de Intervalo de comprobación automática.
2 Actualice el ESM principal.
3 Actualice el ESM redundante. Esta actualización tardará más si hay archivos de redundancia que
procesar.
4 Active la recopilación de alertas, flujos y registros mediante la selección de Intervalo de comprobación

automática una vez más.
Si la actualización falla, véase Ampliación a ESM 9.3.
Acceso a un dispositivo remoto

Si un dispositivo se configura en una ubicación remota, utilice la opción Terminal para ejecutar
comandos de Linux a fin de ver el dispositivo. Esta función es para usuarios avanzados y debe
emplearse bajo la supervisión del personal de Soporte de McAfee en caso de emergencia.
Procedimiento
ESM.
2 En la ficha Mantenimiento, haga clic en Terminal.
3 Introduzca la contraseña del sistema y, a continuación, haga clic en Aceptar.
4 Introduzca los comandos Linux necesarios y lleve a cabo una exportación para guardar el contenido
en un archivo.
La exportación no incluye los resultados borrados de la página Terminal durante la sesión de terminal
en curso.
Véase también
Página Terminal en la página 327
Página Terminal de dispositivo en la página 327

3
Página Terminal
Permite ejecutar comandos de Linux para acceder a un dispositivo remoto. Esta función es para
usuarios avanzados y debe emplearse bajo la supervisión del personal de Soporte de McAfee.
Opción Definición
Introducir comando Introduzca comandos de Linux y pulse Intro.
Esto es solo un emulador del modo por lotes, así que no estarán disponibles todos los
comandos (véase Comandos de Linux disponibles).
Borrar Permite borrar el contenido del cuadro de texto Terminal.

Exportar Permite guardar el contenido del cuadro de texto.
Véase también
Acceso a un dispositivo remoto en la página 326
Página Terminal de dispositivo

Si es un usuario avanzado y está colaborando con el Soporte de McAfee, use esta opción para
introducir comandos de Linux en el dispositivo seleccionado.

Opción Definición
Introducir comando Escriba el comando. Al pulsar la tecla Retorno, el comando se agregará a la
página Terminal. Véase Comandos de Linux disponibles para ver una lista de los
comandos que puede utilizar.
Borrar Haga clic para eliminar el contenido de la página.
Exportar Permite guardar el contenido de la página en un archivo. La exportación no
incluirá los resultados borrados de la página de terminal durante la sesión de
terminal en curso.
Transferencia de archivos Transfiere archivos entre el ESM y este dispositivo.
Véase también
Acceso a un dispositivo remoto en la página 326
Utilización de comandos de Linux

Es posible usar la opción Terminal para introducir comandos de Linux en el ESM. Esta función está
destinada a usuarios avanzados. Utilícela únicamente bajo la supervisión del Soporte de McAfee en
caso de emergencia.
Procedimiento
ESM.
2 Haga clic en la ficha Mantenimiento, haga clic en Terminal, escriba la contraseña del sistema y, después,
haga clic en Aceptar.
3 Escriba los comandos Linux (véase Comandos de Linux disponibles).

3
4 Haga clic en Borrar para eliminar el contenido de la página, si fuera necesario.
5 (Opcional) Haga clic en Exportar para guardar el contenido en un archivo.
La exportación no incluye los resultados borrados de la página de terminal durante la sesión en

curso.
Comandos de Linux disponibles

Estos son los comandos disponibles en la página Terminal.
comandos de la página Terminal

• getstatsdata • echo
• ps • date
• grep • ethtool
• ifconfig • df
• kill • tar
• sensors • netstat
• service • sar
• cat • tail
• rm • locate
• iptables • tcpdump -c -w
• updatedb • ip6tables
• cp
Estos son los comandos disponibles que se modifican antes de la ejecución.
Este comando... Cambia a...

II ll--classify
ping ping -c 1
ls ls--classify
top top -b -n 1
ping6 ping6 -c 1
Para obtener información sobre el comando getstatsdata, consulte Recopilación de datos estadísticos
para la solución de problemas en el Apéndice D. Para obtener información sobre el resto de comandos,
consulte http://www.linuxmanpages.com.

3

Una lista negra es una forma de bloquear el tráfico a medida que fluye por un dispositivo Nitro IPS o
virtual antes de que el motor de inspección profunda de paquetes (DPI) lo analice.
Es posible utilizar la opción Lista negra de Nitro IPS a fin de establecer una lista negra para dispositivos
Nitro IPS individuales en el ESM. La opción Lista negra global permite establecer una lista negra aplicable
a todos los dispositivos Nitro IPS administrados por el ESM. Esta función solo permite entradas de lista
negra permanentes. A fin de establecer entradas temporales, hay que utilizar la opción Lista negra de Nitro
IPS.
Todos los dispositivos virtuales o Nitro IPS pueden usar la lista negra global. La función está
desactivada en todos los dispositivos hasta que se activa.
La página Editor de la lista negra global incluye tres fichas:
• Orígenes bloqueados: realiza una comparación con la dirección IP de origen del tráfico que pasa por el
dispositivo.
• Destinos bloqueados: realiza una comparación con la dirección IP de destino del tráfico que pasa por el
dispositivo.
• Exclusiones: impide la adición automática a cualquiera de las listas negras. Es posible agregar a las
exclusiones las direcciones IP críticas (por ejemplo, los servidores DNS y de otro tipo o las
estaciones de trabajo de los administradores del sistema) para asegurarse de que nunca se
incluyan automáticamente en las listas negras, independientemente de los eventos que puedan
generar.
Es posible configurar entradas tanto en Orígenes bloqueados como en Destinos bloqueados a fin de limitar el
efecto de la lista negra a un puerto de destino concreto.
A la hora de agregar entradas:

• La opción Agregar se activa cuando se cambia la dirección IP o el puerto.
• Las entradas de Orígenes bloqueados y Destinos bloqueados se pueden configurar para que se incluyan en
la lista negra en todos los puertos o en un puerto específico.
• Las entradas que usen un intervalo enmascarado de direcciones IP deben configurarse con el
puerto establecido como cualquiera (0), y la duración debe ser permanente.
• Aunque estas listas requieren un formato de dirección IP, se incluyen algunas herramientas que
ayudan a aportar significado a estas direcciones. Tras escribir una dirección IP o nombre de host en
el campo Dirección IP, en el botón situado junto al control se leerá Resolver o Búsqueda en función del
valor introducido. Si pone Resolver, al hacer clic se resolverá el nombre de host introducido, se
rellenará el campo Dirección IP con esa información y se moverá el nombre de host al campo
Descripción. De lo contrario, al hacer clic en Búsqueda se realizará una búsqueda sobre la dirección IP
y se rellenará el campo Descripción con los resultados de la búsqueda.
Algunos sitios web tienen más de una dirección IP o cuentan con direcciones IP cambiantes. No
confíe en esta herramienta para garantizar el bloqueo de algunos sitios web.
Véase también
Establecimiento de una lista negra global en la página 329
Establecimiento de una lista negra global

Se puede establecer una lista negra global común para todos los dispositivos seleccionados, de forma
que no sea necesario introducir la misma información en varios dispositivos.

3
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Lista negra global.
2 Seleccione las fichas Orígenes bloqueados, Destinos bloqueados o Exclusiones y administre las entradas de la
lista negra.
3 Seleccione los dispositivos que deben usar la lista negra global.
Procedimientos
• Página Administrar listas negras globales en la página 331
Seleccione los dispositivos Nitro IPS que utilizan la lista negra global.
Véase también
Uso de una lista negra global en la página 329
Página Lista negra global en la página 330
Página Administrar listas negras globales en la página 331
Página Lista negra global

Permite configurar una lista negra global para bloquear el acceso de tráfico específico a todos los
dispositivos virtuales y Nitro IPS.

Opción Definición
Ficha Orígenes Permite administrar las direcciones IP de origen que se desea bloquear.
bloqueados
Ficha Destinos Permite administrar las direcciones IP de destino que se desea bloquear.
bloqueados
Ficha Exclusiones Permite administrar la lista de direcciones IP que nunca se deben incluir en la
lista negra de forma automática, como los servidores DNS o de otro tipo, o bien
la estación de trabajo del administrador del sistema.
Dirección IP A la hora de agregar un elemento a una lista, escriba la dirección IP.
Búsqueda Permite buscar la descripción correspondiente a la dirección IP introducida.
Agregar Tras escribir la dirección IP, haga clic aquí para agregarla a la lista.
Puerto Escriba un número de puerto si desea restringir el efecto de la lista negra a un
puerto de destino específico. La configuración predeterminada es cero (0), lo cual
permite cualquier puerto.
Modificar Puede cambiar la descripción de un elemento de lista negra existente y, después,
hacer clic en esta opción.
Descripción (Opcional) Introduzca una descripción para la dirección IP o haga clic en Búsqueda
para localizar una descripción. A fin de cambiar la descripción de una dirección
existente, realice los cambios y haga clic en Modificar.
Administrar Haga clic aquí para abrir una lista de dispositivos virtuales y Nitro IPS del ESM y,
a continuación, seleccione los dispositivos que deberían utilizar la lista negra
global.
Icono Escribir Haga clic aquí cuando esté listo para guardar los elementos nuevos en el ESM. Si
sale de la página de lista negra antes de escribir los cambios, no se guardarán.

3

Opción Definición
Icono Leer Haga clic aquí para actualizar los orígenes bloqueados, los destinos bloqueados y
las exclusiones.
Icono Quitar Permite quitar el elemento seleccionado de la lista negra. El campo Estado
cambiará a Eliminar en la siguiente operación de escritura.
Icono Ver eventos Permite generar un informe de eventos procedentes de las direcciones IP que los
provocan. El informe se mostrará a modo de vista en la consola.
Véase también
Página Administrar listas negras globales

Seleccione los dispositivos Nitro IPS que utilizan la lista negra global.

Opción Definición
Tabla Permite ver una lista de los dispositivos Nitro IPS del ESM y si tienen o no activada
la lista negra global.
Columna Activado Seleccione los dispositivos que utilicen la lista negra global.
Véase también
Puede enriquecer los eventos enviados por el origen de datos situado en sentido ascendente con
contexto no presente en el evento original como, por ejemplo, una dirección de correo electrónico, un
número de teléfono o información sobre la ubicación del host. Estos datos enriquecidos pasan a formar
parte del evento analizado y se almacenan junto con el evento, de igual forma que los campos
originales.
Puede configurar orígenes de enriquecimiento de datos mediante la definición de la forma de conectar
con la base de datos y acceder a una o dos columnas de una tabla contenida en esa base de datos. A
continuación, se definen los dispositivos que recibirán los datos y la forma de enriquecer dichos datos,
tanto para eventos como para flujos.
También es posible editar o eliminar orígenes de enriquecimiento, así como ejecutar una consulta en la
página Enriquecimiento de datos.
Los eventos que se activan en el ESM no se enriquecen. La adquisición de datos tiene lugar en el ESM,
no en los dispositivos.
Un conector correspondiente al origen de datos relacionales de Hadoop HBase emplea los pares de
clave-valor del origen para el enriquecimiento. La asignación de identidad de HBase se puede extraer a
un receptor de forma regular para enriquecer los eventos.

3
Véase también
Adición de orígenes de enriquecimiento de datos en la página 332
Adición de un origen de enriquecimiento de datos de Hadoop HBase en la página 336
Configuración del enriquecimiento de datos de McAfee Real Time for McAfee ePO™ en la página
336
Adición de un origen de enriquecimiento de datos de Hadoop Pig en la página 337
Adición de enriquecimiento de datos de Active Directory para nombres de usuario en la página
338
Adición de orígenes de enriquecimiento de datos

Agregue un origen de enriquecimiento de datos y defina los dispositivos que recibirán los datos.
Procedimiento
Enriquecimiento de datos | Agregar.
Las fichas y los campos del Asistente de enriquecimiento de datos varían en función del tipo de
enriquecimiento seleccionado.
2 En cada una de las fichas, rellene los campos y, después, haga clic en Siguiente.
3 Haga clic en Finalizar y, después, en Escribir.
4 Seleccione los dispositivos en los que desee escribir las reglas de enriquecimiento de datos y haga
clic en Aceptar.
Véase también
Enriquecimiento de datos en la página 331
336
338
Página Enriquecimiento de datos en la página 332
Página Asistente de enriquecimiento de datos en la página 333
Página Dispositivos y regla en la página 335
Página Enriquecimiento de datos

Permite administrar los orígenes de enriquecimiento de datos. Podrá ver los orígenes del sistema, lo
cual incluye su frecuencia de extracción y si están o no activados.

Opción Definición
Agregar Permite agregar un nuevo origen de enriquecimiento de datos.
Editar Realizar cambios en un origen existente.
Quitar Eliminar un origen existente.
Ejecutar ahora Ejecutar una consulta en el origen de enriquecimiento de datos seleccionado.

3

Opción Definición
Activado Activar o desactivar el origen de datos de enriquecimiento de datos seleccionado.
Escribir Haga clic aquí para escribir la configuración en los dispositivos seleccionados en la ficha
Destino al agregar o editar los orígenes.
Véase también
Página Asistente de enriquecimiento de datos

Para agregar un origen de enriquecimiento de datos, defina la forma de conectar con la base de datos
y acceder a una o dos columnas de una tabla contenida en esa base de datos. Al hacerlo, se
enriquecen los eventos enviados por el origen de datos situado en sentido ascendente con contexto no
presente en el evento original.
Ficha Nombre Escriba un nombre para el origen.
Principal
Activar Indique si desea activar este origen o no.
Tipo de búsqueda Seleccione el tipo de datos que utilizar para la búsqueda.
Tipo de enriquecimiento Seleccione el tipo de datos que desee enriquecer.
Frecuencia de extracción Seleccione la frecuencia con que se debe ejecutar este origen de
enriquecimiento de datos.
Ficha Origen • Los tipos de orígenes CIFS, NFS, FTP, SFTP y SCP solo pueden utilizar archivos
externos para el enriquecimiento. El resto de tipos de orígenes requieren la escritura
de una consulta para una base de datos o una expresión regular.
• El archivo extraído para el enriquecimiento de datos debe tener el formato
ValorBúsqueda=ValorEnriquecimiento.
• Cada entrada debe encontrarse en una línea distinta.
• En el caso del enriquecimiento de una única columna, solo se necesitan entradas de
valor de búsqueda.
• Para el enriquecimiento de dos columnas, el valor de búsqueda debe estar separado
del valor de enriquecimiento mediante el signo igual (=).
Por ejemplo, un archivo que emplea direcciones IP correspondientes a nombres de host
podría tener un aspecto similar a este:
10.5.2.3=Nueva York
10.5.2.4=Houston
Tipo Tipo de controlador de base de datos para el origen.

Autenticación Si se selecciona Básica, indique el nombre de usuario y la
contraseña para el sitio web en caso de que requiera el inicio de
sesión. La configuración predeterminada es Ninguno.
Nombre de base de datos Nombre de la base de datos.
Host El nombre del equipo que ejecuta la base de datos.
Ignorar certificados no Si el sitio web en el que intenta realizar la búsqueda está en una
válidos dirección URL HTTPS, seleccione esta opción para ignorar los
certificados SSL no válidos.
Dirección IP Dirección IP de la base de datos.

3

Host de Jobtracker Dirección de host o dirección IP de Jobtracker de Apache Hadoop.
No es obligatorio indicarlo; si se deja en blanco, el sistema utiliza
el host de Namenode.
Puerto de Jobtracker Puerto de escucha del host de Jobtracker. No es obligatorio
indicarlo; si se deja en blanco, el sistema utiliza el host de
Namenode.
Método Si se selecciona POST, pueden ser necesarios el contenido o
argumento correspondientes para navegar a la página web que
incluye el contenido en el que se desea buscar. La configuración
predeterminada es GET.
Punto de montaje El directorio para los archivos.
Host de Namenode Dirección de host o dirección IP de Namenode de Apache Hadoop.
No incluya el protocolo.
Puerto de Namenode Puerto de escucha del host de Namenode. No es obligatorio
indicarlo; si se deja en blanco, el sistema utiliza el host de
Namenode.
Contraseña La contraseña para acceder a la base de datos.
Ruta La ruta de acceso a la base de datos. Si selecciona FTP en el campo
Tipo, la ruta hará referencia al directorio de inicio. A fin de
especificar una ruta absoluta en el servidor FTP, inserte una barra
diagonal adicional (/) al principio de la ruta. Por ejemplo, //var/
local/ruta.
Puerto El puerto de la base de datos.
Nombre de recurso El directorio para los archivos.
compartido
Nombre de usuario El nombre del usuario que puede acceder a la base de datos. En el
caso de LDAP, introduzca un nombre de dominio completo sin
espacios. Por ejemplo,
uid=blas,ou=Usuarios,dc=ejemplo,dc=com o
administrador@idahoqa.mcafee.com.
Ficha Datos sin procesar Cuando se selecciona HTTP/HTTPS como tipo de origen, permite
Análisis ver las primeras 200 líneas del código fuente HTML correspondiente
a la URL introducida en el campo URL de la ficha Origen. Se trata
solo de una vista previa del sitio web, pero es suficiente a fin de
escribir una expresión regular para la coincidencia.
Una actualización planificada o ejecutada mediante Ejecutar ahora del
origen de enriquecimiento de datos incluye todas las coincidencias
correspondientes a la búsqueda mediante la expresión regular. Esta
función es compatible con expresiones regulares de la sintaxis RE2,
tales como (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}).
Líneas de encabezado Normalmente, un sitio de Internet tiene un código de encabezado

que omitir en el que no es necesario buscar. Especifique cuántas líneas del
principio del sitio desea omitir para que la búsqueda no incluya los
datos del encabezado.
Delimitador de línea Escriba lo que se utiliza en el sitio para separar los valores en los
nueva que esté interesado. Este campo tiene el valor predeterminado \n,
que indica que el delimitador es una línea nueva. El otro
delimitador más habitual es la coma.
Ignorar expresión Escriba una expresión regular que elimine los valores no deseados
de los resultados de la búsqueda realizada mediante una expresión
regular.

3

Expresión regular (Obligatorio) Escriba la lógica empleada para buscar una
coincidencia y extraer los valores del sitio.
Los casos de uso más comunes son crear una expresión que
coincida con una lista de direcciones IP o sumas MD5 maliciosas
conocidas incluidas en un sitio.
Si ha proporcionado dos grupos de coincidencia en la expresión
regular, puede asignar los resultados de cada coincidencia de regex
a Valor de búsqueda o a Valor de enriquecimiento.
Valor de búsqueda o El valor que buscar en los eventos recopilados del ESM donde se
desea agregar más valores. Está asignado al Campo de búsqueda de la
ficha Destino.
Valor de enriquecimiento El valor enriquecido o insertado en los eventos de origen que
coincide con el valor de búsqueda. Está asignado al Campo de
enriquecimiento de la ficha Destino.
Ficha Permite configurar la consulta para los tipos Hadoop HBase (REST), Hive, LDAP, MSSQL,
Consulta MySQL, Oracle, PIG o McAfee Real Time for McAfee ePO.
Ficha Ajuste la calificación para cada valor devuelto por una consulta de una única columna.
Calificación Seleccione el campo de origen y el campo de destino donde desee aplicar la calificación
y haga clic en Ejecutar consulta.
Valor Muestra los valores devueltos.
Calificación Muestra el stepper numérico que se puede utilizar a fin de
establecer la calificación de riesgo para el valor. Realice cambios si
procede y, después, haga clic en Actualizar lista.
Ficha Permite ver los dispositivos y la regla para la asignación de campos correspondiente a
Destino los dispositivos alimentados por este origen de enriquecimiento de datos.
Agregar Permite seleccionar los dispositivos y las reglas.
Editar Permite cambiar la configuración de los dispositivos o las reglas.
Quitar Permite eliminar la configuración de dispositivos o reglas.
Véase también
Página Dispositivos y regla

Seleccione los dispositivos que desee enriquecer y cree una regla de asociación de campos para los
dispositivos.

Opción Definición
Campo de búsqueda Seleccione el campo por el que se buscará.
Campo de enriquecimiento Seleccione el campo que se enriquecerá.
Usar valor estático Seleccione esta opción si desea usar un valor estático.
Valor de enriquecimiento Si ha seleccionado Usar valor estático, deberá introducir el valor de
enriquecimiento.
Modificar gravedad Seleccione esta opción si desea utilizar la gravedad como campo de
enriquecimiento y, después, seleccione el porcentaje de aumento o reducción.
Véase también

3
Configuración del enriquecimiento de datos de McAfee Real

Time for McAfee ePO
™
Cuando se selecciona el origen McAfee Real Time for McAfee ePO en el Asistente de enriquecimiento de datos,
es posible probar la consulta y elegir las columnas para Búsqueda y Enriquecimiento.
Procedimiento
1
2 Haga clic en Enriquecimiento de datos, después en Agregar y rellene la información en la ficha Principal.
3 En la ficha Origen, seleccione Real Time for ePO en el campo Tipo, seleccione el dispositivo y haga clic en
la ficha Consulta.
4 Agregue la información solicitada y haga clic en Prueba.
Si la consulta no genera la información que necesita, realice ajustes en la configuración.
Véase también
338
Adición de un origen de enriquecimiento de datos de Hadoop

HBase
Es posible extraer la asignación de identidad de HBase mediante un receptor a fin de enriquecer los
eventos por medio de la adición de Hadoop HBase como origen de enriquecimiento de datos.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Enriquecimiento de
datos.
2 En el Asistente de enriquecimiento de datos, rellene los campos de la ficha Principal y, a continuación, haga
clic en la ficha Origen.
3 En el campo Tipo, seleccione Hadoop HBase (REST) y, a continuación, escriba el nombre de host, el
puerto y el nombre de la tabla.

3
4 En la ficha Consulta, rellene la columna de búsqueda y la información sobre la consulta:

a La Columna de búsqueda debe tener el formato FamiliaColumna:NombreColumna.
b Rellene la consulta mediante un filtro de analizador con los valores codificados mediante
Base64. Por ejemplo:
<Scanner batch="1024">
<filter>
{
"type": "SingleColumnValueFilter",
"op": "EQUAL",
"family": " ZW1wbG95ZWVJbmZv",
"qualifier": "dXNlcm5hbWU=",
"latestVersion": true,
"comparator": {
"type": "BinaryComparator",
"value": "c2NhcGVnb2F0"
}
}
</filter>
</Scanner>
5 Complete la información de las fichas Calificación y Destino.
Véase también
336
338
Adición de un origen de enriquecimiento de datos de Hadoop

Pig
Es posible utilizar los resultados de consultas de Apache Pig para enriquecer los eventos de Hadoop
Pig.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema.
2 Haga clic en Enriquecimiento de datos y, después, en Agregar.
3 En la ficha Principal, rellene los campos y, a continuación, haga clic en la ficha Origen. En el campo
Tipo, seleccione Hadoop Pig y rellene los campos Host de Namenode, Puerto de Namenode, Host de
Jobtracker y Puerto de Jobtracker.
La información de Jobtracker no es obligatoria. Si la información de Jobtracker se deja en blanco, se

utilizan el host y el puerto de Namenode de forma predeterminada.

3
4 En la ficha Consulta, seleccione el modo Básica y rellene la información siguiente:

a En Tipo, seleccione Archivo de texto y escriba la ruta del archivo en el campo Origen (por ejemplo, /
user/default/file.csv). Otra alternativa es seleccionar BD de subárbol e introducir una tabla
HCatalog (por ejemplo, sample_07).
b En Columnas, indique cómo enriquecer los datos de columna.
Por ejemplo, si el archivo de texto contiene información sobre los empleados con columnas para
número de la Seguridad Social, nombre, sexo, dirección y número de teléfono, introduzca el
siguiente texto en el campo Columnas: emp_Name:2, emp_phone:5. En el caso de una base de
datos de subárbol, utilice los nombres de las columnas de la tabla HCatalog.
c En Filtro, puede utilizar cualquier expresión integrada de Apache Pig para filtrar los datos. Véase
la documentación de Apache Pig.
d Si anteriormente ha definido los valores de las columnas, podrá agrupar y agregar esos datos
de columnas. Se requiere información en los campos Origen y Columna. El resto de campos
pueden dejarse en blanco. El uso de funciones de agregación requiere la especificación de
grupos.
5 En la ficha Consulta, seleccione el modo Avanzada e introduzca un script de Apache Pig.
6 En la ficha Calificación, establezca la calificación para cada valor devuelto por la consulta de columna
única.
7 En la ficha Destino, seleccione los dispositivos a los que desee aplicar el enriquecimiento.
Véase también
336
338
Adición de enriquecimiento de datos de Active Directory para

nombres de usuario
Es posible recurrir a Microsoft Active Directory para rellenar los eventos de Windows con los nombres
de pantalla de usuario completos.
Antes de empezar
Verifique que dispone del privilegio Administración del sistema.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema.
3 En la ficha Principal, introduzca un Nombre de enriquecimiento descriptivo con el formato

Nombre_Completo_De_ID_Usuario.
4 Establezca tanto el Tipo de búsqueda como el Tipo de enriquecimiento con el valor Cadena.

3
5 Establezca la Frecuencia de extracción con el valor cada día, a menos que Active Directory se actualice
con una frecuencia mayor.
6 Haga clic en Siguiente o en la ficha Origen.

a En el campo Tipo, seleccione LDAP.
b Rellene la dirección IP, el nombre de usuario y la contraseña.
7 Haga clic en Siguiente o en la ficha Consulta.

a En el campo Atributo de búsqueda, introduzca sAMAccountName.
b En el campo Atributo de enriquecimiento, introduzca displayName.
c En Consulta, introduzca (objectClass=person) para obtener una lista de todos los objetos de
Active Directory clasificados como personas.
d Pruebe la consulta, la cual devuelve un máximo de cinco valores independientemente del

número de entradas reales.
8 Haga clic en Siguiente o en la ficha Destino.

a Haga clic en Agregar.
b Seleccione su origen de datos de Microsoft Windows.
c En Campo de búsqueda, seleccione el campo Usuario de origen.
Este campo es el valor existente en el evento, el cual se utiliza como índice para la búsqueda.
d Seleccione el Campo de enriquecimiento, donde el valor de enriquecimiento se escribe con el formato

Alias_Usuario o Nombre_Contacto.
9 Haga clic en Finalizar para guardar los cambios.
10 Tras escribir la configuración de enriquecimiento en los dispositivos, haga clic en Ejecutar ahora para
recuperar los valores de enriquecimiento del origen de datos hasta alcanzar el valor de Hora de
activación diaria.
El Nombre completo se escribe en el campo Contact_Name.
Véase también
336

3

4 Administración de Cyber Threat
McAfee ESM permite recuperar indicadores de compromiso (IOC) de orígenes remotos y acceder con
rapidez a la actividad de IOC relacionada en su entorno.
La administración de Cyber Threat permite configurar fuentes automáticas que generan listas de
vigilancia, alarmas e informes, lo cual proporciona visibilidad con respecto a datos procesables. Por
ejemplo, puede configurar una fuente que agregue automáticamente direcciones IP sospechosas a
listas de vigilancia a fin de supervisar el tráfico futuro. Dicha fuente puede generar y enviar informes
que indican la actividad pasada. Utilice las vistas de Vistas de flujo de trabajo de evento > Indicadores de Cyber
Threat para acceder a información detallada con rapidez sobre actividades y eventos específicos de su
entorno.
Contenido
Configuración de la administración de Cyber Threat
Visualización de resultados de fuentes de Cyber Threat
Tipos de indicadores compatibles
Errores en la carga manual de un archivo IOC STIX XML
Configuración de la administración de Cyber Threat

Configure las fuentes para recuperar archivos XML con formato STIX correspondientes a indicadores
de compromiso (IOC) de los orígenes remotos. Después, puede utilizar estas fuentes para generar
listas de vigilancia, alarmas e informes que permitan a los usuarios acceder a la actividad de IOC
relacionada en su entorno.
Antes de empezar
Verifique que dispone de los permisos siguientes.
• Administración de Cyber Threat: permite al usuario configurar una fuente de Cyber
Threat.
• Usuario de Cyber Threat: permite al usuario ver los datos generados por la fuente.
Procedimiento
1 En el árbol de navegación del sistema, haga clic en Propiedades del sistema.
2 Haga clic en Fuentes de Cyber Threat y, después, en Agregar.
3 En la ficha Principal, introduzca el nombre de la fuente.

4
Administración de Cyber Threat
4 En la ficha Origen, seleccione el tipo de origen de datos y sus credenciales de conexión. Haga clic en
Conectar para probar la conexión.
Entre los orígenes admitidos se encuentran McAfee Advanced Threat Defense y MITRE Threat
Information Exchange (TAXII).
5 En la ficha Frecuencia, indique con qué frecuencia extrae la fuente los archivos IOC (frecuencia de
extracción). Entre las frecuencias de extracción disponibles están: cada x minutos, cada día, cada
hora, cada semana y cada mes. Especifique la hora de activación diaria.
6 En la ficha Lista de vigilancia, seleccione qué propiedad o campo de un archivo IOC desea anexar a una
lista de vigilancia existente. Es posible agregar listas de vigilancia para cualquier propiedad o
campo admitidos.
Si la lista de vigilancia que necesita no existe aún, haga clic en Crear nueva lista de vigilancia.
7 En la ficha Backtrace, identifique los eventos (opción predeterminada) y flujos que analizar, los datos
coincidentes que analizar y la antigüedad para analizar datos con respecto a esta fuente.
a Elija si desea analizar los eventos, los flujos o ambos.
b Indique la antigüedad (en días) para analizar los eventos y los flujos.
c Especifique la acción que desea que realice el ESM si Backtrace encuentra una coincidencia de
datos.
d En el caso de las alarmas, seleccione un usuario asignado y una gravedad.
8 Vuelva a la ficha Principal y seleccione Activado para activar esta fuente.
9 Haga clic en Finalizar.
Se le informará cuando el proceso finalice correctamente.
Se han agregado nuevas validaciones de archivos e indicadores al tipo de origen de carga manual. Si
recibe un error al seleccionar este tipo de origen, véase Errores en la carga manual de un archivo IOC
STIX XML para solucionar el problema.
Véase también
Visualización de resultados de fuentes de Cyber Threat en la página 342
Tipos de indicadores compatibles en la página 343
Errores en la carga manual de un archivo IOC STIX XML en la página 344

Cabe la posibilidad de ver indicadores de compromiso (IOC) de orígenes de datos externos
identificados por las fuentes de Cyber Threat de su organización. Es posible acceder con rapidez a
información detallada sobre las amenazas, las descripciones de los archivos y los eventos
correspondientes a cada origen de indicadores.
Antes de empezar
Verifique que dispone del permiso Usuario de Cyber Threat, el cual permite ver los resultados de
las fuentes de Cyber Threat de su organización.

4
Procedimiento
1 En la consola de ESM, haga clic en la lista de vistas y seleccione Vistas de flujo de trabajo de evento |
Indicadores de Cyber Threat.
2 En la lista de espacios de tiempo, seleccione el periodo de tiempo para la vista.
3 Filtre por el nombre de la fuente o los tipos de datos IOC compatibles.
4 Lleve a cabo cualquier acción de vista estándar, tales como:

• Crear una lista de vigilancia o anexar datos a una existente.
• Crear una alarma.
• Ejecutar un comando remoto.
• Crear un caso.
• Buscar o repetir la última búsqueda.
• Exportar el indicador a un archivo CSV o HTML.
5 Para acceder a información detallada sobre las amenazas, utilice las fichas Descripción, Detalles, Eventos
de origen y Flujos de origen.
Véase también
Configuración de la administración de Cyber Threat en la página 341

Cuando se agrega una fuente de Cyber Threat de carga manual, el ESM envía el archivo Structured
Threat Information Expression (STIX) al motor de indicadores de compromiso (IOC) para su
procesamiento. Si el archivo no contiene un indicador normalizado para el ESM, recibirá un mensaje
de error.
Tabla 4-1 Tipos de indicadores normalizados para el ESM

Tipo de indicador Tipo de lista de vigilancia
Dirección de correo electrónico Para, De, CCO, CC, ID_Correo, ID_Destinatario
Nombre de archivo, Ruta de archivo Ruta_Archivo, Nombre de archivo, Nombre de
archivo_Destino, Directorio_Destino, Directorio
(Flujos) IPv4, IPv6 Dirección IP, IP de origen, IP de destino
(Flujos) Dirección MAC Dirección MAC, MAC de origen, MAC de destino
Nombre de dominio completo, Host, Nombre de host_Destino, Nombre de host_Externo,
Nombre de host, Nombre de dominio Dominio, Dominio_Web
IPv4, IPv6 Dirección IP, IP de origen, IP de destino, IP_Atacante,
IP_Grid_Master, IP_Dispositivo, IP_Víctima
Dirección MAC Dirección MAC, MAC de origen, MAC de destino
Hash MD5 Hash_Archivo, Hash_Archivo_Principal
Hash SHA1 SHA1

4
Tabla 4-1 Tipos de indicadores normalizados para el ESM (continuación)

Tipo de indicador Tipo de lista de vigilancia
Asunto Asunto
URL URL
Nombre de usuario Usuario de origen, Usuario de destino, Alias_Usuario
Clave de Registro de Windows Clave_Registro, Clave.Registro (subtipo del Registro)
Valor de Registro de Windows Valor_Registro, Valor.Registro (subtipo del Registro)
Véase también

Cuando se agrega una fuente de Cyber Threat de carga manual, el ESM envía el archivo Structured
Threat Information Expression (STIX) al motor de indicadores de compromiso (IOC) para su
procesamiento.
Si se produce un problema con la carga, recibirá uno de estos errores.
Tabla 4-2 Errores de carga manual de Cyber Threat

Error Descripción Solución de problemas
ER328: Formato El formato de • Asegúrese de que el archivo cargado sea un archivo
STIX no válido. archivo no es STIX. El motor es compatible con la versión 1.1 de STIX.
correcto.
• Lea la documentación de STIX para verificar que el
esquema sea válido.
• Open Standards for Information Society (OASIS):
organización que se encarga de los estándares STIX
(https://www.oasis-open.org/).
• STIX Project: contiene los diversos modelos de datos,
esquemas y documentos xsd de STIX (https://
stixproject.github.io/).
ER329: No se han El archivo STIX Si necesita procesar un indicador específico, póngase en

encontrado cargado no contiene contacto con el Soporte de McAfee a fin de que lo
indicadores IOC indicadores normalicen para el ESM. Véase Tipos de indicadores
admitidos. normalizados para el compatibles para ver una lista de los tipos de indicadores
ESM. compatibles con el ESM.
Véase también

5 Uso de paquetes de contenido
Cuando se produzca una situación de amenaza específica, responda de inmediato con la importación e
instalación del paquete de contenido relevante del servidor de reglas. Los paquetes de contenido
incluyen reglas de correlación, alarmas, vistas, informes, variables y listas de vigilancia que se basan
en casos de uso para hacer frente a malware o actividades de amenaza específicos. Los paquetes de
contenido permiten responder a las amenazas sin perder tiempo en crear herramientas desde cero.
Importación de paquetes de contenido

McAfee crea paquetes de contenido basados en casos de uso que incluyen reglas de correlación,
alarmas, vistas, informes, variables o listas de vigilancia para hacer frente a actividad por malware
específica.
Antes de empezar
Verifique que dispone de los permisos siguientes.
• Administración del sistema
• Administración de usuarios
Procedimiento
1 Comprobación de la existencia de actualizaciones de reglas en la página 32
Los usuarios online reciben los paquetes de contenido disponibles automáticamente como parte de
las actualizaciones de reglas. Los usuarios sin conexión deben descargar e importar los paquetes de
contenido individuales de forma manual desde el sitio donde se alojan las reglas.
2 En el árbol de navegación del sistema, haga clic en Propiedades del sistema.
3 Haga clic en Paquetes de contenido.
4 Para importar e instalar un nuevo paquete de contenido, haga clic en Examinar.
Al comprobar la existencia de actualizaciones de reglas, se descargan automáticamente los paquetes

de contenido nuevos o actualizados.
a Haga clic en Importar y navegue hasta el archivo del paquete de contenido que desee importar.
b Haga clic en Cargar.
Aparecerá un mensaje que indica el estado de la importación.

5
Uso de paquetes de contenido
Importación de paquetes de contenido
c Haga clic en el paquete de contenido para revisar los detalles sobre lo que incluye.
d Seleccione el paquete de su elección y, después, instale ese paquete de contenido.
5 A fin de actualizar o desinstalar un paquete de contenido existente, marque el paquete en cuestión

y haga clic en Actualizar o Desinstalar.
Tenga cuidado a la hora de actualizar los paquetes de contenido existentes. Si previamente ha

personalizado algún elemento del paquete de contenido, la actualización podría sobrescribir los
elementos personalizados.
6 Para desinstalar un paquete de contenido existente, marque el paquete en cuestión y haga clic en
Desinstalar.

6 Flujo de trabajo de alarmas
Familiarícese con el flujo de trabajo de las alarmas. Haga clic en el vínculo de tarea relevante para
obtener información detallada paso a paso.
Contenido
Preparación para la creación de alarmas
Creación de alarmas
Supervisión y respuesta para alarmas
Ajuste de alarmas

Antes de crear alarmas y responder a ellas, es necesario asegurarse de que el entorno de ESM
contenga los siguientes componentes: plantillas de mensajes de alarma, grupos de destinatarios de
mensajes, conexión con el servidor de correo, archivos de audio de alarma, cola de informes de
alarma y ficha de alarmas visible en el panel.
Antes de empezar
Para ver las alarmas activadas en el panel, véase Selección de la configuración de usuario
en la página 289.
Lea los procedimientos siguientes para obtener información sobre cómo preparar el entorno para las
alarmas.
Procedimientos
• Configuración de mensajes de alarma en la página 347
Configure el ESM para enviar mensajes sobre las alarmas activadas mediante correo
electrónico, Short Message Services (SMS), Simple Network Management Protocol (SNMP)
o syslog.
• Administración de archivos de audio para las alarmas en la página 353
Cabe la posibilidad de cargar y descargar archivos de audio para usarlos como alertas
sonoras de las alarmas.
Configuración de mensajes de alarma

Configure el ESM para enviar mensajes sobre las alarmas activadas mediante correo electrónico, Short
Message Services (SMS), Simple Network Management Protocol (SNMP) o syslog.
Antes de empezar
privilegios de administración de alarmas.

6
Flujo de trabajo de alarmas
Procedimientos
• Creación de plantillas de mensajes de alarma en la página 348
Es posible crear plantillas para los mensajes de alarma de correo electrónico, Short
Message Services (SMS), Simple Network Management Protocol (SNMP) o syslog.
Posteriormente se pueden asociar las plantillas con acciones de alarma y destinatarios de
mensajes específicos.
• Configuración de alarmas de correlación para la inclusión de eventos de origen en la página
350
Para incluir la información sobre los eventos de origen en los resultados de alarma,
configure una alarma de tipo Coincidencia de evento interno o Coincidencia de campo que emplee un
evento de correlación como coincidencia.
• Administración de los destinatarios de alarmas en la página 351
Identifique los destinatarios de los mensajes de alarma y configure la forma de envío de
dichos mensajes de alarma mediante correo electrónico, Short Message Services (SMS),
Simple Network Management Protocol (SNMP) o syslog.

Cuando se definen las acciones de alarma o se configuran los métodos de entrega informes, se puede
optar por enviar mensajes. Pero, en primer lugar, es necesario conectar el ESM con el servidor de
correo e identificar los destinatarios de los mensajes de correo electrónico, SMS, SNMP o syslog.
ESM envía notificaciones de alarma mediante el protocolo SNMP v1. SNMP emplea UDP como protocolo
de transporte para transmitir datos entre los administradores y los agentes. En una configuración
SNMP los agentes, como el ESM, reenvían eventos a los servidores SNMP (denominados estación de
administración de red o NMS) mediante paquetes de datos conocidos como capturas. Otros agentes de
la red pueden recibir informes de eventos de la misma forma que reciben notificaciones. Debido a las
limitaciones de tamaño de los paquetes de captura SNMP, el ESM envía cada línea de informe en una
captura distinta.
Syslog también puede enviar informes de consulta en CSV generados por el ESM. Syslog envía estos
informes de consulta en CSV con el método de una línea por mensaje de syslog, con los datos de cada
línea de los resultados de la consulta organizados mediante campos separados por comas.
Véase también
350
Creación de plantillas de mensajes de alarma

Es posible crear plantillas para los mensajes de alarma de correo electrónico, Short Message Services
(SMS), Simple Network Management Protocol (SNMP) o syslog. Posteriormente se pueden asociar las
plantillas con acciones de alarma y destinatarios de mensajes específicos.
Antes de empezar

6
Procedimiento
Propiedades .
2 Haga clic en Alarmas.
3 Haga clic en la ficha Configuración y, después, en Plantillas.

• Para crear plantillas personalizadas, haga clic en Agregar.
• Para cambiar una plantilla personalizada, selecciónela y haga clic en Editar.
No se pueden editar las plantillas predefinidas.
• Para eliminar una plantilla personalizada, selecciónela y haga clic en Quitar.
No se pueden eliminar las plantillas predefinidas.
• Para copiar una plantilla existente, selecciónela y haga clic en Copiar. Guarde la plantilla copiada
con otro nombre.
• Para establecer una plantilla predeterminada para todos los mensajes de alarma, selecciónela y
haga clic en Convertir en predeterminado.
4 Agregue o cambie la siguiente información de plantilla.
Tipo Indique si esta plantilla es para un mensaje de correo electrónico o un SMS.
Los mensajes SMS se envían a modo de correo electrónico a un teléfono y el

operador los convierte en SMS. Los mensajes SMS tienen un límite de 140
caracteres.
Nombre Escriba el nombre de esta plantilla.

Descripción Escriba una descripción de lo que incluye la plantilla.
Convertir en Permite utilizar la plantilla actual como predeterminada al enviar mensajes.
predeterminado

6
Asunto En el caso de las plantillas de correo electrónico, seleccione el asunto del
mensaje. Haga clic en el icono Insertar campo y seleccione la información que
desee incluir en la línea de asunto del mensaje.
Cuerpo del mensaje Seleccione los campos que desee incluir en el cuerpo del mensaje.
En el caso de las plantillas de mensajes de syslog, limite el cuerpo del mensaje a

menos de 950 bytes. ESM no puede enviar mensajes de syslog que superen los
950 bytes.
• Elimine cualquiera de los campos incluidos de forma predeterminada si no

desea que aparezcan en el mensaje.
• Coloque el cursor en la parte del cuerpo del mensaje donde desee insertar un
campo de datos. Haga clic en el icono Insertar campo, situado sobre el campo
Asunto. A continuación, seleccione el tipo de información que desee que
muestre este campo.
• Si selecciona Bloque de repetición, el ESM agrega la sintaxis necesaria para iterar
los registros. Inserte los campos que desee incluir por cada registro entre los
marcadores [$REPEAT_START] y [$REPEAT_END]. El ESM incluirá esta
información en el mensaje para un máximo de diez registros.
• Configuración de alarmas de correlación para la inclusión de eventos de origen
en la página 350 Para incluir los eventos de origen en las alarmas que utilizan
un evento de correlación como coincidencia ( ), haga clic en el icono Insertar
campo y seleccione Bloque de eventos de origen.
Cuando se selecciona Coincidencia de evento interno o Coincidencia de campo como tipo de

alarma, el ESM incluye los datos del campo de evento en el mensaje de correo
electrónico. Seleccione Coincidencia de campo para las alarmas relacionadas con el
origen de datos, las cuales se ejecutan en el receptor en lugar de en el ESM.
Seleccione alarmas de Coincidencia de evento interno, las cuales se ejecutan en el ESM
y fuerzan la ejecución de una consulta cada vez que caduca la frecuencia de la
alarma.
Véase también
350
Configuración de alarmas de correlación para la inclusión de eventos de

origen
Para incluir la información sobre los eventos de origen en los resultados de alarma, configure una
alarma de tipo Coincidencia de evento interno o Coincidencia de campo que emplee un evento de correlación
como coincidencia.
Antes de empezar

6
Procedimiento
Propiedades .
3 Haga clic en la ficha Configuración y, después, en Plantillas.
4 En la página Administración de plantillas, haga clic en Agregar y proporcione la información solicitada.
5 En la sección Cuerpo del mensaje, coloque el cursor donde desee insertar las etiquetas, haga clic en el
icono Insertar campo y seleccione Bloque de eventos de origen.
6 Sitúe el cursor dentro de las etiquetas, haga clic en el icono Insertar campo de nuevo y, después,
seleccione la información que desee incluir cuando se active la alarma de correlación.
En el ejemplo siguiente se ilustra el aspecto de una plantilla de mensaje de alarma cuando se insertan
campos para la dirección IP de origen del evento, la dirección IP de destino y la gravedad:
Alarma: [$Nombre de alarma]

Usuario asignado: [$Usuario asignado de alarma]
Fecha de activación: [$Fecha de activación] Resumen: [$Resumen de alarma]
[$SOURCE_EVENTS_START] IP de origen: [$IP de origen]
IP de destino: [$IP de destino]
Gravedad: [$Promedio de gravedad]
[$SOURCE_EVENTS_END]
Si la alarma no se activa mediante un evento correlacionado, el mensaje no incluye estos datos.
Véase también
Administración de los destinatarios de alarmas

Identifique los destinatarios de los mensajes de alarma y configure la forma de envío de dichos
mensajes de alarma mediante correo electrónico, Short Message Services (SMS), Simple Network
Management Protocol (SNMP) o syslog.
Antes de empezar
• Compruebe que existan los perfiles que pretende usar. Véase Configuración de SNMP en
la página 269 y Configuración de perfiles en la página 266.

6
Procedimiento
Propiedades .
3 Haga clic en la ficha Configuración y, después, en Destinatarios.

• Haga clic en Correo electrónico para ver o actualizar las direcciones de correo electrónico de los
destinatarios individuales.
• Haga clic en Usuarios para ver los nombres de usuarios y las direcciones de correo electrónico.
• Haga clic en SMS para ver o actualizar los destinatarios de SMS y sus direcciones.
• Haga clic en SNMP para ver o actualizar la siguiente información de SNMP:
Perfil Seleccione un perfil de destinatario SNMP existente de la lista desplegable.
Para agregar un perfil, haga clic en Perfil.
Tipo de captura Seleccione el tipo de captura específico. El tipo de captura general siempre se
concreto establece en 6 (Específico de empresa).
OID de empresa Introduzca el identificador de objeto de empresa (OID) completo de la captura
que se enviará. Incluya todo desde el primer 1 hasta el número de empresa,
incluidos los posibles subárboles de la empresa.
Contenido Incluir enlaces de datos informativos: la captura contiene enlaces de variable con
información extra, incluido el número de línea del informe procesado, una
cadena que identifica el origen de la captura, el nombre de la notificación que
ha generado la captura y el ID del ESM que envía la captura.
Incluir solo datos de informe: los enlaces de variable extra no se incluirán en la
captura.
Formato Cada captura SNMP generada a partir de un informe contiene una línea de
datos del informe.
• Enviar cada línea del informe tal cual: los datos de la línea del informe se envían tal
cual en un único enlace de variable. El sistema construye los OID de enlace
de datos mediante la concatenación del ID de empresa, el tipo de captura
concreta y un número que aumenta automáticamente a partir del 1.
• Analizar resultados y usar estos OID de enlace: el sistema analiza la línea del informe
y envía cada campo en un enlace de datos distinto.
Lista de Analizar resultados y usar estos OID de enlace: especifique OID de enlace de datos
identificadores OID personalizados.
de enlace
• Si selecciona esta opción, haga clic en Agregar y escriba el valor de los OID
de enlace.
• Si no especifica suficientes OID de variable para todos los campos de datos
del informe, el ESM iniciará el incremento a partir del último OID
especificado en la lista.
4 Haga clic en Syslog para ver o actualizar la siguiente información de syslog:
IP del host y Puerto Introduzca la dirección IP del host y el puerto de cada destinatario.
Función y Gravedad Seleccione la función y la gravedad del mensaje.

6
Véase también
350
Administración de archivos de audio para las alarmas

Cabe la posibilidad de cargar y descargar archivos de audio para usarlos como alertas sonoras de las
alarmas.
Antes de empezar
Procedimiento
Propiedades .
2 Haga clic en la ficha Configuración y, después, en Audio.
3 Descargue, cargue, elimine o reproduzca los archivos de audio y, a continuación, haga clic en Cerrar.
ESM incluye tres archivos de sonido previamente instalados. Es posible cargar archivos de audio
personalizados.
Las alarmas provocan acciones como respuesta a eventos de amenaza concretos. La creación de un
número excesivo o insuficiente de alarmas que se activen con frecuencia puede ser motivo de
distracción. Lo mejor es crear alarmas que escalen los eventos críticos para su organización.
McAfee ESM permite crear alarmas de varias formas: activar alarmas previamente existentes, copiar
alarmas existentes y cambiarlas o crear alarmas específicas para su organización.
Lea los procedimientos siguientes para obtener más información sobre la creación de alarmas.
Procedimientos
• Activación o desactivación de la supervisión de alarmas en la página 354
Active o desactive la supervisión de alarmas para todo el sistema o para alarmas concretas.
La supervisión de alarmas de ESM está activada de forma predeterminada.
• Cómo copiar una alarma en la página 354
Es posible utilizar una alarma existente a modo de plantilla para otra alarma nueva si se
copia y se guarda con un nombre distinto.
• Creación de alarmas en la página 355
Cree una alarma para que se active cuando se cumplan las condiciones definidas.

6
Activación o desactivación de la supervisión de alarmas

Active o desactive la supervisión de alarmas para todo el sistema o para alarmas concretas. La
supervisión de alarmas de ESM está activada de forma predeterminada.
Antes de empezar
Si desactiva la supervisión de alarmas para el sistema, el ESM no genera alarmas.
Procedimiento
Propiedades .
3 A fin de desactivar o activar la supervisión de alarmas para todo el sistema, haga clic en la ficha
Configuración y, después, en Desactivar o Activar.
4 Para desactivar o activar alarmas concretas, haga clic en la ficha Alarmas. La columna Estado indica si
las alarmas están activadas o desactivadas.
• Para activar una alarma específica, resáltela y seleccione Activado.
• Para desactivar una alarma específica, resáltela y anule la selección de Activado. ESM dejará de
generar esta alarma.
Véase también
Cómo copiar una alarma en la página 354
Creación de alarmas en la página 355
Cómo copiar una alarma

Es posible utilizar una alarma existente a modo de plantilla para otra alarma nueva si se copia y se
guarda con un nombre distinto.
Antes de empezar
Procedimiento
Propiedades .

6
3 Seleccione una alarma activada y haga clic en Copiar.
En la página Nombre de alarma, aparecerá el nombre de la alarma actual seguido por _copia.
Solo se pueden copiar las alarmas activadas. Las alarmas desactivadas no se pueden copiar.
4 Cambie el nombre y haga clic en Aceptar.
5 Para realizar cambios en la configuración de alarma, seleccione la alarma copiada y haga clic en
Editar.
6 Cambie la configuración según proceda.
Véase también
Activación o desactivación de la supervisión de alarmas en la página 354
Creación de alarmas en la página 355
Cree una alarma para que se active cuando se cumplan las condiciones definidas.
Antes de empezar
Procedimiento
Propiedades .
2 Haga clic en Alarmas y, después, en Agregar.
3 Haga clic en la ficha Resumen para definir la configuración general de alarma.

• Asigne un nombre a la alarma.
• En la lista Usuario asignado, seleccione la persona o el grupo a los que asignar esta alarma. Esta
lista incluye todos los usuarios y grupos con el privilegio Administración de alarmas.
• En Gravedad, seleccione la prioridad de la alarma en el registro de alarma (66–100 es alta, 33–65

es media y 1–32 es baja).
• Seleccione Activado para activar la alarma y anule la selección de la casilla para desactivar la
alarma.
4 En la ficha Condición, identifique las condiciones que activan la alarma.

6
Condición Descripción
Tasa de Seleccione la frecuencia con la que el sistema debe comprobar esta condición.
comprobación
Desviación Especifique un umbral de porcentaje para la comprobación por encima de la
referencia y un porcentaje distinto por debajo de la referencia.
• Consulta: seleccione el tipo de datos de la consulta.
• Icono Filtros: seleccione los valores a fin de filtrar los datos para esta alarma.
• Espacio de tiempo: indique si desea que se consulte el último periodo de tiempo
seleccionado en el campo de número o el anterior.
• Activar cuando el valor sea: seleccione el alcance de la desviación por encima y por
debajo de la referencia para que el ESM active la alarma.
Tasa de eventos • Recuento de eventos: introduzca el número de eventos que deben producirse antes
de que ESM genere la alarma.
• Icono Filtros: seleccione los valores a fin de filtrar los datos.
• Espacio de tiempo: seleccione en qué intervalo se debe producir el número de
eventos seleccionado para que el ESM active la alarma.
• Desplazamiento: seleccione la cantidad de tiempo de desplazamiento de forma que
la alarma no incluya el brusco aumento al final provocado por la agregación. Por
ejemplo, si el ESM extrae eventos cada cinco minutos, el último minuto de los
eventos recuperados contiene los eventos agregados. Haga coincidir la
diferencia del espacio de tiempo con esa cantidad para que el último minuto no
se incluya en la medición de los datos. De lo contrario, el ESM incluirá los
valores de los datos agregados en el recuento de eventos y provocarán un falso
positivo.
Coincidencia de 1 Arrastre y coloque los iconos AND u OR (véase Elementos lógicos en la página
campo 377) para configurar la lógica de la condición de alarma.
2 Arrastre y coloque el icono Coincidir componente sobre el elemento lógico y,
después, rellene la página Agregar campo de filtro.
3 Limite el número de notificaciones recibidas mediante la configuración de la
Frecuencia máxima de activación de condición. Cada desencadenador contiene el primer
evento de origen que coincide con la condición de activación, pero no los
eventos que se producen durante el periodo de activación de la condición. Los
eventos nuevos que coinciden con la condición de activación no activan la
alarma de nuevo hasta que transcurre el periodo correspondiente a la frecuencia
de activación máxima. Por ejemplo, si establece la frecuencia en diez minutos y
se activa una alarma cinco veces en un periodo de diez minutos, el ESM envía
un único aviso que contiene cinco alarmas.
Si establece el intervalo en cero, cada evento que coincida con una condición
activará una alarma. En el caso de las alarmas de alta frecuencia, un intervalo
de cero puede producir muchas alarmas.
Estado del Seleccione los tipos de cambios de estado del dispositivo. Por ejemplo, si
monitor de estado selecciona solo Crítico, no se le notificará si se produce un cambio de estado del
monitor de estado con el nivel Advertencia (véase ID de firma del monitor de estado
en la página 367).

6
Condición Descripción
Coincidencia de • Activar cuando el valor no coincida: seleccione esta opción si desea que la alarma se
evento interno active cuando el valor no coincida con la configuración.
• Usar lista de vigilancia: indique si una lista de vigilancia contiene los valores de esta
alarma.
Los valores que contienen comas deben encontrarse en una lista de vigilancia o
delimitados por comillas.
• Campo: seleccione el tipo de datos que supervisará esta alarma.
Para las alarmas que se activan cuando se genera un evento del monitor de
estado, véase Adición de alarmas de eventos del monitor de estado en la página
366.
• Valor(es): escriba los valores específicos del tipo seleccionado en Campo (límite de
1000 caracteres). Por ejemplo, para IP de origen, introduzca las direcciones IP de
origen reales que activen esta alarma.
Frecuencia Seleccione la cantidad de tiempo que debe transcurrir entre condiciones para
máxima de evitar un aluvión de notificaciones.
activación de
condición
Umbral Solo tipo de condición Diferencia de eventos: seleccione la diferencia máxima
permitida para los eventos analizados antes de que se active la alarma.
Tipo Seleccione el tipo de alarma, lo cual determina los campos que hay que rellenar.
5 En la ficha Dispositivos, seleccione los dispositivos que supervisa esta alarma.
6 En la ficha Acciones, identifique lo que ocurre cuando se activa la alarma.
Acción Descripción
Registrar evento Crear un evento en el ESM.
Confirmar alarma Confirmar la alarma automáticamente tras su activación. Como resultado, la
automáticamente alarma no aparece en el panel Alarmas, pero el sistema la agrega a la vista
Alarmas activadas.
Alerta visual Se genera una notificación de alarma en la parte inferior derecha de la consola.
Para incluir una notificación de audio, haga clic en Configurar --> Reproducir sonido y
seleccione un archivo de audio.
Crear caso Crear un caso para la persona o el grupo seleccionados. Haga clic en Configurar
para identificar el propietario del caso y para seleccionar los campos que incluir
en el resumen del caso.
Si planea escalar las alarmas, no cree casos.
Actualizar lista de Cambiar las listas de vigilancia mediante la adición o eliminación de valores en
vigilancia función de la información contenida en un máximo de diez eventos que activan
alarmas. Haga clic en Configurar y seleccione qué campo del evento activador se
debe adjuntar o quitar en la lista de vigilancia seleccionada. Cuando esta
configuración modifica una lista de vigilancia, la ficha Acciones de la vista Alarma
activada muestra el cambio.
Esta acción requiere que el tipo de condición sea Coincidencia de evento interno.

6
Enviar mensaje Enviar un mensaje de correo electrónico o SMS a los destinatarios
seleccionados.
• Haga clic en Agregar destinatario y seleccione los destinatarios del mensaje.
• Haga clic en Configurar a fin de seleccionar la plantilla (para mensajes de
correo electrónico, SMS, SNMP o syslog), así como la zona horaria y el
formato de fecha que utilizar en el mensaje.
Si se emplean los siguientes caracteres en el nombre de una alarma, podrían

producirse problemas al enviar mensajes SMS: coma (,), comillas ("),
paréntesis ( ), barra diagonal o barra diagonal invertida (/ \), punto y coma
(;), signo de interrogación (?), arroba (@), corchetes ([ ]), signos de mayor y
menor que (< >) y signo de igual (=).
Generar informes Generar un informe, una vista o una consulta. Haga clic en Configurar y
seleccione un informe en la página Configuración de informe o haga clic en Agregar
para diseñar un informe nuevo.
Si pretende enviar por correo electrónico un informe a modo de datos adjuntos,

consulte con su administrador de correo para determinar el tamaño máximo de
los datos adjuntos. Los datos adjuntos de correo electrónico de gran tamaño
pueden impedir el envío de un informe.
Ejecutar comando Ejecutar un comando remoto en cualquier dispositivo que acepte conexiones
remoto SSH, excepto los dispositivos de McAfee del ESM. Haga clic en Configurar para
seleccionar el perfil y el tipo de comando, la zona horaria y el formato de fecha,
y también el host, el puerto, la contraseña del nombre de usuario y la cadena
de comando para la conexión SSH.
Si la condición de alarma es Coincidencia de evento interno, puede rastrear eventos
específicos. Haga clic en el icono Insertar variable y seleccione las variables.
Enviar a Remedy Enviar hasta diez eventos a Remedy por alarma activada. Haga clic en Configurar
para establecer la información necesaria a fin de comunicarse con Remedy:
datos De y A, prefijo, palabra clave e ID de usuario (EUID). Cuando se envían
eventos a Remedy, el ESM agrega la opción Enviar evento a Remedy a la ficha
Acciones de la vista Alarma activada. Esta acción requiere que el tipo de condición
sea Coincidencia de evento interno.
Asignar etiqueta con Aplicar etiquetas de McAfee ePolicy Orchestrator a las direcciones IP que
ePO activan esta alarma. Haga clic en Configurar y seleccione la información siguiente.
• Seleccionar dispositivo ePO: el dispositivo que usar para el etiquetado.
• Nombre: etiquetas que se desea aplicar (solo aparecen en la lista las etiquetas
disponibles en el dispositivo seleccionado).
• Seleccionar el campo: campo en el que basar el etiquetado.
• Activar cliente: aplicar las etiquetas de inmediato.
Acciones de Real Realizar las acciones de McAfee Real Time for McAfee ePO en el dispositivo
Time for ePO McAfee ePO seleccionado.
Esta opción requiere el complemento de McAfee Real Time for McAfee ePO
(versión 2.0.0.235 o posterior) y que el servidor de McAfee ePO reconozca el
dispositivo como uno de sus endpoints.

6
Lista negra Seleccionar las direcciones IP que se incluirán en la lista negra cuando se active
una alarma. Haga clic en Configurar y seleccione la información siguiente.
• Campo: seleccione el tipo de dirección IP que desee incluir en la lista negra. El
tipo Dirección IP incluye en la lista negra tanto la dirección IP de origen como la
de destino.
• Dispositivo: seleccione el dispositivo donde desee incluir las direcciones IP en la
lista negra. La opción Global agrega el dispositivo a la Lista negra global.
• Duración: seleccione cuánto tiempo se deben incluir en la lista negra las
direcciones IP.
Resumen de alarma Personalizar los campos incluidos en el resumen de una alarma de tipo
personalizada Coincidencia de campo o Coincidencia de evento interno.
7 En la ficha Escalación, identifique cómo escalar la alarma cuando no se confirme en un período de

tiempo específico.
Escalación Descripción
Escalar después de Indique el tiempo tras el cual desea que se escale la alarma.
Usuario asignado escalado Seleccione la persona o el grupo que deben recibir la notificación escalada.
Gravedad de escalado Seleccione la gravedad de la alarma una vez escalada.
Registrar evento Indique si desea registrar el escalado como un evento.
Alerta visual Indique si la notificación debe ser una alerta visual. Haga clic en Reproducir
sonido y seleccione un archivo si desea que la notificación visual se
acompañe de un sonido.
Enviar mensaje Indique si desea enviar un mensaje al usuario asignado. Haga clic en Agregar
destinatario, seleccione el tipo de mensaje y, después, seleccione el
destinatario.
Generar informes Indique si desea generar un informe. Haga clic en Configurar para seleccionar
el informe.
Ejecutar comando remoto Indique si desea ejecutar un script en cualquier dispositivo que acepte
conexiones SSH. Haga clic en Configurar y proporcione el host, el puerto, el
nombre de usuario, la contraseña y la cadena de comando.
Véase también
Activación o desactivación de la supervisión de alarmas en la página 354
Cómo copiar una alarma en la página 354

Es posible ver, confirmar y eliminar las alarmas activadas mediante vistas de panel, detalles de
alarmas, filtros e informes.
Lea los procedimientos siguientes para obtener más información sobre cómo supervisar las alarmas
activadas y responder a ellas.

6
• Visualización de alarmas activadas: el panel de registro Alarmas incluye el número total de

alarmas clasificadas por gravedad.
Símbolo Gravedad Intervalo

Alta 66–100
Media 33–65
Baja 1–32
• Confirmación de alarmas activadas: el sistema las elimina del panel Alarmas. Las alarmas
confirmadas se conservan en la vista Alarmas activadas.
• Eliminación de alarmas activadas: el sistema las elimina del panel Alarmas y de la vista Alarmas
activadas.
Si emplea alertas visuales y no cierra, confirma o elimina una alarma activada, la alerta visual se
cerrará tras 30 segundos. Las alertas sonoras se reproducen hasta que la alarma activada se cierra,
confirma o elimina, o bien se hace clic en el icono de audio para detener la alerta.
Procedimientos
• Visualización y administración de alarmas activadas en la página 360
Es posible ver las alarmas activadas aún no eliminadas, así como responder a ellas.
• Administración de la cola de informes de alarma en la página 362
Si una acción de alarma genera informes, es posible ver la cola de informes generados y
cancelar uno o varios de ellos.
Visualización y administración de alarmas activadas

Es posible ver las alarmas activadas aún no eliminadas, así como responder a ellas.
Antes de empezar
• Verifique con su administrador que pertenece a un grupo de acceso con privilegios de
administración de alarmas.
• Verifique con su administrador si su consola está configurada para mostrar el panel de

registro Alarmas (véase Selección de la configuración de usuario en la página 289).
Procedimiento
1 Acceda a las alarmas activadas desde una de las siguientes ubicaciones de ESM:
• Panel de registro Alarma: situado en la esquina inferior izquierda del panel, debajo del Árbol de
navegación del sistema.
• Alerta visual emergente: se abre cuando se activa una alarma.
•
Página Detalles: se abre al hacer clic en el icono Detalles del panel de registro Alarmas.

6

Confirmar una • Para confirmar una alarma, haga clic en la casilla de verificación de la
alarma primera columna de la alarma activada que desee confirmar.
• Para confirmar varias, resáltelas todas y haga clic en el icono Confirmar alarma
de la parte inferior de la vista.

El sistema elimina las alarmas confirmadas del panel Alarmas, pero se
conservan en la vista Alarmas activadas.
Eliminar una • Seleccione la alarma activada que desee eliminar y haga clic en el icono
alarma del sistema
Eliminar alarma .
Filtrar las alarmas • Introduzca la información que desee usar como filtro en el panel Filtros y
haga clic en el icono Actualizar .
Cambiar el usuario 1
asignado de las Haga clic en el icono Ver detalles de datos para mostrar los detalles de
alarmas alarma en la parte inferior del panel.
2 Seleccione las alarmas, haga clic en Usuario asignado y seleccione el nuevo
usuario asignado.
Crear un caso para 1

las alarmas Haga clic en el icono Ver detalles de datos para mostrar los detalles de
alarma en la parte inferior del panel.
2 Seleccione las alarmas, haga clic en Crear caso y realice las selecciones
necesarias.
Ver detalles sobre 1

una alarma Haga clic en el icono Ver detalles de datos para mostrar los detalles de
alarma en la parte inferior del panel.
2 Seleccione la alarma y realice una de las acciones siguientes:
• Haga clic en la ficha Evento activador para ver el evento que activó la alarma
seleccionada. Haga doble clic en el evento para ver su descripción.
Si un único evento no cumple las condiciones de alarma, es posible que

no aparezca la ficha Evento activador.
• Haga clic en la ficha Condición para ver la condición que activó el evento.
• Haga clic en la ficha Acción para ver las acciones resultantes de la alarma
y las etiquetas de ePolicy Orchestrator asignadas al evento.
Editar la 1
configuración de Haga clic en la alarma activada, después en el icono Menú y seleccione
una alarma Editar alarma.
activada
2 En la página Configuración de alarma, realice los cambios y haga clic en Finalizar.
Véase también
Administración de la cola de informes de alarma en la página 362

6
Administración de la cola de informes de alarma

Si una acción de alarma genera informes, es posible ver la cola de informes generados y cancelar uno
o varios de ellos.
Antes de empezar
Procedimiento
Propiedades .
3 Haga clic en la ficha Configuración.
4 Para ver los informes de alarma a la espera de ejecución, haga clic en Ver. El ESM ejecuta un
máximo de cinco informes de forma simultánea.
• Vea los informes generados por alarmas.
• Para evitar la ejecución de un informe concreto, selecciónelo y haga clic en Cancelar. Los informes
restantes se moverán hacia arriba en la cola.
Si es administrador o usuario principal, esta lista incluirá todos los informes a la espera de
ejecución en el ESM, lo que permite cancelar cualquiera de ellos.
5 Haga clic en Archivos para seleccionar si desea descargar, cargar, eliminar o actualizar los informes
de la lista.
Véase también
Visualización y administración de alarmas activadas en la página 360
Página Ver informes en la página 362
Página Lista de archivos en la página 363
Página Ver informes

Permite ver la cola de informes que se han generado y que se están ejecutando o en espera de
ejecución.

Opción Definición
Tabla Ver los informes generados por el ESM que están a la espera de ejecución.
Cancelar Haga clic en esta opción para evitar que los informes seleccionados se ejecuten. Los
informes seleccionados se cancelarán y el resto de informes avanzarán en la cola.
Véase también

6
Ajuste de alarmas
Página Lista de archivos

Permite ver y administrar la lista de informes generados en el ESM.
Opción Definición
Tabla Ver una lista de los archivos de informe generados.
Descargar Guardar los informes seleccionados en otra ubicación.
Cargar Agregar un informe a la lista.
Quitar Eliminar un informe de la lista.
Actualizar Actualizar la lista para reflejar cualquier cambio realizado.
Véase también
Ajuste de alarmas
Perfeccione y ajuste las alarmas a medida que descubra lo que mejor se adapta a su organización.
Lea los procedimientos siguientes para obtener más información sobre el ajuste de las alarmas. Estos
procedimientos describen cómo crear tipos concretos de alarmas.
Procedimientos
• Creación de alarmas UCAPL en la página 364
Cree alarmas que cumplan los requisitos de UCAPL (del inglés Unified Capabilities Approved
Products List, lista de productos aprobados con capacidades unificadas).
• Adición de alarmas de eventos del monitor de estado en la página 366
Cree alarmas basadas en los eventos del monitor de estado que, después, permiten la
generación de un informe de Resumen de eventos de monitor de estado.
• Adición de una alarma de Coincidencia de campo en la página 375
Una alarma de Coincidencia de campo coincide con varios campos de un evento y se activa
cuando el dispositivo recibe y analiza el evento.
• Resumen personalizado para alarmas activadas y casos en la página 378
Seleccione los datos que se incluirán en el resumen de alarma y de caso para las alarmas
de tipo Coincidencia de campo y Coincidencia de evento interno.
• Adición de una alarma a las reglas en la página 378
Si desea recibir una notificación cuando se generen eventos a través de reglas específicas,
es posible agregar una alarma a esas reglas.
• Creación de capturas SNMP a modo de acciones de alarma en la página 379
Es posible enviar capturas SNMP a modo de acciones de alarma.
• Adición de una alarma de notificación sobre fallos de alimentación en la página 380
Es posible agregar una alarma para que se le notifiquen los fallos de cualquiera de las
fuentes de alimentación del ESM.
• Administración de orígenes de datos no sincronizados en la página 380
Configure una alarma que le avise cuando los datos no sincronizados generen eventos, de
forma que pueda ver una lista de orígenes de datos, editar su configuración y exportar la
lista.

6
Ajuste de alarmas
Creación de alarmas UCAPL

Cree alarmas que cumplan los requisitos de UCAPL (del inglés Unified Capabilities Approved Products
List, lista de productos aprobados con capacidades unificadas).
Antes de empezar
• Revise los pasos para Creación de alarmas en la página 355.
Procedimiento
• Configure los tipos de alarma aplicables:
Tipo de alarma Descripción

Umbral ajustable de Se activa una alarma cuando el número de errores de inicio de sesión de un
errores de inicio de mismo usuario alcanza un umbral que se puede ajustar.
sesión alcanzado
1 Cree una alarma de tipo Coincidencia de evento interno que coincida con ID de
firma.
2 Introduzca el valor 306-36.
Umbral de Activar una alarma cuando se bloquee una cuenta de usuario porque se ha
inactividad alcanzado el umbral de inactividad.
alcanzado
firma.
Número de sesiones Activar una alarma si un usuario intenta iniciar sesión en el sistema
simultáneas después de alcanzar el número máximo de sesiones simultáneas.
permitidas
alcanzado
firma.
Error en la Activar una alarma cuando falle la comprobación de integridad de un

comprobación de archivo del sistema.
integridad de
archivo del sistema
firma.
Certificados a punto Activar una alarma cuando haya certificados Common Access Card (CAC) o
de caducar de servidor web a punto de caducar.
firma.
2 Introduzca el valor 306-50081, 306-50082, 306-50083, 306-50084.
La alarma se activará 60 días antes de la fecha de caducidad del certificado

y, después, semanalmente. No es posible cambiar el número de días.

6
Ajuste de alarmas

Envío de captura Configurar una captura SNMP de modo que la alarma envíe una captura al
SNMP cuando el NMS cuando detecte que el sistema ha dejado de funcionar en un estado
estado del sistema aprobado o seguro.
no sea aprobado
1 Cree una alarma que coincida con cualquier condición y, después, acceda
a la ficha Acciones y seleccione Enviar mensaje.
2 Haga clic en Agregar destinatario | SNMP, seleccione el destinatario y haga clic
en Aceptar.
3 En el campo Enviar mensaje, haga clic en Configurar, después en Plantillas y, por
último, en Agregar.
4 Seleccione Plantilla de SNMP en el campo Tipo, escriba el texto del mensaje y,
a continuación, haga clic en Aceptar.
5 En la página Administración de plantillas, seleccione la plantilla nueva y haga
clic en Aceptar.
6 Configure el resto de opciones de alarma.
Envío de mensaje Configurar un mensaje de syslog de modo que la alarma envíe un mensaje
de syslog cuando el de syslog al NMS cuando detecte que el sistema ha dejado de funcionar en
estado del sistema un estado aprobado o seguro.
no es aprobado
1 Cree una alarma que coincida con cualquier condición, acceda a la ficha
Acciones y seleccione Enviar mensaje.
2 Haga clic en Agregar destinatario | Syslog, seleccione el destinatario y haga clic
en Aceptar.
3 En el campo Enviar mensaje, haga clic en Configurar, después en Plantillas y, por
último, en Agregar.
4 Seleccione Plantilla de Syslog en el campo Tipo, escriba el texto del mensaje y,
a continuación, haga clic en Aceptar.
5 En la página Administración de plantillas, seleccione la plantilla nueva y haga
clic en Aceptar.
6 Configure el resto de opciones de alarma.
El registro de Configurar una captura SNMP de modo que la alarma envíe una notificación
seguridad no a un centro de operaciones de red (NOC) apropiado en un plazo de 30
registra los eventos segundos si un registro de seguridad no está registrando los eventos
necesarios necesarios.
1 Acceda a Propiedades del sistema | Configuración SNMP | Capturas SNMP o Propiedades
del dispositivo | Configuración del dispositivo | SNMP.
2 Seleccione la captura de error del registro de seguridad, configure uno o
varios perfiles para el envío de capturas y haga clic en Aplicar.
ESM enviará capturas SNMP al destinatario del perfil SNMP con el mensaje
Error al escribir en el registro de seguridad.

6
Ajuste de alarmas

Inicio o fin de Configurar una captura SNMP de modo que la alarma envíe una notificación
funciones de cuando las funciones de auditoría (como las de base de datos, cpservice o
auditoría IPSDBServer) se inicien o se detengan; para ello, acceda a Capturas SNMP o
Configuración SNMP y seleccione Capturas de base de datos activa/inactiva. Configure
uno o varios perfiles para el envío de las capturas y haga clic en Aplicar.
Existencia de una Activar una alarma cuando exista una sesión administrativa por cada una de
sesión por cada las funciones administrativas definidas.
función
administrativa
firma.
2 Introduzca los valores 306–38 para Administrador de auditoría, 306–39
para Administrador de criptografía y 306–40 para Usuario avanzado.
También es posible configurar alarmas independientes.
Adición de alarmas de eventos del monitor de estado

Cree alarmas basadas en los eventos del monitor de estado que, después, permiten la generación de
un informe de Resumen de eventos de monitor de estado.
Antes de empezar
• Revise los ID de firma del monitor de estado en la página 367 disponibles.
• Revise los pasos para Creación de alarmas en la página 355.
1 Para configurar una alarma antes de que se genere un evento del monitor de estado:
a Configure una Condición de alarma con el tipo Coincidencia de evento interno.
b En la línea Campo, seleccione ID de firma.
c En el campo Valores, introduzca el ID de firma de las reglas del monitor de estado.
d Rellene el resto de opciones de configuración de la alarma.
2 Para configurar una alarma si existe un evento del monitor de estado:

a En el árbol de navegación del sistema, haga clic en el dispositivo de base del sistema
y seleccione una vista que muestre el evento del monitor de estado
(Análisis de eventos o Resumen predeterminado).
b
Haga clic en el evento y, después, haga clic en el icono Menú .
c Seleccione Acciones | Crear nueva alarma desde y haga clic en ID de firma.
d Rellene el resto de opciones de configuración de la alarma.
Véase también
ID de firma del monitor de estado en la página 367

6
Ajuste de alarmas
ID de firma del monitor de estado

En esta lista se describen las reglas del monitor de estado junto con sus ID de firma, tipo, dispositivo
y gravedad. Puede utilizar estas reglas a la hora de crear una alarma que envíe una notificación
cuando se genere un evento de regla del monitor de estado.
Nombre de regla ID de Descripción Tipo Dispositivo Gravedad

firma
Se ha realizado o 306-50080 Cambio de la Monitor de ESM Media
eliminado una configuración de interfaz software
conexión de interfaz de red mediante una
de red física sesión SSH.
Se ha producido un 306-50054 Detección de errores de Monitor de Todos Alta
error de RAID RAID. hardware
Cuenta desactivada 306-35 La cuenta de usuario se Monitor de ESM Media
debido a la ha desactivado debido a software
inactividad la inactividad.
Cuenta desactivada 306-36 La cuenta de usuario se Monitor de ESM Alta
debido al máximo de ha desactivado porque software
fallos de inicio de se ha alcanzado el
sesión máximo de fallos de
inicio de sesión.
Agregar/Editar 306-60 Adición o eliminación de Monitor de ESM Baja
comando remoto un comando remoto de software
alarma.
Alerta de cambio de 306-50029 El analizador de ASP se Monitor de Receptor Media
estado del ha detenido o iniciado. software
recopilador del
analizador de syslog
avanzado
Proceso de destilador 306-50066 El motor de extracción Monitor de APM Media
de APM de texto PDF/DOC de software
ADM se ha detenido o
iniciado.
Discrepancia con 146-7 Cambio de dispositivo de Monitor de ESM Baja
configuración descubrimiento de red software
aprobada aprobado.
Cambio de 306-3 Cambio de la Monitor de ESM Baja
configuración de configuración de software
archivado archivado de ESM.
Alerta de cambio de 306-50051 El proceso de archivado Monitor de APM/REC/ Media
estado del proceso de del receptor se ha software IPS/DBM
archivado detenido o iniciado.
Activo vulnerable a 146-10, Evento de vulnerabilidad Monitor de ESM Baja
evento 306-10 creado. software
Inicio de sesión de 306-38 Evento UCAPL, inicio de Monitor de ESM Baja
usuario administrador sesión de administrador software
de auditoría de auditoría.
Cambio de 306-1 Cambio de la Monitor de ESM Baja
configuración de configuración de copias software
copias de seguridad de seguridad de ESM.
Copia de seguridad 306-2 Copia de seguridad Monitor de ESM Baja
realizada realizada en el sistema. software
Alerta del analizador 306-50071 El analizador de Blue Monitor de Receptor Media
de Blue Martini Martini se ha detenido o software
iniciado.

6
Ajuste de alarmas

firma
Alerta de estado de 306-50001 En el NIC se ha activado Monitor de IPA/ADM/IPS Media
NIC de omisión o desactivado el estado software
de omisión.
El certificado de la 306-50082 El certificado de la Monitor de ESM Alta
autoridad de autoridad de certificación software
certificación ha de ESM ha caducado.
caducado
El certificado de la 306-50081 El certificado de la Monitor de ESM Media
autoridad de autoridad de certificación software
certificación caducará de ESM caducará pronto.
pronto
Cambio de caso 306-70 El caso ha cambiado. Monitor de ESM Baja
software
Estado de caso 306-73 El estado del caso ha Monitor de ESM Baja
agregado/ cambiado. software
modificado/eliminado
Alerta de cambio de 306-50013 El canal de control se ha Monitor de Todos Media
estado de canal de detenido o iniciado. software
comunicación
Error de captura de 146-4 Error del dispositivo de Monitor de ESM Baja
configuración (error descubrimiento de red. software
de dispositivo)
Error de captura de 146-3 Dispositivo de Monitor de ESM Baja
configuración descubrimiento de red software
(dispositivo inaccesible.
inaccesible)
Configuración 146-5 La configuración de Monitor de ESM Baja
capturada descubrimiento de red se software
ha comprobado
correctamente.
Error de directiva de 146-8 No se usa en el sistema. Monitor de ESM Baja
configuración software
Directiva de 146-9 No se usa en el sistema. Monitor de ESM Baja
configuración software
correcta
Cambio de 306-7 La configuración de Monitor de ESM Alta
configuración de asignación de datos de software
asignación de datos ESM ha cambiado.
Alerta de espacio 306-50005 El espacio libre de cada Monitor de Todos Media
libre en el disco en partición se está software
partición de datos agotando (por ejemplo,
hada_hd tiene un 10 %
de espacio libre).
Cambio de 306-6 La configuración de Monitor de ESM Alta
configuración de conservación de datos de software
conservación de ESM ha cambiado.
datos
Alerta de estado de 306-50036 El servicio de detección Monitor de Todos Media
servicios de automática de DBM se software
detección de bases ha detenido o iniciado.
de datos

6
Ajuste de alarmas

firma
Alerta de cambio de 306-50008 El motor de inspección Monitor de Todos Media
estado de DPI profunda de paquetes software
del IPS o ADM se ha
detenido o iniciado.
Eliminar comando 306-61 Comando remoto de Monitor de ESM Baja
remoto alarma eliminado. software
Eventos eliminados 306-74 El usuario ha eliminado Monitor de ESM Baja
eventos de ESM. software
Flujos eliminados 306-75 El usuario ha eliminado Monitor de ESM Baja
flujos de ESM. software
Adición de dispositivo 306-18 Se ha agregado un Monitor de ESM Baja
nuevo dispositivo al software
sistema.
Eliminación de 306-19 Un dispositivo existente Monitor de ESM Baja
dispositivo se ha eliminado del software
sistema.
Dispositivo 146-2 Evento de Monitor de ESM Baja
posiblemente inactivo descubrimiento de red software
que indica que es posible
que un dispositivo no
funcione.
Dispositivo 146-1 Un dispositivo de Monitor de ESM Baja
inaccesible descubrimiento de red software
agregado a ESM no está
accesible.
Alerta de error de 306-50018 Comprueba y verifica la Monitor de Todos Alta
unidad de disco integridad de todos los hardware
discos duros (internos o
de DAS).
Alerta de cambio de 306-50045 El motor de compresión Monitor de APM/REC/ Media
estado del proceso de del ELM se ha detenido o software IPS/DBM
archivado de ELM iniciado.
ELM EDS FTP 306-50074 El programa SFTP del Monitor de ELM Media
ELM se ha detenido o software
iniciado.
Proceso de archivo 306-50065 El motor de reinserción Monitor de ELM Media
de ELM del ELM se ha detenido o software
iniciado.
Si un registro falla por
algún motivo, intentará
de nuevo la inserción. Si
el proceso de reinserción
falla, se activa esta
regla.
Alerta de cambio de 306-50053 El almacenamiento Monitor de ELM Media

estado del punto de remoto (CIFS, NFS, software
montaje de ELM ISCSI, SAN) se ha
Alerta de cambio de 306-50046 El proceso de trabajos Monitor de ELM Media
estado del motor de del ELM (trabajos del software
consultas de ELM ELM, tales como
consultas, inserciones,
etc.) se ha detenido o
iniciado.

6
Ajuste de alarmas

firma
Almacenamiento 306-50063 La duplicación del ELM se Monitor de ELM Media
redundante en ELM ha detenido o iniciado. software
Error de la base de 306-50044 La base de datos del ELM Monitor de ELM Alta
datos del sistema se ha detenido o software
ELM iniciado.
Alerta de cambio de 306-50040 El recopilador MARS de Monitor de Receptor Media
estado de recopilador Cisco se ha detenido o software
de correo electrónico iniciado.
Etiquetas de ePO 306-28 Se han aplicado Monitor de ESM Baja
aplicadas etiquetas de McAfee software
ePO.
Error al establecer 306-50047 La comunicación con el Monitor de APM/REC/ Alta
comunicación con ELM ha fallado. software IPS/DBM
ELM
Error en 306-50077 Problemas del Monitor de Todos Alta
comunicación SSH dispositivo, tales como software
diferencias de versión o
un cambio de clave.
Reinicio de ESM 306-32 ESM se ha reiniciado. Monitor de ESM Media
software
Apagado de ESM 306-33 ESM se ha apagado. Monitor de ESM Media
software
Alerta del recopilador 306-50070 El recopilador de Monitor de Receptor Media
de eStreamer eStreamer se ha software
Alerta de cambio de 306-50041 El recopilador de Monitor de Receptor Media
estado de recopilador eStreamer se ha software
de eStreamer detenido o iniciado.
Separación de 306-4 Se ha separado una Monitor de ESM Baja
partición de eventos partición de eventos. software
Ejecutar comando 306-62 Comando remoto de Monitor de ESM Baja
remoto alarma ejecutado. software
Error de inicio de 306-37 El usuario no pudo iniciar Monitor de ESM Alta
sesión porque se ha sesión porque se alcanzó software
alcanzado el máximo el máximo de sesiones
de sesiones simultáneas.
simultáneas
Error al aplicar 306-50057 Se produjo un error al Monitor de ESM Alta
formato al dispositivo aplicar formato al SAN hardware
SAN en ELM; el usuario debe
volver a intentarlo.
Error de inicio de 306-31 El usuario no ha podido Monitor de ESM Media
sesión de usuario iniciar sesión. software
Alerta de cambio de 306-50049 El programa de Monitor de Receptor Media
estado de recopilador recopilación de montaje software
de archivos se ha detenido o
iniciado.
Archivo eliminado 306-50 Se ha eliminado Monitor de ESM Baja
cualquier archivo que se software
pueda agregar o
eliminar, como un
archivo de sonido o
registro de ESM.

6
Ajuste de alarmas

firma
Alerta de cambio de 306-50050 El programa de filtrado Monitor de Receptor Media
estado del proceso de del dispositivo se ha software
filtrado detenido o iniciado
(reglas de filtrado).
Alerta de cambio de 306-50009 El agregador del firewall Monitor de IPS/ADM/IPS Media
estado de agregador del IPS o del ADM se ha software
de alertas de firewall detenido o iniciado.
Separación de 306-5 Se ha separado una Monitor de ESM Baja
partición de flujos partición de flujos. software
Error de obtención 306-52 ESM no ha podido Monitor de ESM Media
datos de evaluación obtener datos de software
de vulnerabilidades evaluación de
vulnerabilidades.
Obtención datos de 306-51 ESM ha obtenido datos Monitor de ESM Baja
evaluación de de evaluación de software
vulnerabilidades vulnerabilidades.
correcta
Alerta interna de 306-50027 Un proceso del monitor Monitor de Todos Media
monitor de estado de estado se ha detenido software
o iniciado.
Alerta de cambio de 306-50039 El recopilador de HTTP se Monitor de Receptor Media
estado de recopilador ha detenido o iniciado. software
de HTTP
Cambio de 306-8 La configuración de Monitor de ESM Media
configuración de indizado de ESM ha software
indización cambiado.
Clave SSH no válida 306-50075 El dispositivo tiene Monitor de Todos Alta
problemas para software
comunicarse con el ELM,
tales como diferencias de
versión o un cambio de
clave.
Alerta de cambio de 306-50055 El recopilador de IPFIX Monitor de Receptor Media
estado de recopilador (flujo) se ha detenido o software
de IPFIX iniciado.
Inicio de sesión de 306-39 Evento UCAPL, inicio de Monitor de ESM Baja
usuario administrador sesión de administrador software
de claves y de criptografía.
certificados
Partición de registro 306-34 Las particiones más Monitor de ESM Baja
sustituida antiguas de la tabla de software
registro de la base de
datos se han sustituido.
Alerta de espacio 306-50004 El espacio de la partición Monitor de Todos Media
libre en el disco en de registro (/var) se está software
particiones de agotando.
registro
Alerta de cambio de 306-50010 La base de datos se ha Monitor de Todos Media
estado de servidor de detenido o iniciado. software
base de datos McAfee
EDB
Alerta del recopilador 306-50069 El recopilador de McAfee Monitor de Receptor Media
de McAfee ePO ePO se ha detenido o software
iniciado.

6
Ajuste de alarmas

firma
estado del formato formatos de eventos de software
de los eventos de McAfee se ha detenido o
McAfee iniciado.
Error de 306-26 ESM no se puede Monitor de ESM Alta
comunicación del comunicar con otro software
dispositivo de la dispositivo.
solución SIEM de
McAfee
Alerta de Microsoft 306-50068 El recopilador de Monitor de Receptor Media
Forefront Threat Forefront Threat software
Management Management Gateway se
Gateway ha detenido o iniciado.
estado de Microsoft SQL se ha software
recuperador de detenido o iniciado
MS-SQL (cualquier origen de
datos de Microsoft SQL).
Alerta de registro de 306-50062 El recopilador de jEMAIL Monitor de Receptor Media
varios eventos se ha detenido o software
iniciado.
Análisis de MVM 306-27 Se ha iniciado un análisis Monitor de ESM Baja
iniciado de MVM. software
Alerta de cambio de 306-50024 El recopilador de NetFlow Monitor de Receptor Media
de NetFlow iniciado.
Nueva cuenta de 306-13 Se ha agregado un Monitor de ESM Baja
usuario nuevo usuario al software
sistema.
Alerta de cambio de 306-50048 El montaje remoto para Monitor de Receptor Media
estado de recopilador NFS o CIFS se ha software
de NFS/CIFS detenido o iniciado.
Alerta de cambio de 306-50026 NitroFlow (flujos del Monitor de Receptor Media
estado de recopilador dispositivo) se ha software
de NitroFlow detenido o iniciado.
No se ha encontrado 306-50076 El dispositivo tiene Monitor de Todos Alta
una clave SSH problemas para software
comunicarse con el ELM,
tales como diferencias de
versión o un cambio de
clave.
Agregar/Editar lista 306-29 Una entrada de la lista Monitor de ESM Baja
negra de NSM negra de NSM se ha software
agregado o editado.
Eliminar lista negra 306-30 Una entrada de la lista Monitor de ESM Baja
de NSM negra de NSM se ha software
eliminado.
Alerta de cambio de 306-50028 El recopilador de OPSEC Monitor de Receptor Media
estado de receptor (Check Point) se ha software
de OPSEC detenido o iniciado.
Alerta de cambio de 306-50034 El recopilador de OPSEC Monitor de Receptor Media
estado de receptor (Check Point) se ha software
de OPSEC detenido o iniciado.

6
Ajuste de alarmas

firma
Alerta del recopilador 306-50072 El recopilador de Oracle Monitor de Receptor Media
de Oracle Identity IDM se ha detenido o software
Management iniciado.
Alerta de 306-50012 El ADM o el IPS han Monitor de IPS/ADM/IPS Media
sobresuscripción entrado o salido del software
modo de
sobresuscripción.
Alerta del analizador/ 306-50073 El analizador/recopilador Monitor de Receptor Media
recopilador de de complementos se ha software
complementos detenido o iniciado.
Adición de directiva 306-15 Se ha agregado una Monitor de ESM Baja
directiva al sistema. software
Eliminación de 306-17 Se ha eliminado una Monitor de ESM Baja
directiva directiva del sistema. software
Cambio de directiva 306-16 Se ha cambiado una Monitor de ESM Baja
directiva en el sistema. software
Discrepancia con 146-6 Ha cambiado la Monitor de ESM Baja
configuración previa configuración del software
dispositivo de
descubrimiento de red.
Disponibilidad alta 306-50058 Cualquier proceso de Monitor de Receptor Media
del receptor disponibilidad alta se ha software
detenido o iniciado
(Corosync, script de
control de disponibilidad
alta).
Configuración OPSEC 306-50059 No se utiliza. Monitor de Receptor Baja
de disponibilidad alta software
del receptor
ESM redundante sin 306-76 El ESM redundante no Monitor de ESM Alta
sincronizar está sincronizado. software
Alerta de cambio de 306-50020 El montaje de NFS del Monitor de ELM Media
estado de punto de ELM se ha detenido o software
montaje NFS remoto iniciado.
Alerta de espacio 306-50021 Se está agotando el Monitor de ESM Media
libre en el disco en espacio libre en el punto software
punto de montaje/ de montaje remoto.
recurso compartido
remoto
Alerta de cambio de 306-50019 El punto de montaje Monitor de Receptor Media
estado de recurso remoto SMB/CIFS se ha software
compartido de SMB/ detenido o iniciado.
CIFS remoto
Alerta de cambio de 306-50061 El motor de correlación Monitor de ACE Media
estado de correlación de riesgos se ha software
de riesgos detenido o iniciado.
Alerta de espacio 307-50002 Se está agotando el Monitor de Todos Media
libre en el disco en espacio libre en las software
particiones raíz particiones raíz.
Adición de regla 306-20 Se ha agregado una Monitor de ESM Baja
regla al sistema, por software
ejemplo, de ASP, filtrado
o correlación.

6
Ajuste de alarmas

firma
Eliminación de regla 306-22 Regla eliminada del Monitor de ESM Baja
sistema. software
Cambio de regla 306-21 Se ha cambiado una Monitor de ESM Baja
regla en el sistema. software
Error de actualización 306-9 Se ha producido un error Monitor de ESM Media
de regla al actualizar una regla de software
ESM.
Alerta de cambio de 306-50033 El recopilador de SDEE Monitor de Receptor Media
estado de se ha detenido o software
recuperador de SDEE iniciado.
Alerta de cambio de 306-50025 El recopilador de sFlow Monitor de Receptor Media
de sFlow iniciado.
Alerta de cambio de 306-50023 El recopilador de SNMP Monitor de Receptor Media
estado de recopilador se ha detenido o software
de SNMP iniciado.
Alerta de cambio de 306-50038 El recopilador de SQL Monitor de Receptor Media
estado de recopilador (anteriormente NFX) se software
de SQL ha detenido o iniciado.
estado de recopilador Symantec AV se ha software
de Symantec AV detenido o iniciado.
Alerta de cambio de 306-50037 El recopilador de syslog Monitor de Receptor Media
estado del se ha detenido o software
recopilador de syslog iniciado.
Inicio de sesión de 306-40 El administrador del Monitor de ESM Baja
usuario administrador sistema ha iniciado software
del sistema sesión.
Error de 306-50085 Se ha marcado un Monitor de Todos Alta
comprobación de programa o proceso software
integridad del externo no ISO en
sistema ejecución en el sistema.
Alerta de cambio de 306-50014 El proceso de registro del Monitor de Todos Media
estado de registrador sistema se ha detenido o software
del sistema iniciado.
Cierre de tarea 306-54 Se ha cerrado una tarea Monitor de ESM Baja
(consulta) del Administrador de software
tareas.
Alerta de espacio 306-50003 La partición temporal (/ Monitor de Todos Media
libre en el disco en tmp) se está quedando software
particiones sin espacio en el disco.
temporales
Alerta de cambio de 306-50052 El analizador de texto se Monitor de Receptor Media
estado del analizador ha detenido o iniciado. software
de registros de texto
Cambio de cuenta de 306-14 Ha cambiado una cuenta Monitor de ESM Baja
usuario de usuario. software
Error de inicio de 306-50079 Un usuario SSH no ha Monitor de ESM Baja
sesión de dispositivo podido iniciar sesión. software
de usuario
Inicio de sesión de 306-50017 No se usa en el sistema. Monitor de ESM Baja
dispositivo de usuario software

6
Ajuste de alarmas

firma
Cierre de sesión de 306-50078 Un usuario SSH ha Monitor de ESM Baja
dispositivo de usuario cerrado la sesión. software
Inicio de sesión de 306-11 Un usuario ha iniciado Monitor de ESM Baja
usuario sesión en el sistema. software
Cierre de sesión de 306-12 Un usuario ha cerrado la Monitor de ESM Baja
usuario sesión en el sistema. software
Alerta de estado del 306-50043 El motor de evaluación Monitor de Receptor Media
motor de datos de de vulnerabilidades software
evaluación de (vaded.pl) se ha
vulnerabilidades detenido o iniciado.
Adición de variable 306-23 Se ha agregado una Monitor de ESM Baja
variable de directiva. software
Eliminación de 306-25 Se ha eliminado una Monitor de ESM Baja
variable variable de directiva. software
Cambio de variable 306-24 Ha cambiado una Monitor de ESM Baja
variable de directiva. software
El certificado del 306-50084 El certificado del servidor Monitor de ESM Alta
servidor web ha web de ESM ha software
caducado caducado.
El certificado del 306-50083 El certificado del servidor Monitor de ESM Media
servidor web web de ESM caducará software
caducará pronto pronto.
Alerta de recopilador 306-50067 El recopilador de Monitor de Receptor Media
de Websense Websense se ha detenido software
o iniciado.
Alerta de cambio de 306-50030 El recopilador de WMI se Monitor de Receptor Media
estado del ha detenido o iniciado. software
recopilador de WMI
Event Log
Véase también
Adición de alarmas de eventos del monitor de estado en la página 366
Adición de una alarma de Coincidencia de campo

Una alarma de Coincidencia de campo coincide con varios campos de un evento y se activa cuando el
dispositivo recibe y analiza el evento.
Antes de empezar
• Revise cómo utilizar los Elementos lógicos en la página 377.

6
Ajuste de alarmas
Procedimiento
Propiedades .
3 Haga clic en Agregar, escriba el nombre de la alarma y seleccione el usuario asignado; a

continuación, haga clic en la ficha Condición.
4 En el campo Tipo, seleccione Coincidencia de campo y configure las condiciones de la alarma.

a Arrastre y coloque los elementos AND u OR para configurar la lógica de la condición de alarma.
b Arrastre y coloque el icono Coincidir componente sobre el elemento lógico y, después, rellene la
página Agregar campo de filtro.
c En el campo Frecuencia máxima de activación de condición, seleccione la cantidad de tiempo que debe
transcurrir entre condiciones para evitar un aluvión de notificaciones. Cada desencadenador
contiene el primer evento de origen que coincide con la condición de activación, pero no los
eventos que se producen durante el periodo de activación de condición. Los eventos nuevos que
coinciden con la condición de activación no activan la alarma de nuevo hasta que transcurre el
periodo correspondiente a la frecuencia de activación máxima.
Si establece el intervalo en cero, cada evento que coincida con una condición activará una alarma.
En el caso de las alarmas de alta frecuencia, un intervalo de cero puede producir muchas alarmas.
5 Haga clic en Siguiente y seleccione los dispositivos que se deben supervisar para esta alarma. Este
tipo de alarma es compatible con Event Receiver, Enterprise Log Manager (ELM) de receptor local,
combinaciones de Event Receiver/ELM, ACE y Application Data Monitor (ADM).
6 Haga clic en las fichas Acciones y Escalación a fin de definir la configuración.
La alarma se escribirá en el dispositivo.
Si la alarma no se escribe en el dispositivo, aparece una marca de falta de sincronización junto al

dispositivo en el árbol de navegación del sistema. Haga clic en la marca y, después, en Sincronizar alarmas.
Véase también
Resumen personalizado para alarmas activadas y casos en la página 378
Elementos lógicos en la página 377
Página Editar elemento lógico en la página 376
Página Editar elemento lógico

Permite editar la configuración de un elemento lógico.
Opción Definición
Botones de opción Permiten cambiar el tipo de elemento lógico. Esto resulta útil si tiene una regla o
un componente con varias capas de elementos lógicos y se da cuenta de que uno
de los elementos situados al principio del diagrama lógico debería ser de otro
tipo.
condiciones Seleccione el número de condiciones que se deben cumplir para un elemento SET
con más de una condición.

6
Ajuste de alarmas

Opción Definición
Secuencia Indique si desea que las condiciones de los elementos lógicos AND o SET se
produzcan en la secuencia en que aparecen en el campo Lógica de correlación para
que se active la regla.
Umbral Defina el número de veces que deben producirse las condiciones para que se
active la regla.
Período de tiempo Defina el límite de tiempo en el que debe alcanzarse el umbral para que la regla
se active.
Véase también
Adición de una alarma de Coincidencia de campo en la página 375
Elementos lógicos
Cuando agregue un Application Data Monitor (ADM), una base de datos y un componente o una regla
de correlación, utilice Lógica de expresión o Lógica de correlación para crear el marco de la regla.
Elemento Descripción
AND Funciona igual que un operador lógico en un lenguaje informático. Todo lo agrupado bajo
este elemento lógico debe ser verdadero para que la condición sea verdadera. Use esta
opción si desea que se cumplan todas las condiciones bajo este elemento lógico antes de
que se active una regla.
OR Funciona igual que un operador lógico en un lenguaje informático. Solo una de las
condiciones agrupadas bajo este elemento tiene que ser verdadera para que la condición
sea verdadera. Use este elemento si desea que se active la regla cuando se cumpla una
de las condiciones.
SET En el caso de los componentes o las reglas de correlación, SET permite definir
condiciones y seleccionar el número de condiciones que deben ser verdaderas para que
se active la regla. Por ejemplo, si se deben cumplir dos de las tres condiciones del
conjunto para que se active la regla, la configuración será "2 de 3".
Cada uno de estos elementos dispone de un menú con al menos dos de estas opciones:
• Editar: es posible editar la configuración predeterminada (véase Edición de elementos lógicos).
• Quitar elemento lógico: permite eliminar el elemento lógico seleccionado. En caso de existir elementos
secundarios no se eliminan, sino que se mueven hacia arriba en la jerarquía.
Esto no se aplica al elemento raíz (el primero de la jerarquía). Si se elimina el elemento raíz,
también se eliminan todos los elementos secundarios.
• Quitar el elemento lógico y todos sus elementos secundarios: es posible eliminar el elemento seleccionado y
todos sus elementos secundarios de la jerarquía.
Al establecer la lógica de la regla, es necesario agregar componentes a fin de definir las condiciones
para la regla. En el caso de las reglas de correlación, también se pueden agregar parámetros para
controlar el comportamiento de la regla o el componente cuando se ejecuten.
Véase también
Edición de elementos lógicos en la página 547

6
Ajuste de alarmas
Resumen personalizado para alarmas activadas y casos

Seleccione los datos que se incluirán en el resumen de alarma y de caso para las alarmas de tipo
Coincidencia de campo y Coincidencia de evento interno.
Antes de empezar
Procedimiento
Propiedades .
2 Haga clic en Alarmas y, después, en Agregar.
3 En la ficha Condición, seleccione el tipo Coincidencia de campo o Coincidencia de evento interno.
4
Haga clic en la ficha Acciones, luego en Crear caso para, después en el icono de las variables y, a
continuación, seleccione los campos que incluir en el resumen de caso.
5
Haga clic en Personalizar resumen de alarma activada, después en el icono de las variables y, a
continuación, seleccione los campos que incluir en el resumen correspondiente a la alarma
activada.
6 Escriba la información solicitada para crear alarmas y, después, haga clic en Finalizar.
Véase también
Adición de una alarma a las reglas

Si desea recibir una notificación cuando se generen eventos a través de reglas específicas, es posible
agregar una alarma a esas reglas.
Antes de empezar
Procedimiento
1
En el árbol de navegación del sistema, haga clic en el icono del Editor de directivas situado en la
barra de herramientas de acciones.
2 Seleccione el tipo de regla en el panel Tipos de regla.
3 Seleccione una o varias reglas en el área de visualización de reglas.

6
Ajuste de alarmas
4
Haga clic en el icono Alarmas .
5 Crear la alarma.
Creación de capturas SNMP a modo de acciones de alarma

Es posible enviar capturas SNMP a modo de acciones de alarma.
Antes de empezar
• Prepare el receptor de capturas SNMP (solo si no dispone de un receptor de capturas

SNMP).
Procedimiento
1 Cree un perfil SNMP para indicar al ESM dónde enviar las capturas SNMP.
a En el árbol de navegación del sistema, seleccione el sistema y, a continuación, haga clic en el
icono Propiedades .
b Haga clic en Administración de perfiles y seleccione Captura SNMP en el campo Tipo de perfil.
c Rellene los campos restantes y haga clic en Aplicar.
2 Configure SNMP en el ESM.

a En Propiedades del sistema, haga clic en Configuración SNMP y, después, en la ficha Capturas SNMP.
b Seleccione el puerto, seleccione los tipos de capturas que enviar y, después, seleccione el perfil
agregado en el Paso 1.
c Haga clic en Aplicar.
3 Defina una alarma con Captura SNMP como acción.

a En Propiedades del sistema, haga clic en Alarmas y, después, en Agregar.
b Rellene la información solicitada en las fichas Resumen, Condición y Dispositivos; seleccione

Coincidencia de evento interno como tipo de condición y haga clic en la ficha Acciones.
c Seleccione Enviar mensaje y haga clic en Configurar a fin de seleccionar o crear una plantilla para los
mensajes SNMP.
d Seleccione Plantilla de SNMP básica en el campo SNMP, o bien haga clic en Plantillas y seleccione una
plantilla existente o haga clic en Agregar para definir una plantilla nueva.
e Vuelva a la página Configuración de alarma y continúe con la configuración.

6
Ajuste de alarmas
Adición de una alarma de notificación sobre fallos de

alimentación
Es posible agregar una alarma para que se le notifiquen los fallos de cualquiera de las fuentes de
alimentación del ESM.
Antes de empezar
• Configuración de una captura SNMP para la notificación de fallos de alimentación en la

página 272
Procedimiento
Propiedades .
3 Haga clic en Agregar, introduzca los datos solicitados en la ficha Resumen y, a continuación, haga clic
en la ficha Condición.
4 En el campo Tipo, seleccione Coincidencia de evento interno.
5 En el campo Campo, seleccione ID de firma y, a continuación, escriba 306-50086 en el campo Valor(es).
6 Introduzca la información restante en cada ficha según sea necesario y, a continuación, haga clic
en Finalizar.
Se activará una alarma cuando falle una fuente de alimentación.
Administración de orígenes de datos no sincronizados

Configure una alarma que le avise cuando los datos no sincronizados generen eventos, de forma que
pueda ver una lista de orígenes de datos, editar su configuración y exportar la lista.
Antes de empezar
Esta herramienta de diagnóstico detecta cuando un origen de datos está recopilando eventos pasados
o futuros, lo cual puede provocar la aparición de una marca roja en el receptor.

6
Ajuste de alarmas
Procedimiento
Propiedades .
2 Configure una alarma para recibir una notificación cuando llegue al receptor un evento generado
por un origen de datos que no está sincronizado con el ESM.
a Haga clic en Alarmas | Agregar, escriba la información solicitada en la ficha Resumen y haga clic en
la ficha Condición.
b Seleccione Diferencia de eventos en el campo Tipo, seleccione la frecuencia con que el ESM debe
comprobar los orígenes de datos no sincronizados y seleccione la diferencia de tiempo que debe
existir para que se active la alarma.
c Rellene la información en el resto de fichas.
3 Vea, edite o exporte los orígenes de datos que no están sincronizados.

a En el árbol de navegación del sistema, haga clic en el receptor y, después, en el icono de
Propiedades.
b Haga clic en Administración del receptor y seleccione Diferencia de tiempo.
Véase también
Orígenes de datos no sincronizados en la página 381
Página Diferencia de tiempo en la página 382
Orígenes de datos no sincronizados

Como resultado de diversas configuraciones posibles, la hora de un origen de datos puede perder la
sincronización con el ESM. Cuando un origen de datos no sincronizado genera un evento, aparece una
marca roja junto al receptor en el árbol de navegación del sistema.
Puede configurar una alarma para recibir una notificación cuando esto ocurra. Después, puede
administrar los orígenes de datos no sincronizados mediante la página Diferencia de tiempo (véase
Administración de orígenes de datos no sincronizados).
Los eventos no sincronizados pueden ser eventos antiguos o futuros.
Existen varios motivos por los que los orígenes de datos pueden no estar sincronizados con el ESM.
1 El ESM tiene una configuración de zona horaria incorrecta (véase Selección de la configuración de
usuario).
2 La hora se configura con la zona incorrecta al agregar el origen de datos (véase Adición de un
origen de datos).
3 El sistema ha estado funcionando mucho tiempo y la hora se ha desajustado.
4 Ha configurado el sistema de esa forma a propósito.
5 El sistema no está conectado a Internet.
6 El evento está desincronizado al llegar al receptor.
Véase también
Administración de orígenes de datos no sincronizados en la página 380

6
Ajuste de alarmas
Página Diferencia de tiempo

Esta página permite administrar los orígenes de datos que generan eventos en los que la hora y la
última hora tienen una diferencia superior al intervalo establecido. Los eventos se comprueban con la
frecuencia establecida cuando se agrega una alarma de Diferencia de eventos.

Opción Definición
Tabla Incluye los orígenes de datos, las direcciones IP o los nombres de host, el tipo de origen de
datos y la diferencia de tiempo correspondiente a los eventos.
Editar Abre la página Editar origen de datos correspondiente al origen de datos seleccionado. Puede
cambiar la configuración de la zona horaria para que el origen de datos genere los eventos
con la hora correcta.
Exportar Exporta la lista de la tabla.
Actualizar Actualiza la información de la tabla para reflejar los cambios recientes.
Intervalo Determina la antigüedad para el análisis de eventos de la base de datos.
Véase también
Administración de orígenes de datos no sincronizados en la página 380

7 Uso de los eventos
El ESM permite identificar, recopilar, procesar, correlacionar y almacenar miles de millones de eventos
y flujos, además de conservar esta información disponible para fines de consulta, análisis forense,
validación de reglas y conformidad.
Contenido
Eventos, flujos y registros
Administración de informes
Descripción de los filtros contains y regex
Uso de las vistas de ESM
Filtros de tipos personalizados
®
Búsquedas de McAfee Active Response
Visualización de la hora del evento

Los eventos, flujos y registros recopilan distintos tipos de actividades que se producen en un
dispositivo.
Un evento es una actividad registrada por un dispositivo como resultado de una regla del sistema. Un
flujo es la información registrada sobre una conexión realizada entre direcciones IP, una de las cuales
al menos se encuentra en la red HOME_NET. Un registro es la información sobre un evento que se
produce en un dispositivo del sistema. Los eventos y los flujos tienen direcciones IP de origen y
destino, puertos, direcciones MAC, un protocolo y una hora de inicio y de fin (que indica el tiempo
entre el inicio y la finalización de la conexión). No obstante, existen varias diferencias entre los
eventos y los flujos:
• Como los flujos no son indicativos de tráfico anómalo o malicioso, normalmente son más comunes
que los eventos.
• Los flujos no están asociados a una firma de regla (ID de firma) como los eventos.
• Los flujos no están asociados con acciones de evento tales como alerta, supresión y rechazo.
• Ciertos datos son exclusivos de los flujos, como los bytes de origen y destino o los paquetes de
origen y destino. Los bytes y los paquetes de origen indican el número de bytes y de paquetes
transmitidos por el origen del flujo, mientras que los bytes y los paquetes de destino son el número
de bytes y paquetes transmitidos por el destino del flujo.
• Los flujos tienen una dirección: un flujo entrante es un flujo que se origina fuera de la red
HOME_NET. Un flujo saliente se origina fuera de la red HOME_NET. Esta variable se define en una
directiva para un dispositivo Nitro IPS.

7
Uso de los eventos
Los eventos y los flujos generados por el sistema se pueden ver mediante las vistas, que se
seleccionan en la lista desplegable de vistas. Los registros se pueden ver mediante el Registro del sistema
o el Registro de dispositivo, a los que se accede a través de la página Propiedades del sistema o de cada
dispositivo.
Véase también
Configuración de descargas de eventos, flujos y registros en la página 384
Limitación del tiempo de recopilación de datos en la página 385
Definición de la configuración de umbral de inactividad en la página 386
Obtención de eventos y flujos en la página 387
Comprobación de eventos, flujos y registros en la página 388
Definición de la configuración de geolocalización y ASN en la página 390
Configuración de descargas de eventos, flujos y registros

Puede comprobar manualmente la existencia de eventos, flujos y registros, o bien configurar el
dispositivo de forma que lo haga automáticamente.
Procedimiento
2 Haga clic en Eventos, flujos y registros, Eventos y registros o Registros.
3 Configure las descargas y haga clic en Aplicar.
Véase también
Eventos, flujos y registros en la página 383
Página Eventos, flujos y registros en la página 384
Página Eventos, flujos y registros

Permite definir la configuración de descarga de eventos, flujos y registros. Los dispositivos IPS, ADM y
Event Receiver trabajan con eventos, flujos y registros; los dispositivos ACE y DEM trabajan con
eventos y registros; los dispositivos DESM trabajan con eventos; y, por último, los dispositivos ELM
trabajan solo con registros. Las opciones disponibles en esta página varían en función del dispositivo
seleccionado.

Opción Definición
Actualizar automáticamente Si el ESM descarga automáticamente las reglas del servidor de reglas,
reglas seleccione esta opción en caso de que desee que las reglas descargadas se
desplieguen en el dispositivo.
Descargar automáticamente... Seleccione alguna de estas opciones si desea que el ESM compruebe la
existencia de eventos, flujos o registros de forma automática.
Obtener... Haga clic en esta opción si desea que el ESM busque eventos, flujos o
registros de inmediato. Para ver el estado de estos trabajos, véase Obtener
eventos y flujos.

7
Uso de los eventos

Opción Definición
Definir el intervalo de tiempo de Seleccione esta opción para planificar un intervalo de tiempo diario de
extracción de datos diario forma que el ESM extraiga datos de cada dispositivo y envíe los datos al
ELM desde cada dispositivo (véase Limitación del tiempo de recopilación de
datos).
Tenga cuidado al configurar esta función, ya que la planificación de la

recopilación de eventos, flujos y registros puede acarrear una fuga de
datos.
Generar eventos de Seleccione esta opción para que los eventos que coincidan con los datos de
vulnerabilidad origen de evaluación de vulnerabilidades agregados al sistema (véase
Integración de datos de evaluación de vulnerabilidades) se conviertan en
eventos de vulnerabilidad y generen una alerta en el ESM local. Las
propiedades de directiva del Editor de directivas son las mismas para todos
estos eventos y no se pueden modificar (por ejemplo, la gravedad siempre
es 100).
Proceso de última descarga de Permiten ver la última vez que se han recuperado eventos o flujos del
eventos o Proceso de última dispositivo, si el proceso ha sido correcto o no y el número de eventos o
descarga de flujos flujos recuperados.
Último registro de eventos Permiten ver la fecha y la hora del último registro de evento, cadena o
descargado, Último registro de flujo descargado. Si cambia este valor, es posible establecer la fecha y la
cadena descargado o Último hora a partir de las cuales se recuperarán eventos, cadenas o flujos. Por
registro de flujos descargado ejemplo, si introduce 13 de noviembre de 2010 a las 10:30:00 de la
mañana en el campo Último registro de eventos descargado, haga clic en Aplicar y,
después, en Obtener eventos; el ESM recuperará todos los eventos del
dispositivo desde ese momento hasta la fecha.
Configuración de base de datos Permite administrar la configuración de índice de base de datos en el ESM.
Configuración de inactividad Permite ver y cambiar la configuración de umbral de inactividad de cada
uno de los dispositivos administrados por el ESM (véase Definición de la
configuración de umbral de inactividad).
Geolocalización Permite configurar el ESM para registrar datos de geolocalización y ASN de
cada uno de los dispositivos (véase Definición de la configuración de
geolocalización y ASN).
Véase también
Agregación de eventos o flujos en la página 391
Limitación del tiempo de recopilación de datos

Puede planificar un intervalo de tiempo diario para limitar los momentos en que ESM extrae datos de
cada dispositivo y cuándo se envían los datos al ELM desde cada dispositivo.
Antes de empezar
Desactive Usar agregación dinámica y establezca Agregación de nivel 1 entre 240 y 360 minutos
(véase Cambio de la configuración de agregación de eventos o flujos).
Puede utilizar esta función para evitar usar la red en momentos de mucha actividad y que así el ancho
de banda esté disponible para otras aplicaciones. Esto produce un retraso en la entrega de datos al
ESM y el ELM, de modo que debe determinar si tal retraso es aceptable en su entorno.

7
Uso de los eventos
Procedimiento
Tenga cuidado al configurar esta función, ya que la planificación de la recopilación de eventos, flujos y
registros puede acarrear una fuga de datos.
1 En el árbol de navegación del sistema, seleccione el dispositivo y, a continuación, haga clic en el
icono Propiedades .
2 Seleccione una de las siguientes opciones:

• Eventos, flujos y registros
• Eventos y registros
• Registros
3 Seleccione Definir el intervalo de tiempo de extracción de datos diario y, a continuación, defina las horas de
inicio y finalización del intervalo de tiempo.
El ESM recopila datos del dispositivo y este envía los datos al ELM para su registro durante el intervalo
de tiempo que haya definido. Cuando se configura así un ELM, se define cuándo recopila datos el ESM
del ELM y cuándo envía los datos el ESM al ELM para su registro.
Véase también
Definición de la configuración de umbral de inactividad

Cuando se define un umbral de inactividad para un dispositivo, se recibe una notificación si no se
generan eventos o flujos en el periodo de tiempo especificado. Si se alcanza el umbral, aparece un
indicador de estado amarillo junto al nodo del dispositivo en el árbol de navegación del sistema.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema, asegúrese de que esté
seleccionada la opción Información del sistema y haga clic en Eventos, flujos y registros.
2 Haga clic en Configuración de inactividad.
3 Resalte el dispositivo y haga clic en Editar.
4 Realice cambios en la configuración y después haga clic en Aceptar.

7
Uso de los eventos
Véase también
Página Umbral de inactividad en la página 387
Página Editar umbral de inactividad en la página 387
Página Umbral de inactividad

Permite definir el umbral de inactividad de los dispositivos, de manera que se le notifique cuando un
dispositivo no reciba eventos o flujos durante el periodo de tiempo especificado.
Opción Definición
Columna Dispositivo Incluye todos los dispositivos del sistema.
Columna Umbral Muestra el umbral de cada dispositivo.
Columna Heredar Muestra si un dispositivo secundario hereda la configuración de umbral del
elemento principal. Seleccione esta opción o anule su selección para cambiar la
configuración.
Editar Abre la página Editar umbral de inactividad para poder cambiar la configuración de
umbral.
Véase también
Página Editar umbral de inactividad

Permite editar la configuración de umbral para el dispositivo seleccionado en la página Umbral de
inactividad. Si se establece en cero (0), el dispositivo no tendrá un umbral de inactividad.
Véase también
Obtención de eventos y flujos

Es posible recuperar eventos y flujos para los dispositivos seleccionados en el árbol de navegación del
sistema.
Procedimiento
1 En el árbol de navegación del sistema, seleccione el sistema, un grupo o un dispositivo y haga clic
en el icono Obtener eventos y flujos en la barra de herramientas de acciones.
2 En la tabla superior, seleccione los eventos y los flujos que se deben recuperar; a continuación,
haga clic en Iniciar.
El estado de la recuperación se refleja en la columna Estado. La tabla inferior muestra más detalles
sobre los dispositivos resaltados en la tabla superior.
3 Una vez finalizada la descarga, seleccione una vista para mostrar estos eventos y flujos; después,
haga clic en el icono Actualizar vista actual en la barra de herramientas de vistas.

7
Uso de los eventos
Véase también
Página Obtener eventos y flujos en la página 388
Página Obtener eventos y flujos

Permite recuperar manualmente eventos y flujos de los dispositivos seleccionados.
Opción Definición
Minimizar la página Obtener eventos y flujos mientras se siguen recuperando los
eventos o flujos.
TABLA SUPERIOR
Columna Nombre de Ver los dispositivos para los que se pueden recuperar eventos o flujos según lo
dispositivo seleccionado en el árbol de navegación del sistema. Puede seleccionar uno o
varios de estos dispositivos a fin de ver los detalles en la tabla inferior.
Columna Eventos Seleccionar los dispositivos para los que desee recuperar eventos.
Columna Flujos Seleccionar los dispositivos para los que desee recuperar flujos.
Columna Estado Ver el estado de la recuperación una vez iniciada. Incluye el número de
trabajos de inserción y obtención en ejecución para un dispositivo, así como el
último trabajo de obtención ejecutado mientras la ventana estaba abierta. Se
actualiza cada dos segundos.
Iniciar Haga clic en esta opción para iniciar la recuperación. Se debe seleccionar una
casilla de verificación como mínimo para que esta opción esté activa.
Cancelar Cancelar el proceso una vez iniciado. El proceso se detiene cuando finaliza la
operación en curso.
TABLA INFERIOR
Columna Nombre de Ver los nombres de los dispositivos seleccionados en la tabla superior.
dispositivo
Columna Operación Ver la operación realizada en el dispositivo en ese momento.
Columna Hora de inicio Ver la hora de creación del trabajo, que no es necesariamente la hora en que
se empezó a procesar en el ESM.
Columna Estado Ver el estado del trabajo.
Actualizar Actualizar la tabla. Se actualiza automáticamente cada cinco segundos.
Véase también
Comprobación de eventos, flujos y registros

Es posible configurar el ESM para que compruebe la existencia de eventos, flujos y registros de forma
automática o bien buscarlos manualmente. La tasa de comprobación depende del nivel de actividad
del sistema y de la frecuencia con que se desee recibir actualizaciones de estado. También se puede
especificar qué dispositivos deben buscar cada tipo de información y establecer la configuración de
umbral de inactividad para los dispositivos administrados por el ESM.

7
Uso de los eventos
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Eventos, flujos y
registros.
2 Realice las selecciones y los cambios que desee para la recuperación de eventos, flujos y registros.
Véase también
Página Dispositivos en la página 389

Permite definir la configuración de eventos, flujos y registros.
Opción Definición
Intervalo de comprobación Seleccione esta opción si desea que el sistema compruebe la existencia de
automática eventos, flujos y registros automáticamente. Defina la frecuencia que
desee para ello.
Comprobar ahora Permite buscar eventos, flujos y registros inmediatamente.
Mostrar dispositivos Seleccione la configuración de descarga automática de eventos, flujos y
registros para cada dispositivo.
Configuración de inactividad Si desea que se le notifique cuando un dispositivo no genere eventos o
flujos durante un periodo de tiempo, seleccione esta opción, resalte el
dispositivo y haga clic en Editar.
Véase también
Página Dispositivos
Permite establecer la configuración de recuperación de eventos, flujos y registros de cada dispositivo
del sistema.

Opción Definición
Columna Nombre de dispositivo Incluye todos los dispositivos del sistema.
Columna Eventos Seleccione los dispositivos que desee que descarguen eventos
automáticamente.
Columna Flujos Seleccione los dispositivos que desee que descarguen flujos
automáticamente.
Columna Registros Seleccione los dispositivos que desee que descarguen registros
automáticamente.

7
Uso de los eventos
Véase también
Definición de la configuración de geolocalización y ASN

La geolocalización proporciona la ubicación geográfica real de los equipos conectados a Internet. El
número de sistema autónomo (ASN) es un número que se asigna a un sistema autónomo y que
identifica de forma exclusiva cada una de las redes de Internet.
Ambos tipos de datos pueden ayudarle a identificar la ubicación física de una amenaza. Es posible
recopilar datos de geolocalización de origen y destino para los eventos.
Procedimiento
2 Haga clic en Eventos, flujos y registros o en Eventos y registros; después, haga clic en Geolocalización.
3 Realice las selecciones para obtener la información necesaria y haga clic en Aceptar.
Es posible filtrar los datos de eventos mediante esta información.
Véase también
Página Configuración de geolocalización en la página 390
Página Configuración de geolocalización

Permite configurar el dispositivo para almacenar datos de geolocalización o de ASN.
Opción Definición
Recopilar datos de geolocalización Si desea recopilar datos de geolocalización para eventos o flujos,
seleccione esta opción.
Datos de origen, Datos de destino Si ha seleccionado Recopilar datos de geolocalización, seleccione si desea
recopilar ambos tipos o solo uno de ellos.
Recopilar datos ASN Si desea recopilar datos de ASN para eventos o flujos, seleccione esta
opción.
Datos de origen, Datos de destino Si ha seleccionado Recopilar datos ASN, indique si desea recopilar ambos
tipos o solo uno de ellos.
Desactivado Seleccione esta opción si desea detener la recopilación de datos de
geolocalización o ASN para eventos o flujos.
Actualizar Permite volver a la configuración de dispositivo actual.
Véase también

7
Uso de los eventos
Agregación de eventos o flujos

Un evento o un flujo podrían generarse miles de veces en potencia. En lugar de obligarle a repasar
miles de eventos distintos, la agregación le permite verlos como si se tratara de un único evento o
flujo con un recuento que indica el número de veces que se ha producido.
El uso de la agregación permite un uso más eficiente del espacio de disco, tanto en el dispositivo como
en el ESM, ya que elimina la necesidad de almacenar todos los paquetes. Esta función se aplica solo a
las reglas para las cuales se haya activado la agregación en el Editor de directivas.
Dirección IP de destino origen y destino

Los valores de dirección IP de origen y destino "no definidos" o los valores agregados aparecen como
"::" en lugar de "0.0.0.0" en todos los conjuntos de resultados. Por ejemplo:
• ::ffff:10.0.12.7 se inserta como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 es 10.0.12.7).
• ::0000:10.0.12.7 sería 10.0.12.7.
Eventos y flujos agregados

Los eventos y flujos agregados utilizan los campos de primera vez, última vez y total para indicar la
duración y la cantidad de agregación. Por ejemplo, si se produce el mismo evento 30 veces en los
primeros diez minutos tras el mediodía, el campo Primera vez contiene las 12:00 como hora (la hora de
la primera instancia del evento), el campo Última vez contiene las 12:10 como hora (la hora de la última
instancia del evento) y el campo Total contiene el valor 30.
Puede cambiar la configuración de agregación predeterminada de eventos o flujos del dispositivo y, en

el caso de los eventos, es posible agregar excepciones a la configuración del dispositivo para reglas
individuales (véase Administración de las excepciones de agregación de eventos).
La agregación dinámica también está activada de forma predeterminada. Cuando se utiliza, reemplaza
la configuración de agregación de Nivel 1 y aumenta la configuración en Nivel 2 y Nivel 3. Recupera
registros de acuerdo con la configuración de recuperación de eventos, flujos y registros. Si se
configura para la recuperación automática, el dispositivo solo comprime un registro hasta la primera
vez que el ESM lo extrae. Si se configura para la recuperación manual, un registro se comprime un
máximo de 24 horas o hasta que se extraiga un nuevo registro manualmente, lo que antes ocurra. Si
el tiempo de compresión alcanza el límite de 24 horas, se extrae un nuevo registro y se inicia la
compresión en ese registro nuevo.
Véase también
Cambio de la configuración de agregación de eventos o flujos en la página 393
Adición de excepciones a la configuración de agregación de eventos en la página 394
Administración de las excepciones de agregación de eventos en la página 395

Permite definir la configuración de descarga de eventos, flujos y registros. Los dispositivos IPS, ADM y
Event Receiver trabajan con eventos, flujos y registros; los dispositivos ACE y DEM trabajan con
eventos y registros; los dispositivos DESM trabajan con eventos; y, por último, los dispositivos ELM

7
Uso de los eventos
trabajan solo con registros. Las opciones disponibles en esta página varían en función del dispositivo
seleccionado.
Opción Definición
Actualizar automáticamente Si el ESM descarga automáticamente las reglas del servidor de reglas,
reglas seleccione esta opción en caso de que desee que las reglas descargadas se
desplieguen en el dispositivo.
Descargar automáticamente... Seleccione alguna de estas opciones si desea que el ESM compruebe la
existencia de eventos, flujos o registros de forma automática.
Obtener... Haga clic en esta opción si desea que el ESM busque eventos, flujos o
registros de inmediato. Para ver el estado de estos trabajos, véase Obtener
eventos y flujos.
Definir el intervalo de tiempo de Seleccione esta opción para planificar un intervalo de tiempo diario de
extracción de datos diario forma que el ESM extraiga datos de cada dispositivo y envíe los datos al
ELM desde cada dispositivo (véase Limitación del tiempo de recopilación de
datos).
Tenga cuidado al configurar esta función, ya que la planificación de la

recopilación de eventos, flujos y registros puede acarrear una fuga de
datos.
Generar eventos de Seleccione esta opción para que los eventos que coincidan con los datos de
vulnerabilidad origen de evaluación de vulnerabilidades agregados al sistema (véase
Integración de datos de evaluación de vulnerabilidades) se conviertan en
eventos de vulnerabilidad y generen una alerta en el ESM local. Las
propiedades de directiva del Editor de directivas son las mismas para todos
estos eventos y no se pueden modificar (por ejemplo, la gravedad siempre
es 100).
Proceso de última descarga de Permiten ver la última vez que se han recuperado eventos o flujos del
eventos o Proceso de última dispositivo, si el proceso ha sido correcto o no y el número de eventos o
descarga de flujos flujos recuperados.
Último registro de eventos Permiten ver la fecha y la hora del último registro de evento, cadena o
descargado, Último registro de flujo descargado. Si cambia este valor, es posible establecer la fecha y la
cadena descargado o Último hora a partir de las cuales se recuperarán eventos, cadenas o flujos. Por
registro de flujos descargado ejemplo, si introduce 13 de noviembre de 2010 a las 10:30:00 de la
mañana en el campo Último registro de eventos descargado, haga clic en Aplicar y,
después, en Obtener eventos; el ESM recuperará todos los eventos del
dispositivo desde ese momento hasta la fecha.
Configuración de base de datos Permite administrar la configuración de índice de base de datos en el ESM.
Configuración de inactividad Permite ver y cambiar la configuración de umbral de inactividad de cada
uno de los dispositivos administrados por el ESM (véase Definición de la
configuración de umbral de inactividad).
Geolocalización Permite configurar el ESM para registrar datos de geolocalización y ASN de
cada uno de los dispositivos (véase Definición de la configuración de
geolocalización y ASN).
Véase también

7
Uso de los eventos
Cambio de la configuración de agregación de eventos o flujos

La agregación de eventos y de flujos está activada de manera predeterminada con el valor Alta. Es
posible cambiar la configuración según proceda. El rendimiento de cada opción de configuración se
describe en la página Agregación.
Antes de empezar
Es necesario disponer de privilegios de Administrador de directivas y Administración de dispositivo o
Administrador de directivas y Reglas personalizadas para cambiar estas opciones de configuración.
La agregación de eventos solo está disponible para los receptores y los dispositivos ADM e IPS, mientras
que la agregación de flujos lo está en los receptores y los dispositivos IPS.
Procedimiento
2 Haga clic en Agregación de eventos o Agregación de flujos.
Véase también
Página Agregación de eventos/flujos en la página 393
Página Agregación de eventos/flujos

Permite agregar grupos de eventos o flujos idénticos o similares a un único registro con el fin de
ahorrar espacio.

Opción Definición
Actualizar Permite leer la configuración de agregación actual del dispositivo y utilizar la tasa
de agregación correspondiente.
Usar agregación Permite aumentar el rendimiento de las inserciones en el ESM. Si se selecciona,

dinámica reemplaza la configuración de agregación de Nivel 1 y aumenta la configuración
de la agregación correspondiente a Nivel 2 y Nivel 3. Recuperará registros de
acuerdo con la configuración de recuperación de Eventos, flujos y registros. Si se
configura para la recuperación automática, el dispositivo solo comprimirá un
registro hasta la primera vez que el ESM lo extraiga. Si se configura para la
recuperación manual, un registro se comprimirá un máximo de 24 horas o hasta
que se extraiga un nuevo registro manualmente, lo que antes ocurra. Si el tiempo
de compresión alcanza el límite de 24 horas, se extraerá un nuevo registro y se
iniciará la compresión en ese registro nuevo.
Control deslizante Haga clic en la flecha indicadora y arrástrela hasta la posición que desee. La
descripción de cada nivel cambia para reflejar la configuración seleccionada.
Opción Cuando la opción Usar agregación dinámica no esté seleccionada, establezca el primer
Personalizado del y el segundo valor de nivel 1. Antes de planificar la recopilación de eventos, flujos
control deslizante y registros (véase Limitación del tiempo de recopilación de datos), el primer valor
se debe establecer entre 240 y 360 minutos.
Aplicar Permite actualizar el dispositivo con todas las opciones de configuración de esta
pantalla.

7
Uso de los eventos

Opción Definición
Ver (solo eventos) Permite acceder a la página Excepciones de agregación de eventos (véase Adición de
excepciones a la configuración de agregación de eventos).
Puertos (solo Configure los valores de agregación de puertos de flujos que sean necesarios
flujos) (véase Configuración de los valores de agregación de los puertos de flujos).
Véase también
Adición de excepciones a la configuración de agregación de eventos

La configuración de agregación se aplica a todos los eventos generados por un dispositivo. Es posible
crear expresiones para reglas individuales si la configuración general no es aplicable a los eventos
generados por una regla.
Procedimiento
1 En el panel de vistas, seleccione un evento generado por la regla a la que desee agregar la
excepción.
2
Haga clic en el icono Menú y seleccione Modificar configuración de agregación.
3 Seleccione los tipos de campos que desee agregar mediante las listas desplegables Campo 2 y Campo
3.
Los campos seleccionados en Campo 2 y Campo 3 deben ser de tipos distintos o se producirá un error.
Cuando seleccione estos tipos de campos, la descripción de cada nivel de agregación cambiará para
reflejar las selecciones realizadas. Los límites de tiempo de cada nivel dependen de la configuración
de agregación de eventos definida para el dispositivo.
4 Haga clic en Aceptar para guardar la configuración y, a continuación, haga clic en Sí para continuar.
5 Anule la selección de dispositivos si no desea que los cambios de desplieguen en ellos.
6 Haga clic en Aceptar para desplegar los cambios en los dispositivos seleccionados.
La columna Estado mostrará el estado de la actualización a medida que se desplieguen los cambios.
Véase también
Página Excepciones de agregación de eventos en la página 395
Página Desplegar para excepciones de agregación en la página 395

7
Uso de los eventos
Página Excepciones de agregación de eventos

Las excepciones de agregación de eventos se establecen en la vista Análisis de eventos. La página
Excepciones de agregación de eventos permite cambiar la configuración o quitar una excepción.

Opción Definición
Editar Permite realizar cambios en la excepción seleccionada.
Quitar Eliminar la excepción seleccionada.
Desplegar Desplegar los cambios en el dispositivo.
Véase también
Página Desplegar para excepciones de agregación

Permite desplegar cualquier cambio realizado en las excepciones de agregación.
Opción Definición
Columna Dispositivo Ver los dispositivos del sistema.
Segunda columna Seleccione los dispositivos en los que desee desplegar los cambios.
Columna Estado Permite ver el estado del despliegue en cada dispositivo.
Véase también
Administración de las excepciones de agregación de eventos

Es posible ver una lista de las excepciones de agregación de eventos agregadas al sistema. También
cabe la posibilidad de editar o eliminar una excepción.
Procedimiento
2 Haga clic en Agregación de eventos y, después, en Ver, en la parte inferior de la pantalla.
3 Realice los cambios necesarios y haga clic en Cerrar.
Véase también
Página Agregación de eventos/flujos en la página 393
Configuración del reenvío de eventos

El reenvío de eventos permite enviar eventos desde el ESM a otro dispositivo o instalación mediante
syslog o SNMP (si procede). Es necesario definir el destino, y se puede indicar si se desea incluir el

7
Uso de los eventos
paquete y camuflar los datos de IP. Se pueden agregar filtros para que los datos de evento se filtren
antes de su reenvío.
Esto no sustituye a la administración de registros, ya que no se trata de un conjunto completo de
registros firmados digitalmente de cada uno de los dispositivos del entorno.
Véase también
Agentes de reenvío de eventos en la página 399
Envío y reenvío de eventos con el formato de eventos estándar en la página 403
Configuración del reenvío de eventos en la página 396
Adición de destinos de reenvío de eventos en la página 397
Activación o desactivación del reenvío de eventos en la página 400
Modificación de la configuración de todos los destinos de reenvío de eventos en la página 401
Adición de filtros de reenvío de eventos en la página 401
Edición de la configuración de filtrado de reenvío de eventos en la página 402
Configuración del reenvío de eventos

Es posible configurar un destino de reenvío de eventos para reenviar los datos de eventos a un
servidor syslog o SNMP.
El número de destinos de reenvío de eventos en uso, en combinación con la tasa y el número de

eventos recuperados por el ESM, puede afectar al rendimiento global de ESM.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Reenvío de
eventos.
2 En la página Destinos de reenvío de eventos, seleccione Agregar, Editar o Quitar.
3 Si ha seleccionado agregar o editar un destino, defina su configuración.
Véase también
Página Reenvío de eventos en la página 396
Página Reenvío de eventos

Permite configurar las opciones de reenvío de eventos para poder reenviar datos de eventos a syslog.

Opción Definición
Destinos de reenvío de eventos Ver los destinos que ya se han agregado al sistema.
Agregar Agregar un nuevo destino al sistema.
Editar Cambiar la configuración del destino seleccionado.

7
Uso de los eventos

Opción Definición
Quitar Eliminar un destino del sistema.
Configuración Especificar la configuración que se aplica a todos los destinos de reenvío de
eventos.
Véase también
Adición de destinos de reenvío de eventos

Es posible agregar un destino de reenvío de eventos al ESM a fin de reenviar datos de eventos a un
servidor syslog o SNMP.
Procedimiento
eventos.
Véase también
Página Agregar destino de reenvío de eventos en la página 397
Página Agregar destino de reenvío de eventos

Permite agregar un nuevo destino de reenvío de eventos al ESM.

Opción Definición
Nombre Introduzca un nombre para este destino.
Activado Seleccione esta opción para activar el reenvío de eventos a este destino.
Usar perfil del sistema Seleccione esta opción si desea usar un perfil existente; después, seleccione un
perfil en la lista desplegable o haga clic en Usar perfil del sistema a fin de agregar un
perfil nuevo.
Formato Seleccione el formato en la lista desplegable. Véase Agentes de reenvío de
eventos para obtener una lista detallada de los agentes y la información
contenidos en los paquetes.
Dirección IP de destino Escriba la dirección IP de destino de syslog.
Puerto de destino Seleccione el puerto de destino en el que escucha syslog.

7
Uso de los eventos

Opción Definición
Protocolo Elija entre los protocolos de transporte UDP y TCP. UDP es el estándar de
protocolo en el que se basa syslog. Los paquetes enviados a través de syslog
mediante TCP tienen exactamente el mismo formato que sus homólogos UDP,
incluidos la función, la gravedad y el mensaje; la única excepción es un carácter
de nueva línea (código de carácter ASCII 10) al final del mensaje.
Al contrario que en el caso de UDP, que es un protocolo sin conexión, se debe
establecer una conexión TCP entre el ESM y el servidor que escucha los eventos
reenviados. Si no se puede establecer una conexión o la conexión se interrumpe,
el ESM rastrea el último evento reenviado correctamente e intenta establecer la
conexión de nuevo tras unos minutos. Una vez restablecida la conexión, el ESM
reanuda el reenvío de eventos donde se detuvo.
Si selecciona UDP, no podrá seleccionar SSH o TLS en el campo Modo.
Función Seleccione la función de los paquetes de syslog.

Gravedad Seleccione la gravedad de los paquetes de syslog.
Formato de hora Seleccione el formato de hora para el encabezado del reenvío de eventos de
syslog. Si selecciona Heredado, el formato será el mismo que era en las versiones
anteriores a la 9.3.0, que correspondía a GMT. Si selecciona Estándar, podrá
seleccionar una zona horaria.
Zona horaria Si ha seleccionado Estándar, seleccione la zona horaria que se usará al enviar
registros de reenvío de eventos.
Ocultar datos Seleccione esta opción si desea enmascarar los datos seleccionados incluidos en
los datos reenviados a este destino. Para seleccionar los datos, haga clic en
Configurar.
Enviar paquete Si tiene la directiva configurada para copiar un paquete, seleccione esta opción en
caso de que desee reenviar la información sobre el paquete. Esta información se
incluye, si el paquete está disponible, al final del mensaje de syslog con
codificación Base 64.
Filtros de evento Haga clic aquí para aplicar filtros a los datos de evento reenviados a syslog.
Modo Seleccione el modo de seguridad para el mensaje. Si selecciona SSH, rellene la
información restante. Si elige utilizar syslog mediante TCP (protocolo), indique si
desea realizar la conexión TCP a través de SSH o TLS. Ya que syslog es un
protocolo sin cifrar, el uso de SSH o TLS evita que otras personas puedan
examinar sus mensajes de reenvío de eventos. Si utiliza el modo FIPS, puede
reenviar datos de registro mediante TLS.
Puerto local de Escriba el puerto que se utilizará en el lado del ESM de la conexión SSH.
retransmisión
Puerto SSH remoto Escriba el puerto en el que escucha el servidor SSH al otro lado de la conexión
SSH.
Nombre de usuario Escriba el nombre de usuario de SSH utilizado para establecer la conexión SSH.
SSH
Clave DSA SSH Escriba la clave de autenticación DSA pública empleada para la autenticación
SSH. El contenido de este campo se agregará al archivo authorized_keys (o
equivalente) en el equipo donde se ejecute el servidor SSH.
Véase también
Página Filtros de evento en la página 402
Página Filtrar informe en la página 402

7
Uso de los eventos
Agentes de reenvío de eventos

Estos son los agentes de reenvío de eventos y la información contenida en los paquetes cuando se
reenvían. El agente se selecciona en el campo Formato de la página Agregar destino de reenvío de eventos.
Agente Contenido
Syslog ESM IP McAfee ESM (parte del encabezado de syslog), ID de firma, Mensaje de firma, IP
(McAfee de origen, IP de destino, Puerto de origen, Puerto de destino, MAC de origen, MAC de
9.2) destino, Protocolo, LAN virtual (VLAN), Flujo (si el evento ha sido generado por el emisor
o el destinatario de la conexión), Recuento de eventos, Primera vez (en formato de hora
de UNIX), Última vez (en formato de hora de UNIX), Segundo de usuario de última vez,
Subtipo de evento, Gravedad, ID interno (ID de evento de ESM), ID de evento, ID de
IPS, Nombre de IPS (nombre de origen de datos : dirección IP), ID de origen de datos,
IPv6 de origen, IPv6 de destino, ID de sesión, Secuencia, marca De confianza, ID
normalizado, GUID de origen, GUID de destino, Nombre de agregación 1, Valor de
agregación 1, Nombre de agregación 2, Valor de agregación 2, Nombre de agregación 3,
Valor de agregación 3.
Los siguientes campos de cadena también aparecen entre comillas porque podrían
contener un punto y coma: Aplicación, Comando, Dominio, Host, Objeto, Usuario de
destino, Usuario de origen, Tipo definido por el usuario 8, Tipo definido por el usuario 9,
Tipo definido por el usuario 10, Tipo definido por el usuario 21, Tipo definido por el
usuario 22, Tipo definido por el usuario 23, Tipo definido por el usuario 24, Tipo definido
por el usuario 25, Tipo definido por el usuario 26, Tipo definido por el usuario 27.
Paquete (el contenido del paquete solo presenta la codificación Base64 si la opción
"Copiar paquete" está activada en el caso de las reglas del editor de directivas y la opción
está marcada al configurar el reenvío de eventos en el ESM).
Syslog ESM IP McAfee ESM (parte del encabezado de syslog), ID de firma, Mensaje de firma, IP
(McAfee de origen, IP de destino, Puerto de origen, Puerto de destino, MAC de origen, MAC de
8.2) destino, Protocolo, LAN virtual (VLAN), Flujo (si el evento ha sido generado por el emisor
o el destinatario de la conexión), Recuento de eventos, Primera vez (en formato de hora
de UNIX), Última vez (en formato de hora de UNIX), Segundo de usuario de última vez,
Subtipo de evento, Gravedad, ID interno (ID de evento de ESM), ID de evento, ID de
IPS, Nombre de IPS (nombre de origen de datos : dirección IP), ID de origen de datos,
IPv6 de origen, IPv6 de destino, ID de sesión, Secuencia, marca De confianza, ID
normalizado.
Los siguientes campos de cadena también aparecen entre comillas porque podrían
contener un punto y coma: Aplicación, Comando, Dominio, Host, Objeto, Usuario de
destino, Usuario de origen, Tipo definido por el usuario 8, Tipo definido por el usuario 9,
Tipo definido por el usuario 10.
Paquete (el contenido del paquete solo presenta la codificación Base64 si la opción
"Copiar paquete" está activada en el caso de las reglas del editor de directivas y la opción
está marcada al configurar el reenvío de eventos en el ESM).
Syslog ESM IP, "McAfee ESM", ID de firma, Mensaje de firma, IP de origen, IP de destino, Puerto
(Nitro) de origen, Puerto de destino, MAC de origen, MAC de destino, Protocolo, LAN virtual
(VLAN), Flujo (si el evento ha sido generado por el emisor o el destinatario de la
conexión), Recuento de eventos, Primera vez (en formato de hora de UNIX), Última vez
(en formato de hora de UNIX), Segundo de usuario de última vez, Subtipo de evento,
Gravedad, ID interno (ID de evento de ESM), ID de evento, ID de IPS, Nombre de IPS, ID
de origen de datos, Paquete (el contenido del paquete tiene la codificación Base 64).
Syslog "McAfee", ID de equipo, "Notificación de ArcSight", "Línea 1", Nombre de grupo, Nombre
(ArcSight) de IPS, Última vez mm/dd/aaa HH:mm:ss.zzz, Segundo de usuario de última vez,
Primera vez mm/dd/aaa HH:mm:ss.zzz, ID de firma, Nombre de clase, Recuento de
eventos, IP de origen, Puerto de origen, IP de destino, Puerto de destino, Protocolo,
Subtipo de evento, ID de dispositivo de evento (ID interno del evento en el dispositivo),
ID de ESM de evento (ID interno del evento en el ESM), Mensaje de regla, Flujo (si el
evento ha sido generado por el emisor o el destinatario de la conexión), VLAN, MAC de
origen, MAC de destino, Paquete (el contenido del paquete tiene la codificación Base 64).

7
Uso de los eventos
Agente Contenido
Syslog snort:, [sigid:smallsigid:0], Mensaje de firma o "Alerta", [Classification: ClassName],
(Snort) [Priority: ClassPriority], {Protocolo}, IP de origen:Puerto de origen -> IP de
destino:Puerto de destino, IP de origen -> IP de destino, Paquete (el contenido del
paquete tiene la codificación Base 64).
Syslog Hora (segundos desde tiempo), marca de estado, nombre de usuario, nombre de
(registros categoría de registro (en blanco para la versión 8.2.0, con valor para las versiones 8.3.0
de y posteriores), nombre de grupo de dispositivos, nombre de dispositivo, mensaje de
auditoría) registro.
Syslog Hora y fecha actuales, IP de ESM, versión de CEF 0, proveedor = McAfee, producto =
(formato modelo de ESM de /etc/McAfee Nitro/ipsmodel, versión = versión de ESM de /etc/
de evento buildstamp, ID de firma, mensaje de firma, gravedad (de 0 a 10), pares de nombre/valor,
común) dirección convertida de dispositivo.
Syslog <#>AAAA-MM-DDTHH:MM:SS.S [Dirección IP] McAfee_SIEM:
(formato { "source": { "id": 144120685667549200, "name": "McAfee Email Gateway (ASP)",
de evento "subnet": "::ffff:10.75.126.2/128" }, "fields": { "packet": { "encoding": "BASE64" } },
estándar) "data": { "unique_id": 1, "alert_id": 1, "thirdpartytype": 49, "sig": { "id": 5000012,
"name": "Random String Custom Type" }, "norm_sig": { "id": 1343225856, "name":
"Misc Application Event" }, "action": "5", "src_ip": "65.254.48.200", "dst_ip": "0.0.0.0",
"src_port": 38129, "dst_port": 0, "protocol": "n/a", "src_mac": "00:00:00:00:00:00",
"dst_mac": "00:00:00:00:00:00", "src_asn_geo": 1423146310554370000, "firsttime":
"2014-05-09T20:43:30Z", "lasttime": "2014-05-09T20:43:30Z", "writetime":
"2014-05-09T20:44:01Z", "src_guid": "", "dst_guid": "", "total_severity": 25, "severity":
25, "eventcount": 1, "flow": "0", "vlan": "0", "sequence": 0, "trusted": 2, "session_id": 0,
"compression_level": 10, "reviewed": 0, "a1_ran_string_CF1": "This is data for custom
field 1", "packet":
"PDE0PjA5MDUyMDE0IDIwOjE4OjQ0fDIxfDY1LjI1NC40OC4yMDAtMzgxMjl8MXwxMDJ8U3
BhbSBNZXNzYWdlIHR5cGU6IFRydXN0ZWRTb3VyY2UgU2lnbmF0dXJlIENvbmZpZGVuY2
UgPSBISUdILiBDb25uZWN0aW9uOiA2NS4yNTQuNDguMjAwLTM4MTI5KElQLVBvcnQpfF
RoaXMgaXMgZGF0YSBm b3IgY3VzdG9tIGZpZWxkIDF8W10A"
Véase también
Activación o desactivación del reenvío de eventos

Es posible activar o desactivar el reenvío de eventos en el ESM.
Procedimiento
eventos.
2 Haga clic en Configuración y, después, seleccione Reenvío de eventos activado o anule su selección.

7
Uso de los eventos
Véase también
Modificación de la configuración de todos los destinos de reenvío de

eventos
Cabe la posibilidad de cambiar la configuración de todos los destinos de reenvío de eventos de una
vez.
Procedimiento
eventos.
2 Haga clic en Configuración y establezca las opciones.
Véase también
Adición de filtros de reenvío de eventos

Es posible configurar filtros para limitar los datos de eventos reenviados a un servidor syslog o SNMP
en el ESM.
Procedimiento
eventos.
2 Haga clic en Agregar y, después, en Filtros de evento.
3 Rellene los campos de filtrado y haga clic en Aceptar.

7
Uso de los eventos
Véase también
Página Filtros de evento

Permite agregar valores para filtrar los datos de eventos reenviados a un servidor syslog.

Opción Definición
Dispositivo Haga clic en el icono de filtrado , seleccione el dispositivo por el que filtrar y haga
clic en Aceptar.
IP de destino Escriba una dirección IP de destino individual (161.122.15.13) o un intervalo de
direcciones IP (192.168.0.0/16) por los que filtrar.
Puerto de destino Escriba el puerto de filtrado; solo se permite uno.
Protocolo Escriba el protocolo de filtrado; solo se permite uno.
IP de origen Escriba la dirección IP de origen individual o un intervalo de direcciones IP por los
que filtrar.
Tipo de dispositivo Haga clic en el icono de filtrado, seleccione un máximo de 10 tipos de dispositivo y
ID normalizado Seleccione los ID normalizados para el filtrado (véase Normalización).
Gravedad Para filtrar por la gravedad de un evento, seleccione Mayor o igual que y un número de
gravedad entre 0 y 100.
Véase también
Página Filtrar informe

Permite filtrar los datos de evento generados por el receptor de forma que el Visor de transmisiones
muestre los datos que se desea ver. Los campos se describen en la parte inferior de la página cuando
se seleccionan.
Véase también
Edición de la configuración de filtrado de reenvío de eventos

Es posible cambiar la configuración de filtrado de reenvío de eventos una vez guardada.
Antes de empezar
Cuando se edita un filtro de dispositivos, es necesario tener acceso a todos los dispositivos
del filtro. A fin de activar el acceso a los dispositivos, véase Configuración de grupos de
usuarios.

7
Uso de los eventos
Procedimiento
eventos.
2 Haga clic en Editar y, después, haga clic en Filtros de evento.
3 Realice los cambios y haga clic en Aceptar.
Véase también
Envío y reenvío de eventos con el formato de eventos estándar

El formato de eventos estándar (SEF) es un formato de eventos basado en la notación de objetos
JavaScript (JSON) que permite representar datos de eventos genéricos.
El formato SEF reenvía los eventos desde el ESM a un receptor situado en otro ESM, así como desde el
ESM a una tercera parte. También puede usarlo al enviar eventos desde una tercera parte a un
receptor, mediante la selección de SEF como formato de datos al crear el origen de datos.
Cuando se configura el reenvío de eventos con SEF desde un ESM a otro ESM, es necesario llevar a
cabo estos cuatro pasos:
1 Exporte los orígenes de datos, los tipos personalizados y las reglas personalizadas desde el ESM
que reenvía los eventos.
— Para exportar los orígenes de datos, siga las instrucciones contenidas en Traslado de orígenes de
datos a otro sistema.
— Para exportar los tipos personalizados, acceda a Propiedades del sistema, haga clic en Tipos
personalizados y, después, haga clic en Exportar.
— Para exportar las reglas personalizadas, siga las instrucciones contenidas en Exportación de
reglas.
2 En el ESM con el receptor destino del reenvío, importe los orígenes de datos, los tipos
personalizados y las reglas personalizadas que acaba de exportar.
— Para importar los orígenes de datos, siga las instrucciones contenidas en Traslado de orígenes de
datos a otro sistema.
— Para importar los tipos personalizados, acceda a Propiedades del sistema, haga clic en Tipos
personalizados y, después, haga clic en Importar.
— Para importar las reglas personalizadas, siga las instrucciones contenidas en Importación de
reglas.

7
Uso de los eventos
3 En el ESM que recibe los eventos de otro ESM, agregue un origen de datos de ESM.
— En el árbol de navegación del sistema, haga clic en el dispositivo receptor al que desee agregar
el origen de datos y, después, haga clic en el icono Agregar origen de datos .
— En la página Agregar origen de datos, seleccione McAfee en el campo Proveedor de origen de datos y,
después, seleccione Enterprise Security Manager (SEF) en el campo Modelo de origen de datos.
— Rellene la información solicitada y haga clic en Aceptar.
4 Agregue el destino de reenvío de eventos en el ESM que realiza el envío.

— Haga clic en el sistema en el árbol de navegación del sistema y haga clic en el icono Propiedades
— Haga clic en Reenvío de eventos y, después, en Agregar.
— En la página Agregar destino de reenvío de eventos, seleccione syslog (Formato de eventos estándar) en el
campo Formato, rellene el resto de campos con la información correspondiente al ESM destino del
reenvío y haga clic en Aceptar.
Véase también
Los informes muestran datos sobre los eventos y flujos administrados en el ESM. Es posible diseñar un
informe propio o ejecutar alguno de los predefinidos, así como enviarlos en formato PDF, HTML o CSV.
Informes predefinidos
Los informes predefinidos se dividen en las siguientes categorías:
• Conformidad • McAfee Database Activity Monitoring (DAM)
• Ejecutivo • McAfee DEM
• McAfee ADM • McAfee Event Reporter
Estos informes generan datos basados en los eventos.
Informes definidos por el usuario

Cuando se crea un informe, se establece su diseño en el editor Diseño del informe mediante la selección
de la orientación, el tamaño, la fuente, los márgenes, el encabezado y el pie. También se pueden
incluir componentes y configurarlos para que muestren los datos de la forma deseada.
Todos los diseños se guardan y se pueden utilizar para diversos informes. Cuando se agrega un
informe, existe la opción de crear un nuevo diseño, utilizar uno existente tal cual o emplear uno
existente como plantilla y editar sus funciones. También es posible eliminar un diseño de informe
cuando ya no es necesario.

7
Uso de los eventos
Véase también
Establecimiento del mes de inicio para los informes trimestrales en la página 405
Adición de un informe en la página 405
Adición de un diseño de informe en la página 408
Inclusión de una imagen en los PDF y los informes en la página 411
Adición de una condición de informe en la página 411
Visualización de los nombres de hosts en un informe en la página 413
Establecimiento del mes de inicio para los informes

trimestrales
Si ejecuta informes de forma trimestral, debe definir el primer mes del Trimestre 1. Una vez definido y
almacenado esto en la tabla del sistema, los informes se ejecutan trimestralmente en función de esta
fecha de inicio.
Procedimiento
1 En la consola de ESM, seleccione Propiedades del sistema y haga clic en Configuración personalizada.
2 En el campo Especifique qué mes iniciará el primer trimestre, seleccione el mes.
3 Haga clic en Aplicar para guardar la configuración.
Véase también
Administración de informes en la página 404
Adición de un informe
Agregue informes al ESM y configúrelos para que se ejecuten de forma regular según los intervalos
definidos, o bien para que se ejecuten al seleccionarlos manualmente. Es posible seleccionar un diseño
de informe existente o crear uno nuevo mediante el editor Diseño del informe.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Informes.
2 Haga clic en Agregar y defina la configuración en la página Agregar informe.
3 Haga clic en Guardar.
El informe se agregará a la tabla en la página Informes y se ejecutará según la definición del campo
Condición.

7
Uso de los eventos
Véase también
Página Informes en la página 406
Página Agregar informe en la página 406
Página Informes
Permite administrar los informes predefinidos y definidos por el usuario en el ESM.
Opción Definición
Tabla Informes Ver los informes que hay actualmente configurados en el ESM.
Agregar Definir la configuración de un informe nuevo y agregarlo al ESM.
Editar Cambiar la configuración de un informe existente.
Quitar Eliminar un informe existente del ESM.
Ejecutar ahora Ejecutar el informe seleccionado en ese momento.
Compartir Comparta los informes seleccionados con los grupos o usuarios de su
elección.
Importar Importar informes que se han exportado previamente.
Exportar Exportar informes.
Activado Activar el informe seleccionado en la tabla.
Botón Activar o Desactivar Activar o desactivar la función de generación de informes. Si se desactiva, no
se generará ningún informe de la lista.
Condiciones Administrar los tipos de condiciones disponibles para los informes.
Destinatarios Administrar los destinatarios definidos en el ESM.
Ver Ver los informes que hay en cola a la espera de ejecución y cancelarlos si
procede.
Archivos Administrar los archivos de informes generados.
Véase también
Página Agregar informe

Permite definir la configuración de un informe.
Opción Definición
Nombre del informe Escriba un nombre para el informe.
Descripción Escriba una descripción de la información que genera el informe.
Condición Seleccione esta opción si desea que el informe se ejecute desde la lista de
opciones. Si desea agregar una condición a la lista de opciones, haga clic en Editar
condiciones.
Zona horaria Seleccione la zona horaria que se debe emplear para ejecutar las consultas.
Formato de fecha Seleccione el formato que se debe usar para la fecha.

7
Uso de los eventos

Opción Definición
Formato Seleccione el formato que desea que tenga el informe generado.
• Si está diseñando un informe nuevo, las opciones son PDF o HTML.
• Si desea incluir una vista en el informe, seleccione Ver PDF.
• Si desea generar un archivo CSV con los resultados de la consulta, seleccione
Consulta en CSV.
Mensaje de correo Seleccione esta opción si desea que el informe se envíe a usuarios o grupos y,
electrónico enviado a después, haga clic en Agregar destinatario para seleccionarlos. Si el formato del
usuarios y grupos informe es Informe en HTML o Consulta en CSV, indique si desea que el informe se envíe
como datos adjuntos en el mensaje de correo electrónico o directamente.
Archivo guardado en Permite guardar el informe dentro de un archivo en el ESM. Prefijo muestra el
el ESM prefijo predeterminado para el nombre del archivo, el cual se puede cambiar.
Una vez generado el archivo, haga clic en Archivos en la página Informes para ver el
informe.
Archivo guardado en Permite guardar el informe en una ubicación remota. Seleccione la ubicación en la
ubicación remota lista desplegable. Si no aparece, haga clic en administrar ubicaciones y agregue el
perfil de ubicación remota.
Elija un diseño Si ha seleccionado el formato PDF o HTML, seleccione un diseño existente o cree
existente o cree uno otro nuevo. Es posible administrar los diseños.
nuevo
• Elija un diseño existente: localice el diseño en la lista y haga clic en él.
• Agregar: haga clic aquí para abrir el editor Diseño del informe y cree un diseño
nuevo.
• Editar: realice cambios en un diseño existente.
• Agregar carpeta: permite agregar una carpeta para organizar los diseños. A
continuación cabe la posibilidad de agregar un diseño nuevo a la carpeta,
arrastrar y soltar un diseño existente en la carpeta o agregar una subcarpeta.
• Importar: a fin de importar un diseño, haga clic en esta opción y busque el
archivo que desee importar.
Si el diseño que va a importar incluye una imagen que se encuentra

actualmente en el ESM, se abrirá Importar diseños de informe para informarle del
conflicto y ofrecerle las opciones siguientes:
• Mantener local: mantiene la imagen en el ESM y elimina la imagen del diseño de

informe. Se empleará la imagen del ESM para el diseño.
• Reemplazar local: sustituye la imagen del ESM por la imagen del diseño de
informe. Cualquier diseño que utilice la imagen eliminada del ESM pasará a
usar la imagen importada con el diseño.
• Cambiar nombre: cambia el nombre de la imagen del diseño de informe
automáticamente y el diseño se importa mediante la imagen con el nombre
nuevo.
• Exportar: haga clic aquí para exportar diseños.
• Incluir resumen de filtro en informe: permite incluir un resumen de los filtros de
componentes globales e individuales definidos para este informe. Los filtros
empleados se indican en la parte inferior del informe. Esto resulta útil si desea
conocer los límites definidos para los datos del informe.
Elija una vista Si ha seleccionado Ver PDF como formato, seleccione la vista que desee incluir en
el informe en la lista desplegable.

7
Uso de los eventos

Opción Definición
Elija una consulta Si ha seleccionado Consulta en CSV, seleccione la consulta predefinida.
predefinida
Introduzca los valores Seleccione los filtros que desee aplicar a todos los componentes de este informe
a fin de filtrar (véase Página Filtros de consulta). Puede utilizar los filtros contains y regex en
estos campos (véase Descripción de los filtros contains y regex).
Véase también
Adición de un diseño de informe

Defina el diseño de un informe si los diseños predefinidos no satisfacen sus necesidades.
Procedimiento
2 Haga clic en Agregar para abrir la página Agregar informe y rellene las secciones 1, 2 y 3.
3 En la sección 4, seleccione Informe en PDF o Informe en HTML.
4 En la sección 5, haga clic en Agregar para abrir el editor Diseño del informe.
5 Configure el diseño a fin de mostrar los datos generados por el informe.
El informe se guarda y se puede utilizar tal cual para otros informes o a modo de plantilla editable.
Véase también
Editor Diseño del informe en la página 408
Editor Diseño del informe

Permite agregar o editar un diseño de informe. Posteriormente, se puede utilizar al configurar un
informe.

Opción Definición
Deslice el indicador a un lado u otro para ajustar el tamaño de
la página del editor.
Seleccione esta opción para que la anchura de la página del
editor coincida con la de la página.

7
Uso de los eventos

Opción Definición
Propiedades de documento Defina la configuración de formato básica para el diseño.
• Nombre y Descripción: escriba un nombre para el diseño y una
descripción de sus funciones. El nombre es obligatorio.
• Orientación: indique si desea que la página tenga orientación
horizontal o vertical a la hora de imprimir el informe.
• Tamaño: el tamaño predeterminado de la página de informe es
8,5 x 11. Para cambiarlo, seleccione el tamaño correcto en la
lista desplegable. El cambio se reflejará en la página del
editor.
• Fuente predeterminada: seleccione el tipo de fuente, el tamaño y
el color del texto del informe. Al hacer el cambio, este se
refleja en el texto de la página del editor. También puede
indicar si desea que el texto esté en negrita, en cursiva,
subrayado, centrado o alineado a la derecha de la página.
• Margen: seleccione el margen de los bordes del informe.
• Encabezado y pie de página: indique si desea que el informe tenga
encabezado y pie de página.
Propiedades de encabezado Haga clic en el área de encabezado de la página del editor y,

después, haga lo siguiente en la sección Propiedades de encabezado.
• Fuente de nombre de informe: seleccione la fuente que desee
utilizar para el nombre del diseño en el encabezado.
• Elementos incluidos: seleccione los elementos que desee incluir
en el encabezado. Si cambia la fuente de estos elementos,
acceda a Propiedades de documento.
• Logotipo: indique si desea que aparezca un logotipo en el
encabezado. De ser así, indique si desea que se encuentre a
la derecha o a la izquierda del encabezado, y haga clic en el
vínculo situado en el campo Archivo para seleccionar una
imagen.
Propiedades de pie de página Haga clic en el área del pie de la página del editor. En la sección
Propiedades de pie de página, seleccione los elementos que desee
incluir.
Guardar Haga clic aquí para guardar el diseño. Se le notificará si queda
alguna opción requerida sin definir.
Guardar como Permite guardar el diseño con un nombre de archivo nuevo.
Copiar Haga clic aquí para copiar el componente seleccionado en el
diseño. En la parte izquierda se agregará el icono de un
portapapeles que indica el tipo de componente copiado.
Posteriormente, se puede pegar de dos formas:
• Arrastre y suelte el icono en la ubicación donde desee
agregar el componente.
• Resalte un componente en el diseño y haga clic en Pegar. El
componente copiado se inserta debajo del componente
resaltado.

7
Uso de los eventos

Opción Definición
Propiedades de componentes Arrastre y suelte componentes de Texto, Imagen, Tabla, Gráfico de
barras, Gráfico circular o Gráfico de distribución en la página del editor y
defina su configuración como sigue.
• Asistente de consultas: defina la consulta para el componente
seleccionado.
• Fuente: defina el tipo de fuente, el tamaño y el color del texto;
indique si se le debe aplicar negrita, cursiva o subrayado; por
último, indique si desea que se justifique a la izquierda, el
centro o la derecha.
• Imagen: seleccione la imagen en la página Selector de imagen.
• Título: cambie el título si procede, establezca la fuente y
seleccione su justificación.
• Consulta: realice cambios en la consulta si procede y
seleccione el número máximo de resultados que se mostrarán
en la tabla. En un componente de Tabla, Gráfico de barras o Gráfico
circular, seleccione Resolver direcciones IP como nombres de host si
desea que el informe utilice la resolución de DNS para las
direcciones IP de origen y destino.
• Encabezado de tabla: establezca la fuente para la fila de
encabezado de la tabla.
• Tabla: establezca la fuente para los datos de la tabla.
• Borde: indique si desea que aparezca un borde alrededor del
cuadro de texto, la imagen o la tabla y, de ser así, el grosor y
el color.
• Colores de filas alternativos: si desea que las filas alternativas de
una tabla tengan un color distinto, seleccione ambos colores.
• Columnas: defina los nombres y el formato de cada columna de
la tabla.
• Configuración de subtotal: indique si desea que aparezcan los
subtotales en la tabla.
• Otro: en el caso de un gráfico circular, indique si desea que
aparezcan etiquetas y una leyenda.
• Para ajustar el tamaño de un componente, haga clic en el
componente en la página del editor, haga clic en uno de los
cuadrados amarillos que indican los bordes y arrástrelo

hasta obtener el tamaño deseado.
Arrástrelo y suéltelo en la ubicación donde desee insertar un

salto de página. Una línea negra en negrita indica dónde se
Salto de página
encuentra el salto de página.
Véase también

7
Uso de los eventos
Inclusión de una imagen en los PDF y los informes

Es posible configurar el ESM de forma que los PDF exportados y los informes impresos incluyan la
imagen que aparece en la pantalla Inicio de sesión.
Antes de empezar
Agregue la imagen a la página Configuración personalizada (véase Personalización de la página
de inicio de sesión).
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Configuración
personalizada.
2 Seleccione Incluir imagen en PDF exportado desde vistas o informes impresos.
Véase también
Página Selector de imagen o Imágenes de fondo en la página 411
Página Selector de imagen o Imágenes de fondo

Permite agregar una imagen al ESM o seleccionar una imagen existente.

Opción Definición
Tabla Selector de imagen Permite ver las imágenes que hay en el ESM. Seleccione una y haga clic en
Aceptar.
Agregar Permite agregar una nueva imagen al ESM.
Cambiar nombre Permite cambiar el nombre de una imagen que hay actualmente en el ESM. El
nombre de las imágenes de la lista debe ser exclusivo.
Eliminar Permite eliminar una imagen del ESM.
Véase también
Adición de una condición de informe

Agregue condiciones para que estén disponibles a la hora de configurar un informe.

7
Uso de los eventos
Procedimiento
2 Haga clic en Condiciones y rellene la información solicitada.
Esta opción aparecerá en la lista de condiciones disponibles a la hora de seleccionar la condición para
un informe.
Véase también
Página Condiciones en la página 412
Página Agregar condición en la página 412
Página Condiciones
La adición de condiciones de informe hace que se genere un informe cuando se cumple un criterio
especificado.
Opción Definición
Tabla Condiciones Ver las condiciones existentes.
Agregar Especificar la configuración de una condición nueva.
Editar Cambiar la configuración de una condición existente.
Quitar Eliminar una condición existente.
Véase también
Página Agregar condición

Permite agregar una condición nueva al ESM. Una vez agregada, podrá seleccionarla a la hora de
definir la configuración para un informe.

Opción Definición
Nombre Escriba un nombre para esta condición.
Tipo Seleccione la frecuencia con que desee que se active la condición.
Notas Escriba notas que expliquen lo que hace la condición.
Propiedades Defina los detalles sobre el momento de activación. Las opciones dependen del tipo
seleccionado.
Véase también

7
Uso de los eventos
Visualización de los nombres de hosts en un informe

Es posible configurar los informes a fin de que utilicen la resolución de DNS para las direcciones IP de
origen y destino en los informes.
Procedimiento
1
2 Haga clic en Informes, a continuación, en Agregar y rellene la información solicitada en las secciones
de la 1 a la 4.
3 En la sección 5, haga clic en Agregar, arrastre y suelte un componente de Tabla, Gráfico de barras o
Gráfico circular y rellene el Asistente de consultas.
4 En la sección Consulta del panel Propiedades del editor Diseño del informe, seleccione Resolver direcciones IP
como nombres de host.
Además de en el informe, podrá ver los resultados de la búsqueda de DNS en la tabla Hosts (Propiedades
del sistema | Hosts).
Véase también

Los filtros contains y regex permiten el uso de caracteres comodín en datos de cadena tanto indizados
como no indizados. Estos filtros tienen requisitos de sintaxis.
Estos comandos se pueden utilizar en cualquier campo que permita datos de texto o cadena. La
mayoría de los campos de texto están marcados con el icono de no distinción entre mayúsculas y
minúsculas junto al nombre del campo de filtro. Otros campos que permiten el uso de contains no
tienen ese icono. Para ver la lista completa de campos, consulte la sección Campos compatibles con
contains/regex.
Sintaxis y ejemplos
La sintaxis básica de contains es contains(valor) y, en el caso de regex, es
regex(expresión_regular).
Para que no se distinga entre mayúsculas y minúsculas, haga clic en el icono o incluya la notación
de expresión regular /i, como, por ejemplo, regex(/valor/i). La búsqueda devolverá cualquier valor
que contenga valor, independientemente de las mayúsculas y minúsculas utilizadas.
Los iconos NOT y OR se aplican a los valores de regex y contains. Si desea que los resultados
incluyan los valores que no contienen un valor, introduzca dicho valor y haga clic en el icono NOT. Si
desea que los resultados incluyan los valores que no contienen un valor u otro, introduzca los valores
y haga clic en el icono OR.

7
Uso de los eventos
Ejemplo 1 - Búsqueda simple
Campos indizados: contains(stra), regex(stra)

Campos no indizados: stra
Resultado: Devuelve cualquier cadena con stra, como, por ejemplo, administrador,
gmestrad o straub.
Ejemplo 2 - Búsqueda OR
Campos indizados: contains(admin,NGCP), regex((admin|NGCP))

Campos no indizados: admin,NGCP
Resultado: Devuelve cualquier cadena dentro del campo que contenga admin o NGCP. El
par adicional de paréntesis es necesario para que funcione OR con la
expresión regular.
Ejemplo 3 - Búsqueda de caracteres especiales, por ejemplo en cuentas de servicio
Símbolo de dólar:
Campos indizados: contains($), regex(\x24) o regex(\$)

Campos no indizados: $
Resultado: Devuelven cualquier cadena dentro del campo que contenga $. Diríjase a
http://www.ascii.cl para ver la lista de valores HEX correspondientes a los
caracteres.
Con regex, si intenta utilizar $ sin escape, no obtendrá ningún resultado. La secuencia de escape de
PCRE es un método de búsqueda mejor.
Símbolo de porcentaje:
Campos indizados: contains(%), regex(\x25) o regex(\%)

Campos no indizados: %
Barra diagonal inversa:
Campos indizados: contains(\), regex(\x5c) o regex(\\)

Campos no indizados: \
Barra diagonal inversa doble
Campos indizados: contains(\\), regex(\x5c\x5c) o regex(\\\)

Campos no indizados: \\
En algunos casos, si no se emplea el valor HEX o la barra con regex, puede obtener un error de
Expresión regular no válida (ER5-0015).
Ejemplo 4 - Búsqueda mediante el carácter comodín *

7
Uso de los eventos
Campos indizados: contains (ad*)

Campos no indizados: ad*
Resultado: Devuelve cualquier cadena que empiece por ad como, por ejemplo,
administrador y adición.
Ejemplo 5 - Búsqueda mediante una expresión regular
Estos dominios corresponden a eventos DNS de Microsoft.
regex(nitroguard\x28[3-4]\x29[com|info}+)
(3)www(10)nitroguard(3)com(0)
(3)www(10)nitroguard(4)info(0)
(3)www(10)nitroguard(3)gov(0)
(3)www(10)nitroguard(3)edu(0)
(3)www(10)nitroguard(7)oddball(0)
Resultado: Esta expresión regular busca una cadena concreta. En este caso, se trata de
nitroguard, un dominio principal de tres o cuatro dígitos y com o info. Esta
expresión regular coincide con las primeras dos expresiones, pero no con las
demás. Estos ejemplos se emplean para mostrar cómo utilizar regex con esta
función. Las expresiones serán muy distintas en su caso.
Advertencias
• El uso de regex con valores de menos de tres caracteres provoca una sobrecarga mayor y un
rendimiento más lento en las consultas. Se recomienda que todas las consultas tengan más de tres
caracteres.
• Este filtro no se puede utilizar en alarmas ni reglas de correlación. La única excepción es que se
puede utilizar en reglas de correlación con tipos personalizados de nombre/valor.
• El uso de contains o regex con NOT puede provocar una sobrecarga mayor y un rendimiento más
lento en las consultas.
Descripción del filtro Bloom

Para obtener información sobre el filtro Bloom, consulte http://en.wikipedia.org/wiki/Bloom_filter.
Campos compatibles con contains y regex
Access_Resource File_Operation_Succeeded Sitio de referencia

Aplicación Ruta de archivo Clave de registro
Application_Protocol File_Type Valor de registro
Área Filename Request_Type
Authoritative_Answer Estado de reenvío Response_Code
CCO De Return_Code
Proceso del llamador From_Address RTMP_Application
Catalog_Name FTP_Command Sensor_Name
Categoría Host Sensor_Type
Cc HTTP_Req_Cookie Sensor_UUID

7
Uso de los eventos
Client_Version HTTP_Req_Host Estado de sesión

Comando HTTP_Req_Method ID de firma
Contact_Name HTTP_Req_Referer Signature_Name
Contact_Nickname HTTP_Req_URL SNMP_Error_Code
Cookie HTTP_User_Agent SNMP_Item
Creator_Name Incoming_ID SNMP_Item_Type
Database_ID Interfaz SNMP_Operation
Database_Name Dest. de interfaz SNMP_Version
ID de centro de datos Job_Name Usuario de origen
Nombre de centro de datos Job_Type Source_Context
DB2_Plan_Name Idioma ID de inicio de sesión de origen
Delivery_ID Local_User_Name Source_Network
Descripción Logical_Unit_Name Source_UserID
Usuario de destino Tipo de inicio de sesión Source_Zone
Directorio de destino LPAR_DB2_Subsystem Comando SQL
Destination_Filename Mail_ID SQL_Statement
Destination_Hostname Buzón de correo Step_Count
ID de inicio de sesión de destino Mainframe_Job_Name Step_Name
Destination_Network Malware_Insp_Action Asunto
Destination_UserID Malware_Insp_Result SWF_URL
Destination_Zone Servidor de administración Table_Name
Método de detección Message_ID Target_Class
Acción de dispositivo Message_Text Target_Context
Dirección Método Nombre de proceso de destino
Directorio NTP_Client_Mode TC_URL
DNS_Class NTP_Opcode Categoría de amenaza
DNS_Name NTP_Request Amenaza gestionada
DNS_Type NTP_Server_Mode Threat_Name
Dominio Objeto To
Event_Class Object_Type To_Address
External_Application Sistema operativo URL
External_DB2_Server Policy_Name Categoría de URL
External_Hostname Privileged_User User_Agent
ID de sesión externo Process_Name User_Nickname
Función Query_Response Versión
File_Operation Motivo ID de máquina virtual
Nombre de máquina virtual
Los siguientes tipos personalizados pueden utilizar contains y regex:

7
Uso de los eventos
Vistas Administración de casos

• Cadena • Notas
• Cadena aleatoria • Resumen
• Nombre/valor • Historial
• Cadena con hash

El ESM recupera información sobre eventos, flujos, activos y vulnerabilidades registrada por un
dispositivo. Esta información se correlaciona y se inserta en el motor Security Event Aggregation and
Correlation (MSEAC) de McAfee.
Contenido
Visualización de detalles de sesión
Barra de herramientas de vistas
Vistas predefinidas
Adición de una vista personalizada
Componentes de vista
Uso del Asistente de consultas
Administración de vistas
Búsqueda alrededor de un evento
Visualización de los detalles de dirección IP de un evento
Cambio de la vista predeterminada
Filtrado de vistas
Listas de control
Normalización de cadenas

Mediante el motor de MSEAC, los datos recuperados por el ESM se pueden analizar y revisar a través
de un potente y flexible visor de informes. Este visor es la sección central de la consola de ESM. La
vista muestra los datos de los dispositivos seleccionados en el árbol de navegación del sistema.
Cuando se ejecuta la consola de ESM, aparece la vista predeterminada (véase Cambio de la vista
predeterminada). Es posible usar las funciones de la vista para seleccionar otra vista predefinida
(véase Vistas predefinidas) o crear una vista nueva (véase Adición de una vista personalizada) a fin de
ejecutar una consulta para ver lo que ocurre en la red (véase Barra de herramientas de vistas).
También se pueden utilizar las diversas opciones de la barra de herramientas de vistas, el menú de
componentes y la barra de herramientas de componentes a fin de interactuar con las vistas y sus
datos.
En los componentes del panel de vistas se muestra una barra de progreso cuando se ejecuta una
consulta. Si se pasa el cursor sobre ella, muestra la cantidad y el porcentaje de tiempo transcurrido
durante la ejecución de la consulta de cada componente. Para cancelar una consulta a fin de liberar
recursos en el ESM, haga clic en el icono de eliminación situado a la derecha de la barra de progreso.
En una vista, los valores de dirección IP de origen y destino no definidos o los valores agregados
aparecen como "::" en lugar de "0.0.0.0" en todos los conjuntos de resultados. Por ejemplo, ::ffff:
10.0.12.7 se inserta como 0:0:0:0:0:FFFF:A00:C07 (A00:C07 es 10.0.12.7); ::0000:10.0.12.7 sería
10.0.12.7.

7
Uso de los eventos
Visualización de detalles de sesión

Es posible ver los detalles de un evento con un ID de sesión y guardarlos en un archivo CSV mediante
el Visor de sesión.
Para tener un ID de sesión, un evento debe residir dentro de una sesión. Una sesión es el resultado de
una conexión entre un origen y un destino. Los eventos internos del dispositivo o del ESM no cuentan
con ID de sesión.
Procedimiento
1 En la lista desplegable de vistas, seleccione la vista que incluya la sesión que desee ver.
2 Seleccione el evento, haga clic en el icono de menú de la barra de título del componente y, a
continuación, seleccione Información detallada de evento | Eventos.
3 Haga clic en el evento, después en la ficha Detalles avanzados y, después, en el icono de Ver datos de
sesión situado junto al campo ID de sesión.
Se abrirá el Visor de sesión, donde podrá ver los detalles de la sesión.
Barra de herramientas de vistas

La barra de herramientas de vistas, situada en la parte superior del panel de vistas, dispone de varias
opciones que se pueden utilizar a la hora de configurar las vistas.
Tabla 7-20
1 — Ocultar árbol de dispositivos Haga clic aquí para ampliar la vista actual mediante
la ocultación del panel del árbol de dispositivos.
2 — Navegación por vistas Permite retroceder y avanzar por las vistas
anteriores.
3 — Lista de vistas Seleccione una vista en la lista desplegable, la cual
incluye todas las vistas predefinidas y
personalizadas seleccionadas para su visualización
en esta lista.
4 — Administrar vistas Permite administrar todas las vistas (véase
Administración de vistas). Puede seleccionar qué
vistas desea incluir en la lista, agregar carpetas o
renombrar, eliminar, copiar, importar y exportar
vistas.
5 — Actualizar vista actual Permite actualizar todos los datos mostrados en el
panel de vistas.
6 — Vista predeterminada Volver a la vista predeterminada.

7
Uso de los eventos
Tabla 7-20
(continuación)
7 — Imprimir vista actual Imprimir una copia de la vista actual. Las opciones
de impresión son:
• Cambiar tamaño para ajustar todos los componentes en una
página: los componentes que forman parte de la
vista se ajustan para que la vista quepa en una
página.
• Imprimir cada componente en una página distinta: cada
componente que forma parte de la vista se
imprime en una página diferente. Si hace clic en
Cambiar tamaño de componente para ajustarlo a la página, se
ajusta el tamaño de cada componente para
rellenar toda la página.
• Imprimir área visible solamente: solo se imprime la parte
de la vista visible en la pantalla.
• Exportar a PDF: la vista se guarda como un archivo
PDF.
8 — Editar vista actual Permite modificar la vista mostrada, en caso de ser

una vista personalizada. Al hacer clic en esta
opción, se abre la Barra de herramientas de edición de vistas
(véase Adición de una vista personalizada).
9 — Crear vista nueva Permite crear una nueva vista personalizada (véase
Adición de una vista personalizada).
10 — Espacio de tiempo Especifique el espacio de tiempo correspondiente a
la información que desea que aparezca en la vista.
11 — Ocultar filtros Haga clic aquí para ampliar la vista actual mediante
la ocultación del panel de filtrado.
Vistas predefinidas
La lista desplegable de la barra de herramientas de vistas ofrece acceso a las vistas predefinidas del
sistema, así como a cualquier vista personalizada que se agregue.
A continuación se detallan los diferentes tipos de vistas predefinidas.
• Las vistas de Activo, amenaza y riesgo resumen los datos de activos, amenazas y riesgos, así como su
posible efecto sobre su sistema.
• Vistas de conformidad: ayudan a simplificar las actividades de conformidad con normativas.
• Vistas de panel: proporcionan una descripción general de aspectos específicos del sistema.
• La vista Estado del dispositivo muestra el estado de los dispositivos seleccionados en el árbol de
navegación del sistema. Si se hace clic en un dispositivo de la vista, la información de estado sobre
el dispositivo seleccionado aparece en la mitad inferior de la vista.

7
Uso de los eventos
• Búsqueda de ELM mejorada proporciona capacidad de rastreo en tiempo real del progreso de la búsqueda
y los resultados. Esta vista solo está disponible si existe un ELM en el sistema (véase Vista
Búsqueda de ELM mejorada).
• Las Vistas de eventos desglosan la información generada por eventos asociados con el dispositivo
seleccionado en el árbol de navegación del sistema.
• Las Vistas ejecutivas proporcionan una descripción general de aspectos del sistema de mayor interés
para empleados ajenos al departamento de TI.
• Las Vistas de flujo desglosan la información registrada sobre cada flujo (o conexión) que se realiza
mediante Nitro IPS (véase Vistas de flujo).
• McAfee Event Reporter incluye vistas específicas para varios productos de McAfee.
• Las Vistas de riesgo se utilizan con el administrador predeterminado de ACE. A fin de ver
correctamente los datos en los administradores personalizados, es necesario crear vistas
personalizadas.
• Entre las Vistas de flujo de trabajo de evento se incluyen las vistas siguientes:
• Alarmas activadas: permite ver y administrar las alarmas que se han activado al cumplirse las
condiciones de alarma (véase Vista Alarmas activadas).
• Administración de casos: ver y administrar los casos del sistema (véase Visualización de todos los
casos).
Véase también
Vistas de flujo en la página 420
Activación del registro de flujos en la página 421
Vista Búsqueda de ELM mejorada en la página 421
Realización de una búsqueda de ELM mejorada en la página 422
Vistas de flujo
Un flujo es un registro de una conexión realizada a través del dispositivo. Cuando está activado el
análisis de flujos en Nitro IPS, se registran datos acerca de cada flujo (o conexión) que pasa por el
Los flujos tienen direcciones IP de origen y destino, puertos, direcciones MAC, un protocolo y una hora
de inicio y de fin (que indica el tiempo entre el inicio y la finalización de la conexión).
Como los flujos no son indicativos de tráfico anómalo o malicioso, normalmente hay más flujos que
eventos. Un flujo no está asociado con una firma de regla (ID de firma) como un evento. Los flujos no
están asociados con acciones de evento tales como alerta, supresión y rechazo.
Ciertos datos son exclusivos de los flujos, como los bytes de origen y destino o los paquetes de origen
y destino. Los bytes de origen y los paquetes de origen indican el número de bytes y paquetes
transmitidos por el origen del flujo. Los bytes de destino y los paquetes de destino indican el número
de bytes y paquetes transmitidos por el destino del flujo. Los flujos tienen una dirección: un flujo
entrante es un flujo que se origina fuera de la red HOME_NET. Un flujo saliente se origina fuera de la
red HOME_NET. Esta variable se define en una directiva para un dispositivo Nitro IPS.
A fin de ver los datos de flujo, hay que activar el registro de datos de flujo en el sistema. De hacerlo
así, podrá ver los flujos en la vista Análisis de flujos.
Véase también
Vistas predefinidas en la página 419

7
Uso de los eventos
Activación del registro de flujos

Para ver los datos de análisis de flujos correspondientes a un dispositivo Nitro IPS, es necesario activar
dos variables de firewall.
Procedimiento
1 En el árbol de navegación del sistema, seleccione un dispositivo.
2
Haga clic en el icono del Editor de directivas y seleccione Variable en el panel Tipos de regla.
3 Expanda la categoría Firewall en el panel de visualización de reglas.
4 En la fila INBOUND_CONNECTION_STATISTICS, anule la selección de Heredar a fin de dejar de usar el valor

de herencia, escriba Yes y haga clic en Aceptar.
5 En el caso de OUTBOUND_CONNECTION_STATISTICS, anule la selección de Heredar para dejar de usar el

valor de herencia, escriba Yes y haga clic en Aceptar.
Véase también
Vista Búsqueda de ELM mejorada

La vista Búsqueda de ELM mejorada está disponible cuando existe como mínimo un dispositivo ELM en el
sistema. Permite llevar a cabo búsquedas más detalladas y proporciona capacidad de rastreo en
tiempo real del progreso de la búsqueda y sus resultados cuando se realiza una búsqueda de registros
uno o varios ELM.
Esta vista saca partido de las capacidades de generación de informes estadísticos del archivo de ELM
para proporcionar información en tiempo real sobre la cantidad de datos que se deben buscar, lo cual
permite limitar la consulta para minimizar el número de archivos en los que buscar.
Mientras se procesa la búsqueda, los gráficos muestran los resultados estimados:

• Gráfico Distribución de tiempo de resultados: muestra las estimaciones y los resultados de acuerdo con una
distribución temporal. El eje inferior cambia según lo que se seleccione en la lista desplegable de
espacios de tiempo.
• Gráfico Resultados de origen de datos: muestra las estimaciones y los resultados de cada origen de datos
según los orígenes de datos de los dispositivos seleccionados en el árbol de navegación del
sistema.
• Gráfico Resultados de tipo de dispositivo: muestra las estimaciones y los resultados de cada tipo de
dispositivo según los dispositivos seleccionados en el árbol de navegación del sistema.
Estos gráficos presentan datos antes de que empiece la búsqueda y se actualizan a medida que se
encuentran resultados. Es posible seleccionar una o varias barras en los gráficos Resultados de origen de
datos y Resultados de tipo de dispositivo, o bien resaltar una sección del gráfico Distribución de tiempo de resultados.
Haga clic en Aplicar filtros para limitar la búsqueda una vez que los resultados hayan empezado a
mostrarse. Esto permite acceder a información detallada sobre los resultados de la búsqueda, además
de limitar la cantidad de datos en los que hay que buscar. Una vez finalizada la búsqueda, estos
gráficos muestran los resultados reales.

7
Uso de los eventos
Véase también
Realización de una búsqueda de ELM mejorada

Cabe la posibilidad de buscar la información definida en los registros de uno o varios dispositivos ELM.
Procedimiento
1 En el panel de visualización, seleccione Búsqueda de ELM mejorada en la lista desplegable.
2 Si hay más de un dispositivo ELM en el sistema, seleccione los dispositivos en los que desee buscar
en la lista desplegable situada junto al campo de texto.
3 Escriba una búsqueda de texto normal o una expresión regular en el campo de texto.
4 Si desea un espacio de tiempo distinto de Día en curso, selecciónelo en la lista desplegable.
5 En el árbol de navegación del sistema, seleccione los dispositivos en los que desee buscar.
6 Si fuera necesario, seleccione una o varias de estas opciones:

• Sin distinción mayúsculas/minúsculas: en la búsqueda no se tienen en cuenta las mayúsculas y
minúsculas.
• Expresión regular: el término del campo de búsqueda se considera como expresión regular.
• NO contiene el término de búsqueda: devuelve las coincidencias que no contienen el término incluido en
el campo de búsqueda.
7 Haga clic en Buscar.
Los resultados aparecerán en la sección Resultados de la búsqueda de la vista.
8 Lleve a cabo cualquiera de estas acciones durante la búsqueda o cuando finalice.
Opción Definición
Guardar los resultados de esta búsqueda aunque se abandone
Guardar búsqueda la vista. Las búsquedas guardadas se pueden ver en la página
Propiedades de ELM | Datos.
Descargar archivo de resultados de Descargar los resultados en la ubicación designada.
búsqueda
Copiar elementos seleccionados al Copiar los elementos seleccionados al portapapeles para poder
pegarlos en un documento.
portapapeles
Mostrar los detalles de cualquier registro seleccionado en la
Ver detalles de datos tabla Resultados de la búsqueda.
Véase también

7
Uso de los eventos
Adición de una vista personalizada

Las vistas personalizadas incluyen componentes que permiten mostrar la información que se desee.
Procedimiento
1
En la barra de herramientas de vistas, haga clic en el icono Crear vista nueva y, después, arrastre y
suelte un componente de la Barra de herramientas de edición de vistas (véase Visualización de
componentes).
2 En el Asistente de consultas, realice selecciones de forma que la vista genere los datos que desee ver
(véase Uso del Asistente de consultas) y haga clic en Finalizar.
Los datos aparecerán en el componente agregado.
3 Realice una de las operaciones siguientes:

Mover el componente Haga clic en la barra de título del componente y, después,
arrástrelo y suéltelo.
Mostrar los nombres de host
en lugar de las direcciones IP Haga clic en el icono Mostrar nombres de host de la barra de
de forma predeterminada herramientas de un componente que muestre las direcciones IP
(véase Administración de los nombres de host).
Personalizar el componente Haga clic en el componente y realice cambios en la configuración

mediante el panel Propiedades (véase Personalización de
componentes).
Agregar más componentes a 1 Haga clic en un componente y arrástrelo.

la vista
2 En el Asistente de consultas, realice selecciones de forma que la vista
genere los datos que desee ver y haga clic en Finalizar.
Guardar la vista 1 Haga clic en Guardar o en Guardar como y escriba un nombre para la
vista.
Para guardarla en una carpeta existente, seleccione la carpeta.
Copiar y pegar un 1 Haga clic en el componente que desee copiar.

componente
2 Haga clic en Copiar y después en Pegar.
Eliminar un componente Seleccione el componente y, a continuación, haga clic en Eliminar.

Salir del editor de vistas sin Elimine todos los componentes y cierre la Barra de herramientas de
guardar una vista edición de vistas.
Componentes de vista
Es posible crear vistas personalizadas para mostrar datos de eventos, flujos, activos y vulnerabilidades
de la forma que le resulte más útil.
Las vistas constan de componentes que se seleccionan en la Barra de herramientas de edición de vistas y se
configuran para que muestren los datos. Cuando se selecciona un componente, se abre el Asistente de
consultas, el cual permite definir los detalles sobre los datos que se mostrarán en el componente.

7
Uso de los eventos
Descripción de los componentes de vista

Existen trece componentes distintos que se pueden agregar a una vista personalizada. Se pueden
utilizar para configurar la vista a fin de ver los datos con el formato más adecuado.
Componente Descripción
Dial de control Muestra los datos de un vistazo. Es dinámico y se puede vincular con otros
componentes de la consola. Se actualiza a medida que el usuario interactúa
con la consola de ESM.
Cada dial incluye un indicador de referencia ( ). El degradado que rodea

el borde exterior del dial se torna de color rojo por encima del indicador de
referencia. Si lo prefiere, todo el dial puede cambiar de color para indicar un
comportamiento anómalo: amarillo cuando se encuentre dentro del umbral
de una referencia o rojo cuando se supere ese umbral.
La opción Tasa permite ajustar la tasa de los datos visualizados. Por
ejemplo, si observa Día en curso y Eventos totales y cambia la tasa a una hora,
verá el número de eventos por hora para el día en cuestión. Esta opción
estará desactivada si la consulta visualizada ya muestra un promedio, como
por ejemplo Promedio de gravedad o Promedio de bytes.
Gráfico de origen y Muestra la actividad general de direcciones IP de evento o flujo. La opción

destino de evento permite especificar direcciones IP y ver todos los ataques
llevados a cabo en las direcciones especificadas, así como todos los ataques
que esas direcciones IP han lanzado sobre otras. La opción de flujo permite
especificar direcciones IP y ver las direcciones IP que han conectado con
ellas, así como las conexiones que realizaron esas direcciones IP.
Este gráfico incluye un campo abierto en la parte inferior del componente
que permite ver los eventos o flujos de origen y destino para una dirección
IP concreta. Escriba la dirección en el campo o seleccione una previamente
utilizada y haga clic en el icono Actualizar .
Gráfico circular Muestra la información consultada mediante un gráfico circular. Resulta útil
cuando hay pocas categorías que visualizar (por ejemplo, una consulta de
acción o protocolo).
Tabla Muestra la información mediante diversas columnas. Este componente es

útil para mostrar datos de eventos y flujos con el mayor nivel de detalle.
Gráfico de barras Muestra la información consultada en un gráfico de barras, lo cual permite

comparar el tamaño de cada resultado en un intervalo de tiempo concreto.
Lista Muestra los datos de consulta seleccionados en forma de lista. Este

componente resulta útil cuando se desea ver una lista más detallada de
elementos en un espacio reducido.
Distribución Muestra una distribución de eventos y flujos a lo largo de un periodo de

tiempo. Es posible establecer intervalos para periodos de tiempo específicos
a fin de dar forma a los datos.
Área de notas Un componente vacío que se emplea para notas de texto. Permite escribir
notas relacionadas con la vista actual.
Recuento Muestra el total de eventos, activos, vulnerabilidades o flujos consultados

para una vista concreta.
Título Permite crear un título o encabezado para la vista. Se puede colocar en

cualquier parte de la vista.

7
Uso de los eventos
Componente Descripción
Topología de red Permite ver los datos representados en la red. También se puede crear una
vista personalizada para utilizarla junto con los datos de descubrimiento de
red (véase Adición de dispositivos al componente de topología de red).
Mapa de Muestra la ubicación de origen y destino de las alertas y los flujos en un

geolocalización mapa de geolocalización. Las opciones de este componente permiten
cambiar entre marcar una ciudad, una región, un país y áreas del mundo,
acercar o alejar y seleccionar ubicaciones mediante las teclas Ctrl y Mayús.
Filtrar lista Muestra una lista de usuarios y grupos de Active Directory. Cuando se
agrega el componente Filtrar lista, es posible enlazar otros componentes con
él; para ello, haga clic en la flecha hacia abajo de los campos de filtrado
Usuario de origen o Usuario de destino en el Asistente de consultas y seleccione Enlazar
con Lista de Active Directory. Asimismo, es posible ver los datos de eventos y
flujos asociados con Active Directory mediante el icono de menú.
Véase también
Personalización de componentes en la página 425
Detalles de dispositivos en los componentes de la Topología de red en la página 427
Barra de herramientas de componentes en la página 428
Opciones de menú de componentes en la página 431
Personalización de componentes
Al agregar o editar un componente, existen varias opciones disponibles en el panel Propiedades que se
pueden utilizar para personalizarlo. Las opciones disponibles dependen del componente seleccionado.
Opción Definición
Título Cambiar el título de un componente.
Anchura/Altura Definir las dimensiones del componente. También es posible hacer clic y arrastrar
la línea de límite.
X/Y Definir la ubicación del componente en la vista. También se puede hacer clic en la
barra de título del componente y, después, arrastrarlo y soltarlo.
Editar consulta Realizar cambios en la consulta actual. Al hacer clic en este botón, se abre el
Asistente de consultas (véase Uso del Asistente de consultas).
Mostrar barra de Indicar si se debe mostrar o no la barra de control en la parte inferior del
control componente.
Tamaño de página Definir cuántos registros se muestran por página si hay más datos de los que se
pueden mostrar de forma simultánea.
Mostrar valor “Otros” Si se selecciona esta opción, aparece el valor Otros en la parte inferior de un
componente de gráfico o lista. Proporciona el total de registros no mostrados en
la página actual. Por ejemplo, si está en la segunda página de un conjunto de
registros, la categoría Otros es la suma de los valores de la primera página y todas
las páginas existentes tras la segunda.
Mostrar leyenda Mostrar una leyenda en la parte inferior o a la derecha de un gráfico de sectores.
Mostrar valores Incluir el valor de cada elemento en un gráfico de barras.
(gráficos de barras y
lista)
Mostrar etiquetas Incluir una etiqueta por cada barra de un gráfico de barras. Es posible establecer
el número máximo de caracteres que se pueden mostrar en una etiqueta. Si se
establece en 0, no existirá límite máximo en la etiqueta.

7
Uso de los eventos
Opción Definición
Mostrar promedios de Seleccione si desea comparar los datos actuales con los datos históricos en un
referencia gráfico de distribución o de barras, o bien en un dial de control. Existen dos
opciones distintas que se pueden usar al mostrar los datos de referencia:
• Usar intervalo de tiempo automático: si se selecciona esta opción, los datos de
referencia se correlacionan mediante el uso del mismo periodo de tiempo
utilizado en la consulta actual para los últimos cinco intervalos. Por ejemplo, si
está consultando el día en curso un lunes, los datos de referencia se calculan
para el mismo periodo de los últimos cinco lunes. Se emplean menos intervalos
si no existen datos para un intervalo concreto. Una vez recopilados los valores
de cada intervalo, se halla el promedio a fin de calcular el valor de referencia
actual.
• Usar intervalo de tiempo específico: al seleccionar un intervalo concreto, es posible
especificar un momento de inicio y fin para calcular un promedio. Si se emplea
esta opción, se calcula como un periodo de tiempo único. En el caso de los
informes de distribución, produce un promedio de línea plana.
Los datos de referencia se muestran en los gráficos de distribución mediante una
línea azul. La línea es plana si se ha seleccionado la opción Usar intervalo de tiempo
específico o si no hay datos suficientes para calcular un valor correlacionado. La
línea es curva (siempre que se muestren varios valores para cada periodo de
tiempo) si se calcula un valor correlacionado. El gráfico de barras muestra un
indicador de flecha en el punto de referencia de cada barra. Si el valor actual es
mayor que el de referencia, la barra será de color rojo por encima del marcador
de referencia. Si el gráfico de barras incluye la gravedad de la regla, el color de la
barra no cambiará para el valor de referencia.
Una opción adicional permite establecer la aparición de un valor de margen junto
con los datos de referencia. El valor de margen se calcula a partir del valor de
referencia. Por ejemplo, si el valor de referencia es 100 y el margen superior es
del 20 %, el valor de margen calculado será 120. La activación de esta función
permite mostrar el área de margen para cada una de las barras del gráfico de
barras. Un gráfico de distribución calcula el promedio de referencia, y muestra un
área sombreada por encima y por debajo de la referencia que indica el área de
margen.
Lista de dispositivos Arrastrar y soltar dispositivos en el componente Topología de red o el árbol

Agrupaciones lógicas de dispositivos.
Agrupaciones lógicas Crear carpetas a fin de agrupar los dispositivos para el componente Topología de red.
de dispositivos
Fondo Seleccionar el color del fondo para la vista. URL de imagen de fondo permite importar
una imagen para utilizarla como fondo.
Véase también
Descripción de los componentes de vista en la página 424
Adición de dispositivos al componente de topología de red

La topología de red permite obtener datos de eventos y flujos de los dispositivos o el árbol de
dispositivos, así como ver los datos representados en la red.
Antes de empezar
Es necesario descubrir la red para que aparezca la lista de dispositivos (véase
Descubrimiento de red).

7
Uso de los eventos
También permite crear una vista personalizada que se puede usar con los datos de descubrimiento de
red. Una vez creada una vista de topología de la red, hay que personalizarla para mostrar la
información de eventos o flujos (véase Adición de una vista personalizada).
Procedimiento
1 Si va a agregar o editar una vista, haga clic en el componente Topología de red de evento, arrástrelo y
suéltelo.
El panel Propiedades mostrará la Lista de dispositivos y el árbol Agrupaciones lógicas de dispositivos.
2 En la Lista de dispositivos o la Lista de carpetas, seleccione un dispositivo o una carpeta y haga una de
estas cosas:
• Para agregar el dispositivo o la carpeta al componente, arrástrelo y suéltelo en el componente.
• Para agregar el dispositivo o la carpeta a un grupo en el árbol Agrupaciones lógicas de dispositivos,

haga clic en Agregar, introduzca un nombre para la carpeta y haga clic en Aceptar; a continuación,
arrastre y suelte el dispositivo en la carpeta.
3 Ordene los dispositivos.
Los dispositivos físicamente conectados al sistema se conectan mediante una línea recta negra al
componente. Las líneas curvas azules o rojas indican una ruta de datos.
Detalles de dispositivos en los componentes de la Topología de red

Es posible ver detalles de un dispositivo específico en un componente de Topología de red al hacer doble
clic en el dispositivo. Esta pantalla permite ver información sobre interfaces y endpoints, como, por
ejemplo, un resumen de puertos, el total de dispositivos y el estado de los dispositivos.
Opción Definición
Resumen de puertos de Muestra el puerto que se está visualizando.
Total Proporciona el número total de dispositivos.
Por encima del promedio de referencia Indica el número de dispositivos por encima del promedio de
referencia actual.
Representa una estación de trabajo.
Indica que la interfaz tiene datos de alerta asociados y que los datos
están por debajo del promedio de referencia.
Indica que la interfaz tiene datos de alerta asociados y que los datos
están por encima del promedio de referencia.
Indica que la interfaz no tiene datos de alerta asociados.
Indica que el estado administrativo no funciona (no solo

operativamente hablando).
Representa un enrutador.

7
Uso de los eventos
Opción Definición
Indica que el puerto del conmutador está activo.
Representa un dispositivo desconocido.
Representa un dispositivo no gestionado.
Indica que el ESM no se puede comunicar con el dispositivo mediante

SNMP, descubrimiento de red ni ping.
Véase también
Barra de herramientas de componentes

La barra de herramientas de componentes, situada en la parte inferior de cada componente de una
vista, proporciona diversas acciones que es posible llevar a cabo con los datos del componente. Las
acciones disponibles dependen del tipo de componente.
Opción Definición
Marcar eventos como revisados: marcar eventos concretos una vez
recibidos. Posteriormente, puede usar la lista desplegable
Cambiar filtro de estado de evento para mostrar solamente los
eventos revisados o solamente los eventos que no se han
revisado.
Asignar eventos a un caso o Remedy: asignar eventos a un caso
(véase Administración de casos) o enviar un mensaje de
correo electrónico al sistema Remedy (si está configurado).
Al hacer clic en este icono, es posible seleccionar:
• Crear un nuevo caso
• Agregar eventos a un caso
• Enviar evento a Remedy (véase Envío de un mensaje de
correo electrónico a Remedy)
Ejecutar URL de dispositivo: ejecutar la dirección URL asociada

con el evento seleccionado, en caso de haber agregado
alguna para el dispositivo (véase Adición de una URL). Si no
ha definido ninguna, se le pedirá que lo haga.
Mostrar u Ocultar nombres de host: mostrar u ocultar los nombres
de host asociados con las direcciones IP de la vista (véase
Administración de nombres de host).
Iconos de tipos de gráficos Cambiar tipo de gráfico: cambiar el tipo de gráfico que muestra
los datos. El icono correspondiente a esta función será el
icono del componente correspondiente al tipo de gráfico
actual.

7
Uso de los eventos
Opción Definición
Ver u Ocultar detalles de datos: mostrar u ocultar los detalles del
evento seleccionado. Existen varias fichas en esta sección:
• Detalles: muestra la información disponible para el evento o
el flujo seleccionados.
• Detalles avanzados: muestra información sobre el dispositivo
de red de origen, el dispositivo de red de destino y las
correcciones. Es posible buscar eventos o flujos según su
ID, en caso de disponer de derechos suficientes para ver
los registros, haciendo clic en el icono de la lupa situado a
la derecha del campo ID de evento o ID de flujo.
• Geolocalización: muestra la ubicación del origen y el destino
del evento seleccionado.
• Descripción: proporciona el nombre, la descripción y la firma
o regla asociadas al evento.
• Notas: permite agregar notas al evento o el flujo que
aparecen cada vez que se visualiza el elemento particular.
• Paquete: recupera el contenido del paquete que generó el
evento seleccionado. Es posible llevar a cabo las siguientes
funciones en esta ficha:
• Seleccionar el formato en el que se desea ver el
paquete.
•
Recuperar los datos del paquete mediante .
•
Guardar el paquete en el equipo mediante . Si se
trata de una captura de paquete (PCAP) (como eventos
de Nitro IPS, eventos de ADM o eventos de Estreamer
procedentes del receptor), se guardará con la
extensión .pcap y se podrá abrir en cualquier programa
de visualización de PCAP. De lo contrario, se guardará
como archivo de texto.
• Configurar la recuperación automática del paquete al
hacer clic en un evento.
• Buscar información en el paquete mediante la
introducción de la palabra clave en el campo Buscar texto y
haciendo clic en .
No utilice caracteres especiales como paréntesis o

corchetes en el campo Buscar texto.
• Eventos de origen: cuando se selecciona un evento de

correlación o vulnerabilidad, se muestra el conjunto de
eventos que provocó la generación del evento.
• Archivo de ELM: si introduce texto en el campo Buscar texto, se
recuperan los datos archivados en el ELM. Si se agrega el
evento, un dispositivo Event Receiver o ACE mostrará
hasta 100 eventos agregados.
• Tipos personalizados: si ha definido tipos personalizados
(véase Definición de filtros de tipos personalizados),

7
Uso de los eventos
Opción Definición
muestra los campos de tipos personalizados y los datos
del evento correspondientes a esos campos.
• Información: muestra información como el nombre del
dispositivo, la dirección IP, la versión del sistema operativo
y el dispositivo, la descripción del sistema, la persona de
contacto del sistema y la ubicación física del sistema.
• Interfaces: muestra el nombre de puerto, la velocidad del
puerto, la VLAN, el estado administrativo y el estado
operativo.
• Vecinos: muestra información específica sobre los
dispositivos vecinos, como la interfaz local, el dispositivo
vecino y la interfaz vecina.
Cambiar período de intervalo/Cambiar tasa de intervalos: indique con qué

frecuencia desea que se actualicen los datos del gráfico.
Tasa: seleccione la tasa para los datos mostrados (Ninguna,
Por segundo, Por minuto, Por hora, Por día, Por semana, Por
mes).
Dirección IP: ver los eventos o flujos de origen y destino para
una dirección IP concreta. Escriba la dirección en el campo o
seleccione una que haya utilizado anteriormente y haga clic
en el icono Actualizar .
Geolocalización: cambiar entre marcar una ciudad, una región,
un país y áreas del mundo, acercar o alejar y seleccionar
ubicaciones mediante las teclas Ctrl y Mayús.
Cambiar página: navegar por los datos cuando hay más de una
página.
Cambiar filtro de estado de evento: seleccionar el tipo de eventos o
flujos que aparecerán en la lista de análisis. Es posible ver
todos los eventos, solo los eventos revisados, solo los
eventos no revisados, los eventos corregidos, todos los
flujos, solo los flujos abiertos o solo los flujos cerrados.
Botones de historial: desplazarse hacia adelante y hacia
atrás por los cambios realizados en la vista.
Ver rutas de datos u Ocultar rutas de datos: ocultar o ver la línea que
o conecta dos dispositivos con las conexiones de datos de
eventos o flujos.
Ocultar texto: ocultar o mostrar las etiquetas del dispositivo en
la vista Topología de red.
Véase también
Envío de un mensaje de correo electrónico a Remedy

Si configura un sistema Remedy, puede enviar un mensaje de correo electrónico para notificar al
sistema la existencia de un evento que requiere solución. Cuando se sigue este proceso, se recibe un
número de caso de Remedy que se agrega al registro de evento.
El usuario se encarga de configurar el sistema Remedy, que no tiene relación alguna con McAfee Nitro
IPS.

7
Uso de los eventos
Procedimiento
1 En una vista de eventos, resalte el evento que requiera solución.
2
Haga clic en el icono Asignar eventos a un caso o Remedy y, después, seleccione Enviar evento a Remedy.
3 Agregue la información correspondiente a Prefijo, Palabra clave e ID de usuario de empresa.
4 (Opcional) Agregue información en la sección Detalles, que contiene datos generados por el sistema
acerca del evento.
5 Haga clic en Enviar.
Opciones de menú de componentes

La mayoría de los componentes de una vista disponen de un menú que muestra las opciones
disponibles para el componente en cuestión. En la tabla siguiente se incluyen los posibles elementos.
Opción Definición
Información detallada (de evento, Ver más detalles sobre el tipo de datos seleccionado en las listas de
flujo o activo) información detallada. Los detalles se muestran en una vista nueva.
Resumir o Resumir según Ver datos de otros eventos o flujos que comparten características con
los eventos seleccionados. Por ejemplo, si observa un evento de
barrido de puertos en la pantalla de análisis y desea ver otros eventos
generados por el mismo atacante, haga clic en el evento, seleccione
Resumir según y haga clic en IP de origen.
Modificar configuración de Crear una excepción a la configuración de agregación general para una
agregación regla individual (véase Adición de excepciones a la configuración de
agregación de eventos).
Crear nueva lista Seleccionar eventos en una vista y agregarlos a una nueva lista de
de vigilancia vigilancia (véase Listas de vigilancia).
Adjuntar a lista de Seleccionar eventos en una vista y agregarlos a una lista de vigilancia
control existente.
Crear nueva Seleccionar eventos en una vista y crear una alarma en función de sus
alarma valores (véase Creación de una alarma).
Realizar análisis Iniciar un análisis de McAfee Vulnerability Manager si el sistema
de MVM incluye un dispositivo McAfee Vulnerability Manager.
Acciones
Ejecutar ePO Abrir la interfaz de ePolicy Orchestrator (véase Ejecución de ePolicy
Orchestrator).
Historial de Cuando se selecciona un evento de TIE, se puede abrir la página
ejecución de TIE Historial de ejecución de TIE para ver las direcciones IP que han intentado
ejecutar el archivo seleccionado. Desde esta página, es posible crear
una nueva lista de vigilancia, anexar un archivo a una lista de
vigilancia, crear una nueva alarma, incluir un archivo en la lista negra,
exportar un archivo a CSV o agregar etiquetas de ePolicy Orchestrator
al archivo.
Mostrar regla Ver la regla que generó el evento.
Detalles de dirección IP Permite buscar información sobre un puerto o una dirección IP de
origen o destino. Es posible ver los detalles de la amenaza y los
resultados de la búsqueda de WHOIS correspondientes a la dirección
IP seleccionada.
Búsqueda de ASN Recuperar un registro de WHOIS mediante el identificador ASN.

7
Uso de los eventos
Opción Definición
Examinar referencia Abrir el navegador web predeterminado y conectar con la base de
datos de firmas de McAfee online, la cual proporciona información
sobre la firma que generó el evento seleccionado.
Establecer ID de caso de Remedy Agregar el ID de caso de Remedy, recibido al enviar un mensaje de
correo electrónico de evento al sistema Remedy, al registro de eventos
con fines de referencia (véase Adición de un ID de caso de Remedy a
un registro de eventos).
Lista negra Agregar la dirección IP del evento seleccionado a la lista negra. Al
seleccionar esta opción, se abre el Editor de la lista negra, donde el campo
de dirección IP se rellena mediante los datos del evento seleccionado
(véase Lista negra de dispositivo virtual o IPS).
Buscar ELM Realizar una búsqueda de información contenida en el ELM sobre el
evento seleccionado. Se abrirá la página Búsqueda de ELM mejorada con los
datos seleccionados (véase Realización de una búsqueda de ELM
mejorada).
Cambiar VLAN Cambiar la VLAN para cualquier dispositivo seleccionado. Es posible
seleccionar entre uno y doce dispositivos.
Activar/Desactivar puerto(s) Es posible realizar una selección única o múltiple de interfaces o
endpoints. En función de lo seleccionado, aparecerá la opción para
activar o desactivar. Por ejemplo, si selecciona cinco interfaces y una
de ellas está activada mientras que las otras cuatro están
desactivadas, solo tendrá la posibilidad de desactivar el puerto. No
obstante, si selecciona un puerto desactivado, estará disponible la
opción Activar puerto(s).
Ver eventos/Ver flujos Ver los eventos generados por un flujo o los flujos generados por un
evento.
Exportar Exportar un componente de vista a formato PDF, texto, CSV o HTML
(véase Exportación de un componente).
Eliminar Eliminar eventos o flujos de la base de datos. Es necesario pertenecer
a un grupo con privilegios de evento y solo se pueden eliminar los
registros seleccionados, la página actual de datos o un número
máximo de páginas a partir de la primera.
Marcar como revisado Marcar con un indicador los eventos como revisados. Es posible marcar
todos los registros del conjunto de resultados, la página actual o los
registros seleccionados.
Crear regla de firewall personalizada Crear una regla de firewall personalizada basada en las propiedades
del evento o el flujo seleccionados. Al hacer clic en Crear regla de firewall
personalizada, se abre la página Nueva regla (véase Adición de reglas de
correlación, base de datos o ADM personalizadas).
Crear regla personalizada Crear una regla personalizada mediante la firma que activó una alerta
concreta como punto de partida. Esta opción está disponible cuando se
seleccionan las alertas generadas por reglas estándar (no de firewall).
Al hacer clic en Crear regla personalizada, se abre la página Nueva regla
(véase Adición de reglas de correlación, base de datos o ADM
personalizadas).
Véase también
Realización de una búsqueda de WHOIS o ASN en la página 433
Adición de un ID de caso de Remedy a un registro de evento en la página 433
Exportación de un componente en la página 434

7
Uso de los eventos
Realización de una búsqueda de WHOIS o ASN

En un componente de tabla es posible realizar una búsqueda de WHOIS para localizar información
sobre una dirección IP de origen o destino. La función Búsqueda de ASN, disponible en cualquier consulta
de ASN de un gráfico de barras y cualquier registro de flujo en un componente de tabla con datos de
ASN, recupera un registro WHOIS mediante el identificador ASN.
Procedimiento
1 Seleccione una dirección IP o un registro de flujo con datos de ASN incluidos en un componente de
tabla o una barra de consulta de ASN de un componente de gráfico.
2
Haga clic en el menú y seleccione Detalles de dirección IP o Búsqueda de ASN.
3 Para buscar otra dirección IP o identificador:

• En la página de la ficha WHOIS, seleccione una dirección IP en la lista desplegable y escriba el
nombre de host.
• En la página Búsqueda de ASN, escriba los números o realice una selección en la lista desplegable.
Véase también
Página Búsqueda de WHOIS y DNS en la página 433
Página Búsqueda de WHOIS y DNS

Permite buscar información sobre un puerto o una dirección IP de origen o destino.

Opción Definición
Nombre de host Si dispone del nombre de host correspondiente a la dirección IP, escríbalo.
Dirección IP Si ha introducido un nombre de host, la dirección IP se indica en este campo. Si no
cuenta con el nombre de host, escriba la dirección IP.
Búsqueda Haga clic para iniciar la búsqueda de DNS y recuperar el registro de WHOIS.
Registro de WHOIS Permite ver los resultados de la búsqueda.
Véase también
Adición de un ID de caso de Remedy a un registro de evento

Cuando se envía un correo electrónico de evento al sistema de Remedy, se recibe un número de ID de
caso. Es posible agregar este número al registro de eventos como referencia para el futuro.
Procedimiento
1
Resalte el evento en la vista Análisis de eventos y haga clic en el menú .
2 Seleccione Establecer ID de caso de Remedy, escriba el número y haga clic en Aceptar.

7
Uso de los eventos
Véase también
Página Establecer ID de caso de Remedy en la página 434
Página Establecer ID de caso de Remedy

Permite agregar el ID de caso de Remedy recibido al enviar un mensaje de correo electrónico de
evento al sistema Remedy.

Opción Definición
ID de evento Si ha accedido a esta página mediante la selección de un evento en una vista, el
número de ID del evento aparecerá en este campo.
ID de caso de Remedy Escriba el ID recibido (véase Envío de un mensaje de correo electrónico a
Remedy).
Véase también
Exportación de un componente
Es posible exportar los datos incluidos en un componente de vista de ESM. Los componentes de
gráfico se pueden exportar a texto o formato PDF, mientras que los componentes de tabla se pueden
exportar a una lista de valores separados por comas (CSV) o HTML.
Al exportar la página actual de un componente de gráfico, distribución o tabla de una vista, los datos
exportados coinciden exactamente con lo que se ve al iniciar la exportación. Si se exporta más de una
página, la consulta se vuelve a ejecutar conforme se exportan los datos, de modo que puede haber
diferencias respecto de lo que se ve en el componente.
Procedimiento
1
En una vista, haga clic en el menú correspondiente al componente que desee exportar y haga
clic en Exportar.
2 Seleccione uno de los formatos siguientes:

• Texto: exportar los datos en formato de texto.
• PDF: exportar los datos a modo de imagen.
• Imagen a PDF: exportar solo la imagen.
• CSV: exportar una lista de valores delimitados por comas.
• HTML: exportar los datos en forma de tabla.

7
Uso de los eventos
3 En la página Exportar, especifique los datos que desee exportar.

• Si selecciona Texto o PDF, puede exportar la página de datos actual o un número máximo de
páginas a partir de la página 1.
• Si selecciona Imagen a PDF, se genera la imagen.
• Si selecciona CSV o HTML, solo puede exportar los elementos seleccionados, la página de datos
actual o un número máximo de páginas a partir de la página 1.
Se generará el archivo de exportación y se le pedirá que descargue el archivo resultante.
Véase también
Página Exportar en la página 435
Página Exportar
Seleccione los datos que desee exportar.

Opción Definición
Solo los elementos seleccionados Resalte los elementos que desee exportar y, después, seleccione esta
opción.
Solo la página actual Exporta los elementos que aparecen en la vista en ese momento. Los
datos exportados coinciden exactamente con lo que se ve al iniciar la
exportación.
Un número máximo de páginas Seleccione el número máximo de páginas que exportar. La consulta se
vuelve a ejecutar conforme se exportan los datos, de modo que puede
haber diferencias respecto a lo que se ve en el componente.
Véase también
Uso del Asistente de consultas

Todos los informes y vistas del ESM recopilan datos en función de la configuración de consulta de cada
componente.
A la hora de agregar o editar una vista o un informe, defina la configuración de consulta de cada
componente del Asistente de consultas mediante la selección del tipo de consulta, la consulta, los campos
que incluir y los filtros que usar. Todas las consultas del sistema, tanto predefinidas como
personalizadas, aparecerán en el asistente para que pueda seleccionar los datos que desee que genere
el componente. También cabe la posibilidad de editar o eliminar consultas, así como de copiar una
consulta existente a fin de usarla como plantilla para configurar una consulta nueva.
Véase también
Administración de consultas en la página 436
Componentes enlazados en la página 438
Comparación de valores en la página 439
Comparación de valores de gráficos en la página 439
Configuración de la distribución apilada para vistas e informes en la página 440

7
Uso de los eventos
Administración de consultas
El ESM incluye consultas predefinidas que se pueden seleccionar en el Asistente de consultas a la hora de
agregar o editar un informe o una vista. Existe la posibilidad de editar algunas de las opciones de
configuración, así como de agregar o quitar consultas personalizadas.
Procedimiento
1 Acceda al Asistente de consultas de una de las formas siguientes.

Agregar una 1
nueva vista Haga clic en el icono Crear vista nueva , situado en la barra de herramientas
de vista.
2 Arrastre y suelte un componente de la Barra de herramientas de edición de vistas en el
panel de vista.
Aparecerá el Asistente de consultas.
Editar una vista 1 Seleccione la vista que desee editar.

existente
2
Haga clic en el icono Editar vista actual , situado en la barra de herramientas
de vista.
3 Haga clic en el componente que desee editar.
4 Haga clic en Editar consulta en el panel Propiedades.

Se abrirá el Asistente de consultas por la segunda página.
Establecer el 1 En Propiedades del sistema, haga clic en Informes.

diseño de un
informe nuevo 2 Haga clic en Agregar.
3 En la sección 5 de la página Agregar informe, haga clic en Agregar.
4 Arrastre y suelte un componente en la sección de diseño del informe.

Aparecerá el Asistente de consultas.
Editar el diseño 1 En Propiedades del sistema, haga clic en Informes.

de un informe
existente 2 Seleccione el informe que desee editar y, a continuación, haga clic en Editar.
3 En la sección 5 de la página Editar informe, seleccione un diseño existente y

haga clic en Editar.
4 Haga clic en el componente en la sección de diseño del informe y haga clic en
Editar consulta en la sección Propiedades.
Se abrirá el Asistente de consultas por la segunda página.
2 En el Asistente de consultas, lleve a cabo una de las siguientes acciones:

7
Uso de los eventos

Agregar una nueva 1 Seleccione la consulta que desee usar como plantilla y haga clic en
consulta Copiar.
2 Escriba el nombre de la nueva consulta y haga clic en Aceptar.
3 En la lista de consultas, haga clic en la recién agregada y, después, en

Siguiente.
4 En la segunda página del asistente, cambie la configuración mediante los
botones.
Editar una consulta 1 Seleccione la consulta personalizada que desee editar y haga clic en
personalizada Editar.
2 En la segunda página del asistente, cambie la configuración mediante los
botones.
Quitar una consulta Seleccione la consulta personalizada que desee eliminar y, a continuación,
personalizada haga clic en Quitar.
Véase también
Uso del Asistente de consultas en la página 435
Página Asistente de consultas en la página 437
Página Asistente de consultas

Cuando se agregan un informe o una vista, es necesario definir la configuración de la consulta de
forma que genere la información necesaria.
Opción Definición
Tipo de Indica los tipos de consultas que hay disponibles para el componente seleccionado.
consulta Entre los tipos posibles están eventos, flujos, varios, activos y vulnerabilidades, y
estado de riesgo.
El apilamiento no está disponible para las consultas de distribución de Tasa de recopilación

ni Promedio (por ejemplo, Promedio de gravedad por alerta o Duración media por flujo).
Consultas Indica las consultas predefinidas y personalizadas disponibles para el tipo

seleccionado. Si ha agregado tipos personalizados, se incluirán también. Es posible
editar, copiar y quitar consultas personalizadas en esta lista.
Campos Muestra la información incluida en el componente. Puede cambiar esta configuración
en el caso de un componente de tabla en la segunda página del asistente.
1 Haga clic en Campos.
2 En Campos de consulta, mueva el campo que desee incluir en la lista a la derecha

mediante las flechas horizontales.
3 Coloque los campos en el orden en que desee que aparezcan en la tabla mediante
las flechas verticales y, después, haga clic en Aceptar.
Filtros Muestra los valores de filtrado establecidos para la consulta. Puede cambiar esta
configuración en el caso de cualquier consulta en la segunda página del asistente.

7
Uso de los eventos

Opción Definición
Clasificar por Muestra el orden en que se enumeran los resultados de la consulta. Puede cambiar
orden esta configuración en el caso de la mayoría de las consultas en la segunda página del
asistente.
Comparar Proporciona una forma de comparar el número de valores diferentes de cualquiera de
los archivos de filtrado existentes con la distribución temporal de eventos y flujos.
Solo está disponible en un componente de distribución (véase Comparación de
valores y Comparación de valores de gráficos).
Apilamiento Permite apilar los gráficos de barras, líneas y área de un componente de distribución
para poder ver la distribución de los eventos relacionados con un campo específico.
Máscara CIDR Permite agregar una máscara CIDR, que se utiliza para agrupar direcciones IP. Esta
opción solo está disponible cuando se selecciona una consulta de IP de origen o IP de
destino en un componente de Gráfico de barras.
Niveles Permite especificar el nivel de enmascaramiento de ID normalizado para la consulta
(véase Normalización). Está disponible en los componentes de gráfico circular, gráfico
de barras y lista cuando se selecciona la consulta Resumen de evento normalizado.
Véase también
Página Campos de consulta

Permite seleccionar los campos que se incluirán en la consulta en el caso de un componente de tabla.

Opción Definición
Lista de la izquierda Muestra los campos que se pueden elegir.
Lista de la derecha Muestra los campos seleccionados para su inclusión en el componente
de tabla.
Flechas de un lado a otro Permiten mover el campo seleccionado de una lista a otra.
Flechas hacia arriba y abajo Permiten colocar los campos en el orden en que deben aparecer en la
tabla.
Componentes enlazados
Cuando un componente de vista se enlaza con otro componente mediante un enlace de datos, la vista
pasa a ser interactiva.
Al seleccionar uno o varios elementos en el componente principal, los resultados mostrados en el
componente secundario cambian, igual que si se accediera a información detallada. Por ejemplo, si
enlaza un componente de IP de origen de gráfico de barras principal a un componente de IP de
destino de gráfico de barras secundario, al hacer una selección en el componente principal el
componente secundario ejecuta su consulta mediante la IP de origen seleccionada como filtro. Al
cambiar la selección en el componente principal, se actualizan los datos en el componente secundario.
El enlace de datos solo permite enlazar un campo con otro.

7
Uso de los eventos
Procedimiento
1 Cree los componentes principal y secundario; después, seleccione el componente secundario.
2 En el panel Propiedades, haga clic en Editar consulta | Filtros.
La página Filtros de consulta se abrirá con las consultas principales y secundarias activadas.
3 En la lista desplegable de consultas secundarias, seleccione Enlazar con.
4 Haga clic en Aceptar y, después, en Finalizar.
Véase también
Comparación de valores
Los gráficos de distribución tienen una opción que permite superponer una variable adicional sobre el
gráfico actual.
De esta forma, es posible comparar dos valores a fin de mostrar con facilidad las relaciones, por
ejemplo, entre el total de eventos y la gravedad media. Esta función proporciona valiosas
comparaciones de datos a lo largo del tiempo de un vistazo. También resulta útil para ahorrar espacio
en la pantalla a la hora de crear vistas extensas, gracias a la combinación de los resultados en un
único gráfico de distribución.
La comparación se limita al mismo tipo que la consulta seleccionada. Por ejemplo, si se selecciona una
consulta de evento, solamente es posible realizar la comparación con los campos de la tabla de
eventos, pero no con la tabla de flujos o de activos y vulnerabilidades.
Cuando se aplican los parámetros de consulta al gráfico de distribución, se ejecuta la consulta de la

forma habitual. Si está activado el campo de comparación, se ejecuta una consulta secundaria sobre
los datos al mismo tiempo. El componente de distribución muestra los datos para ambos conjuntos de
datos en el mismo gráfico, pero emplea dos ejes verticales distintos. Si se cambia el tipo de gráfico
(esquina inferior izquierda del componente), se siguen mostrando ambos conjuntos de datos.
Véase también
Comparación de valores de gráficos

Es posible comparar los datos de un gráfico de distribución con la variable que se seleccione.

7
Uso de los eventos
Procedimiento
1
Seleccione el icono Crear vista nueva o el icono Editar vista actual .
2
Haga clic en el icono Distribución y, después, arrástrelo y suéltelo en la vista para abrir el
Asistente de consultas.
3 Seleccione el tipo de consulta y la consulta; después, haga clic en Siguiente.
4 Haga clic en Comparar y seleccione el campo que desee comparar con la consulta seleccionada.
5 Haga clic en Aceptar y, después, en Finalizar.
6 Mueva el componente a la ubicación correcta en la vista y, después:

• Haga clic en Guardar si va a agregar el componente a una vista existente.
• Haga clic en Guardar como y agregue el nombre de la vista en caso de estar creando una vista
nueva.
Véase también
Página Comparación de campo

Permite seleccionar la variable que se aplicará al gráfico de distribución a fin de comparar los datos.
Configuración de la distribución apilada para vistas e informes

Es posible configurar el componente de distribución en una vista o informe para poder ver la
distribución de los eventos relacionados con un campo específico.
Puede seleccionar el campo por el que apilar al agregar el componente a una vista o un informe.
Cuando se accede a la vista, es posible cambiar la configuración, establecer el intervalo de tiempo y
definir el tipo y los detalles del gráfico.
No es posible utilizar las funciones Apilamiento y Comparar en la misma consulta.
Procedimiento
1 Arrastre y suelte el componente Distribución en una vista (véase Adición de una vista personalizada)
o en un informe (véase Adición de un diseño de informe) y, después, seleccione el tipo de consulta.
El apilamiento no está disponible para las consultas de distribución de Tasa de recopilación ni Promedio
(por ejemplo, Promedio de gravedad por alerta o Duración media por flujo).
2 En la segunda página del Asistente de consultas, haga clic en Apilamiento y seleccione las opciones.
3 Haga clic en Aceptar en la página Opciones de apilamiento y en Finalizar en el Asistente de consultas.

7
Uso de los eventos
La vista se agregará. Puede cambiar la configuración, así como establecer el intervalo de tiempo y el
tipo de gráfico, mediante el icono Opciones de gráfico .
Véase también
Página Opciones de apilamiento en la página 441
Página Opciones de apilamiento

Permite apilar los eventos de un gráfico de distribución para poder ver la distribución en relación con
un campo específico.
Opción Definición
Campo por el que agrupar los Seleccione el campo para el que registrar los datos.
segmentos de barra
Número de segmentos de Seleccione el número de elementos distintos para los que desee ver datos
barra por barra en las barras. Por ejemplo, si selecciona ID de firma y 10, cada barra mostrará
los diez ID de firma recibidos con mayor frecuencia durante el período de
tiempo seleccionado.
Mostrar valor "Otros" Indique si desea que el componente incluya una barra Otro. Siguiendo con el
ejemplo anterior, mostraría el número del resto de ID de firma recibidos.
Mostrar leyenda En una vista, indique si desea que se incluya la leyenda. En un informe, se
incluye siempre.
Opciones de intervalo de (Solo disponible cuando se hace clic en el icono Opciones de gráfico en la vista)
tiempo Seleccione el intervalo de tiempo que desee que represente cada barra del
gráfico.
Opciones de gráfico (Solo disponible cuando se hace clic en el icono Opciones de gráfico en la vista)
Seleccione el tipo de gráfico y, después, indique si desea que aparezca la
sección de detalles de los datos en la vista.
Véase también
Administración de vistas
La administración de vistas ofrece una forma rápida de copiar, importar o exportar más de una vista al
mismo tiempo, así como de seleccionar las vistas que incluir en la lista de vistas y asignar permisos a
usuarios o grupos específicos para el acceso a vistas concretas.
Procedimiento
1
En la consola de ESM, haga clic en el icono Administrar vistas .
2 Lleve a cabo cualquiera de las opciones disponibles y, después, haga clic en Aceptar.
Véase también
Página Administrar vistas en la página 442

7
Uso de los eventos
Página Administrar vistas

Permite administrar las vistas del ESM.

Opción Definición
Tabla Seleccione las vistas que desee ver en la lista de vistas. Si se marca la carpeta,
se seleccionan todas sus subcarpetas y vistas. Si la casilla de verificación de la
carpeta está negra, se han seleccionado algunas de sus subcarpetas y vistas.
Agregar carpeta Permite crear una carpeta personalizada para organizar las vistas. Una vez
agregada, es posible arrastrar y soltar vistas en ella.
Cambiar nombre Permite renombrar la carpeta o la vista seleccionadas. No es posible cambiar el
nombre de las vistas de solo lectura.
Eliminar Eliminar las vistas o carpetas personalizadas seleccionadas. No es posible
eliminar las vistas de solo lectura.
Copiar Copiar una vista y agregarla a la lista de vistas. Una vez copiada una vista, es
posible arrastrarla y soltarla en otra carpeta.
Compartir Seleccione los usuarios o grupos que deben tener permiso para acceder a las
vistas seleccionadas y modificarlas.
Importar Importar archivos de vista al ESM.
Exportar Exportar un archivo de vistas personalizadas para compartirlas con otro ESM o
conservar el archivo a modo de copia de seguridad. Tenga en cuenta que no se
pueden exportar las vistas de solo lectura.
Convertir esta vista en mi Seleccione una vista concreta para que sea la vista predeterminada del panel
predeterminada de vistas. Para ello, haga clic en la vista y seleccione esta opción.
Véase también
Administración de vistas en la página 441
Página Seleccionar usuarios

Seleccione los usuarios con los que desee compartir vistas, listas de vigilancia o informes.
Opción Definición
Tabla Incluye todos los usuarios del sistema. Seleccione uno o varios.
Búsqueda alrededor de un evento

En la vista Análisis de eventos es posible buscar eventos que coincidan con uno o varios de los campos del
evento dentro del espacio de tiempo seleccionado antes y después del evento.
Procedimiento
1 En la consola de ESM, haga clic en la lista de vistas y, después, seleccione Vistas de eventos | Análisis de
eventos.
2
Haga clic en un evento, haga clic en el icono de menú y, después, en Buscar.

7
Uso de los eventos
3 Seleccione el número de minutos antes y después de la hora del evento donde desea que el
sistema busque una coincidencia.
4 Haga clic en Seleccionar filtro, seleccione el campo con el que desee que coincida la búsqueda y
escriba el valor.
Los resultados aparecerán en la vista Resultado de la búsqueda.
Si sale de esta vista y desea volver a ella posteriormente, haga clic en Última búsqueda en el menú
Análisis de eventos.
Véase también
Página Buscar en la página 443
Página Buscar
Permite buscar eventos que coincidan con uno o varios de los campos de un evento dentro del espacio
de tiempo seleccionado antes y después del evento.

Opción Definición
Espacio de tiempo Seleccione el número de minutos antes y después de la hora del evento seleccionado
en los desee que el sistema busque una coincidencia.
Seleccionar filtro Seleccione el tipo de campo e introduzca el valor que desee buscar. Cuando se rellena
un campo, se agrega otro, de forma que es posible agregar todos los filtros
necesarios.
Haga clic para eliminar uno de los campos de filtro.
Véase también
Búsqueda alrededor de un evento en la página 442
Visualización de los detalles de dirección IP de un evento

® ™
Si cuenta con una licencia de McAfee Global Threat Intelligence (McAfee GTI) de McAfee, dispone de
acceso a la nueva ficha Detalles de amenaza al ejecutar una búsqueda de Detalles de dirección IP. Cuando se
selecciona esta opción, se devuelven detalles sobre la dirección IP, tales como gravedad del riesgo o
datos de geolocalización.
Antes de empezar
Adquiera una licencia de McAfee GTI (véase Lista de vigilancia de McAfee GTI).
Si su licencia de McAfee GTI ha caducado, póngase en contacto con su técnico de ventas de

McAfee o con el Soporte de McAfee.
Procedimiento
1 En la consola de ESM, seleccione una vista que incluya un componente de tabla, como Vistas de evento
| Análisis de eventos.
2
Haga clic en una dirección IP, después en el icono de menú de cualquier componente que
tenga una dirección IP y, a continuación, en Detalles de dirección IP.

7
Uso de los eventos
La ficha Detalles de amenaza presenta una lista con datos correspondientes a la dirección IP seleccionada.
Puede copiar los datos al portapapeles del sistema.
La opción Detalles de dirección IP ha sustituido a la opción Búsqueda de WHOIS en el menú contextual. No

obstante, la página Detalles de dirección IP incluye una ficha Búsqueda de WHOIS donde aparece esta
información.
Cambio de la vista predeterminada

La vista Resumen predeterminado aparece en el panel de visualización de forma predeterminada cuando se
inicia sesión por primera vez en la consola de ESM. Es posible cambiar esta vista predeterminada por
cualquiera de las vistas predefinidas o personalizadas del ESM.
Procedimiento
1 En la barra de navegación de la consola de ESM, haga clic en Opciones y seleccione Vistas.
2 En la lista desplegable Vista predeterminada del sistema, seleccione la nueva vista predeterminada y haga
clic en Aceptar.
Filtrado de vistas
En el panel de filtros situado en la consola principal de ESM, es posible establecer filtros para
aplicarlos a las vistas. Cualquier filtro aplicado a una vista se aplica a la siguiente vista que se abre.
La primera vez que se inicia sesión en el ESM, el panel de filtros personalizados incluye los campos de
filtrado Usuario de origen, Usuario de destino, IP de origen e IP de destino. Cabe la posibilidad de agregar y
eliminar campos de filtrado, guardar conjuntos de filtros, cambiar el conjunto predeterminado,
administrar todos los filtros e iniciar el administrador de normalización de cadenas.
Aparece el icono de un embudo naranja en la esquina superior derecha del panel de vista para alertar
de que hay filtros aplicados a la vista. Si hace clic en este icono naranja, se borran todos los filtros y
se vuelve a ejecutar la consulta.
Siempre que haya valores de filtrado separados por comas, tales como variables, filtros globales,
filtros locales, cadenas normalizadas o filtros de informe, es necesario usar comillas si no forman parte
de una lista de vigilancia. Si el valor es Salas,Juan, deberá escribir "Salas,Juan". Si hay comillas en
el valor, será necesario entrecomillarlas. Si el valor es Salas,"Barbas"Juan, deberá escribirlo como
"Salas,""Barbas""Juan".
Puede utilizar los filtros contains y regex (véase Descripción de los filtros contains y regex).
Véase también
Filtrado de una vista en la página 444
Adición de filtros de ID de evento de Windows y UCF en la página 449
Selección de ID normalizados en la página 449
Filtrado de una vista

Los filtros ayudan a ver los detalles sobre los elementos seleccionados en una vista. Si introduce filtros
y actualiza la vista, los datos de la vista reflejarán los filtros agregados.

7
Uso de los eventos
Procedimiento
1 En la consola de ESM, haga clic en la lista desplegable de vistas y seleccione la que desee filtrar.
2 En el panel Filtro, rellene los campos con los datos por los que desee filtrar de una de las formas
siguientes:
• Escriba la información de filtrado en el campo correspondiente. Por ejemplo, para filtrar la vista
actual de forma que solo se vean los datos con la dirección IP de origen 161.122.15.13, escriba
esta dirección IP en el campo IP de origen.
• Escriba un filtro contains o regex (véase Descripción de los filtros contains y regex).
• Haga clic en el icono Mostrar lista de filtros junto al campo y seleccione las variables o las listas
de vigilancia por las que filtrar.
• En la vista, seleccione los datos que desee utilizar como filtro y haga clic en el campo en el
panel Filtro. Si el campo está en blanco, se rellenará automáticamente con los datos
seleccionados.
En el caso de Promedio de gravedad, use dos puntos (:) para indicar un intervalo. Por ejemplo, 60:80
representa un intervalo de gravedad de entre 60 y 80.

Ver datos que coinciden con Introduzca los valores en cada campo.
más de un filtro
Ver datos que coinciden con 1 Introduzca los valores de filtrado que desee incluir y excluir.
algunos valores de filtrado y
excluyen otros 2
Haga clic en el icono NOT situado junto a los campos que
desee excluir.
Ver datos que coinciden con 1 Introduzca los valores de filtrado en los campos de expresión
filtros de expresión regular o de regular y OR.
tipo OR
2 Haga clic en el icono OR junto a los campos que tengan los
valores OR.
La vista incluirá los datos que coincidan con los valores de los
campos no marcados como OR y que coincidan con cualquiera
de los valores de los campos marcados como OR.
Para que funcione este filtro, hay que marcar un mínimo de

dos campos como OR.
Hacer que en los valores de Haga clic en el icono Sin distinción mayúsculas/minúsculas junto al
filtrado no se distinga entre campo de filtrado adecuado.
mayúscula y minúscula
Reemplazar las cadenas Haga clic en el icono de normalización de cadenas junto al

normalizadas por sus alias campo de filtrado adecuado.
4

7
Uso de los eventos
La vista se actualizará y los registros que coincidan con los valores introducidos aparecerán en la
vista. Aparecerá un icono de filtrado naranja en la esquina superior derecha del panel de vista que
indica que los datos de la vista son el resultado de los filtros. Si se hace clic en este icono, los filtros se
borran y la vista muestra todos los datos.
Procedimientos
• Panel Filtros en la página 446
El panel de filtros proporciona opciones que le ayudarán a la hora de establecer filtros para
las vistas.
Véase también
Filtrado de vistas en la página 444
Panel Filtros en la página 446
Página Filtros de consulta en la página 448
Página Buscar en la página 448
Panel Filtros
El panel de filtros proporciona opciones que le ayudarán a la hora de establecer filtros para las vistas.
Icono Significado Descripción

Sugerencias Hace que aparezca información sobre herramientas al hacer
clic en un campo de filtro.
Iniciar administrador de Se aplica el filtrado por una cadena y sus alias (véase
normalización de Normalización de cadenas).
cadenas
Ejecutar consulta Se aplican los filtros actuales a la vista. Deberá hacer clic en
este icono si cambia un valor de filtro y desea aplicarlo a la
vista actual.
Borrar todo Se borran todos los filtros del panel de filtros.
Opciones de conjunto Seleccione una acción que realizar con los conjuntos de
de filtros filtros.
• Convertir en predeterminado: guarda los valores de filtro
introducidos como predeterminados. Estos filtros se
aplican automáticamente al iniciar sesión.
• Restaurar predeterminado: devuelve los filtros a los valores
predeterminados para poder ejecutar la consulta con el
conjunto de filtros predeterminado.
• Guardar filtros rellenados: guarda el conjunto de filtros actual y
lo agrega a la lista de filtros disponibles, donde podrá
seleccionarlo a la hora de agregar un filtro. Escriba un
nombre para el conjunto y seleccione la carpeta donde
desee guardarlo.
• Administrar filtros: abre la página Administración de conjuntos de
filtros, donde puede organizar los conjuntos de filtros
disponibles.
Seleccione un campo de filtro o un conjunto de filtros por

los que filtrar la vista. Al hacer clic en el campo, un menú
desplegable indica todos los filtros y conjuntos de filtros
posibles.

7
Uso de los eventos
Icono Significado Descripción

Mostrar lista de filtros Seleccione las variables o las listas de vigilancia para
realizar el filtrado.
NOT Para ver datos que coinciden con algunos valores de filtro y
excluyen otros, haga clic en esta opción junto a los campos
que desee excluir.
OR Para ver los datos que coinciden con los filtros de expresión
regular y OR, haga clic en este icono junto a los campos que
tengan los valores OR. La vista incluirá los datos que
coincidan con los valores de los campos no marcados como
OR y que coincidan con cualquiera de los valores de los
campos marcados como OR.
Para que funcione este filtro, hay que marcar un mínimo

de dos campos como OR.
Sin distinción Para que en los valores de filtro no se distinga entre

mayúsculas/minúsculas mayúsculas y minúsculas, haga clic en este icono.
Normalización de Permite reemplazar las cadenas normalizadas por sus alias.
cadenas
Ver filtros de un Permite ver una lista de los filtros incluidos en un conjunto.
conjunto
Sustituir valor Permite reemplazar el valor actual por el valor incluido en el
conjunto de valores.
Quitar este filtro Permite eliminar el campo de filtro de los filtros actuales.
Véase también
Página Administración de conjuntos de filtros

Es posible agregar conjuntos de filtros y utilizarlos para filtrar vistas, informes, consultas y alarmas de
tipo Desviación con respecto a referencia y Tasa de eventos especificada. Puede organizarlos y administrarlos en la
página Administración de conjuntos de filtros.

Opción Definición
Tabla Ver los conjuntos de filtros agregados al ESM (véase Panel Filtros), así como
todos los filtros posibles. Para organizar esta lista, agregue carpetas y coloque
en ellas los conjuntos de filtros.
Agregar carpeta Agregar una nueva carpeta para organizar los filtros. Una vez agregada, puede
arrastrar y colocar los conjuntos de filtros en la nueva carpeta.
Agregar conjunto de Agregar un nuevo conjunto de filtros a la lista de filtros posibles o editar uno
filtros, Editar conjunto existente.
de filtros
Cambiar nombre Cambiar el nombre de la carpeta o el conjunto de filtros seleccionados.
Eliminar Eliminar una carpeta o un filtro de la lista.
Copiar Copiar un filtro existente. Tras cambiarle el nombre, se agregará al final de la
lista. A continuación, puede usarlo como plantilla y realizar cambios en su
configuración mediante la opción Editar conjunto de filtros.
Compartir Compartir las carpetas o los conjuntos de filtros seleccionados con otros
usuarios o grupos del sistema.

7
Uso de los eventos
Página Filtros de consulta

Permite configurar filtros para una consulta de informe o vista. Las opciones disponibles varían en
función de lo que se filtre.
Puede utilizar los filtros contains y regex en estos campos (véase Descripción de los filtros
contains y regex).

Opción Definición
Última vez o Intervalo de tiempo Haga clic en la flecha hacia abajo a fin de seleccionar el intervalo de
tiempo para los datos que desee recopilar. Si desea usar el tiempo
seleccionado para la vista, seleccione Usar hora de vista.
Para establecer un tiempo personalizado, haga clic en el icono del
calendario y defina un periodo de tiempo fijo o un espacio de tiempo
personalizado.
ID de dispositivo o Dispositivos Haga clic en el icono de filtrado ( ) y seleccione los dispositivos por
los que filtrar.
Campos Haga clic en un campo y escriba el valor. Aparecerá una sugerencia en
la parte inferior de la página.
Agregue un campo de filtro a la lista actual de filtros. Al hacer clic en el
campo, un menú desplegable indica todos los filtros posibles.
Icono Mostrar lista de filtros Abre una lista con los valores que se pueden seleccionar para el
campo.
Haga clic en él si desea excluir el valor introducido en el campo.
Icono NOT
Icono OR Haga clic en él para incluir los datos que cumplan los criterios de los
filtros normales y OR. Introduzca los valores de filtrado en los campos
y, después, haga clic en el icono OR situado junto a los campos con los
valores de una opción u otra. Por ejemplo, a fin de incluir los datos que
coincidan con una dirección IP de destino y un puerto de destino, y
bien con un puerto de origen o una dirección IP de origen, introduzca
los valores en los cuatro campos y haga clic en el icono OR situado
junto a Puerto de origen e IP de origen.
Icono de no distinción entre Haga clic en él para incluir el valor introducido en el campo
mayúsculas y minúsculas independientemente del uso de mayúsculas y minúsculas.
Icono de normalización de Haga clic en él para reemplazar la cadena normalizada introducida en

cadenas el campo por sus alias.
Icono Quitar este filtro Permite eliminar el campo de filtro de la lista de filtros actuales.
Véase también
Página Buscar
Permite buscar cadenas para agregarlas a la lista de alias.
Opción Definición
Expresión regular Introduzca una expresión regular para buscar alias.
Buscar Haga clic aquí para iniciar la búsqueda.
Resultados Seleccione los alias que desee agregar a la lista y, después, haga clic en Aceptar.

7
Uso de los eventos
Véase también
Adición de filtros de ID de evento de Windows y UCF

Uno de los retos que supone la conformidad con las normativas es la naturaleza en constante
evolución de estas normativas. Unified Compliance Framework (UCF) es una organización que asigna
las características específicas de cada normativa a ID de control armonizados. A medida que cambian
las normativas, estos ID se actualizan y se insertan en ESM.
• Es posible filtrar por el ID de conformidad a fin de seleccionar la conformidad necesaria o
subcomponentes específicos, o bien por el ID de evento de Windows.

Agregar filtros 1 En el panel Filtros, haga clic en el icono de filtro situado junto al campo ID de
UCF conformidad.
2 Seleccione los valores de conformidad que desee usar como filtros y haga clic
en Aceptar | Ejecutar consulta .
Agregar filtros 1 Haga clic en el icono de filtro situado junto al ID de firma.

de ID de evento
de Windows 2 En Variables de filtrado, seleccione la ficha Windows.
3 Escriba los ID de evento de Windows (separados por comas) en el campo de

texto o seleccione los valores que desee usar como filtro en la lista.
Véase también
Selección de ID normalizados
Cuando se crea una vista nueva o se agrega un filtro a una vista, se puede optar por filtrar los datos
mediante ID normalizados.
Procedimiento
1 En la consola de ESM, realice una de estas acciones:

• Si va a crear una vista nueva, haga clic en Filtros en la segunda página del Asistente de consultas
(véase Definición de la configuración de componentes de vista o informe).
• Si va a agregar filtros a una vista, seleccione la vista a la que desee agregarlos. El panel Filtros
se encuentra en la parte derecha de la pantalla.
2 Localice el campo ID normalizado y haga clic en el icono Filtros .
3 Seleccione los ID y haga clic en Aceptar.
Los números de ID seleccionados se agregarán al campo ID normalizado.
Véase también

7
Uso de los eventos
Listas de control
Una lista de vigilancia es un conjunto de información de un tipo concreto que se puede usar como
filtro o como condición de alarma.
Puede ser global o compartida con un usuario o grupo concretos, y puede ser estática o dinámica. Una
lista de vigilancia estática consta de valores específicos que se introducen o se importan. Una lista de
vigilancia dinámica consta de valores que resultan de una expresión regular o de los criterios de
búsqueda de cadenas que se definen.
Una lista de vigilancia puede contener un máximo de 1 000 000 de valores. Las listas de valores de las
páginas Agregar lista de vigilancia y Editar lista de vigilancia pueden mostrar un máximo de 25 000 valores. Si
hay más, se le informará de que existen demasiados valores para mostrarlos todos. Si desea editar
una lista de vigilancia mediante la adición de valores de forma que el total supere los 25 000, deberá
exportar la lista existente a un archivo local, agregar los valores nuevos e importar la nueva lista.
Es posible configurar los valores de una lista de vigilancia de forma que caduquen. Cada valor tiene
una marca de tiempo y caduca cuando se alcanza la duración especificada, a menos que se actualice.
Los valores se actualizan si se activa una alarma y los agrega a la lista de vigilancia. Es posible
actualizar los valores configurados para caducar mediante su anexión a la lista a través de la opción
Anexar a lista de vigilancia del menú presente en los componentes de vista (véase Opciones de menú de
componentes).
Es posible configurar los valores de una lista de vigilancia dinámica de forma que se actualicen
periódicamente. Se realiza una consulta en el origen mediante los datos proporcionados y los valores
se actualizan en el momento especificado.
Véase también
Adición de una lista de vigilancia en la página 450
Lista de vigilancia de McAfee GTI en la página 454
Creación de una lista de vigilancia de fuentes de amenazas o IOC de Internet en la página
455
Adición de una lista de vigilancia de Hadoop HBase en la página 455
Adición de una lista de vigilancia

Si agrega una lista de vigilancia al ESM, podrá usarla a modo de filtro para una condición de alarma.
Procedimiento
1 Acceda a la página Listas de vigilancia de una de estas formas:

•
En la consola de ESM, haga clic en el icono de inicio rápido Listas de vigilancia .
• En el árbol de navegación del sistema, haga clic en Propiedades del sistema y, después, en Listas de
vigilancia.
La tabla Listas de vigilancia muestra todas las listas de vigilancia del sistema.
Las Direcciones IP maliciosas de GTI y las Direcciones IP sospechosas de GTI aparecen en la tabla, pero no
contienen datos a menos que se adquiera una licencia de McAfee GTI a través de McAfee. Póngase
en contacto con su técnico de ventas de McAfee o con el Soporte de McAfee para adquirir una
licencia.
3 Haga clic en Aceptar para agregar la nueva lista de vigilancia a la tabla Listas de vigilancia.

7
Uso de los eventos
Véase también
Listas de control en la página 450
455
Página Listas de control en la página 451
Página Agregar lista de vigilancia en la página 451
Página Listas de control

Permite administrar las listas de control del ESM.
Opción Definición
Tabla Listas de Permite ver una lista de todas las listas de vigilancia del ESM.
vigilancia
• La columna Tipo muestra el tipo de valores que contiene la lista de vigilancia.
• La columna Estado muestra el número de valores recuperados en la última
actualización. En el caso de las listas de vigilancia de GTI, muestra el estado de
actividad.
Las IP maliciosas de McAfee GTI y las IP sospechosas de McAfee GTI aparecen en la

tabla Listas de vigilancia, pero no contienen datos a menos que se adquiera una licencia
de McAfee GTI. Póngase en contacto con su técnico de ventas o con el soporte
técnico para adquirir una licencia (véase Lista de vigilancia de McAfee GTI). Las listas
de vigilancia de GTI no se pueden editar.
Agregar Agregar listas de control nuevas al ESM.

Editar Cambiar la configuración de una lista de vigilancia existente. Si hay más de 25 000
valores en la lista de vigilancia, en el área Valores se indicará que hay más valores de
los que se pueden mostrar.
Quitar Eliminar una lista de vigilancia del ESM.
Crear alarma Crear una alarma con los valores de la lista de vigilancia seleccionada.
Compartir Compartir una lista de vigilancia con usuarios o grupos.
Importar Importar listas de vigilancia que se han exportado previamente.
Exportar Exportar una lista de vigilancia.
Véase también
Página Agregar lista de vigilancia

Permite agregar una lista de vigilancia al ESM.

Principal Nombre Escriba un nombre para la lista de vigilancia.
Estática o Indique si se tratará de una lista de vigilancia estática o dinámica. Las listas
Dinámica de vigilancia estáticas constan de los valores que se especifican. Las listas
de vigilancia dinámicas constan de valores que resultan de los criterios de
búsqueda de cadenas o expresiones regulares que se definen.

7
Uso de los eventos

Los valores (Estática) Seleccione esta opción para aplicar una marca de tiempo a cada
caducan valor de la lista de vigilancia de forma que caduque cuando se especifique.
Cuando se alcance la duración especificada, caducará a menos que se
actualice. Los valores se actualizan si se activa una alarma y los agrega a la
lista de vigilancia. A fin de actualizar los valores configurados para caducar,
inclúyalos en la lista mediante la opción Adjuntar a lista de vigilancia del menú
presente en los componentes de vista.
Duración (Estática) Seleccione la cantidad de tiempo que desea que se mantengan
los valores. El intervalo oscila entre una hora y 365 días. Cuando transcurra
ese tiempo, el valor se eliminará de la lista de vigilancia a menos que se
actualice.
Activar las (Dinámica) Seleccione esta opción si desea que esta lista se actualice de
actualizaciones forma automática en el momento especificado.
automáticas
Actualizar Indique la frecuencia de actualización de la búsqueda. La lista de valores
existentes se sustituye cada vez que se ejecuta la búsqueda.
Origen Seleccione el tipo de origen de búsqueda. Los campos restantes de esta página variarán en
función del tipo seleccionado. Su uso es evidente en la mayoría de los casos.
Cadenas de ESM Se busca en la tabla StringMap, que contiene cadenas halladas en eventos.
Introduzca la expresión regular o los criterios de búsqueda de cadenas en el
campo Buscar. En las búsquedas se distingue entre mayúsculas y minúsculas
de forma predeterminada. A fin de llevar a cabo una búsqueda en la que no
se tenga en cuenta el uso de mayúsculas y minúsculas, delimite la cadena
de búsqueda o la expresión regular mediante barras diagonales seguidas de
i, como, por ejemplo, /Exploit/i.
Nombres de reglas Se busca en los mensajes de reglas de la tabla Regla, que contiene una
de ESM descripción breve de la regla. Introduzca la expresión regular o los criterios
de búsqueda de cadenas en el campo Buscar. En las búsquedas se distingue
entre mayúsculas y minúsculas de forma predeterminada. A fin de llevar a
cabo una búsqueda en la que no se tenga en cuenta el uso de mayúsculas y
minúsculas, delimite la cadena de búsqueda o la expresión regular
mediante barras diagonales seguidas de i, como, por ejemplo, /Exploit/i.
HTTP/HTTPS Rellene estos campos:

• Autenticación: seleccione Básica si el sitio web requiere un nombre de usuario
y una contraseña para iniciar sesión. La configuración predeterminada es
Ninguno.
• Ignorar certificados no válidos: si el sitio web en el que intenta realizar la
búsqueda está en una dirección URL HTTPS, seleccione esta opción para
ignorar los certificados SSL no válidos.
• Método: si el sitio web donde desea buscar requiere un argumento o
contenido, seleccione POST. La configuración predeterminada es GET.

7
Uso de los eventos

Active Rellene estos campos:
Response
• Recopilador: seleccione el recopilador que desee usar para extraer datos.
• Valor: seleccione la columna de datos recuperados que desee incluir en la
lista de vigilancia.
• O o Y: indique si desea que se apliquen todos los filtros a los datos (Y) o
cualquiera de los filtros (O). Esto solo es aplicable cuando existen dos o
más filtros.
• Filtros: los filtros que desee aplicar a la búsqueda.
• Agregar filtro: permite agregar otra línea de filtro. Es posible tener un
máximo de cinco filtros.
Para eliminar un filtro, haga clic en el icono de eliminación situado a la
derecha del filtro.
Análisis Datos sin procesar Cuando se selecciona HTTP/HTTPS como tipo de origen, permite ver las
primeras 200 líneas del código de origen correspondiente al campo URL de
la ficha Origen. Se trata solo de una vista previa del sitio web, pero es
suficiente a fin de escribir una expresión regular para la coincidencia. Una
actualización planificada o ejecutada mediante Ejecutar ahora de la lista de
vigilancia incluye todas las coincidencias correspondientes a la búsqueda
mediante la expresión regular. Esta función es compatible con expresiones
regulares de la sintaxis RE2, tales como (\d{1,3}\.\d{1,3}\.\d{1,3}\.
\d{1,3}).
Líneas de Por lo general, un sitio de Internet tiene un código de encabezado en el que
encabezado que no es necesario buscar. Especifique cuántas líneas del principio del sitio
omitir desea omitir para que la búsqueda no incluya los datos del encabezado.
Delimitador de Escriba lo que se utiliza en el sitio para separar los valores. Este campo
línea nueva tiene el valor predeterminado \n, que indica que el delimitador es una línea
nueva. El otro delimitador más habitual es la coma.
Ignorar expresión Escriba una expresión regular que elimine los valores no deseados de los
resultados de la búsqueda realizada mediante una expresión regular.
Expresión regular (Obligatorio) Escriba la lógica empleada para buscar una coincidencia y
extraer los valores del sitio. Utilice esto para crear una expresión que
coincida con una lista de direcciones IP maliciosas conocidas o sumas MD5
incluidas en un sitio.
Grupo coincidente Si la expresión regular contiene varios grupos de coincidencia, seleccione un
grupo en esta lista desplegable.
Valores Tipo Seleccione un tipo que asigne los resultados de la búsqueda a un tipo de
campo. Este tipo permite utilizar la lista de vigilancia en todo el sistema,
como por ejemplo en filtros y alarmas. Es posible cambiar esta
configuración en una lista de vigilancia existente. Si tiene menos de 25 000
valores, el ESM comprueba que los tipos anteriores y nuevos sean
compatibles, y devuelve un error de no ser así. Si tiene más de 25 000
valores, es necesario validar la compatibilidad.
Si se trata de una lista de vigilancia dinámica y selecciona Cadena como

origen, la aplicación no filtrará la búsqueda por el tipo seleccionado. En su
lugar, la búsqueda devolverá todas las cadenas coincidentes.

7
Uso de los eventos

Valores Si se trata de una lista de vigilancia estática, importe un archivo con
formato de valores separados por líneas o escriba manualmente los valores,
uno por línea.
Tanto las listas de vigilancia estáticas como las dinámicas están limitadas a
un máximo de 1 000 000 valores.
Si se trata de una lista de vigilancia dinámica, la tabla de valores se

rellenará con valores cada vez que se ejecute una búsqueda.
Si hay más de 25 000 valores en la lista de vigilancia, el campo Valores
indicará que hay más valores de los que se pueden mostrar.
El Nombre de usuario identifica quién puede acceder a la base de datos.
En el caso de LDAP, el nombre de usuario debe ser un nombre de dominio
completo sin espacios, como, por ejemplo:
uid=bob,ou=Users,dc=example,dc=com
o
administrator@company.com
Borrar valores Haga clic en esta opción si desea eliminar todos los elementos de la lista
Valores.
Importar Haga clic en esta opción para agregar los valores importados a la lista
Valores. Si existen más de 25 000 valores importados, aparecerá un mensaje
que indica que no se pueden mostrar todos los valores importados.
Exportar Permite exportar la lista de valores.
Ejecutar ahora Permite ejecutar la consulta inmediatamente. Los resultados aparecerán en
el cuadro Valores.
Véase también
Lista de vigilancia de McAfee GTI

Las listas de vigilancia de McAfee GTI contienen más de 130 millones de direcciones IP sospechosas y
maliciosas recopiladas por McAfee junto con su gravedad. Estas listas de vigilancia se pueden utilizar
para activar alarmas, para filtrar datos en informes y vistas, a modo de filtro en la correlación de
reglas y como origen de calificación para un administrador de correlación de riesgos de un ACE.
Para agregar los datos de las listas al sistema, es necesario adquirir una licencia de McAfee GTI por
medio de McAfee. Una vez hecho esto, las listas se agregarán al sistema la siguiente vez que
descargue las reglas. Este proceso puede tardar varias horas debido al tamaño de la base de datos.
Es necesario disponer de una conexión a Internet para descargar las listas. No cabe la posibilidad de
descargarlas sin conexión.
Estas listas no se pueden ver ni editar, pero la tabla Listas de control (Propiedades del sistema | Listas de control)
indica si la lista está activa (contiene valores) o inactiva (no contiene valores).
Para adquirir la licencia de McAfee GTI, póngase en contacto con su técnico de ventas de McAfee o con
el Soporte de McAfee.

7
Uso de los eventos
Véase también
455
Creación de una lista de vigilancia de fuentes de amenazas o IOC de

Internet
Cabe la posibilidad de crear una lista de vigilancia, que se puede actualizar periódicamente, para
extraer automáticamente las fuentes de amenazas o indicadores de compromiso (IOC) de Internet.
En esta lista de vigilancia, se puede acceder a una vista previa de los datos que se recuperarán a
través de la solicitud HTTP, así como agregar expresiones regulares para filtrar dichos datos.
Procedimiento
2 Haga clic en Listas de vigilancia y, después, en Agregar.
3 Rellene la ficha Principal y seleccione Dinámica.
4 Haga clic en la ficha Origen y seleccione HTTP/HTTPS en el campo Tipo.
5 Complete la información solicitada en las fichas Origen, Análisis y Valores.
El campo Datos sin procesar de la ficha Análisis se rellena con las primeras 200 líneas del código de
origen HTML. Se trata solamente de una vista previa del sitio web, pero es suficiente a fin de escribir
una expresión regular para la coincidencia. Una actualización planificada o ejecutada mediante
Ejecutar ahora de la lista de vigilancia incluye todas las coincidencias correspondientes a la búsqueda
mediante la expresión regular. Esta función es compatible con expresiones regulares de la sintaxis
RE2, tales como (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}), para la coincidencia con una
dirección IP.
Véase también
Adición de una lista de vigilancia de Hadoop HBase

Agregue una lista de vigilancia con Hadoop HBase como origen.
Procedimiento
1
después, haga clic en Listas de vigilancia.
2 En la ficha Principal del asistente Agregar lista de vigilancia, seleccione Dinámica, introduzca la información
solicitada y, a continuación, haga clic en la ficha Origen.

7
Uso de los eventos
3 Seleccione Hadoop HBase (REST) en el campo Tipos y, a continuación, escriba el nombre de host, el
puerto y el nombre de la tabla.
4 En la ficha Consulta, rellene la columna de búsqueda y la información sobre la consulta:

a La Columna de búsqueda debe tener el formato FamiliaColumna:NombreColumna.
b Rellene la consulta mediante un filtro de analizador con los valores codificados mediante
Base64. Por ejemplo:
<Scanner batch="1024">
<filter>
{
"type": "SingleColumnValueFilter",
"op": "EQUAL",
"family": " ZW1wbG95ZWVJbmZv",
"qualifier": "dXNlcm5hbWU=",
"latestVersion": true,
"comparator": {
"type": "BinaryComparator",
"value": "c2NhcGVnb2F0"
}
}
</filter>
</Scanner>
5 Haga clic en la ficha Valores, seleccione el tipo de valor y haga clic en el botón Ejecutar ahora.
Véase también
Creación de una lista de vigilancia de fuentes de amenazas o IOC de Internet en la página 455
Normalización de cadenas
Recurra a la normalización de cadenas para configurar un valor de cadena que se pueda asociar con
valores de alias, así como para importar o exportar un archivo .csv de valores de normalización de
cadenas.
Esto permite filtrar la cadena y sus aliases mediante la selección del icono de normalización de
cadenas situado junto al campo apropiado del panel Filtro. En el caso de la cadena de nombre de
usuario Juan Doblas, se define un archivo de normalización de cadena donde la cadena principal es
Juan Doblas y sus alias son, por ejemplo, DoblasJuan, JDoblas, juan.doblas@gmail.com y JuanD. A
continuación, se puede introducir Juan Doblas en el campo de filtro User_Nickname, seleccionar el icono
de filtro de normalización situado junto al campo y actualizar la consulta. En la vista resultante se
muestran todos los eventos asociados con Juan Doblas y sus alias, lo cual permite comprobar la
existencia de incoherencias de inicio de sesión en las direcciones IP coincidan pero los nombres no.
Esta función también puede ayudarle a cumplir las normativas que requieren informar de la actividad
de usuarios con privilegios.
Véase también
Administración de archivos de normalización de cadenas en la página 456
Creación de un archivo de normalización de cadenas que importar en la página 458
Administración de archivos de normalización de cadenas

Antes de usar un archivo de normalización de cadenas, es necesario agregarlo al ESM.

7
Uso de los eventos
Procedimiento
1
En el panel Filtros, haga clic en el icono Iniciar administrador de normalización de cadenas .
2 Lleve a cabo cualquiera de las acciones disponibles y, después, haga clic en Cerrar.
Véase también
Normalización de cadenas en la página 456
Creación de un archivo de normalización de cadenas que importar en la página 458
Página Normalización de cadenas en la página 457
Página Agregar alias en la página 457
Página Normalización de cadenas

Permite configurar un valor de cadena que se puede asociar con valores de alias, así como importar o
exportar un archivo .csv de valores de normalización de cadenas.
Opción Definición
Agregar Permite agregar una cadena normalizada.
Editar Cambiar la cadena normalizada seleccionada.
Quitar Eliminar la cadena normalizada seleccionada.
Importar Importar un archivo .csv de alias a la lista de normalización de cadenas (véase Creación de
un archivo de normalización de cadenas que importar).
Exportar Permite exportar los elementos seleccionados en la lista de normalización de cadenas. Este
archivo no incluye comandos. Si desea importar este archivo, deberá agregar un comando a
cada alias del archivo.
Véase también
Página Agregar alias

Permite agregar los alias de las cadenas normalizadas.
Opción Definición
Cadena principal Escriba el valor principal, como por ejemplo Juan Doblas.
Alias Escriba la lista de alias del valor principal. En el caso de Juan Doblas, podría agregar lo
siguiente:
• JuanDoblas
• Doblas,Juan
• juandoblas@gmail.com
Buscar Permite realizar una búsqueda de alias en la base de datos de ESM.
Véase también

7
Uso de los eventos
Creación de un archivo de normalización de cadenas que importar

Si crea un archivo .csv de alias, es posible importarlo en la página Normalización de cadenas para poder
utilizarlo como filtro.
Procedimiento
1 En un programa de procesamiento de texto o de hoja de cálculo, escriba los alias con el formato
siguiente:
comando, cadena principal, alias
Los comandos posibles son agregar, modificar y eliminar.
2 Guárdelo como archivo .CSV y, después, importe este archivo.
Véase también
Normalización de cadenas en la página 456

Los campos de tipos personalizados se pueden usar como filtros para vistas e informes, así como para
crear reglas personalizadas, lo cual permite definir datos relevantes en su caso y, después, acceder a
ellos.
Los datos generados por estos campos de tipos personalizados se pueden ver en la sección Detalles de
las vistas Análisis de eventos o Análisis de flujos.
Es posible agregar, editar o eliminar tipos personalizados, así como exportarlos e importarlos. Use la
página Editar para cambiar el nombre. Si se trata de un tipo de datos personalizados, también puede
cambiar la configuración de subtipo.
Exportación o importación de tipos personalizados

Al exportar los tipos personalizados, se exportan todos a la ubicación seleccionada. Al importar un
archivo de tipos personalizados, los datos importados reemplazan los tipos personalizados existentes
en el sistema.
Consultas personalizadas
A la hora de configurar una consulta personalizada para una vista, los tipos personalizados
predefinidos aparecen a modo de opciones cuando se seleccionan los campos para la consulta. Si
agrega un tipo personalizado como campo en la consulta, actuará a modo de filtro. Si la información
consultada no tiene datos para ese tipo personalizado, la tabla de consultas no muestra resultado
alguno. Para evitar que esto ocurra, seleccione el campo de usuario (campos personalizados del 1 al
10 en la columna Campo de evento de la tabla) que devuelva los resultados necesarios en lugar del tipo
personalizado.
Por ejemplo, supongamos que desea que los resultados de la consulta incluyan los datos del usuario
de origen, en caso de existir. Si selecciona Usuario de origen como campo de consulta, actuará como un
filtro y, si la información consultada no incluye datos sobre el usuario de origen, la consulta no
devolverá ningún resultado. Sin embargo, si selecciona el campo de usuario 7, designado como campo
de usuario para el usuario de origen, no actuará a modo de filtro y aparecerá como una columna en la

7
Uso de los eventos
tabla de resultados. Si existen datos sobre el usuario de origen, aparecerán en esta columna. En caso
de no existir datos para este campo, la columna correspondiente al campo de usuario 7 estará vacía,
pero otras columnas mostrarán datos.
Tipo de datos personalizados

Cuando se selecciona Personalizado en el campo Tipo de datos, es posible definir el significado de cada
campo en un registro de varios campos.
Por ejemplo, un registro (100300.351) contiene tres campos (100, 300.35 y 1). El subtipo
personalizado permite especificar de qué tipo es cada uno de los campos (entero, decimal o
booleano). Por ejemplo:
• Registro inicial: 100300.351
• Tres subtipos: Integer|decimal|boolean
• Subtipo personalizado: 100|300.35|1
Los subtipos pueden incluir un máximo de ocho bytes (64 bits) de datos. Uso de espacio muestra el
número de bytes y bits utilizados. Cuando se supera el máximo, este campo indica mediante texto de
color rojo que el espacio se ha superado; por ejemplo: Uso de espacio: 9 de 8 bytes, 72 de 64
bits.
Tipo personalizado de nombre/valor

Si selecciona el tipo de datos Grupo de nombre/valor, podrá agregar un tipo personalizado que incluya un
grupo de pares de nombre/valor especificado. A continuación, se pueden filtrar las vistas y las
consultas por estos pares, así como utilizarlos en alarmas de coincidencia de campo.
A continuación se indican algunas de las características de esta función:

• Los campos de grupo de nombre/valor se deben filtrar mediante una expresión regular.
• Los pares se pueden correlacionar para permitir su selección en el Editor de reglas de correlación.
• La parte del par correspondiente al valor solo se puede recopilar mediante el Analizador de syslog
avanzado (ASP).
• El tamaño máximo de este tipo personalizado es de 512 caracteres, incluidos los nombres. Si
supera este tamaño, los valores se truncan cuando se recopilan. McAfee recomienda limitar el
tamaño y el número de nombres.
• Los nombres deben constar de más de dos caracteres.
• El tipo personalizado de nombre/valor puede tener hasta cincuenta nombres.
• Cada nombre del grupo de nombre/valor aparece en el filtro global como <nombre del grupo> -
<nombre>.
Formato de expresión regular para tipos personalizados no indizados

Aplique este formato para los tipos personalizados de cadena indizada y no indizada, cadena aleatoria
y cadena con hash:
• Puede utilizar la sintaxis contains(<expresión regular>) o simplemente escribir un valor en los
campos de cadena aleatoria no indizada o cadena con hash y después filtrar los tipos
personalizados.
• Es posible emplear la sintaxis regex().

7
Uso de los eventos
• Con contains(), si coloca un filtro separado por comas en un campo de tipo personalizado no
indizado (Tomás,Juan,Salvador), el sistema lleva a cabo una expresión regular. La coma y el
asterisco actúan como una barra (|) y un punto seguido por un asterisco (.*) en un campo de
cadena con hash, cadena aleatoria no indizada o contains. Si escribe un carácter como un asterisco
(*), se sustituye por un punto seguido por el asterisco (.*).
• Una expresión regular no válida o un paréntesis de apertura o cierre ausente pueden provocar un
error que indica que la expresión regular no es válida.
• Solo se puede usar un regex() o contains() en los campos de filtrado de tipo personalizado de
las cadenas con hash y las cadenas aleatorias indizadas o no indizadas.
• El campo de ID de firma ahora acepta contains(<en una parte o todo un mensaje de regla>)
y regex(<en una parte de un mensaje de regla>).
• Un filtro de búsqueda común para contains es un único valor, no un valor con .* antes y después.
Estos son algunos filtros de búsqueda habituales:

• Un valor único
• Varios valores separados por comas que se convierten en una expresión regular
• Una sentencia contains con un * que actúa como .*
• Expresiones regulares avanzadas donde se emplea la sintaxis regex()
Véase Descripción de los filtros contains y regex.
Véase también
Tipos personalizados de nombre/valor en la página 462
Creación de tipos personalizados en la página 460
Adición de tipos personalizados de tiempo en la página 461
Adición de un tipo personalizado de grupo de nombre/valor en la página 462
Tabla de tipos personalizados predefinidos en la página 461
Creación de tipos personalizados

Es posible agregar tipos personalizados para usarlos como filtros si se dispone de privilegios de
administrador.
Procedimiento
1 En el árbol de navegación del sistema, seleccione Propiedades del sistema y haga clic en Tipos
personalizados.
3 Haga clic en Aceptar para guardar el tipo personalizado.
Véase también
Filtros de tipos personalizados en la página 458
Página Tipos personalizados en la página 461

7
Uso de los eventos
Página Tipos personalizados

Permite administrar los tipos personalizados del sistema.
Opción Definición
Agregar Permite crear una definición para los datos personalizados.
Editar Permite cambiar la configuración de un tipo personalizado previamente creado. No es
posible editar un tipo personalizado predefinido.
Exportar Exportar un archivo con todos los tipos personalizados del sistema.
Importar Importar un archivo de tipos personalizados para reemplazar la lista existente en el
sistema.
Quitar Eliminar un tipo personalizado previamente creado.
Véase también
Tabla de tipos personalizados predefinidos

Si dispone de privilegios de administrador, puede ver una lista de los tipos personalizados predefinidos
en la tabla de tipos personalizados (Propiedades del sistema | Tipos personalizados).
Si no dispone de privilegios de administrador, consulte la lista de tipos personalizados predefinidos en

el Centro de conocimiento de Intel.
Véase también
Adición de tipos personalizados de tiempo

Es posible agregar tipos personalizados que permiten almacenar datos temporales.
Tiempo - Precisión de segundos almacena datos temporales con una precisión de segundos. Tiempo - Precisión de
nanosegundos almacena datos temporales con una precisión de nanosegundos. Incluye un número de
coma flotante con nueve valores de precisión que representan los nanosegundos.
Si selecciona Índice al agregar este tipo personalizado, el campo aparece a modo de filtro en las
consultas, las vistas y los filtros. No aparece en los componentes de distribución y no está disponible en
el enriquecimiento de datos, las listas de vigilancia ni las alarmas.
Procedimiento
1
a continuación, haga clic en Tipos personalizados | Agregar.
2 En el campo Tipo de datos, haga clic en Tiempo - Precisión de segundos o en Tiempo - Precisión de nanosegundos,
rellene la información restante y haga clic en Aceptar.

7
Uso de los eventos
Véase también
Tipos personalizados de nombre/valor

El tipo personalizado de nombre/valor consta de un grupo de pares de nombre/valor que se especifica.
Es posible filtrar las vistas y las consultas por estos pares, así como utilizarlos en alarmas de
Coincidencia de evento interno.
A continuación se indican algunas de las características de esta función:
• Los campos de grupo de nombre/valor se deben filtrar mediante una expresión regular.
• Se pueden correlacionar para permitir su selección en el Editor de reglas de correlación.
• La parte del par correspondiente al valor solo se puede recopilar mediante ASP.
• El tamaño máximo de este tipo personalizado es de 512 caracteres, lo cual incluye los nombres.
Durante la recopilación, se truncan los caracteres a partir del 512. McAfee recomienda limitar el
tamaño y el número de nombres.
• Los nombres deben constar de más de dos caracteres.
• El tipo personalizado de nombre/valor puede tener hasta cincuenta nombres.
• Cada nombre del grupo de nombre/valor aparece en el filtro global como <nombre del grupo> -
<nombre>.
Véase también
Adición de un tipo personalizado de grupo de nombre/valor

Si agrega un grupo de pares de nombre/valor, puede filtrar las vistas y las consultas con respecto a
ellos y utilizarlos en las alarmas de tipo Coincidencia de evento interno.
Procedimiento
1
2 Haga clic en Tipos personalizados y, después, en Agregar.
3 En el campo Tipo de datos, haga clic en Grupo de nombre/valor, rellene la información restante y haga clic
en Aceptar.

7
Uso de los eventos
®
Véase también

®
McAfee Active Response ofrece visibilidad y datos continuos sobre sus endpoints para que pueda
identificar las infracciones a medida que se producen. Ayuda a los profesionales de seguridad a
consultar la postura de seguridad actual, mejorar la detección de amenazas y realizar análisis
detallados e investigaciones forenses.
Si Active Response se instala como una extensión en un dispositivo McAfee ePO que se ha agregado al
ESM, es posible realizar una búsqueda en Active Response desde el ESM. La búsqueda genera una
lista de datos de los endpoints presentes que permite hacer lo siguiente:
• ver la lista de resultados de la búsqueda;
• crear una lista de vigilancia con los resultados de la búsqueda;
• anexar los datos de la búsqueda de Active Response a una lista de vigilancia existente;
• agregar un origen de enriquecimiento de datos con los datos de la búsqueda;
• exportar los datos de la búsqueda.
Las búsquedas se envían mediante DXL, así que debe estar activado en la página Conectar de las
propiedades de McAfee ePO (véase Ejecución de una búsqueda de Active Response.
Recuerde esto cuando utilice Active Response en el ESM:
• DXL no es compatible con los receptores de disponibilidad alta.
• Las fechas de una búsqueda tienen el formato 2015-11-05T23:10:14.263Z y no se convierten al

formato de fecha del ESM.
• Cuando se anexan datos a una lista de vigilancia, los datos no se validan, lo que implica que se
podrían agregar datos a una lista de vigilancia que no coincidan con su tipo.
Véase también
Ejecución de una búsqueda de Active Response en la página 463
Administración de los resultados de las búsquedas de Active Response en la página 464
Adición de una lista de vigilancia de Active Response en la página 466
Ejecución de una búsqueda de Active Response

Es posible realizar una búsqueda de Active Response desde el ESM. La búsqueda genera una lista de
datos de los endpoints presentes que cumple los criterios de búsqueda.
Antes de empezar
Agregue un dispositivo McAfee ePO con Active Response al ESM.

7
Uso de los eventos
®
Procedimiento
1 Asegúrese de que el dispositivo McAfee ePO esté configurado para la búsqueda.
a En la consola de ESM, haga clic en Propiedades de McAfee ePO y, después, en Conexión.
b Compruebe que la opción Activar DXL esté seleccionada y que se haya especificado un Puerto de
activación del agente (el predeterminado es el 8081).
2 En la consola de ESM, seleccione una vista con un componente de Tabla, como, por ejemplo, Análisis
de eventos.
3
Haga clic en un evento y, después, haga clic en el icono Menú en el componente.
4 Seleccione Acciones | Ejecutar búsqueda de Active Response y, a continuación, seleccione un tipo de

búsqueda predefinida.
Información de archivo Muestra los detalles de archivo correspondientes a la

completa de un nombre, MD5 o dirección IP de origen y destino, tales como el SO y el
SHA-1 nombre.
Búsqueda de detalles de usuario Muestra los detalles sobre el usuario.
Información de proceso de Muestra los detalles de proceso de la dirección IP de origen

dirección IP de origen y hora para la que se estableció la conexión.
Información de proceso de Muestra los detalles de proceso de la dirección IP de destino

dirección IP de destino y hora para la que se estableció la conexión.
CurrentFlow para dirección IP Muestra a cualquiera que esté conectado a la misma

dirección IP de origen o destino.
Los tipos de búsqueda aparecen atenuados si la tabla no contiene los campos apropiados para la
búsqueda.
Los datos se recuperan y se muestran en la página Detalles de Active Response.
Véase también
Búsquedas de McAfee® Active Response en la página 463
Administración de los resultados de las búsquedas de Active

Response
Tras llevar a cabo una búsqueda de Active Response, existen acciones disponibles a fin de administrar
los datos generados.
Antes de empezar
Debe estar visualizando los resultados de una búsqueda de Active Response (véase
Ejecución de una búsqueda de Active Response).

7
Uso de los eventos
®
Procedimiento
1 En la página Detalles de Active Response (véase Ejecución de una búsqueda de Active Response),
seleccione una fila de la tabla y haga clic en el icono Menú .
2 Seleccione una de las opciones.
• Crear nueva lista de vigilancia desde: crea una lista de vigilancia a partir de la columna seleccionada en
la lista desplegable.
Es posible seleccionar más de una fila de la tabla.
• Anexar a lista de vigilancia desde: anexa a una lista de vigilancia existente los valores a partir de la
columna seleccionada.
Es posible seleccionar más de una fila de la tabla. No se lleva a cabo validación alguna en los
datos seleccionados en esta tabla.
• Exportar: exportar la tabla actual a un archivo CSV.
• Búsqueda de Active Response: realizar otra búsqueda de Active Response en los datos de la fila
seleccionada. Si se devuelven resultados, los resultados nuevos sustituyen el conjunto de datos
existente.
Véase también
Página Detalles de Active Response en la página 465
Página Detalles de Active Response

La página Detalles de Active Response muestra los resultados de una búsqueda de Active Response.

Opción Acción Definición
Tabla Muestra los resultados de la búsqueda de Active Response (véase
Ejecución de una búsqueda de Active Response).
Icono Menú Crear nueva lista de Crea una nueva lista de vigilancia estática con los valores de la
vigilancia desde columna seleccionada (véase Administración de los resultados de las
búsquedas de Active Response). Es posible seleccionar varias filas.
Anexar a lista de Anexa los valores de la columna seleccionada a la lista de vigilancia
vigilancia desde existente seleccionada (véase Administración de los resultados de las
búsquedas de Active Response). Es posible seleccionar varias filas.
No se lleva a cabo validación alguna en los datos seleccionados a

partir de esta tabla.
Exportar Permite exportar los datos a un archivo .csv.

Búsqueda de Active Se lleva a cabo otra búsqueda de Active Response en la fila
Response seleccionada de la tabla. Si se devuelven resultados, los datos nuevos
sustituyen los datos presentes.

7
Uso de los eventos
®
Véase también
Adición de un origen de enriquecimiento de datos de Active

Response
Si se instala Active Response en un dispositivo McAfee ePO agregado al ESM, es posible agregar un
origen de enriquecimiento de datos con los resultados de búsqueda de Active Response.
Antes de empezar
Agregue un dispositivo McAfee ePO con una extensión de Active Response al ESM.
Procedimiento
3 Rellene la información solicitada en la ficha Principal.
4 En la ficha Origen, seleccione Active Response en el campo Tipo y rellene la información solicitada.
5 Rellene la información en las fichas restantes y, después, haga clic en Finalizar.
El origen se agregará y los datos especificados se enriquecerán con los datos de Active Response.
El tipo Active Response no aparecerá si el ESM no puede extraer los recopiladores de Active Response
mediante DXL.
Adición de una lista de vigilancia de Active Response

Si se instala Active Response en un dispositivo McAfee ePO agregado al ESM, es posible configurar una
lista de vigilancia dinámica con los resultados de búsqueda de Active Response.
Antes de empezar
Agregue un dispositivo McAfee ePO con una extensión de Active Response al ESM.
Procedimiento
2 Haga clic en Listas de vigilancia y, después, en Agregar.
3 Rellene la ficha Principal y seleccione Dinámica.
4 En la ficha Origen, seleccione Active Response en el campo Tipo y rellene la información solicitada.
5 Rellene la información en las fichas restantes y, después, haga clic en Finalizar.

7
Uso de los eventos
La lista de vigilancia se agregará y recopilará los datos especificados de las búsquedas de Active
Response.
El tipo Active Response no aparecerá si el ESM no puede extraer los recopiladores de Active Response
mediante DXL.
Véase también

Es posible ver la hora exacta a la que se insertó un evento en la base de datos del receptor.
Antes de empezar
Debe contar con los siguientes permisos:
• Ver datos para obtener eventos y ver la hora del evento.
• Administración de vistas para crear una vista.
• Administración de eventos para cambiar los eventos.
Procedimiento
1 En la consola de ESM, agregue una vista de tabla de eventos que incluya el campo Hora de dispositivo.
a
En la barra de herramientas del panel de visualización, haga clic en el icono Crear vista nueva .
b En la Barra de herramientas de edición de vistas, haga clic en el componente Tabla y arrástrelo.
c En el Asistente de consultas, haga clic en Siguiente y, después, en Campos.
d Haga clic en Hora de dispositivo en la lista de la izquierda y muévalo a la lista de la derecha.
e En la página Campos, haga clic en Aceptar y, después, en Finalizar.
f En la Barra de herramientas de edición de vistas, haga clic en Guardar como, escriba el nombre de la vista y
g Cierre la Barra de herramientas de edición de vistas.
La vista se agregará a la lista desplegable de vistas.
2 Visualice la Hora de dispositivo de una de las formas siguientes.
Si envía un evento a Remedy (véase Envío de un mensaje de correo electrónico a Remedy), la hora
del dispositivo correspondiente al evento se perderá.
• Visualice la columna Hora de dispositivo en la tabla de eventos de la vista que ha agregado.
• Haga clic en el icono Ver detalles de datos en la barra de herramientas situada en la parte inferior
de la tabla, haga clic en la ficha Detalles avanzados y, después, visualice el campo Hora de dispositivo.

7
Uso de los eventos

8 Administración de casos
Use el administrador de casos de ESM para asignar y rastrear elementos de trabajo y fichas de soporte
asociados con eventos de red. Para acceder a esta función, debe formar parte de un grupo que tenga
el privilegio Usuario administrador de casos activado.
Hay cinco maneras de agregar un caso:
• En la vista Administración de casos
• En el panel Casos, sin vinculación con ningún evento
• En la vista Análisis de eventos, con vinculación a un evento
• Al configurar una alarma
• En una notificación de una alarma activada
Contenido
Adición de un caso
Creación de un caso a partir de un evento
Adición de eventos a un caso existente
Edición o cierre de un caso
Visualización de detalles de casos
Adición de niveles de estado de casos
Envío de casos por correo electrónico
Visualización de todos los casos
Generación de informes de administración de casos
Adición de un caso
El primer paso para rastrear una tarea generada como resultado de un evento de red es agregar un
caso al sistema de administración de casos.
Procedimiento
1 En el panel Casos , haga clic en el icono Agregar caso .
El caso se agregará al panel Casos del usuario al que esté asignado. Si ha seleccionado Enviar caso por
correo electrónico, también se enviará un mensaje (véase Envío de casos por correo electrónico).

8
Administración de casos
Véase también
Creación de un caso a partir de un evento en la página 470
Adición de eventos a un caso existente en la página 470
Edición o cierre de un caso en la página 472
Visualización de detalles de casos en la página 473
Adición de niveles de estado de casos en la página 475
Envío de casos por correo electrónico en la página 476
Visualización de todos los casos en la página 476
Generación de informes de administración de casos en la página 477

Para rastrear un evento en la vista Análisis de eventos, cree un caso. Esto permite rastrear el flujo de
trabajo.
Procedimiento
1 En la lista de vistas, seleccione Vistas de eventos | Análisis de eventos.
2
Haga clic en el evento, haga clic en el icono de menú y, después, en Acciones | Crear un nuevo
caso.
3 Complete la información solicitada y, a continuación, haga clic en Aceptar para guardar el caso.
El nuevo caso incluye los datos de evento en la tabla Mensaje.
Véase también
Adición de un caso en la página 469

Es posible agregar uno o varios eventos a un caso existente a fin de rastrear las acciones realizadas
como respuesta a esos eventos.

8
Procedimiento
1 En el panel de vistas, seleccione Vistas de evento en la lista desplegable de vistas y, a continuación,

haga clic en Análisis de eventos.
2 Seleccione los eventos y, después, realice una de las siguientes acciones:

•
Haga clic en el icono Asignar eventos a un caso o Remedy y seleccione Agregar eventos a un caso.
•
Haga clic en el icono Menú , resalte Acciones y haga clic en Agregar eventos a un caso.
3 Seleccione el caso y haga clic en Agregar.
La página Detalles del caso muestra el ID de evento en la tabla Mensajes.
4 Haga clic en Aceptar y, a continuación, en Cerrar.
Véase también
Página Administración de casos en la página 471
Página Configuración de administración de casos en la página 472
Página Administración de casos

Si tiene privilegios de Administrador de administración de casos, podrá ver y administrar cualquiera de los
casos del sistema, tanto abiertos como cerrados.

Opción Definición
ID de caso Si desea localizar un caso específico, escriba el ID de caso y haga clic
en Buscar.
• Para ver los detalles del caso, haga doble clic en él.
• Para volver a la lista de todos los casos, borre el campo ID de caso y
haga clic en Buscar.
Localizar casos que cumplen los criterios establecidos.

Icono Filtros
Haga clic para agregar un caso nuevo.
Icono Agregar caso
Editar el caso seleccionado.
Icono Editar caso
Enviar un mensaje de correo Seleccione esta opción si desea que se envíe un mensaje de correo
electrónico cuando se asigne un caso electrónico cuando se agregue o se reasigne un caso.
Véase también

8
Página Configuración de administración de casos

Permite realizar cambios en la configuración global de los casos.

Opción Definición
Enviar un mensaje de correo Seleccione esta opción si desea que el sistema envíe de forma automática
electrónico cuando se asigne un un mensaje de correo electrónico a la persona a la que se le asigna un
caso caso en cuanto se produzca la asignación.
Agregar o Editar Haga clic para agregar o cambiar los estados disponibles para un caso.
Puede convertir este estado en el estado predeterminado, así como
indicar si desea que el caso seleccionado aparezca en el panel de casos.
Eliminar Haga clic en esta opción para eliminar el estado resaltado.
Predeterminado Haga clic en un estado y seleccione esta opción para convertir el estado
resaltado en el predeterminado para todos los casos.
Véase también

Si dispone de privilegios de Administrador de administración de casos, puede modificar cualquier caso del
sistema. Si cuenta con privilegios de Usuario administrador de casos, solamente puede modificar los casos
que tenga asignados.
Procedimiento
1 Acceda a Detalles del caso de una de las formas siguientes.

Un caso que tiene 1 Seleccione el caso en el panel Casos.
asignado
2 Haga clic en el icono Editar caso .
Un caso que no 1 Haga clic en el icono Abrir ventana de administración de casos en el panel
tiene asignado
Casos.
2 Seleccione el caso que desea modificar.
3
Haga clic en el icono Editar caso , situado en la parte inferior de la vista.
2 Edite la configuración o cierre el caso en el campo Estado.
Los cambios se registrarán en la sección Notas de la página Detalles del caso. Si cierra el caso, ya no
aparecerá en el panel Casos, pero se conservará en la lista de Administración de casos con el estado Cerrado.

8
Véase también

Si dispone de derechos de Administrador en el ESM, puede ver todos los casos del ESM y realizar
acciones al respecto. Todos los usuarios de un grupo pueden ver cualquier caso perteneciente al
grupo.
Procedimiento
1 En el panel Casos, haga clic en el icono Abrir ventana de administración de casos .
Se abrirá la vista Administración de casos con todos los casos del sistema.
2 Revise los datos de las fichas Notas y Eventos de origen.
3 Para obtener más detalles, haga doble clic en el caso y revise la información en la página Detalles del
caso.
Véase también
Página Detalles del caso en la página 473
Página Configuración de administración de casos en la página 472
Página Detalles del caso

Permite agregar un caso nuevo o ver los detalles de un caso existente.

Opción Definición
Resumen Un breve resumen descriptivo del caso. Aparece en el panel Casos. Escriba un
máximo de 255 caracteres.
ID de caso Un número exclusivo generado por el sistema que se asigna al caso una vez que se
ha agregado. Este número no se puede modificar.

8

Opción Definición
Usuario asignado Los usuarios o grupos a los que se asigna el caso. Muestra todos los usuarios y
grupos de usuarios con privilegios de administración de casos (véase Configuración
de grupos de usuarios).
Seleccione el usuario o grupo en la lista desplegable.
tomar Haga clic en esta opción para reasignarse el caso a sí mismo.

Gravedad La gravedad del caso.
Del 1 al 20 = Verde
Del 21 al 40 = Azul
Del 41 al 60 = Amarillo
Del 61 al 80 = Marrón
Del 81 al 100 = Rojo
Seleccione el nivel de gravedad de este caso.
Organización La organización a la que está asignado el caso. Se trata de un campo opcional.

Para agregar una organización, haga clic en Organización y, después, haga clic en
Agregar.
Estado El estado actual del caso. El administrador de casos ofrece dos estados: Abierto y
Cerrado. Está establecido en Abierto de forma predeterminada. Para agregar más
estados a los que asignar los casos, haga clic en Estado, después en Agregar y, por
último, introduzca la información solicitada.
Fecha de creación La fecha de creación del caso.

Última actualización La última vez que se modificó el caso.
Notas Registra las acciones realizadas y los cambios efectuados en un caso, así como
cualquier nota agregada. Las acciones y los cambios siguientes se registrarán en
esta sección de forma automática una vez agregado el caso:
• Apertura del caso • Cambio de gravedad
• Cierre del caso • Cambio de organización
• Cambios en el resumen • Cambios en eventos
• Reasignación del caso
La nota incluirá el tipo de acción realizada o cambio efectuado, la fecha y la hora, y

el nombre del usuario. En el caso de los cambios, también se mostrarán el valor
anterior y el nuevo, por ejemplo:
---- Gravedad cambiada el 22-04-2009 a las 09:39
antes: Baja
ahora: Alta
Historial Incluye los usuarios que han accedido al caso.

Tabla Mensaje Incluye los eventos asociados con el caso. Para ver los detalles de un evento, haga
clic en él en la tabla y, después, en Mostrar detalles.
Enviar caso por Permite enviar el caso por correo electrónico a la dirección especificada.
correo electrónico
Véase también

8
Página Configuración de administración de casos

Permite realizar cambios en la configuración global de los casos.

Opción Definición
Enviar un mensaje de correo Seleccione esta opción si desea que el sistema envíe de forma automática
electrónico cuando se asigne un un mensaje de correo electrónico a la persona a la que se le asigna un
caso caso en cuanto se produzca la asignación.
Agregar o Editar Haga clic para agregar o cambiar los estados disponibles para un caso.
Puede convertir este estado en el estado predeterminado, así como
indicar si desea que el caso seleccionado aparezca en el panel de casos.
Eliminar Haga clic en esta opción para eliminar el estado resaltado.
Predeterminado Haga clic en un estado y seleccione esta opción para convertir el estado
resaltado en el predeterminado para todos los casos.
Véase también

El administrador de casos ofrece dos niveles de estado: Abierto y Cerrado. Es posible agregar otros
estados a los que asignar los casos.
Procedimiento
2 En la vista Administración de casos, haga clic en el icono Configuración de administración de casos en la

barra de herramientas de la parte inferior y, después, haga clic en Agregar.
3 Escriba un nombre para el estado e indique si desea que sea el estado predeterminado de los casos
nuevos.
4 Indique si desea que los casos con este estado aparezcan en el panel Casos y haga clic en Aceptar.
Véase también

8

Es posible configurar el sistema para que envíe de forma automática un mensaje de correo electrónico
a la persona o el grupo a los que está asignado un caso cada vez que se agregue o se reasigne un
caso.
Antes de empezar
Es necesario disponer de privilegios de Administrador de administración de casos.
También se puede enviar por correo electrónico una notificación de caso manualmente, así como
incluir notas sobre el caso y detalles del evento.

Enviar por correo 1 En el panel Casos, haga clic en el icono Abrir ventana de administración de casos
electrónico un caso
automáticamente .
2 Haga clic en el icono Configuración de administración de casos .
3 Seleccione Enviar un mensaje de correo electrónico cuando se asigne un caso y haga clic
en Cerrar.
Las direcciones de correo electrónico de los usuarios deben encontrarse en

el ESM (véase Configuración de usuarios).
Enviar un caso 1 En el panel Casos, seleccione el caso que desee enviar por correo
existente por correo
electrónico electrónico y haga clic en el icono Editar caso .
manualmente
2 En Detalles del caso, haga clic en Enviar caso por correo electrónico y rellene los
campos Desde y Hasta.
3 Indique si desea incluir las notas y adjuntar un archivo CSV con los
detalles de evento.
4 Escriba las notas que desee incluir en el mensaje de correo electrónico y
haga clic en Enviar.
Véase también
Visualización de todos los casos

Si tiene privilegios de tipo Administrativo en el ESM, podrá administrar todos los casos del sistema, tanto
abiertos como cerrados.
Los privilegios de Administrador de administración de casos permiten crear estados y organizaciones, así como
establecer la funcionalidad automática de correo electrónico.

8
Procedimiento

Agregar un caso
Haga clic en el icono Agregar caso , situado en la barra de
herramientas de la parte inferior de la vista.
Ver o editar el caso
Haga clic en el icono Editar caso , situado en la barra de
seleccionado
Enviar el caso Haga clic en el icono Enviar caso por correo electrónico , situado en la
seleccionado por correo barra de herramientas de la parte inferior de la vista.
electrónico
Configurar un caso para Haga clic en el icono Configuración de administración de casos , situado en
que se envíe un mensaje la barra de herramientas de la parte inferior de la vista.
de correo electrónico
cuando se agregue o
cambie
Agregar o editar los Haga clic en el icono Configuración de administración de casos y, después,
estados disponibles para en Agregar, Editar o Eliminar.
los casos
Ver las notas, el historial y Haga clic en Notas, Historial o Eventos de origen. Al hacer clic en Eventos de
los eventos de origen del origen, se abren las fichas de detalles de Eventos de origen. Si las fichas
caso seleccionado no están visibles o lo están pero desea ocultarlas, haga clic en el
icono Ver detalles de evento de origen , situado en la barra de
La ficha Historial registra todas las ocasiones en que un usuario
visualiza un caso. Si el mismo usuario visualiza un caso más de una
vez en cinco minutos, el registro no se actualiza en cada ocasión.
Cambiar las columnas de Haga clic en la ficha Eventos de origen y, después, haga clic en Editar
Eventos de origen columnas visibles en la ficha Eventos de origen.
Filtrar los casos En el panel Filtros, seleccione o escriba los datos por los que desee
filtrar los casos y haga clic en el icono Ejecutar consulta . La lista de

casos cambiará para mostrar únicamente los que cumplan los
criterios de filtrado.
Véase también

Existen seis informes de administración de casos disponibles en el ESM.

8
Procedimiento
1 En la página Propiedades del sistema, haga clic en Informes | Agregar.
2 Rellene las secciones 1, 2 y 3.
3 En la sección 4, seleccione Consulta en CSV.
4 En la sección 5, seleccione el informe de administración de casos que desee ejecutar.

• Resumen de administración de casos: incluye los números de ID de los casos, la gravedad que tienen
asignada, su estado, los usuarios a los que están asignados, las organizaciones a las que están
asignados (si procede), la fecha y la hora de adición de los casos, la fecha y la hora de
actualización de los casos (si procede) y los resúmenes de los casos.
• Detalles de administración de casos: incluye toda la información del informe Resumen de administración de
casos, además de los números de ID de los eventos vinculados a los casos y la información
contenida en las secciones de notas de los casos.
• Tiempo de resolución de caso: muestra el tiempo transcurrido entre cambios de estado (por ejemplo,
la diferencia entre la marca de tiempo de Abierto y de Cerrado). De forma predeterminada, se
muestran los casos con el estado Cerrado por número de ID de caso, además de la gravedad, la
organización, la Fecha de creación, la última actualización, el resumen y la diferencia de tiempo.
• Casos por usuario asignado: incluye el número de casos asignados a un usuario o grupo.
• Casos por organización: incluye el número de casos por organización.
• Casos por estado: incluye el número de casos por tipo de estado.
5 Complete la sección 6 (véase Descripción de los filtros contains y regex) y haga clic en Guardar.
El informe se guardará y se agregará a la lista de Informes.
Véase también

9 Uso de Asset Manager
Asset Manager proporciona una ubicación centralizada para descubrir, crear manualmente e importar
activos.
En la ficha Activo, es posible crear un grupo con uno o varios activos. Cabe la posibilidad de llevar a
cabo las siguientes operaciones en el grupo al completo:
• Cambiar los atributos de todos los activos del grupo.
Este cambio no es persistente. Si se agrega un activo a un grupo modificado, no heredará

automáticamente la configuración anterior.
• Realizar operaciones de arrastrar y colocar.
• Cambiar el nombre de un grupo si es necesario.
Los grupos de activos permiten categorizar los activos de formas que no son posibles mediante el
etiquetado. Por ejemplo, supongamos que desea crear un grupo de activos por cada edificio de las
instalaciones. El activo consta de una dirección IP y un conjunto de etiquetas. Las etiquetas describen
el sistema operativo que ejecuta el activo y un conjunto de servicios de los que es responsable el
activo.
Existen dos formas de definir las etiquetas de un activo: lo hace el sistema cuando se recupera un
activo o lo hace el usuario cuando agrega o edita un activo. Si el sistema define las etiquetas, se
actualizan cada vez que se recupera el activo, en caso de haber cambiado. Si las define el usuario, el
sistema no actualiza las etiquetas cuando se recupera el activo, incluso aunque hayan cambiado. Si
agrega o edita las etiquetas de un activo pero desea que el sistema las actualice cuando se recupere
el activo, haga clic en Restablecer. Es necesario realizar esta acción cada vez que se realicen cambios en
la configuración de las etiquetas.
La administración de la configuración forma parte de las normativas de conformidad estándar, tales

como PCI, HIPPA y SOX. Permite supervisar cualquier cambio realizado en la configuración de los
enrutadores y conmutadores, evitando así las vulnerabilidades del sistema. En el ESM, la función de
administración de configuraciones permite hacer lo siguiente:
• Establecer la frecuencia con la que deben sondearse los dispositivos.
• Seleccionar los dispositivos descubiertos en los que comprobar la configuración.
• Identificar un archivo de configuración recuperado como predeterminado para el dispositivo.
• Ver los datos de configuración, descargar los datos a un archivo y comparar la información de
configuración de ambos dispositivos.
Contenido
Administración de activos
Establecimiento de la administración de configuración
Descubrimiento de la red
Orígenes de activos
Administración de orígenes de evaluación de vulnerabilidades

9
Uso de Asset Manager
Administración de zonas
Evaluación de activos, amenazas y riesgo
Administración de amenazas conocidas
Un activo es cualquier dispositivo de la red que disponga de una dirección IP.
En la ficha Activo de Asset Manager es posible crear activos, modificar sus etiquetas, crear grupos de
activos, agregar orígenes de activos y asignar un activo a un grupo de activos. Los activos
descubiertos mediante alguno de los proveedores de evaluación de vulnerabilidades también se
pueden manipular.
Procedimiento
1
Haga clic en el icono de inicio rápido de Asset Manager .
2 Asegúrese de que esté seleccionada la ficha Activo.
3 Administre los activos según proceda y, después, haga clic en Aceptar.
Procedimientos
• Definición de activos antiguos en la página 483
El grupo Activos antiguos del Administrador de activos permite almacenar activos que no se han
detectado en el periodo de tiempo definido.
Véase también
Administración de orígenes de activos en la página 492
Administración de orígenes de evaluación de vulnerabilidades en la página 493
Administración de amenazas conocidas en la página 501
Definición de activos antiguos en la página 483
Ficha Activo en la página 480
Página Nuevo activo en la página 481
Página Opciones avanzadas en la página 482
Página Agregar grupo de filtrado en la página 482
Ficha Activo
Permite crear y administrar los activos del sistema.
Opción Definición
Ver los activos con formato de árbol.
Ver activos en árbol
Ver lista plana de activos Ver los activos en una lista plana ordenable.
ordenable
Nuevo | Grupo Haga clic en esta opción para agregar un grupo de activos. Escriba un
nombre para el grupo y seleccione su criticidad.
Nuevo | Activo Haga clic en esta opción para agregar un activo.

9

Opción Definición
Nuevo | Agregar grupo de Haga clic en esta opción para agregar un grupo de filtrado de activos. Esta
filtrado opción solo resulta accesible si se trata del primer elemento que se agrega
al árbol de activos, o bien si se resalta un grupo existente.
Archivo | Importar desde Haga clic en esta opción para importar un archivo .csv a la ubicación
archivo seleccionada en la lista de activos.
El formato de los datos de activos en el archivo .csv debe ser el siguiente:
Hostname, IPAddress, Mask, ZoneName, UsrSeverity,
UseCalcSeverity, TagCount, TagGroupName:TagName
Agregue TagGroupName:TagName por cada etiqueta que tenga (TagCount).
Cada activo debe encontrarse en su propia línea.
Archivo | Exportar a archivo Haga clic en esta opción para exportar los archivos de activos
seleccionados.
Editar | Modificar Haga clic en esta opción para cambiar el activo o el grupo de activos
seleccionados.
Editar | Usar en cálculo de Seleccione un activo y haga clic en una de estas opciones para seleccionar
riesgoo Ignorar en cálculo de los activos que se emplearán en el cálculo del riesgo global para la
riesgo empresa. Usar en cálculo de riesgo es la configuración predeterminada.
Editar | Eliminar Haga clic en esta opción para eliminar el grupo o el activo seleccionados. Si
selecciona un grupo, se le preguntará si desea eliminar el grupo y los
activos contenidos en él o únicamente el grupo. Si elige solo el grupo, los
activos se reasignarán a la carpeta Sin asignar.
Herramientas | Crear servidor Seleccione un activo y agréguelo como servidor de base de datos a un
de base de datos de DEM dispositivo DEM del sistema.
Herramientas | Crear origen de Seleccione un activo y agréguelo como origen de datos a un receptor del
datos de receptor sistema.
Etiquetando Agregue etiquetas al activo seleccionado para definir sus atributos y que
actúen como filtros.
Véase también
Administración de activos en la página 480
Página Nuevo activo

Permite agregar un activo nuevo al ESM.

Opción Definición
Nombre Introduzca un nombre para el activo.
Dirección IP Escriba la dirección IP del activo.
Dirección MAC (Opcional) Escriba la dirección MAC del activo.
GUID (Opcional) Escriba el identificador único global de este activo.
Sistema operativo (Opcional) Seleccione el sistema operativo del activo.
Zona Seleccione una zona para este activo.
Si hay una zona asignada a un activo o grupo de activos, los usuarios sin
permiso para esa zona no tendrán acceso a los activos.
Criticidad Seleccione la criticidad del activo para la empresa: 1 = criticidad más baja,
100 = criticidad más alta. La criticidad y la gravedad de una amenaza se
emplean para calcular la gravedad global del evento para la empresa.

9

Opción Definición
Tabla de etiquetas Seleccione las etiquetas para este activo.
Nueva categoría de etiqueta Agrega una categoría nueva a la lista de etiquetas. Escriba un nombre para la
categoría e indique si desea que se use esta categoría en el cálculo de
gravedad de los eventos.
Permite agregar una nueva etiqueta. Escriba un nombre para la etiqueta e
Nueva etiqueta indique si desea que se use esta etiqueta en el cálculo de gravedad de los
eventos.
Seleccione una etiqueta o categoría que desee editar y haga clic en este
Editar etiqueta icono.
Seleccione una etiqueta o categoría personalizadas que desee eliminar y haga
Quitar etiqueta
clic en este icono.
Véase también
Página Opciones avanzadas

Cada activo debe tener un nivel de criticidad que indique la criticidad del activo para la empresa. La
criticidad del activo o el grupo de activos y la gravedad de la amenaza se emplean para calcular la
gravedad global del evento.
Opción Definición
Usar la criticidad de este Seleccione esta opción si desea que la criticidad asignada al activo se utilice
activo siempre para calcular la gravedad del evento.
Usar la criticidad global Seleccione esta opción si desea que siempre se use el valor de criticidad más
calculada alto al calcular la gravedad del evento.
Si selecciona esta opción y cambia la tasa en el campo Criticidad, se activarán

los botones Calcular y Grupos.
Calcular Haga clic en este botón para calcular la gravedad total, la cual se agrega al
campo Calcular.
Grupos Permite ver una lista de los grupos a los que pertenece este activo y la
criticidad de cada uno.
Restablecer Hace que el sistema establezca automáticamente las etiquetas del activo.
Véase también
Página Agregar grupo de filtrado

Es posible agregar un grupo de filtrado de activos, que es un grupo de activos cuyos miembros están
determinados por criterios de filtrado definidos por el usuario.
Opción Definición
Nombre Escriba un nombre para el grupo de filtrado de activos.
Dirección/máscara IP Introduzca la dirección IP y la máscara del grupo.

9

Opción Definición
Zona Si desea asignar este grupo a una zona, selecciónela. Si la zona que desea no
aparece, haga clic en Zona y agréguela.
Criticidad Seleccione el nivel de criticidad de este grupo. Esto determina la criticidad que
tiene el activo en su caso.
Lista de etiquetas Seleccione las etiquetas que se apliquen como filtros a este grupo. Es posible
definir un grupo de filtrado en función de la existencia de una o varias
etiquetas de activos. Las etiquetas establecidas no definen el conjunto
exclusivo de etiquetas que un activo debe tener. El activo puede tener otras
etiquetas y seguir siendo miembro del grupo de filtrado.
Nueva categoría de Permite agregar una categoría a la lista de etiquetas. Escriba un nombre para
la categoría e indique si desea que se use esta categoría en el cálculo de
etiqueta gravedad de los eventos.
Permite agregar una etiqueta. Escriba un nombre para la etiqueta e indique si
Nueva etiqueta desea que se use esta etiqueta en el cálculo de gravedad de los eventos.
Seleccione una etiqueta o categoría que desee editar y haga clic en este icono.
Editar etiqueta
Seleccione una etiqueta o categoría personalizadas que desee eliminar y haga
Quitar etiqueta
clic en este icono.
Véase también
Definición de activos antiguos

El grupo Activos antiguos del Administrador de activos permite almacenar activos que no se han detectado en
el periodo de tiempo definido.
Procedimiento
1
Haga clic en el icono de inicio rápido de Asset Manager .
2 En la ficha Activo, haga doble clic en el grupo Activos antiguos de la lista de activos.
3 Seleccione el número de días desde la última detección de un activo antes de que deba moverse a
la carpeta Activos antiguos y, después, haga clic en Aceptar.
Véase también

La administración de configuración permite recuperar los archivos de configuración de los dispositivos
que se han descubierto correctamente mediante el perfil de la interfaz de línea de comandos (CLI).
Cuando termina el proceso de descubrimiento de red, es necesario establecer la administración de
configuración.

9
Procedimiento
1
Haga clic en el icono de inicio rápido de Asset Manager y seleccione la ficha Administración de
configuración.
2 Lleve a cabo cualquiera de las acciones disponibles y, después, haga clic en Aceptar.
Procedimientos
• Administración de archivos de configuración recuperados en la página 485
Hay varias cosas que se pueden hacer para administrar los archivos que se recuperan
cuando se comprueba la configuración de los enrutadores y los conmutadores.
Véase también
Administración de archivos de configuración recuperados en la página 485
Ficha Administración de configuración en la página 484
Ficha Administración de configuración

Permite supervisar la configuración de los dispositivos descubiertos en la red.

Opción Definición
Activar administración de la Seleccione esta opción para activar la supervisión.
configuración
Agrupar los dispositivos Seleccionar la frecuencia y la hora a fin de configurar una planificación
regular para sondear los dispositivos.
Columna Dispositivo Seleccionar los dispositivos que se sondearán.
Comprobar ahora Permite comprobar los dispositivos de forma inmediata.
Archivos de configuración Ver los archivos de configuración recuperados.
recuperados
Marcar como predeterminado Marcar el archivo seleccionado como predeterminado. El ESM compara
todos los archivos de configuración futuros para este dispositivo con el
predeterminado y muestra una notificación si existen cambios, de forma
que pueda realizar una acción para asegurarse de que el cambio no
afecte a la seguridad del sistema.
Descargar Descargar el archivo seleccionado.
Ver Ver los datos recuperados.
Comparar Comparar el archivo predeterminado con otro archivo a fin de revisar los
cambios. El Visor de comparación de archivos mostrará una comparación de
ambos archivos.
Véase también
Establecimiento de la administración de configuración en la página 483

9
Administración de archivos de configuración recuperados

Hay varias cosas que se pueden hacer para administrar los archivos que se recuperan cuando se
comprueba la configuración de los enrutadores y los conmutadores.
Antes de empezar
Recupere los archivos de configuración (véase Establecimiento de la administración de
configuración).
Procedimiento
1
Haga clic en el icono de inicio rápido de Asset Manager y seleccione la ficha Administración de
configuración.
2 Lleve a cabo cualquiera de las acciones disponibles en la sección Archivos de configuración recuperados de
la página.
Véase también
El Descubrimiento de la red muestra las ubicaciones físicas donde se producen los eventos en la red, lo cual
aumenta la capacidad de rastrear los eventos.
El Descubrimiento de la red es para usuarios avanzados con un conocimiento amplio de la red, y requiere la
asignación de privilegios. Es necesario disponer de privilegios activados para crear y ver el
Descubrimiento de la red, así como para modificar la configuración de conmutación en Control de puertos de red.
El Descubrimiento de la red a través de SNMPv3, Telnet o SSH no es conforme a FIPS. Si está obligado a
cumplir las normativas de FIPS, no utilice estas funciones.
Véase también
Administración de la lista de exclusiones de IP en la página 489
Descubrimiento de endpoints en la página 490
Visualización de un mapa de la red en la página 490
Descubrimiento de red
El primer paso para crear un mapa de la red es su descubrimiento. Es necesario establecer los
parámetros antes de iniciar el análisis.
Procedimiento
1
Haga clic en el icono de inicio rápido de Asset Manager y seleccione la ficha Descubrimiento de la red.
2 Haga clic en Configuración y, después, en Agregar en la página Configurar opciones de red a fin de agregar
los parámetros para el descubrimiento.

9
3 Indique la configuración de Parámetros de descubrimiento de red.
4 Haga clic en Aceptar. Los parámetros definidos se agregarán a la lista Configurar opciones de red.
5 Lleve a cabo otras acciones según proceda.
6 Haga clic en Descubrir red a fin de iniciar el análisis. Si es necesario detener el descubrimiento, haga
clic en Detener descubrimiento.
La sección Dispositivo de red de la página se rellenará con los datos del análisis.
Véase también
Descubrimiento de la red en la página 485
Ficha Descubrimiento de red en la página 486
Página Red local en la página 322
Página Registro de red en la página 487
Página Configurar opciones de red en la página 488
Página Parámetros de descubrimiento de red en la página 488
Ficha Descubrimiento de red

Permite ver los resultados del descubrimiento de red y definir diversas opciones de configuración
relacionadas.

Opción Definición
Dispositivos de red Ver los resultados del último análisis de dispositivos de la red. Si desea ver
detalles sobre el número de dispositivos, las direcciones IP desconocidas o los
dispositivos sin conexión, haga clic en cualquiera de ellos.
Dispositivos endpoint Ver los resultados del último análisis de endpoints. Si desea ver detalles sobre el
número de endpoints, los endpoints con varias conexiones o los puertos con
varios endpoints, haga clic en cualquiera de ellos.
Configuración Establecer los parámetros correspondientes al descubrimiento de red, alterar la
configuración predeterminada y seleccionar si llevar a cabo o no el
descubrimiento de BD de reenvío.
Red local Defina los detalles de su red local. Admite un máximo de 2000 caracteres. Si su
red local es más larga, puede consolidar varias subredes en una red local más
corta gracias a la notación CIDR.
Lista de exclusiones de Agregar direcciones IP para excluirlas del análisis de descubrimiento de red.
IP
Descubrir red Permite iniciar el análisis de descubrimiento de red. Esta opción no se activa
hasta después de agregar los parámetros de análisis.
Detener descubrimiento Una vez iniciado el análisis, es posible hacer clic en esta opción para detenerlo.
Descubrir endpoints Haga clic en esta opción para iniciar un análisis de descubrimiento de endpoints
inmediatamente. Si desea configurar el descubrimiento automático, seleccione
Descubrir automáticamente cada y después indique la frecuencia.

9

Opción Definición
Mapa de red Haga clic en esta opción para ver una representación gráfica de la red, mover
dispositivos o agregar conexiones de dispositivos.
Registro de red Ver los eventos de control de puertos que se han producido. Muestra la hora en
que se produjeron, el nombre de usuario, el nombre del dispositivo, el puerto
donde tuvo lugar el evento, la configuración, los valores antiguos y nuevos, y si
el evento ha sido correcto o no.
Supervisar los Permite configurar el sistema para que supervise el estado activo/inactivo de los
dispositivos de red dispositivos de la red.
• Seleccione el método que se debe emplear para supervisar el estado; para
ello, haga clic en Usar PING, en Usar SNMP o en ambas opciones.
• Si desea comprobar el estado a intervalos regulares, seleccione la frecuencia
en el campo Intervalo.
• Si desea comprobar el estado inmediatamente, haga clic en Comprobar ahora.
Véase también
Página Red local

Permite establecer los detalles de la red local.
Opción Definición
Campo Red local Introduzca una lista de las direcciones IP o subredes incluidas en la red local,
separadas por comas. Este campo admite un máximo de 2000 caracteres. Si su red
local es más larga, puede consolidar varias subredes en una red local más corta
gracias a la notación CIDR.
Véase también
Página Registro de red

Permite ver los eventos de control de puertos.
Opción Definición
Purgar registro Haga clic en esta opción para borrar el registro.
Revertir Haga clic en esta opción si desea revertir los eventos correctos.
Véase también

9
Página Configurar opciones de red

Permite configurar los parámetros para un nuevo descubrimiento de red.
Opción Definición
Tabla Ver los parámetros que ya se han definido.
Agregar Agregar parámetros para el descubrimiento de red.
Editar Editar los parámetros seleccionados.
Quitar Eliminar los parámetros seleccionados.
Avanzadas Cambiar la configuración predeterminada de descubrimiento de red.
Realizar descubrimiento de BD de Seleccione esta opción si desea realizar el descubrimiento de BD de
reenvío reenvío.
Prioridad de sobrescritura en Seleccione la prioridad que desee que tenga el descubrimiento de red en
descubrimiento de activos caso de que descubra un activo al mismo tiempo que la evaluación de
vulnerabilidades o los orígenes de activos.
Si dos orígenes de descubrimiento tienen la misma prioridad, el que

descubra el activo en último lugar tendrá prioridad sobre el primero.
Véase también
Página Parámetros de descubrimiento de red

Permite establecer los parámetros de descubrimiento de red.

Opción Definición
Tipo de descubrimiento Seleccione el tipo de descubrimiento. Dispone de estas opciones:
• Host: requiere una única dirección IP.
• Intervalo: requiere un intervalo de direcciones IP (inicio y fin).
• Subred: requiere una dirección IP de inicio y una máscara.
Dirección IP Escriba la dirección IP adecuada para el tipo de descubrimiento seleccionado.

Perfil de solo lectura de Seleccione un perfil de solo lectura de SNMP, un perfil de lectura/escritura de
SNMP, Perfil de lectura/ SNMP y un perfil de interfaz de línea de comandos (CLI). Únicamente es
escritura de SNMP, Perfil de obligatorio el perfil de solo lectura de SNMP.
CLI
Es posible crear un perfil de solo lectura de SNMP, de lectura y escritura de
SNMP o de CLI mediante los vínculos. Esto le llevará a la página Administración
de perfiles, donde podrá agregar un perfil nuevo (véase Configuración de
perfiles).
Métodos de descubrimiento Seleccione uno o varios métodos de descubrimiento.

• CDP: protocolo de descubrimiento de Cisco (Cisco Discovery Protocol)
• LLDP: protocolo de descubrimiento de nivel de vínculo (Link Layer
Discovery Protocol)
• FDP: protocolo de descubrimiento de Foundry (Foundry Discovery Protocol)
• STP: protocolo de árbol de expansión (Spanning Tree Protocol)

9

Opción Definición
Ping antes Indique si desea hacer ping en las direcciones IP de este parámetro de
descubrimiento antes de intentar comunicarse con SNMP.
Reintentos SNMP Establezca el número de veces que desea que el sistema vuelva a intentar la
comunicación con SNMP.
Tiempo de espera SNMP Establezca el número de segundos que se debe esperar antes de la solicitud
SNMP.
Véase también
Administración de la lista de exclusiones de IP

Es posible agregar direcciones IP a la Lista de exclusiones de IP a fin de excluirlas de la búsqueda de
descubrimiento de red.
Procedimiento
1 Haga clic en el icono de inicio rápido de Asset Manager y seleccione la ficha Descubrimiento de la red.
2 Haga clic en Lista de exclusiones de IP.
3 Agregue una nueva dirección, o bien edite o quite una existente.
Véase también
Página Lista de exclusiones de direcciones IP en la página 489
Página Lista de exclusiones de direcciones IP

Permite administrar las direcciones IP que se desea excluir del análisis de descubrimiento de red.
Opción Definición
Tabla Ver las direcciones IP ya agregadas a la lista de exclusión.
Agregar Agregar una dirección IP nueva a la lista. En el campo Tipo de exclusión, seleccione una de
estas opciones:
• Host: requiere una única dirección IP.
• Intervalo: requiere un intervalo de direcciones IP (inicio y fin).
• Subred: requiere una dirección IP de inicio y una subred, que se debe introducir con el
formato de IP.
Editar Cambiar la configuración del elemento seleccionado.

Quitar Eliminar el elemento seleccionado.
Véase también

9
Descubrimiento de endpoints
A la hora de configurar la red, agregar direcciones IP a la lista de exclusiones y descubrir la red, es
necesario descubrir los endpoints conectados a los dispositivos.
Procedimiento
1
Haga clic en el icono de inicio rápido de Asset Manager y seleccione la ficha Descubrimiento de la red.
2 Haga clic en Descubrir endpoints a fin de iniciar el análisis inmediatamente.
Los resultados y el estado del análisis se indicarán en la sección Dispositivos endpoint de la página.
3 Para planificar el descubrimiento automático de endpoints, seleccione Descubrir automáticamente cada y

seleccione la frecuencia.
Véase también
Visualización de un mapa de la red

Existe la posibilidad de generar una representación gráfica de la red que permita mover los
dispositivos a cualquier posición.
Procedimiento
1
Haga clic en el icono de inicio rápido de Asset Manager y, después, en la ficha Descubrimiento de la
red.
2 Haga clic en Mapa de red.
Se abrirá la representación gráfica de la red.
3 Mueva los dispositivos o pase el ratón sobre un dispositivo a fin de ver sus propiedades.
Véase también
Cambio del comportamiento de Descubrimiento de red

Existe la posibilidad de cambiar la configuración predeterminada de ping, número de estaciones finales
y dispositivos simultáneos de Descubrimiento de red.

9
Procedimiento
1
En la consola de ESM, haga clic en el icono de inicio rápido de Administrador de activos .
2 Haga clic en la ficha Descubrimiento de red, haga clic en Configuración y por último, en Opciones avanzadas.
3 Realice cambios en la configuración según proceda y, después, haga clic en Aceptar.
Véase también
Página Opciones de descubrimiento de red avanzadas en la página 491
Página Opciones de descubrimiento de red avanzadas

Permite cambiar la configuración predeterminada de descubrimiento de red.

Opción Definición
Tiempo de espera de ping Seleccione el número de segundos que se debe esperar una respuesta de
ping durante el descubrimiento de red.
Intervalo de barrido de ping en Seleccione el número de segundos que se debe esperar hasta realizar un
segundos barrido de ping en la misma subred durante un descubrimiento de
endpoints o un descubrimiento de red basado en una base de datos de
reenvío.
Máx. de subredes en las que Seleccione la subred CIDR más grande para realizar un barrido de ping
hacer ping durante un descubrimiento de endpoints o un descubrimiento de red basado
en una base de datos de reenvío.
Número mínimo de estaciones Seleccione el número de estaciones finales que deben encontrarse en un
finales puerto de dispositivo de red antes de crear un dispositivo no gestionado y
conectarlo al dispositivo de red durante un descubrimiento de red basado en
una base de datos de reenvío.
Dispositivos simultáneos Seleccione el número de dispositivos de red simultáneos en los que operar
durante un descubrimiento de red o de endpoints.
Restablecer Permite restaurar los valores predeterminados de configuración.
Véase también
Cambio del comportamiento de Descubrimiento de red en la página 490
Es posible recuperar datos de Active Directory o, en caso de existir, de un servidor Altiris a través de
Orígenes de activos.
Active Directory permite filtrar los datos de eventos mediante la selección de los usuarios o grupos
recuperados en los campos de filtrado de consultas de vista Usuario de origen o Usuario de destino. Esto
aumenta la capacidad de proporcionar datos sobre conformidad a fin de satisfacer requisitos como los
de PCI. Altiris y Active Directory recuperan activos, tales como equipos con direcciones IP, y los agregan a
la tabla de activos.
Con el fin de recuperar activos en Altiris, es necesario disponer de privilegios para Asset Manager en la
consola de administración de Altiris.

9
Active Directory no suele almacenar información sobre direcciones IP. El sistema emplea DNS para
consultar la dirección una vez que obtiene el nombre de Active Directory. Si no puede encontrar la
dirección del equipo, no se agrega a la tabla Activos. Por este motivo, el servidor DNS del sistema debe
contener la información de DNS correspondiente a los equipos de Active Directory.
Es posible agregar direcciones IP a Active Directory. Si lo hace, modifique el atributo networkAddress de

los objetos de su equipo de forma que el sistema utilice esas direcciones IP en lugar de realizar una
consulta DNS.
Véase también
Administración de orígenes de activos

Es posible recuperar datos de Active Directory o un servidor Altiris.
Procedimiento
1
Haga clic en el icono de inicio rápido de Asset Manager y, después, en la ficha Orígenes de activos.
El árbol de Orígenes de activos mostrará el ESM y los receptores del sistema, así como sus orígenes de
activos actuales.
Un ESM puede tener un origen de datos, mientras que los receptores pueden tener varios.
2 Seleccione un dispositivo y, después, seleccione alguna de las acciones disponibles.
Véase también
Orígenes de activos en la página 491
Ficha Orígenes de activos en la página 492
Página Origen de datos de activos en la página 493
Escritura de los cambios en los dispositivos en la página 493
Ficha Orígenes de activos

Permite administrar las conexiones con las bases de datos que contienen información de activos.

Opción Definición
Tabla Ver el ESM y los receptores del sistema, así como sus orígenes de activos actuales.
Agregar Agregar un nuevo origen de activos al ESM o a uno de los receptores.
Editar Cambiar el origen de activos seleccionado.
Quitar Eliminar el origen de activos seleccionado.
Recuperar Recuperar datos inmediatamente.
Escribir Utilice esta opción cuando cambie cualquier configuración del origen de activos a fin de
escribir los cambios en los en dispositivos.

9
Véase también
Página Origen de datos de activos

Permite agregar un origen de activos al ESM o a un receptor.
Opción Definición
Activado Seleccione esta opción si desea activar la recuperación automática. Si no la
selecciona, podrá recuperar los datos manualmente haciendo clic en Recuperar
en la página Orígenes de activos. Si la selecciona, los datos se recuperarán según
el intervalo de tiempo especificado en el campo Recuperar datos.
Tipo Seleccione esta opción si se trata de un origen de activos de Active Directory o
Altiris.
Nombre Introduzca un nombre para el origen de activos.
Zona Si desea asignar un origen de datos a una zona, selecciónela.
Prioridad Seleccione la prioridad que desee que tenga este origen de activos si descubre
un activo al mismo tiempo que Evaluación de vulnerabilidades o Descubrimiento de red.
Dirección IP Escriba la dirección IP de este origen de activos.
Puerto Seleccione el puerto de este origen de activos.
Usar TLS o Usar SSL Seleccione estas opciones si desea emplear un protocolo de cifrado para los
datos. Active Directory emplea TLS, mientras que Altiris usa SSL.
Nombre de usuario Escriba el nombre de usuario necesario para acceder al origen de activos.
Contraseña Escriba la contraseña necesaria para acceder al origen de activos.
Base de búsqueda En el caso de Active Directory, escriba el nombre distintivo del objeto donde
desee que empiece la búsqueda de activos (dc=mcafee,dc=com).
Información de proxy En el caso de Altiris, escriba la dirección IP, el puerto de escucha, el nombre
del usuario de proxy y la contraseña del servidor proxy.
Recuperar datos Si desea que los datos se recuperen automáticamente, seleccione la
frecuencia.
Conectar Haga clic para probar la conexión con el servidor de Altiris.
Véase también
Escritura de los cambios en los dispositivos

Cuando se escriben los cambios en un dispositivo, es posible ver el estado de este proceso.
Opción Definición
Dispositivo Enumera los dispositivos en los que se están aplicando los cambios.
Estado Muestra el estado del proceso en cada dispositivo.
Véase también

Es posible recuperar datos de una serie de proveedores de evaluación de vulnerabilidades mediante el
uso de Evaluación de vulnerabilidades. Para comunicarse con los orígenes de evaluación de vulnerabilidades

9
deseados, debe agregarlos al sistema. Una vez agregado un origen al sistema, es posible recuperar los
datos de evaluación de vulnerabilidades.
Procedimiento
1
Haga clic en el icono de inicio rápido de Asset Manager y, después, en Evaluación de vulnerabilidades.
2 Agregue, edite, quite o recupere orígenes de evaluación de vulnerabilidades y, después, escríbalos

en el dispositivo.
Véase también
Página Quitando orígenes de evaluación de vulnerabilidades en la página 494
Página Quitando orígenes de evaluación de vulnerabilidades

Cuando se elimina un origen de evaluación de vulnerabilidades, es posible ver el estado del proceso.
Opción Definición
Dispositivo Indica los dispositivos que se eliminarán.
Estado Muestra el estado del proceso en cada uno de los dispositivos que se eliminarán.
Véase también
Es posible utilizar zonas para categorizar los dispositivos y los orígenes de datos de la red.
Esto permite organizar los dispositivos y los eventos que estos generan en grupos basados en la
ubicación geográfica y la dirección IP. Por ejemplo, si dispone de oficinas en Madrid y Barcelona y
desea que los eventos generados por cada oficina se agrupen juntos, puede agregar dos zonas y
asignar los dispositivos cuyos eventos deban agruparse juntos a cada una de ellas. A fin de agrupar
los eventos de cada oficina según las direcciones IP específicas, puede agregar subzonas a cada una
de las zonas.
Véase también
Administración de las zonas en la página 495
Adición de una zona en la página 496
Exportación de la configuración de zonas en la página 497
Importación de la configuración de zonas en la página 497
Adición de una subzona en la página 499

9
Administración de las zonas

Las zonas ayudan a categorizar los dispositivos y los orígenes de datos según la geolocalización o el
ASN. Es necesario agregar zonas, ya sea individualmente o mediante la importación de un archivo
exportado de otro equipo, y asignar los dispositivos o los orígenes de datos a las zonas.
Procedimiento
1
Haga clic en el icono de inicio rápido de Asset Manager y, después, en Administración de zonas.
2 Agregue una zona o subzona, edite o quite las zonas existentes, o bien importe o exporte la
configuración de zonas.
3 Despliegue los cambios realizados y, después, haga clic en Aceptar
Véase también
Administración de zonas en la página 494
Ficha Administración de zonas o página Administrador de directivas de zona en la página 495
Página Desplegar para la configuración de zonas en la página 496
Ficha Administración de zonas o página Administrador de directivas de

zona
Permite administrar las zonas de manera que se puedan categorizar los dispositivos y los orígenes de
datos.
Opción Definición
Agregar zona Permite agregar una zona nueva al ESM.
Agregar subzona Agregar una subzona a la zona seleccionada para dividirla por direcciones IP.
Editar Cambiar la configuración de la zona o la subzona seleccionadas.
Quitar Eliminar la zona o subzona seleccionadas.
Importar Importar un archivo de definición de zonas o un archivo de asignación de dispositivos
a zonas exportado de otro ESM.
Exportar Exportar la configuración de zonas del ESM.
Desplegar Desplegar los cambios realizados en el ESM.
Véase también

9
Página Desplegar para la configuración de zonas

Permite desplegar los cambios realizados en la configuración de zonas.
Opción Definición
Seleccionar columna Seleccione los dispositivos en los que desee desplegar los cambios.
Columna Dispositivo Ver los dispositivos del sistema.
Columna Estado Permite ver el estado del despliegue en cada dispositivo.
Véase también
Adición de una zona

El primer paso para la administración de zonas es agregar las zonas empleadas para categorizar los
dispositivos y los orígenes de datos. Se pueden agregar individualmente mediante la función Agregar
zona, o bien se puede importar un archivo exportado de otro sistema. Cuando se agrega una zona, es
posible editar su configuración en caso de ser necesario.
Procedimiento
1
Haga clic en el icono de inicio rápido de Asset Manager y, después, en Administración de zonas.
2 Introduzca la información solicitada y asigne dispositivos a la zona; después, haga clic en Aceptar.
Véase también
Página Agregar zona en la página 496
Página Agregar zona

Permite agregar una zona al ESM a fin de categorizar los dispositivos o los orígenes de datos.
Opción Definición
Nombre Escriba un nombre para esta zona.
Usar como asignación de zona Seleccione esta opción si desea que esta asignación de zona sea la
predeterminada predeterminada para los eventos generados por los dispositivos asignados a
esta zona que no pertenecen a ninguna de sus subzonas.
Geolocalización Si desea usar la geolocalización para definir los límites de esta zona, haga
clic en el icono Filtro y, después, seleccione la ubicación que desee incluir en
esta zona.
ASN Para definir los límites de esta zona mediante el ASN, que identifica de
forma exclusiva cada red de Internet, introduzca los números en este
campo.
Dispositivos asignados Seleccione los dispositivos que desee asignar a esta zona.
Véase también

9
Exportación de la configuración de zonas

Es posible exportar la configuración de zonas del ESM para poder importarla a otro ESM.
Procedimiento
1
Haga clic en el icono de Asset Manager y, después, en Administración de zonas.
2 Haga clic en Exportar y seleccione el tipo de archivo que desee exportar.
3 Haga clic en Aceptar y seleccione el archivo que descargar inmediatamente.
Véase también
Página Exportar en la página 497
Página Exportar
Permite exportar la configuración de zonas del ESM a un archivo que, posteriormente, se puede
importar a otro ESM.

Opción Definición
Archivo de definición de exportación de zona Exportar un archivo que incluye las zonas principales y las
subzonas, así como todos los detalles acerca de su
configuración.
Archivo de asignación de exportación de Permite exportar un archivo que incluye los dispositivos y la
dispositivo a zona zona a la que están asignados.
Véase también
Importación de la configuración de zonas

La función de importación permite importar un archivo de zonas tal cual está o editar los datos antes
de su importación.
Antes de empezar
Exporte un archivo de configuración de zonas de otro ESM para poder importarlo a su ESM.

9
Procedimiento
1 Abra el archivo de configuración de zonas que desee importar.

• Si se trata de un archivo de importación de definición de zonas, tendrá ocho columnas:
Comando, Nombre de zona, Nombre de principal, Geolocalización, ASN, Predeterminado, Inicio
de IP y Fin de IP.
• Si es un archivo de importación de asignación de dispositivos a zonas, tendrá tres columnas:

Comando, Nombre de dispositivo y Nombre de zona.
2 Introduzca comandos en la columna Comando para especificar la acción que debe realizarse por cada
línea cuando se importe.
• add (agregar): importar los datos de la línea tal cual están.
• edit (editar): importar los datos con los cambios que se realicen en ellos (solo disponible para
el archivo de definición de zonas).
Para realizar cambios en un intervalo de subzonas, es necesario eliminar el intervalo existente y,

después, agregar el intervalo con los cambios. No es posible la edición directa.
• remove (quitar): eliminar la zona que coincide con esta línea del ESM.
3 Guarde los cambios realizados y cierre el archivo.
4
Haga clic en el icono de inicio rápido de Asset Manager y, después, en la ficha Administración de
zonas.
5 Haga clic en Importar y seleccione el tipo de importación.
6 Haga clic en Aceptar, localice el archivo que se debe importar y haga clic en Cargar.
El sistema le notificará si se detectan errores en el archivo.
7 En caso de existir errores, realice las correcciones necesarias en el archivo y vuelva a intentarlo.
8 Despliegue los cambios a fin de actualizar los dispositivos.
Véase también
Página Importar en la página 499

9
Página Importar
Permite seleccionar el tipo de archivo de zonas que importar.

Opción Definición
Archivo de definición de Importar un archivo que incluye las zonas principales y las subzonas,
importación de zona así como todos los detalles acerca de su configuración.
Para realizar cambios en un intervalo de subzonas, es necesario

eliminar el intervalo existente y, después, agregar el intervalo con los
cambios. No es posible la edición directa.
Archivo de asignación de Importar un archivo que incluye los dispositivos y la zona a la que
importación de dispositivo a zona están asignados.
Véase también
Adición de una subzona

Una vez agregada una zona, es posible agregar subzonas a fin de categorizar aún más los dispositivos
y eventos según la dirección IP.
Antes de empezar
Agregue zonas en la ficha Administración de zonas.
Procedimiento
1
Haga clic en el icono de inicio rápido de Asset Manager y, después, en la ficha Administración de
zonas.
2 Seleccione una zona y haga clic en Agregar subzona.
Véase también
Página Agregar subzona en la página 499
Página Agregar intervalo en la página 500
Página Agregar subzona

Permite agregar subzonas a fin de categorizar los dispositivos de la zona según la dirección IP.
Opción Definición
Nombre Escriba un nombre para esta subzona.
Descripción Escriba una descripción para esta subzona.

9

Opción Definición
Tabla Intervalos Ver los intervalos de direcciones IP de esta subzona.
Agregar Agregar intervalos de direcciones IP, además de información sobre geolocalización o
ASN, para este intervalo.
Editar Cambiar el intervalo seleccionado.
Quitar Eliminar el intervalo seleccionado.
Véase también
Página Agregar intervalo

Permite agregar un intervalo de direcciones IP a una subzona.

Opción Definición
IP de inicio e IP final Escriba la dirección IP de inicio y fin para este intervalo.
Geolocalización Si desea que este intervalo tenga una geolocalización distinta de la
predeterminada, seleccione la geolocalización que permitirá omitir el valor
predeterminado en este campo.
ASN Si desea que este intervalo tenga un ASN distinto del predeterminado, escriba el
ASN que permitirá omitir el valor predeterminado en este campo.
Véase también

McAfee Threat Intelligence Services (MTIS) y los orígenes de evaluación de vulnerabilidades del
sistema generan una lista de amenazas conocidas. Se utilizan la gravedad de estas amenazas y la
criticidad de cada activo para calcular el nivel de riesgo que para la empresa.
Administrador de activos
Cuando se agrega un activo al Administrador de activos (véase Administración de activos), se le asigna un
nivel de criticidad. Esto determina la criticidad que tiene el activo en su caso. Por ejemplo, si tiene un
único equipo para administrar la configuración de la empresa y no cuenta con copia de seguridad, su
criticidad es alta. No obstante, si tiene dos equipos para administrar la configuración, cada uno de
ellos con una copia de seguridad, el nivel de criticidad es considerablemente menor.
Puede elegir entre usar o ignorar un activo en el cálculo del riesgo para la empresa mediante el menú
Editar de la ficha Activo.
Administración de amenazas
La ficha Administración de amenazas del Administrador de activos muestra una lista de amenazas conocidas, su
gravedad, el proveedor y si se emplean o no para el cálculo del riesgo. Es posible activar o desactivar
amenazas específicas para que se empleen o no al calcular el riesgo. También puede ver los detalles
de las amenazas en la lista. Entre estos detalles se incluyen recomendaciones para la gestión de la
amenaza, así como las contramedidas que se pueden utilizar.

9
Vistas predefinidas
Hay tres vistas predefinidas (véase Uso de las vistas de ESM) que resumen y muestran los datos sobre
activos, amenazas y riesgo.
• Resumen de amenazas de activo: muestra los activos principales por calificación de riesgo y niveles de
amenaza, y los niveles de amenaza según el riesgo.
• Resumen de amenazas recientes: muestra las amenazas recientes por proveedor, riesgo, activo y
productos de protección disponibles.
• Resumen de vulnerabilidades: muestra las vulnerabilidades por amenazas y activos.
Es posible acceder a detalles sobre los elementos individuales de estas vistas desde los menús del
componente.
Vistas personalizadas
Se han agregado opciones al Asistente de consultas para que sea posible configurar vistas personalizadas
(véase Adición de una vista personalizada) que muestren los datos necesarios.
• En los componentes Dial de control y Recuento, se pueden mostrar la calificación de riesgo empresarial
media y la calificación de riesgo empresarial total.
• En los componentes Gráfico circular, Gráfico de barras y Lista, se pueden mostrar los activos en riesgo, la
protección frente a amenazas del producto, las amenazas por activo, las amenazas por riesgo y las
amenazas por proveedor.
• En el componente Tabla, se pueden mostrar los activos, las amenazas más recientes, los activos
principales por calificación de riesgo y las amenazas principales por calificación de riesgo.

Seleccione qué amenazas conocidas se deben usar en los cálculos de riesgo.
Cada amenaza tiene una calificación de gravedad. Esta calificación y la calificación de criticidad de los
activos se emplean para calcular la gravedad global de una amenaza para su sistema.
Procedimiento
1
En la consola de ESM, haga clic en el icono de inicio rápido de Administrador de activos .
2 Haga clic en la ficha Administración de amenazas para ver la lista de amenazas conocidas.
3 Seleccione una amenaza conocida y haga una de estas cosas:

• Haga clic en Detalles de amenaza para ver los detalles sobre la amenaza.
• Si la columna Calcular riesgo tiene el valor Sí y no desea que se utilice en los cálculos de riesgo,
haga clic en Desactivar.
• Si la columna Calcular riesgo tiene el valor No y desea que se utilice en los cálculos de riesgo, haga
clic en Activar.

9
Véase también

10 Administración de directivas y reglas
Es posible crear, aplicar y ver las reglas y plantillas de directiva.
Contenido
Descripción del Editor de directivas
El Árbol de directivas
Tipos de reglas y sus propiedades
Configuración de la directiva predeterminada
Operaciones relacionadas con reglas
Asignación de etiquetas a reglas o activos
Modificación de la configuración de agregación
Omisión de la acción en las reglas descargadas
Ponderaciones de gravedad
Visualización del historial de cambios de directiva
Aplicación de cambios de directivas
Administración del tráfico prioritario

El Editor de directivas permite crear plantillas de directiva y personalizar las directivas individuales.
Las plantillas de directiva, así como la configuración de directiva de cualquier dispositivo, pueden
heredar valores de sus elementos principales. La herencia permite que la configuración de directiva
aplicada a un dispositivo presente infinidad de opciones de configuración, a la vez que se mantiene el
nivel de simplicidad y facilidad de uso. Todas las directivas agregadas, al igual que todos los
dispositivos, cuentan con una entrada en el Árbol de directivas.
En el modo FIPS, las reglas no se deben actualizar a través del servidor de reglas. En su lugar, hay que
actualizarlas manualmente (véase Comprobación de la existencia de actualizaciones de reglas).
El servidor de reglas de McAfee mantiene todas las reglas, variables y preprocesadores con usos o
valores predefinidos. La Directiva predeterminada hereda sus valores y opciones de configuración de estas
configuraciones mantenidas por McAfee, y es la predecesora del resto de directivas. De forma
predeterminada, las opciones de configuración del resto de directivas y dispositivos heredan los
valores de la Directiva predeterminada.
Para abrir el editor, haga clic en el icono del Editor de directivas o seleccione el nodo del sistema o el
dispositivo en el árbol de navegación y haga clic en el icono del Editor de directivas de la barra de
herramientas de acciones .

10
Administración de directivas y reglas
1 Barra de menús 4 Pantalla de reglas
2 Panel de ruta de navegación 5 Campo de búsqueda de etiquetas
3 Panel de tipos de reglas 6 Panel Filtros/etiquetado
Los tipos de reglas indicados en el panel Tipos de regla varían en función del tipo de dispositivo
seleccionado en el árbol de navegación del sistema. El panel de ruta de navegación muestra la
jerarquía de la directiva seleccionada. Para cambiar la directiva actual, haga clic en el nombre de la
directiva en el panel de ruta de navegación y haga clic en la flecha del panel de ruta de navegación,
que muestra los elementos secundarios de la directiva. Si lo prefiere, puede hacer clic en el icono del
Árbol de directivas . El menú del Árbol de directivas indica las cosas que se pueden hacer con una
directiva.
Al seleccionar un tipo en el panel Tipo de regla, se muestran todas las reglas de ese tipo en la sección de
visualización de reglas. Las columnas indican los parámetros de regla específicos que se pueden
ajustar para cada regla (excepto para las de tipo Variable y Preprocesador). Existe la posibilidad de
cambiar la configuración; para ello, haga clic en el valor actual y seleccione otro en la lista
desplegable.
El panel Filtros/etiquetado permite filtrar las reglas que aparecen en el Editor de directivas de forma que solo
se vean las que cumplen los criterios, o bien agregar etiquetas a las reglas para definir sus funciones.
Véase también
El Árbol de directivas en la página 505
Tipos de reglas y sus propiedades en la página 509
Administración de directivas en el Árbol de directivas en la página 505
Aplicación de cambios de directivas en la página 575

10
El Árbol de directivas enumera las directivas y los dispositivos del sistema.
El Árbol de directivas permite:

• Navegar para ver los detalles de una directiva o un dispositivo concretos
• Agregar una directiva al sistema
• Modificar el orden de las directivas o los dispositivos
• Localizar cualquier directiva o dispositivo por su nombre
• Renombrar, eliminar, copiar o copiar y reemplazar, importar o exportar una directiva
Icono Descripción
Directiva
El dispositivo no está sincronizado

El dispositivo está preparado
El dispositivo está actualizado
El dispositivo virtual no está sincronizado
El dispositivo virtual está preparado para la aplicación
El dispositivo virtual está actualizado
El origen de datos no está sincronizado
El origen de datos está preparado para la aplicación
El origen de datos está actualizado
El ADM no está sincronizado
El DEM no está sincronizado
Véase también
Descripción del Editor de directivas en la página 503
Administración de directivas en el Árbol de directivas

Es posible administrar las directivas del sistema mediante la realización de acciones en el Árbol de
directivas.
Procedimiento
1
En la consola de ESM, haga clic en el icono del Editor de directivas y, después, en el icono del Árbol
de directivas .

10

Ver las reglas de • Haga doble clic en la directiva. Las reglas se enumeran en la sección de
una directiva visualización de reglas del Editor de directivas.
Convertir una • Seleccione el elemento secundario, arrástrelo y suéltelo en el principal.

directiva en
secundaria de Solo se pueden arrastrar y soltar dispositivos en directivas.
otra
Localizar una • Escriba el nombre en el campo de búsqueda.
directiva o un
dispositivo
Agregar una 1 Seleccione la directiva a la que desee agregar la nueva directiva y haga clic
nueva directiva
en el icono Elementos de menú del árbol de directivas .
2 Haga clic en Nueva, introduzca un nombre para la directiva y haga clic en
Aceptar.
Cambiar el 1 Seleccione la directiva que desee renombrar y haga clic en el icono Elementos
nombre de una de menú del árbol de directivas.
directiva
2 Haga clic en Cambiar nombre, introduzca el nombre nuevo y haga clic en Aceptar.
Eliminar una 1 Seleccione la directiva que desee eliminar y haga clic en el icono Elementos de
directiva menú del árbol de directivas.
2 Haga clic en Eliminar y después en Aceptar en la página de confirmación.
Copiar una 1 Seleccione la directiva que desee copiar y haga clic en el icono Elementos de
directiva menú del árbol de directivas.
2 Haga clic en Copiar, introduzca un nombre para la nueva directiva y haga clic
en Aceptar.
Mover dispositivos 1 Seleccione los dispositivos que quiera mover y haga clic en el icono Elementos
a una directiva
de menú del árbol de directivas .
2 Resalte la opción Mover y seleccione la directiva a la que desee mover los
dispositivos.
Copiar y 1 Seleccione la directiva que desee copiar, haga clic en el icono Elementos de
reemplazar una menú del árbol de directivas y seleccione Copiar y reemplazar.
directiva
2 En Seleccionar directiva, seleccione la directiva que desee reemplazar.
3 Haga clic en Aceptar y, a continuación, en Sí.

La configuración de la directiva copiada se aplicará a la directiva reemplazada,
pero el nombre seguirá siendo el mismo.

10

Importar una La importación se produce desde el dispositivo seleccionado hacia abajo.
directiva
1 Seleccione en el árbol el nivel al que desee importar la nueva directiva, haga
clic en el icono Elementos de menú del árbol de directivas y seleccione Importar.
2 Busque el archivo que desee importar y cárguelo.
Si aparece un mensaje de error, véase Importar directiva para encontrar

una solución.
3 Seleccione las opciones de importación que desee usar y, a continuación,

Exportar una 1 Seleccione la directiva que desee exportar.

directiva
La exportación incluye desde el nodo seleccionado hacia arriba en la
jerarquía. Solo se exportan las reglas estándar con configuración
personalizada o las reglas personalizadas, así que es necesario seleccionar
una de estas opciones para que se active la función Exportar.
2 Haga clic en Menú y seleccione Exportar.
3 Seleccione las opciones de exportación que desee emplear, haga clic en

Aceptar y seleccione la ubicación para guardar el archivo de directiva
exportado.
3 A fin de cerrar el Árbol de directivas, haga doble clic en una directiva o un dispositivo, o bien haga clic
en el icono de cierre .
Véase también
Página Editor de directivas en la página 507
Página Importar directiva en la página 508
Página Exportar directiva en la página 509
Página Editor de directivas

Permite definir la configuración de directiva de un dispositivo.

Opción Definición
Barra de menús Pase el cursor sobre un elemento de esta barra y seleccione cualquiera de las
opciones disponibles. Las opciones varían en función del tipo de regla o la
regla seleccionada.
Barra de ruta de El icono del Árbol de directivas permite acceder a la lista de todas las directivas
navegación del ESM. La lista de la barra de ruta de navegación indica la directiva en la
que se está trabajando.
Panel Tipos de regla Haga clic en cualquiera de los tipos de reglas en este panel a fin de ver las
reglas de ese tipo en el panel de visualización de reglas.
Panel de visualización Haga clic en una regla para ver su descripción en la parte inferior del panel,
de reglas o bien lleve a cabo cualquiera de las opciones disponibles en la barra de
menús o en las columnas del panel de visualización de reglas.
Campo de búsqueda Escriba el nombre de una etiqueta que esté buscando y, después, seleccione
de etiquetas una etiqueta de la lista de posibles coincidencias.

10

Opción Definición
Panel Filtros/etiquetado En la ficha Filtro, ordene las reglas del panel de visualización de reglas por
orden alfabético o por hora, además de filtrar la lista para ver únicamente las
reglas que cumplan los criterios seleccionados. En la ficha Etiquetas, agregue
etiquetas a las reglas seleccionadas en el panel de visualización de reglas
para poder filtrar las reglas según sus etiquetas. Es posible agregar, editar y
eliminar etiquetas personalizadas y categorías de etiquetas.
Icono Crear alarma Permite agregar una alarma para recibir una notificación cuando la regla
seleccionada genere un evento.
Icono Ponderaciones de Permite establecer la gravedad de los activos, etiquetas, reglas y
gravedad vulnerabilidades de forma que se puedan utilizar a la hora de calcular la
Icono Ver historial de Ver y exportar una lista de los cambios realizados en la directiva actual.
cambios de directiva
Icono Configuración Definir la configuración para el modo de solo alertas y el modo de
sobresuscripción, actualizar las reglas mediante el servidor de McAfee y ver
el resumen del estado de actualización de los dispositivos en el árbol de
directivas.
Icono Desplegar Permite desplegar los cambios de directiva en el ESM.
Véase también
Administración de reglas en la página 558
Página Importar directiva

Permite importar una directiva exportada previamente de otro ESM y guardarla en el ESM.
Opción Definición
Sobrescribir directiva seleccionada Permite importar la configuración de directiva al elemento seleccionado
(excluido el nombre) en el árbol de directivas. Si se importan varias directivas, la primera
sobrescribe la directiva seleccionada y todas las directivas subsiguientes
se insertan como elementos secundarios del nodo actual, dejando
intacta su relación jerárquica. Esta opción no cambia el nombre de la
directiva seleccionada.
Insertar como directiva secundaria Permite importar la directiva como elemento secundario del elemento
de la directiva seleccionada seleccionado en el árbol de directivas. Si se importan varias directivas,
todas se insertan como elementos secundarios en el nodo actual,
dejando intacta su relación jerárquica.
Sobrescribir reglas existentes Permite eliminar la regla existente y sobrescribirla con la regla
perteneciente a la directiva que se importa.
Crear una regla nueva cuando Permite conservar ambas reglas gracias a la creación de un nuevo ID
exista un conflicto para la regla importada.
Omitir la regla cuando ya exista Permite conservar la regla existente y no importar la regla en conflicto.
otra regla
Importar directiva Haga clic en esta opción para iniciar la importación de la directiva.
Véase también

10
Página Exportar directiva

Permite exportar una directiva del ESM.
Opción Definición
Configuración del método Indique si desea que se incluyan las variables y las reglas personalizadas
de exportación como parte de la exportación. Debido a la posible dependencia de las reglas
personalizadas de variables personalizadas, las reglas personalizadas no se
pueden exportar sin exportar también las variables personalizadas. Seleccione
la opción de variables y reglas personalizadas que mejor se adapte a la acción
deseada para la exportación actual.
Opciones avanzadas Permite seleccionar los niveles de directiva que exportar.
Exportar directiva actual Permite exportar la directiva junto con toda su jerarquía. Se simplifica, lo cual
quiere decir que la configuración se comprime en un nivel de directiva, donde
la configuración de directiva más inmediata tiene prioridad en el caso de cada
elemento. Por ejemplo, si tiene un dispositivo seleccionado, se exportarán las
dos directivas situadas sobre la directiva seleccionada. Es necesario
seleccionar un elemento secundario si se desea que se exporte el elemento
principal correspondiente. Asimismo, la configuración de la directiva
seleccionada tiene prioridad sobre la configuración de la directiva principal
cuando el archivo se comprime a un nivel de directiva.
Directiva actual sin Permite exportar solamente la configuración de la directiva seleccionada.
configuración de la
directiva principal
Directiva actual con Permite exportar la directiva seleccionada y todos sus elementos principales
directivas principales con la estructura jerárquica intacta.
Véase también

El panel Tipos de regla de la página Editor de directivas permite acceder a todas las reglas por tipo.
Es posible importar, exportar, agregar y editar las reglas, así como realizar diversas operaciones con
ellas cuando se seleccionan. Las funciones que se pueden llevar a cabo están limitadas según el tipo
de regla.
Todas las reglas se basan en un sistema jerárquico en el que cada regla hereda su uso del elemento
principal. La regla (excepto en el caso de las reglas de Variable y Preprocesador) se marca con un icono
para indicar cómo hereda su uso, y el icono cuenta con un punto en la esquina inferior izquierda si la
cadena de herencia se ha roto en algún punto por debajo de la fila actual.
Icono Descripción
Indica que el uso de este elemento está determinado por la configuración del elemento
principal. La mayoría de las reglas están configuradas para heredar la configuración de forma
predeterminada, pero el uso se puede cambiar.
Indica que la cadena de herencia está rota en este nivel y el valor de herencia está
desactivado.
Se emplea el uso actual de la regla cuando la cadena de herencia se ha roto.

10
Icono Descripción
Indica que la cadena de herencia está rota en este nivel. Los elementos por debajo de este
punto no heredan nada que se encuentre en un nivel superior de la cadena. Esta
configuración resulta útil para forzar a las reglas a usar los valores predeterminados.
Indica un valor personalizado; el valor se configura de forma distinta a la predeterminada.
Propiedades
Cuando se selecciona un tipo de regla, el panel de visualización de reglas muestra todas las reglas de
ese tipo que hay en el sistema y la configuración de sus propiedades. Entre estas propiedades pueden
encontrarse Acción, Gravedad, Lista negra, Agregación y Copiar paquete.
Esta Permite...
propiedad...
Acción Establecer la acción que realiza esta regla. Las opciones disponibles dependen del
tipo de regla.
Los elementos de lista negra no se pueden mover a su destino; si se selecciona

Paso en la columna Lista negra, el sistema lo cambia automáticamente por Alerta.
Gravedad Seleccione la gravedad de la porción de regla cuando se active la regla. La

gravedad puede oscilar entre 1 y 100, siendo 100 la gravedad más alta.
Lista negra Permite crear automáticamente una entrada de lista negra por cada regla cuando
se activa en el dispositivo. Puede elegir entre incluir en la lista negra solo la
dirección IP o la dirección IP y el puerto.
Agregación Establezca para cada regla la agregación de los eventos creados cuando se active
la regla. La configuración de agregación definida en las páginas de Agregación de
eventos (véase Agregación de eventos o flujos) solo se aplica a las reglas definidas
en el Editor de directivas.
Copiar paquete Permite copiar los datos de paquete en el ESM, lo cual resulta útil en caso de que
se produzca una pérdida de comunicación. Si existe una copia de los datos de
paquete, es posible acceder a la información a través de su recuperación.
Para cambiar estas opciones de configuración, haga clic en ellas y seleccione otro valor.
Véase también
Variables
Una variable es una configuración global o un marcador de posición para información específica de
cada usuario o sitio. Muchas reglas hacen uso de las variables.
Se recomienda tener conocimientos amplios sobre el formato Snort antes de agregar o modificar
variables.
Las variables se emplean para que las reglas se comporten de una forma concreta, lo cual puede
variar de un dispositivo a otro. El ESM tiene muchas variables predefinidas, pero también ofrece la
posibilidad de agregar variables personalizadas. Al agregar una regla, estas variables aparecen a
modo de opciones en la lista desplegable del tipo de campo seleccionado en el campo Tipo de la página
Nueva variable.

10
Cada variable tiene un valor predeterminado, pero se recomienda establecer algunos valores
correspondientes al entorno específico de cada dispositivo. No se permiten espacios al introducir un
nombre de variable. Si se requiere un espacio, use el carácter de subrayado ( _ ). A fin de maximizar
la efectividad de un dispositivo, resulta particularmente importante establecer la variable HOME_NET
de acuerdo con la red protegida por el dispositivo concreto.
En esta tabla se muestra una lista de variables habituales y sus valores predeterminados.
Nombre de Descripción Valor Descripción

variable predeterminado predeterminada
EXTERNAL_NET Cualquiera fuera de la red !$HOME_NET Puerto 80
protegida
HOME_NET Espacio de dirección de la red local Cualquiera Igual que
protegida: (10.0.0.0/80) HOME_NET
HTTP_PORTS Puertos de servidor web: 80 u 80 Cualquier puerto
80:90 para indicar un intervalo excepto el de
entre 80 y 90 HTTP_PORTS
HTTP_SERVE RS Direcciones de servidores web: $HOME_NET Igual que
192.168.15.4 o HOME_NET
[192.168.15.4,172.16.61.5]
SHELLCODE_PORTS Cualquier cosa excepto puertos de !$HTTP_PORTS Igual que
servidor web HOME_NET
SMTP Direcciones de servidores de $HOME_NET Igual que
correo HOME_NET
SMTP_SERVERS Direcciones de servidores de $HOME_NET Igual que
correo HOME_NET
SQL_SERVERS Direcciones de servidores de base $HOME_NET Igual que
de datos SQL HOME_NET
TELNET_SERVERS Direcciones de servidores de $HOME_NET Igual que
Telnet HOME_NET
Las variables incluidas en el sistema de fábrica se pueden modificar. También es posible agregar,
modificar o eliminar las variables personalizadas.
Cabe la posibilidad de asignar tipos a las variables personalizadas. Los tipos de variables se usan al
filtrar reglas para generar informes, y determinan el campo donde están disponibles las variables a la
hora de agregar o modificar una regla. Los tipos de variables son globales por naturaleza, de forma
que todos los cambios realizados se reflejan en todos los niveles de la directiva.
Véase también
Administración de variables en la página 511
Detección de anomalías y secuestro de sesiones del protocolo TCP en la página 513
Administración de variables
Cuando se selecciona el tipo de regla de variable en el Editor de directivas, es posible llevar a cabo
diversas acciones a fin de administrar las variables, tanto personalizadas como predefinidas.
Procedimiento
1 Haga clic en el icono del Editor de directivas.
2 En el panel Tipos de regla, seleccione Variable.

10

Agregar una nueva 1 Seleccione Nueva | Categoría.
categoría
2 Escriba un nombre para la nueva categoría y haga clic en Aceptar.
Agregar una 1 En el panel de visualización de reglas, seleccione la categoría y haga clic en

variable Nueva.
personalizada
2 Seleccione Variable y defina la configuración solicitada.
Modificar una 1 En el panel de visualización de reglas, seleccione la variable que desee

variable modificar.
2 Seleccione Editar y, después, haga clic en Modificar.
3 Modifique el valor o la descripción y haga clic en Aceptar.
Eliminar una 1 En el panel de visualización de reglas, seleccione la variable que desee

variable eliminar.
personalizada
2 Seleccione Editar y haga clic en Eliminar.
Importar una 1 Seleccione Archivo y haga clic en Importar | Variables.

variable
2 Haga clic en Importar, busque el archivo y cárguelo.
El archivo de importación debe ser un archivo .txt con la información en el

formato siguiente: NombreVariable;ValorVariable; NombreCategoría
(opcional); Descripción (opcional). Si falta algún campo, debe existir un
punto y coma que actúe como marcador de posición.
Modificar el tipo de 1 Seleccione la variable personalizada.

variable
personalizada 2 Haga clic en Editar y seleccione Modificar.
3 Cambie el tipo de variable.
Cuando el tipo de variable se establece con un valor distinto de No hay ningún

tipo seleccionado y se confirma, no es posible cambiar el valor.
Véase también
Variables en la página 510
Página Nueva variable en la página 512
Página Modificar variable en la página 513
Página Importar variable(s) en la página 513
Página Nueva variable

Permite agregar una variable personalizada nueva.
Opción Definición
Nombre Escriba un nombre para la nueva variable.
Tipo Seleccione el tipo de variable que será. Una vez agregada la variable, esta configuración
no se puede cambiar.

10

Opción Definición
Valor Escriba el valor para el tipo de variable del que se trate.
Descripción (Opcional) Escriba una descripción para la variable.
Véase también
Página Modificar variable

Permite realizar cambios en una variable existente.

Opción Definición
Nombre El nombre de esta variable. No se puede modificar.
Tipo El tipo de variable del que se trata. No se puede modificar.
Valor El valor de esta variable. Puede cambiarlo por cualquiera de los valores descritos en el
campo Descripción.
Descripción Una descripción de la variable y sus opciones.
Véase también
Página Importar variable(s)

Permite importar variables al Editor de directivas.

Opción Definición
Importar Navegue hasta el archivo de variables que desee importar al Editor de directivas.
Véase también
Detección de anomalías y secuestro de sesiones del protocolo TCP

Es posible detectar y alertar de anomalías relacionadas con el protocolo TCP, así como comprobar la
existencia de sesiones TCP secuestradas mediante la variable de preprocesador Stream5.
Procedimiento
1
En la consola de ESM, haga clic en el icono del Editor de directivas .
2 En el panel Tipos de regla, haga clic en Variable.
3 En el panel de visualización de reglas, haga clic en Preprocesador y seleccione STREAM5_TCP_PARAMS.

10
4 En la página Modificar variable, agregue alguno de los elementos siguientes en el campo Valor:
• Para detectar y alertar sobre anomalías del protocolo TCP, agregue detect_anomalies tras policy
first.
• Para comprobar la existencia de secuestro de sesiones TCP, agregue detect_anomalies

check_session_hijacking tras policy first.
Véase también
Variables en la página 510
Reglas de preprocesador
Los preprocesadores proporcionan una forma de unificar la detección de anomalías y la inspección de
paquetes en los dispositivos McAfee Nitro IPS e IDS.
Los preprocesadores son vitales para la detección precisa de muchas reglas. Use los preprocesadores
aplicables a su configuración de red. Los parámetros de los preprocesadores se pueden cambiar
mediante la edición de la variable de preprocesador en cuestión en el tipo de regla Variables del Editor de
directivas.
Tipo Descripción
Normalización de Normaliza el tráfico específico del protocolo RPC de modo uniforme únicamente con
RPC fines de detección. Este preprocesador puede evitar que los ataques relacionados
con la fragmentación de RPC omitan el dispositivo Nitro IPS.
Detección de Genera un evento si detecta un barrido de puertos en los dispositivos del lado de
barrido de puertos confianza de la red.
Una vez configurada correctamente la variable HOME_NET, deberá modificar la
variable SFPORTSCAN_PARMS (Variables | preprocesador) de forma que tenga este
aspecto:
proto { all } scan_type { all } sense_level { medium } ignore_scanners
Esto se agrega a la variable sfportscan para eliminar lo que Nitro IPS reconoce
como barridos de puertos procedentes de HOME_NET. Las redes en las que el
dispositivo Nitro IPS o IDS está situado cerca de un enrutador o firewall que utiliza
la traducción de direcciones de red (NAT) parecen realizar barridos de puertos en el
dispositivo Nitro IPS. Al modificar esta variable, disminuyen los eventos que parecen
falsos positivos.
HOME_NET no se puede configurar con el valor “any” para que ignore_scanners

funcione correctamente.
ZipZap Cuando sirven contenido web (HTTP), muchos servidores aceptan solicitudes de los
navegadores web, lo que indica que el contenido web se puede comprimir antes de
su envío. Aunque esto ahorra ancho de banda en la red, las páginas web
comprimidas no se pueden analizar mediante un dispositivo. El preprocesador
ZipZap hace que el servidor web devuelva los datos con un formato sin procesar, sin
comprimir y analizable. Al activar este preprocesador, aumenta el ancho de banda
utilizado por el tráfico web.
Desfragmentador de Modela los destinos reales de la red en lugar de simplemente modelar los protocolos
IP basado en y buscar ataques en ellos. Utiliza la estructura de datos sfxhash y listas vinculadas
destino para la gestión de datos de forma interna, lo que le permite ofrecer un rendimiento
predictivo y determinista en cualquier entorno, siendo esto de gran ayuda para la
administración en entornos con mucha fragmentación.

10
Tipo Descripción
Normalización de Normaliza las solicitudes web de manera uniforme únicamente con fines de
solicitud web detección. Siempre está activada, y no es posible realizar cambios. Hay dos tipos de
preprocesadores de normalización de solicitudes web, uno para las versiones hasta
la 8.2.x y otro para las versiones 8.3.0 y posteriores.
Este preprocesador detecta los siguientes ataques:
• Ataques de cruce de directorios web (http://algo.com/./ataque.cmd)
• Cadenas con doble codificación (http://algo.com/
%25%32%35%25%33%32%25%33%30ataque.cmd)
• Normalización de Unicode
• Caracteres no válidos en URI de solicitudes web
Reensamblado de Rastrea las sesiones. Es un preprocesador Stream5, así que las palabras clave de
TCP basado en regla "flow" y "flowbits" se pueden usar con el tráfico tanto TCP como UDP.
destino y rastreo de
sesiones TCP/UDP
Véase también
Administración de reglas de preprocesador en la página 515
Administración de reglas de preprocesador

Es posible activar o desactivar cada uno de los preprocesadores, además de establecer su herencia.
Procedimiento
1 En el panel Tipos de regla del Editor de directivas, haga clic en IPS | Preprocesador.
2 Seleccione Heredar, Activado o Desactivado para las reglas activas.
Véase también
Reglas de preprocesador en la página 514
Reglas de firewall
Las reglas de firewall se usan para detectar los eventos de red en función de la información de los
paquetes, como por ejemplo el protocolo, el puerto o la dirección IP de un dispositivo Nitro IPS.
La directiva de firewall analiza los paquetes entrantes y toma decisiones según la información inicial
encontrada antes de que el paquete se pase al motor de inspección profunda de paquetes (DPI). Las
reglas de firewall bloquean elementos tales como las direcciones IP no válidas o falsificadas. También
rastrean la velocidad y el tamaño del tráfico de red.
Estos son los tipos de reglas de firewall:
• Anomaly (Anomalía): detecta anomalías. Muchas reglas basadas en anomalías coinciden unas con
otras y se utilizan con los valores establecidos en la ficha Variables. Por ejemplo, la regla Duración de
conexión prolongada y la variable Segundos de duración prolongada se emplean juntas para determinar el
número de segundos antes de que se active la regla. Para ver detalles más específicos sobre cada
regla, consulte la sección de detalles en la parte inferior de la página.
• Anti-Spoof (Antifalsificación): detecta direcciones IP no válidas. Por ejemplo, si una dirección IP

interna reservada se detecta entrando en la red a través de un dispositivo, se activa la regla
antifalsificación.

10
• Blacklist (Lista negra): determina la acción que se llevará a cabo con los paquetes que se envían con
origen o destino en una dirección IP o un puerto incluidos en la lista negra.
• DHCP: activa o desactiva la capacidad de permitir el tráfico DHCP a través de un dispositivo.
• IPv6: detecta el tráfico IPv6.
• Port-Block (Bloqueo de puertos): bloquea ciertos puertos.
Detección de anomalías
que solo activa una alerta si el tráfico de la red supera los umbrales definidos por las variables de la
parámetros (véase Asistente de detección de anomalías).
Excepciones de firewall
Las excepciones de firewall son necesarias a veces para que ciertos tipos de tráfico puedan pasar por
el firewall cuando, de lo contrario, quedarían bloqueados. Por ejemplo, si una dirección interna válida
procede de fuera de la red, como una red privada virtual (VPN), activa una alerta de direcciones IP
falsas entrantes. A fin de detener la alerta, es necesario configurar una excepción para la regla de
firewall.
También se puede considerar una excepción como una excepción a los patrones definidos en otras
excepciones, creando así una excepción para la lista de excepciones (en otras palabras, incluir una
dirección o un bloque de direcciones). Si es necesario comprobar una dirección con respecto a una
regla de firewall y la dirección IP está en un bloque de direcciones que ya se ha aceptado, se puede
excluir de la lista de excepciones mediante la introducción de la dirección IP (o la máscara) y la
selección de la casilla.
A modo de ejemplo, la lista de excepción ya contiene el bloque de direcciones 10.0.0.0/24. Todas las
direcciones de este intervalo son una excepción a la regla. Si la dirección de origen 10.0.0.1 está
activa para esta regla, seleccione Considerar esto como excepción a los patrones definidos en otras excepciones y
escriba 10.0.0.1 en el campo de origen. La regla de firewall se aplica entonces a 10.0.0.1, pero no al
resto de direcciones del bloque 10.0.0.0/24, ya que 10.0.0.1 es ahora la excepción a la lista de
excepciones.
Véase también
Adición de una regla de firewall personalizada

Por lo general, las reglas de firewall predeterminadas son suficientes para proteger la red. No
obstante, puede haber situaciones en las que sea necesario agregar reglas específicas para un entorno
o un sistema protegidos.

10
Procedimiento
1 En el panel Tipos de regla del Editor de directivas, seleccione IPS | Firewall.
2 Seleccione Nueva y, después, haga clic en Regla de firewall.
Los filtros de la nueva regla se aplicarán y la regla aparecerá en el panel de visualización de reglas. Si
hace clic en el icono de filtrado , se borrará el filtro.
Véase también
Página Regla de firewall en la página 517
Página Regla de firewall

Permite agregar una nueva regla de firewall a Nitro IPS.

Básico Ver la acción predeterminada para la regla.
Etiquetas Haga clic en Seleccionar para elegir las etiquetas que definen las categorías de
la regla.
Opciones de Para cambiar el valor de una opción de la regla, haga clic en él en la
regla columna Valor.
• msg: se trata del nombre de la regla.
• Acción predeterminada: contiene diversas opciones disponibles para cada
regla. Las opciones son pasar, alerta, bloquear (sdrop), alerta, bloquear
(eliminar) y alerta, bloquear, restablecer (rechazar).
• Protocolo: solo se muestran los protocolos que el dispositivo Nitro IPS
puede inspeccionar. Tenga en cuenta que, cuando un protocolo se define
con un valor distinto de TCP, UDP o ICMP, el puerto de origen y el puerto
de destino se configuran con el valor Cualquiera.
• IP de origen e IP de destino: se muestran todas las variables. Se puede
seleccionar una variable o introducir una dirección IP válida.
• Puerto de origen y Puerto de destino: se muestran todas las variables. Se puede
• Dirección: indica la dirección en la que fluye del tráfico para la regla actual.
• Gravedad: permite al usuario establecer una gravedad para la regla.
• Estado: el estado de la conexión TCP.
- cualquiera: el estado no importa
- establecida: la conexión ya ha detectado paquetes en ambas direcciones.
- no válida: el paquete no pertenece a ninguna de las conexiones
rastreadas.
- nueva: el paquete está iniciando una conexión nueva o forma parte de
una conexión que no ha detectado aún paquetes en ambas direcciones.

10

Descripción (Opcional) Escriba una descripción sobre lo que hace la regla.
Avanzadas Para modificar la regla nueva, edite el texto de la regla directamente. La
regla se conservará en el formato de Snort estándar para facilitar su uso.
Véase también
Adición de excepciones de firewall

Es posible agregar excepciones a las reglas de firewall para permitir que los eventos de red de los
protocolos, direcciones IP o puertos especificados pasen a través del firewall.
Procedimiento
1 En el Editor de directivas, seleccione IPS | Firewall.
2 En el panel de visualización de reglas, haga clic en la regla a la que desee agregar una excepción.
Para que sea más fácil localizar la regla, utilice los filtros del panel Filtros/etiquetado (véase Adición de
reglas de filtrado).
3 Seleccione Nueva y, después, haga clic en Excepción de firewall.
4 Haga clic en Agregar y seleccione o escriba los valores que definen la excepción.
Véase también
Página Agregar excepción en la página 518
Página Excepciones de firewall en la página 519
Página Agregar excepción

Permite agregar una excepción a una regla de firewall para permitir que ciertos eventos de red pasen
por el firewall.

Opción Definición
Protocolo Seleccione el protocolo que desee excluir o deje el campo en blanco.
Dirección Esta opción está desactivada porque no es necesaria para este tipo de
excepción.
Origen y Destino Escriba la información solicitada. Los campos que se dejan en blanco usan la
opción predeterminada CUALQUIERA.

10

Opción Definición
NOT Seleccione esta opción si desea no excluir los datos introducidos en el campo.
Se agregará un signo de exclamación (!) antes de la regla en la lista de
Excepciones de firewall.
Considerar esto como Seleccione esta opción si desea que esto sea una excepción a la lista de
excepción a los patrones excepciones. Por ejemplo, si es necesario comprobar una dirección con
definidos en otras respecto a una regla de firewall y la dirección IP está en un bloque de
excepciones direcciones que ya se ha aceptado, se puede excluir de la lista de excepciones
mediante la introducción de la dirección IP (o la máscara) y la selección de la
casilla.
Véase también
Página Excepciones de firewall

Permite agregar una excepción a una regla de firewall.

Opción Definición
Tabla Ver las excepciones que ya se han agregado al sistema.
Agregar Agregar una nueva excepción a la regla seleccionada en la página Agregar excepción.
Editar Realizar cambios en la excepción seleccionada.
Eliminar Eliminar la excepción seleccionada.
Véase también
Reglas de inspección profunda de paquetes (DPI)

Las reglas de inspección profunda de paquetes (Deep Packet Inspection, DPI) evalúan el contenido de
un paquete y lo comparan con los patrones de las firmas de reglas. Si hay alguna coincidencia, se
lleva a cabo la acción especificada.
El filtro BASE (en el panel Filtros/etiquetado) proporciona protección frente a intrusiones conocidas que
podrían dañar un sistema o sus datos. Lo mismo se aplica a los filtros MALWARE y VIRUS. Los filtros
DIRECTIVA y MULTIMEDIA inhiben actividades de red (o alertan sobre ellas) asociadas con
especificaciones de uso de la red definidas por el usuario, pero no asociadas a intrusiones de red
peligrosas en potencia. Estos son los tipos generales de grupos de filtros:
• Reglas protectoras (BASE, MALWARE, PERÍMETRO y VIRUS)
• Reglas de directiva (CHAT, MULTIMEDIA, PEERTOPEER, DIRECTIVA y SECURE APPLICATION

GATEWAY)
Por lo general, las reglas predeterminadas son suficientes para proteger la red. No obstante, puede
haber situaciones en las que se necesiten reglas específicas para un entorno o un sistema protegidos.
Es posible agregar reglas de inspección profunda de paquetes (DPI) al ESM (véase Adición de reglas
de inspección profunda de paquetes (DPI)).
Véase también
Adición de reglas de inspección profunda de paquetes (DPI) en la página 520
Adición del atributo de inspección profunda de paquetes (DPI) en la página 521

10
Adición de reglas de inspección profunda de paquetes (DPI)

Agregue una regla de inspección profunda de paquetes (DPI) cuando sea necesaria en un entorno o un
sistema protegidos.
Procedimiento
1 En el Editor de directivas, seleccione Nitro IPS | DPI.
2 Haga clic en Nueva y seleccione Regla de DPI.
Los filtros de la nueva regla se aplicarán y la regla aparecerá en el panel de visualización de reglas. Si
hace clic en el icono de filtro, el filtrado se eliminará y se mostrarán todas las reglas de inspección
profunda de paquetes (DPI).
Véase también
Reglas de inspección profunda de paquetes (DPI) en la página 519
Adición del atributo de inspección profunda de paquetes (DPI) en la página 521
Página Regla de DPI en la página 520
Página Regla de DPI

Permite agregar una nueva regla de inspección profunda de paquetes (DPI).

Básico Ver la acción predeterminada para la regla.
Etiquetas Haga clic en Seleccionar para elegir las etiquetas que definen las categorías de
la regla.
Opciones de Para cambiar el valor de una opción de la regla, haga clic en él en la
regla columna Valor.
• msg: se trata del nombre de la regla.
• Acción predeterminada: contiene diversas opciones disponibles para cada
regla. Las opciones son pasar, alerta, bloquear (sdrop), alerta, bloquear
(eliminar) y alerta, bloquear, restablecer (rechazar).
• Protocolo: solo se muestran los protocolos que el dispositivo Nitro IPS
puede inspeccionar. Tenga en cuenta que, cuando un protocolo se define
con un valor distinto de TCP, UDP o ICMP, el puerto de origen y el puerto
de destino se configuran con el valor Cualquiera.
• IP de origen e IP de destino: se muestran todas las variables. Se puede
• Puerto de origen y Puerto de destino: se muestran todas las variables. Se puede
• Dirección: indica la dirección en la que fluye del tráfico para la regla actual.
• Gravedad: permite al usuario establecer una gravedad para la regla.
• ID normalizado: el ID normalizado que describe la regla.

10

Agregar Agregar atributos de regla específicos para permitir un control más detallado
de la firma de la regla.
1 Seleccione una categoría para el atributo y, después, seleccione la acción
asociada con él en el campo Opciones.
El campo Formato mostrará el formato que hay que usar para definir el
valor.
2 Introduzca el valor para la opción seleccionada y haga clic en Aceptar.
El nombre y el valor de la opción se agregarán a la tabla Opciones de regla.
Quitar Eliminar un atributo personalizado de la tabla Opciones de regla.

Descripción (Opcional) Escriba una descripción sobre lo que hace la regla.
Avanzadas Para modificar la regla nueva, edite el texto de la regla directamente. La
regla se conservará en el formato de Snort estándar para facilitar su uso.
Ejemplos de Ver ejemplos de reglas para que le ayuden a escribir la suya.
reglas
Véase también
Adición del atributo de inspección profunda de paquetes (DPI)

Cuando se agrega o edita una regla de inspección profunda de paquetes (DPI), uno de los pasos
necesarios es asignar atributos a la regla. Estos atributos definen la acción para la regla. Es posible
agregar y eliminar opciones personalizadas en la lista existente, de manera que se puedan asignar a
una regla.
Procedimiento
1 En el Editor de directivas, seleccione IPS | DPI | Agregar.
2 En la lista desplegable, seleccione la categoría del atributo.
3 En el campo Opciones, seleccione la acción asociada con este atributo.
4 Introduzca un valor para la opción seleccionada y haga clic en Aceptar.
El nombre y el valor de la opción se agregarán a la tabla Opciones de regla. Seleccione el valor para
editarlo o eliminarlo.
Véase también
Reglas de inspección profunda de paquetes (DPI) en la página 519
Reglas internas
El tipo de regla Interno contiene reglas con ID de firma entre 3 000 000 y 3 999 999, que son alertas
internas y no tienen firmas como otras reglas. Estas reglas solo pueden estar activadas o
desactivadas.
Este tipo de regla solo está disponible cuando se selecciona un dispositivo virtual o Nitro IPS en el
árbol de navegación del sistema.

10
Administración de reglas internas

Es posible ver la lista de las reglas internas existentes o cambiar su estado.
Procedimiento
1 En el árbol de navegación del sistema, seleccione un dispositivo virtual o Nitro IPS.
2 En el panel Tipos de regla del Editor de directivas, seleccione IPS | Interno.
3 En la columna Activar, haga clic en Seleccionar todo, No seleccionar nada o bien seleccione reglas
individuales o anule su selección.
Reglas de filtrado
Las reglas de filtrado permiten especificar la acción que se debe realizar cuando el receptor recibe los
datos definidos.
Orden de los datos

Las reglas de filtrado se escriben en el receptor con el siguiente orden de datos.
1 Todas la reglas no aplicables a todo.

a detención = verdadero y analizar = falso y registrar = falso
b detención = verdadero y analizar = verdadero y registrar = verdadero
c detención = verdadero y analizar = verdadero y registrar = falso
d detención = verdadero y analizar = falso y registrar = verdadero
2 Todas las reglas aplicables a todo.
Orden de las reglas

Si cuenta con derechos de Administrador de directivas, puede definir el orden en que desee que se ejecuten
las reglas de filtrado. Estas reglas, posteriormente, se ejecutarán en el orden más adecuado para
generar los datos necesarios (véase Establecimiento del orden de las reglas de filtrado y ASP).
Adición de reglas de filtrado

Existe la posibilidad de agregar reglas de filtrado al Editor de directivas.
Procedimiento
1 En el Editor de directivas, seleccione Receptor | Filtro.
2 Seleccione Nuevo y, después, haga clic en Regla de filtrado.
4 Para activar la regla, selecciónela en el panel de visualización de reglas, haga clic en el valor de la
columna Acción y haga clic en activada.
Véase también
Página Agregar regla de filtrado en la página 523
Página Agregar campo de filtro en la página 523

10
Página Agregar regla de filtrado

Permite agregar una regla a fin de filtrar los datos recopilados por el receptor.

Opción Definición
Etiquetas • Haga clic en Seleccionar y elija etiquetas que definan las categorías a las que
pertenece la regla.
Nombre • Escriba un nombre para la regla.
ID normalizado • (Opcional) Haga clic en el icono ID normalizado y seleccione cualquier ID

normalizado adicional.
Gravedad • (Opcional) Cambie la configuración de gravedad de la regla.
Coincidir todo • Permite escribir la regla sin cadenas de contenido o PCRE. Si selecciona esta
opción, las acciones especificadas en la sección Acción que realizar con esta regla se
realizarán en todos los datos recibidos.
Cadenas de (Opcional) Escriba cadenas de contenido para filtrar los datos recibidos. Cuando los
contenido datos recibidos coincidan con estas cadenas de contenido, se realizará la acción
especificada en este cuadro de diálogo.
• A fin de agregar una cadena, haga clic en Agregar y escríbala.
• Para editar o eliminar una cadena, selecciónela y haga clic en el botón
correspondiente.
PCRE • (Opcional) Escriba una única PCRE para filtrar los datos recibidos. Cuando los
datos recibidos coincidan con esta PCRE, se realizará la acción especificada en
este cuadro de diálogo.
Sin distinción • Agrega un modificador de no distinción de forma que se produzca la coincidencia

mayúsculas/ con el contenido de PCRE independientemente de las mayúsculas y minúsculas.
minúsculas
Acción Seleccione las acciones que se realizarán cuando los datos recibidos coincidan con
la PCRE y las cadenas de contenido, o bien en todos los datos recibidos si se
selecciona Coincidir todo. Puede seleccionar todas las acciones necesarias.
Descripción • (Opcional) Escriba una descripción para la regla. Aparecerá en el campo

Descripción del Editor de directivas cuando se seleccione la regla.
Véase también
Adición de reglas de filtrado en la página 522
Página Agregar campo de filtro

Permite configurar las opciones de un componente de filtro.
Opción Definición
Tipos de filtros Seleccione a qué se aplicará el filtro.
Condiciones de filtrado Seleccione las condiciones de filtrado. Las opciones disponibles varían en
función del tipo seleccionado.
Valores Haga clic en el icono de variables y seleccione los valores para el filtro.
Véase también
Adición de reglas de filtrado en la página 522

10
Reglas del analizador de syslog avanzado (ASP)

El ASP proporciona un mecanismo para analizar los datos contenidos en mensajes de Syslog en
función de las reglas definidas por el usuario.
El analizador de syslog avanzado (ASP) emplea reglas para identificar en qué parte del mensaje
residen datos de eventos específicos, tales como ID de firma, direcciones IP, puertos, nombres de
usuario y acciones.
Con el ASP, es posible escribir reglas para revisar orígenes de registro complejos en sus servidores
Linux y UNIX.
Esta funcionalidad requiere conocimientos sobre la utilización de expresiones regulares.
Cuando el sistema recibe un registro de ASP, compara el formato de hora del registro con el formato
especificado en la regla de ASP. Si el formato de hora no coincide, el sistema no procesa el registro.
Para aumentar las posibilidades de que el formato de hora coincida, agregue varios formatos de hora
personalizados (véase Adición del formato de hora a las reglas de ASP).
Si dispone de derechos de Administrador de directivas, puede definir el orden de ejecución de las reglas de
ASP (véase Establecimiento del orden de las reglas de filtrado y ASP).
Véase también
Adición de una regla de ASP personalizada en la página 524
Establecimiento del orden de las reglas de filtrado y ASP en la página 525
Adición de formatos de hora a las reglas de ASP en la página 526
Adición de una regla de ASP personalizada

El editor Regla de analizador de syslog avanzado permite crear reglas para analizar los datos de registro de
ASP.
Procedimiento
1 En el Editor de directivas, seleccione Receptor | Analizador de syslog avanzado.
2 Seleccione Nueva y haga clic en Regla de analizador de syslog avanzado.
3 Haga clic en cada una de las fichas y rellene la información solicitada.
Procedimientos
• Edición de texto de regla de ASP en la página 525
Si es un usuario avanzado con conocimientos sobre la sintaxis de ASP, puede agregar texto
de regla ASP directamente para no tener que definir la configuración en cada una de las
fichas.
Véase también
Reglas del analizador de syslog avanzado (ASP) en la página 524

10
Edición de texto de regla de ASP

Si es un usuario avanzado con conocimientos sobre la sintaxis de ASP, puede agregar texto de regla
ASP directamente para no tener que definir la configuración en cada una de las fichas.
Establecimiento del orden de las reglas de filtrado y ASP

Si dispone de derechos de Administrador de directivas, ahora puede establecer el orden de ejecución de las
reglas de filtrado o de analizador de syslog avanzado (ASP). Esta función permite ordenar las reglas
de modo eficiente para que proporcionen los datos más necesarios.
Procedimiento
1
2 En el menú Operaciones, seleccione Ordenar reglas de ASP u Ordenar reglas de filtrado y, a continuación,
seleccione un origen de datos en el campo Tipo de origen de datos.
El panel de la izquierda se rellena con las reglas que estén disponibles para su ordenación. Las
reglas ordenadas aparecen en el panel de la derecha.
3 En las fichas Reglas estándar o Reglas personalizadas, es posible mover una regla desde el panel de la
izquierda al de la derecha (arrástrela y colóquela o bien sírvase de las flechas) y colocarla por
encima o debajo de Reglas sin ordenar.
Reglas sin ordenar representa las reglas del panel de la izquierda, que son aquellas que tienen el orden
predeterminado.
4 Utilice las flechas para reordenar las reglas y, después, haga clic en Aceptar para guardar los
cambios.
Véase también
Página Ordenar reglas de ASP en la página 525
Página Ordenar reglas de filtrado en la página 526
Página Ordenar reglas de ASP

Establezca el orden de las reglas de ASP para que se ejecuten de forma que se generen los datos que
necesita.

Opción Definición
Tipo de origen de datos Seleccione el tipo de origen de datos al que se aplica el orden. La lista de
reglas cambia en función del origen de datos seleccionado.
Tabla de la izquierda Seleccione la ficha Reglas estándar o la ficha Reglas personalizadas. Cada ficha
muestra las reglas con el orden predeterminado (alfabético).
Tabla de la derecha Permite ver las reglas que tienen un orden especificado. El elemento
Reglas sin ordenar muestra la ubicación de todas las reglas que tienen el
orden predeterminado.

10
Tabla 10-13 Definiciones de las opciones (continuación)

Opción Definición
Flechas entre tablas Utilice las flechas hacia la derecha y hacia la izquierda para mover las
reglas seleccionadas de una tabla a otra. Utilice las flechas hacia arriba y
hacia abajo para colocar las reglas de la tabla de la derecha en el orden
correcto.
Restaurar el orden Haga clic en esta opción para restaurar el orden predeterminado de las
predeterminado reglas. Al seleccionar esta opción, todas las reglas de la tabla de la
derecha se mueven de nuevo a la tabla de la izquierda.
Véase también
Página Ordenar reglas de filtrado

Establezca el orden de las reglas de filtrado para que se ejecuten de forma que se generen los datos
que necesita.

Opción Definición
Tabla de la izquierda Seleccione la ficha Reglas estándar o la ficha Reglas personalizadas. Cada ficha
muestra las reglas con el orden predeterminado (alfabético).
Tabla de la derecha Permite ver las reglas que tienen un orden especificado. El elemento Reglas sin
ordenar muestra la ubicación de todas las reglas que tienen el orden
predeterminado.
Flechas entre tablas Utilice las flechas hacia la derecha y hacia la izquierda para mover las reglas
seleccionadas de una tabla a otra. Utilice las flechas hacia arriba y hacia abajo
para colocar las reglas de la tabla de la derecha en el orden correcto.
Véase también
Adición de formatos de hora a las reglas de ASP

Cuando el sistema recibe un registro de analizador de syslog avanzado (ASP), el formato de hora debe
coincidir con el formato especificado en la regla de ASP.
Es posible agregar varios formatos de hora personalizados para aumentar las posibilidades de que el
formato de hora del registro coincida con alguno de los indicados.
Procedimiento
1
2 En el panel Tipos de regla, haga clic en Receptor | Analizador de syslog avanzado.
3 Una vez descargadas las reglas de ASP, realice una de las acciones siguientes:
• Para editar una regla existente, haga clic en ella y, después, en Editar | Modificar.
• Para agregar una regla nueva, haga clic en Nuevo | Regla de analizador de syslog avanzado y, después,
rellene las fichas General, Análisis y Asignación de campos.
4 Haga clic en la ficha Asignación y, después, en el icono situado sobre la tabla Formato de hora.
5 Haga clic en el campo Formato y seleccione el formato de hora.

10
6 Seleccione los campos de hora que desee que empleen este formato.
Primera vez y Última vez hacen referencia a la primera y la última vez que se generó el evento. También
aparecerá cualquier campo de hora de Tipo personalizado agregado al ESM (véase Filtros de tipos
personalizados).
7 Haga clic en Aceptar y rellene el resto de información en la ficha Asignación.
Véase también
Editor Regla de analizador de syslog avanzado en la página 527
Editor Regla de analizador de syslog avanzado

Permite crear reglas a fin de analizar los datos de registro de ASP con facilidad.

Archivo Haga clic aquí para guardar la regla y, a continuación, seleccione
Guardar o Guardar como.
Herramientas Seleccione Editar texto de regla de ASP para agregar el texto de la regla de
ASP directamente en lugar de definir la configuración en cada ficha.
Es necesario ser un usuario avanzado con conocimientos de la
sintaxis de ASP.
Ficha General Defina la configuración general de la regla.
Nombre Escriba un nombre para la regla.
Etiquetas Haga clic en Seleccionar para agregar etiquetas que definan las
categorías a las que pertenece la regla. Cada regla de ASP necesita
al menos una etiqueta para guardar la regla.
ID normalizado El ID predeterminado es 4026531840, el cual no está categorizado,
predeterminado y se empleará si el registro entrante no tiene ID. Para cambiarlo,
haga clic en el icono y seleccione el ID que desee asociar con la

regla.
Gravedad Si es necesario, cambie la gravedad de la regla. Esta gravedad se
predeterminada utilizará si los datos de registro entrantes no tienen gravedad.
Tipo de asignación de Seleccione un tipo de asignación de regla predeterminado, que se
regla emplea para agrupar los datos de eventos aprendidos del Analizador de
syslog avanzado, y sepárelo del resto de orígenes de datos. Es
aconsejable agrupar los dispositivos con tipos de regla distintos por
separado a fin de evitar colisiones de ID de firma en la base de
datos. Por ejemplo, el evento 30405 en un dispositivo Cisco PIX
tiene un significado distinto al que tiene 30405 en Cisco IOS o en
Snort IDS.
Descripción (Opcional) Escriba una descripción para la regla.
Ficha Análisis Configure el análisis de la regla.
Nombre de proceso (Opcional) Escriba un nombre para el proceso que se empleará para
la coincidencia en el encabezado de los datos de registro entrantes.

10

Cadenas de contenido (Opcional) Escriba cadenas de contenido que se compararán con los
datos de registro entrantes. Para agregar una cadena, haga clic en
Editar | Agregar e introduzca los valores de cadena, que se deben
entrecomillar (“”) y separar mediante comas (,).
Al concatenar un valor literal con una subcaptura de PCRE en ESM

9.0.0 y posteriores, coloque los literales entre comillas
individualmente si contienen espacios u otros caracteres. Deje las
referencias a subcapturas de PCRE sin entrecomillar.
Solo usar expresiones De forma predeterminada, la regla se activará si coinciden la cadena

regulares con fines de de contenido o la expresión regular. Seleccione esta opción si solo
análisis desea que se produzca la activación en caso de que coincida la
cadena de contenido.
Sin distinción Seleccione esta opción si desea que se produzca la coincidencia de
mayúsculas/ contenido independientemente de las mayúsculas y minúsculas
minúsculas utilizadas.
Activar cuando los Si selecciona esta opción, se desactivarán todas las asociaciones y
datos no coincidan asignaciones de campos. La regla se activa, pero no se analizan los
datos.
Expresión regular Escriba las expresiones regulares que se deben usar para la
coincidencia con los datos de registro entrantes, lo cual permite
coincidencias múltiples con los datos de registro. Las opciones
disponibles son:
• El icono de adición abre la página Agregar expresión regular, donde
se puede introducir una expresión regular.
•
El icono de edición abre la página Editar expresión regular para
poder realizar cambios en la expresión regular seleccionada.
• El icono de eliminación elimina la expresión regular
seleccionada.
Estas expresiones no se ejecutan a menos que se ejecute la

primera de la lista y devuelva un resultado de los datos de registro.
Es posible seleccionar valores de expresión regular únicos en esta
tabla, lo cual permite que después se resalten las coincidencias de
texto correspondientes dentro del campo de datos de muestra al
realizar selecciones en la parte derecha en la tabla Coincidencias de
expresiones regulares.
Coincidencias de Esta tabla muestra los valores extraídos de los datos de registro de
expresiones regulares muestra cuando se realiza la ejecución con respecto a las
expresiones regulares principal y secundaria.
Incluya el encabezado Seleccione esta opción si desea que la coincidencia con expresiones
de syslog en la regulares se realice con todos los datos de registro al completo.
coincidencia de
expresiones regulares
Datos de registro de Copie y pegue algunos datos de registro de ejemplo en este campo
muestra a fin de crear expresiones regulares válidas.
Cada registro debe encontrarse en una única línea.

10

Datos de registro Si los datos de registro de muestra originales están en el formato
transformados CEF, se transformarán al formato de análisis y aparecerán en esta
ficha. No es necesario transformar los registros CEF que no tengan
campos personalizados (tales como cs1... cs1label... cn1...
cn1label...).
Formato Seleccione el formato correspondiente a la sentencia de Datos de
registro de muestra. Si los datos de registro no se ajustan a los
estándares del formato seleccionado, los pares de clave/valor no se
extraerán.
Tabla de claves/ Esta tabla muestra los pares de clave/valor extraídos de los datos de
valores registro de muestra.
Ficha Permite configurar la asignación de campos.
Asignación de
campos Campos Esta columna incluye los campos con los que se puede realizar la
coincidencia. Es posible agregar campos de reserva mediante el
icono de adición situado junto al nombre del campo. Un campo
de reserva se utiliza si el campo principal está en blanco. Los
campos de reserva se ejecutan para que sea posible arrastrar los
campos a fin de reordenarlos. Pueden existir hasta diez campos de
reserva. Una vez agregado un campo de reserva, se puede hacer clic
en el icono de eliminación situado a la izquierda del nombre del
campo de reserva a fin de eliminarlo.
Expresión Esta columna se usa para asignar campos a valores de datos de
registro. Haga clic en la columna Expresión y escriba el ID de grupo en
el campo que se abre. Es posible concatenar dos valores juntos si se
escribe el signo más (+) entre ellos.
Valor de muestra Esta columna se usa para simular la salida final de un campo
concreto.
Tabla de claves/ Esta tabla refleja los valores extraídos de los Datos de registro de muestra
valores en la ficha Análisis cuando se realiza la ejecución con respecto a las
expresiones. Se puede arrastrar un valor de esta lista y soltarlo en
una expresión de campo.
Iconos Agregar Si el campo que necesita no aparece en la columna Campo, haga clic
campo personalizado en el icono Agregar campo personalizado . La página Tipos personalizados
y Eliminar campo muestra todos los tipos personalizados del sistema, incluidos los que
personalizado se hayan agregado. Haga clic en el campo que desee agregar a la
lista y, después, en Aceptar. El campo se agregará a la tabla. Para
eliminar un campo personalizado de la lista, haga clic en el icono
Eliminar campo personalizado y haga clic en Sí para confirmar.
Ficha Defina la configuración personalizada para los datos de registro
Asignación entrantes que necesiten asignarse o analizarse de una forma
especial.
Formato Cuando el sistema recibe un registro de ASP, el formato de hora
personalizado de hora debe coincidir con el formato especificado en la regla de ASP. Es
de inicio y Formato posible agregar varios formatos de hora personalizados. Esto
personalizado de hora aumenta las posibilidades de que el formato de hora del registro
de fin coincida con alguno de los proporcionados (véase Adición del
formato de hora a las reglas de ASP).
Tabla de Haga clic en una línea de la columna Clave de acción e introduzca las
acciones distintas acciones que podrían producirse.
La columna Valor de acción muestra una lista de las acciones posibles.
Haga coincidir la acción que desee de la columna con los diferentes
tipos de acciones que podrían producirse.

10

Acción Si desea establecer una acción predeterminada para su uso en caso
predeterminada de que no se haya seleccionado ninguna en la tabla Acción, haga clic
en la casilla de verificación y seleccione la acción.
Asignación de Puede agregar los valores de los datos de registro entrantes que
gravedad desee asignar mediante el icono de adición .
Gravedad Si desea establecer una gravedad predeterminada para usarla en
predeterminada caso de que no se haya seleccionado ninguna en la tabla Asignación de
gravedad, haga clic en esta opción y seleccione la gravedad.
Véase también
Reglas de origen de datos

La lista de reglas de origen de datos incluye reglas tanto predefinidas como de aprendizaje
automático.
El receptor aprende de forma automática las reglas de origen de datos a medida que procesa la
información que le envían los orígenes de datos asociados.
La opción Origen de datos del panel Tipos de regla solo resulta visible cuando se seleccionan una directiva,
un origen de datos, el Analizador de syslog avanzado o un receptor en el árbol de navegación del sistema. El
área de descripción situada en la parte inferior de la página ofrece información detallada sobre la regla
seleccionada. Todas las reglas tienen una configuración de gravedad que dicta su prioridad asociada.
La prioridad afecta a la forma en que se muestran las alertas generadas para estas reglas con fines de
generación de informes.
Las reglas de origen de datos tienen una acción predeterminada definida. El receptor la asigna al
subtipo de evento asociado a la regla. Es posible cambiar esta acción (véase Establecimiento de
acciones de reglas de origen de datos).
Véase también
Establecimiento de acciones de reglas de origen de datos en la página 530
Administración de reglas de origen de datos de aprendizaje automático en la página 531
Establecimiento de acciones de reglas de origen de datos

Las reglas de origen de datos tienen una acción predeterminada definida. El receptor asigna esta
acción al subtipo de evento asociado a la regla. Es posible modificar esta acción.
Cabe la posibilidad de establecer el valor del subtipo de evento por cada regla de origen de datos. Esto
significa que se pueden establecer acciones de regla para paneles, informes, reglas de análisis o
alarmas con distintos valores, tales como el resultado de una regla de acceso selectivo (permitir/
denegar).

10
Procedimiento
1
En la consola de ESM, haga clic con el botón derecho del ratón en el icono del Editor de directivas y,
a continuación, seleccione Receptor | Origen de datos en el panel Tipos de regla.
2 Haga clic en la columna Subtipo correspondiente a la regla que desee modificar y, a continuación,
seleccione la nueva acción.
• Seleccione Activar para rellenar el subtipo de evento con la acción predeterminada, alerta.
• Seleccione Desactivar si no desea recopilar eventos para la regla en cuestión.
• Seleccione cualquier otra acción para rellenar el subtipo de evento con dicha acción.
Véase también
Reglas de origen de datos en la página 530
Administración de reglas de origen de datos de aprendizaje automático

Cabe la posibilidad de ver una lista de todas las reglas de origen de datos de aprendizaje automático y
editarlas o eliminarlas.
Procedimiento
1 En el Editor de directivas, seleccione Receptor | Origen de datos.
2 En el panel Filtros/etiquetado, haga clic en la barra Opciones avanzadas, situada en la parte inferior del
panel.
3 En la lista desplegable Origen, seleccione definido por el usuario y haga clic en el icono Ejecutar consulta
En el panel de visualización aparecerán todas las reglas de origen de datos de aprendizaje

automático.
4 Seleccione la regla que desee editar o eliminar, haga clic en Editar y seleccione Modificar o Eliminar reglas
de aprendizaje automático.
• Si ha seleccionado Modificar, cambie el nombre, la descripción o el ID normalizado y haga clic en
Aceptar.
• Si selecciona Eliminar reglas de aprendizaje automático, seleccione la opción correcta y haga clic en
Aceptar.
Véase también
Reglas de origen de datos en la página 530
Establecimiento de acciones de reglas de origen de datos en la página 530
Página Eliminar reglas de aprendizaje automático en la página 532

10
Página Eliminar reglas de aprendizaje automático

Permite seleccionar las reglas de origen de datos de aprendizaje automático que se desea eliminar.

Opción Definición
Eliminar todas las reglas de aprendizaje automático Permite eliminar todas las reglas de aprendizaje
para este tipo de origen de datos automático para el origen de datos seleccionado.
Elimine las reglas de aprendizaje automático Elimina las reglas seleccionadas en el panel de
seleccionadas visualización de reglas.
Eliminar todas las reglas de aprendizaje automático Elimina las reglas de aprendizaje automático anteriores a
anteriores a este momento la fecha introducida en el campo.
Eliminar todas las reglas de aprendizaje automático Elimina todas las reglas de aprendizaje automático
anteriores a la hora de retención del sistema anteriores a la fecha establecida como hora de retención
del sistema. Si necesita cambiar el tiempo de retención
de los datos, haga clic en Editar.
Véase también
Reglas de eventos de Windows

Las reglas de eventos de Windows se usan para generar eventos relacionados con Windows.
Se trata de reglas de origen de datos para eventos de Windows y son independientes del tipo de regla
de origen de datos porque constituyen caso de uso común. Todas las reglas de este tipo están
definidas por McAfee. No es posible agregarlas, modificarlas ni eliminarlas, pero cabe la posibilidad de
cambiar la configuración de sus propiedades.
Reglas de ADM
McAfee ADM consta de una serie de dispositivos de red con tecnología de motor de ICE para la
inspección profunda de paquetes (Deep Packet Inspection, DPI).
El motor de ICE es una biblioteca de software y una recopilación de módulos de complementos de
protocolo y contenido que puede identificar y extraer contenido a partir del tráfico de red sin procesar
en tiempo real. Es capaz de volver a ensamblar y descodificar por completo el contenido de nivel de
aplicación, para lo cual transforma los crípticos flujos de paquetes de red en contenido fácilmente
legible, como si se leyera en un archivo local.
El motor de ICE puede identificar automáticamente protocolos y tipos de contenido sin necesidad de
confiar en números de puerto de TCP o extensiones de archivo concretos. El motor de ICE no emplea
firmas para realizar los análisis y la descodificación; en su lugar, sus módulos implementan
analizadores completos para cada protocolo o tipo de contenido. Esto tiene como resultado una
identificación y una descodificación extremadamente precisas del contenido, y permite identificar y
extraer el contenido aunque esté comprimido o codificado de cualquier otra forma (es decir, que no
pasa por la red sin cifrar).
Gracias a la identificación y descodificación altamente precisas, el motor de ICE puede ofrecer una
visión del tráfico de red con una profundidad única. Por ejemplo, el motor de ICE podría recibir un
flujo de documento PDF que pasó por la red dentro de un archivo zip a modo de datos adjuntos
codificados en BASE-64 con dirección a una dirección de correo electrónico SMTP y procedente de un
servidor proxy SOCKS.
Este reconocimiento de aplicaciones y documentos permite al ADM proporcionar un contexto de

seguridad inestimable. Puede detectar amenazas que no se detectan fácilmente mediante un sistema
de detección de intrusiones tradicional o Nitro IPS, tales como:

10
• Fuga de información y documentos de carácter confidencial o infracciones de la directiva de

comunicación.
• Tráfico de aplicación no autorizado (por ejemplo, quién utiliza Gnutella).
• Aplicaciones utilizadas de formas inesperadas (por ejemplo, HTTPS en un puerto no estándar).
• Documentos potencialmente maliciosos (por ejemplo, un documento que no coincide con su

extensión).
• Exploits de última generación (por ejemplo, un documento PDF con un ejecutable incrustado).
El ADM también detecta patrones de tráfico malicioso mediante la localización de anomalías en los
protocolos de transporte y aplicación (por ejemplo, una conexión RPC que tiene un formato incorrecto
o que el puerto TCP es 0).
Aplicaciones y protocolos compatibles

Existen más de 500 aplicaciones y protocolos compatibles en los que el ADM puede supervisar,
descodificar y detectar anomalías. Esta lista incluye algunos ejemplos:
• Protocolos de red de bajo nivel: TCP/IP, UDP, RTP, RPC, SOCKS, DNS, etc.
• Correo electrónico: MAPI, NNTP, POP3, SMTP, Microsoft Exchange
• Chat: MSN, AIM/Oscar, Yahoo, Jabber, IRC
• Correo web: AOL Mail, Hotmail, Yahoo! Mail, Gmail, Facebook y correo de MySpace
• P2P: Gnutella, bitTorrent
• Shell: SSH (solo detección), Telnet
• Mensajería instantánea: AOL, ICQ, Jabber, MSN, SIP y Yahoo
• Protocolos de transferencia de archivos: FTP, HTTP, SMB y SSL
• Protocolos de compresión y extracción: BASE64, GZIP, MIME, TAR, ZIP, etc.
• Archivos de almacenamiento: RAR, ZIP, BZIP, GZIP, Binhex y archivos codificados con UU
• Paquetes de instalación: paquetes de Linux, archivos CAB de InstallShield, archivos CAB de

Microsoft
• Archivos de imagen: GIF, JPEG, PNG, TIFF, AutoCAD, Photoshop, mapa de bits, Visio, RAW digital e
iconos de Windows
• Archivos de audio: WAV, MIDI, RealAudio, Dolby Digital AC-3, MP3, MP4, MOD, RealAudio,
SHOUTCast, etc.
• Archivos de vídeo: AVI, Flash, QuickTime, Real Media, MPEG-4 , Vivo, Digital Video (DV), MJPEG,
etc.
• Otras aplicaciones y archivos: bases de datos, hojas de cálculo, faxes, aplicaciones web, fuentes,
archivos ejecutables, aplicaciones de Microsoft Office, juegos e incluso herramientas de desarrollo
de software
• Otros protocolos: impresora de red, acceso a shell, VoIP, y peer-to-peer

10
Conceptos clave
Para comprender cómo funciona el ADM, es fundamental conocer los siguientes conceptos:
• Objeto: un objeto es un elemento individual de contenido. Un mensaje de correo electrónico es un

objeto, pero también un contenedor de objetos, ya que consta del cuerpo del mensaje y de datos
adjuntos. Una página HTML es un objeto que puede contener otros objetos, tales como imágenes.
Un archivo .zip y cada uno de los archivos contenidos en él son objetos. El ADM desempaqueta el
contenedor y trata cada uno de los objetos que hay dentro como un objeto en sí mismo.
• Transacción: una transacción es un envoltorio que rodea la transferencia de un objeto

(contenido). Una transacción contiene como mínimo un objeto; no obstante, si ese objeto es un
contenedor, como un archivo .zip, la transacción podría contener varios objetos.
• Flujo: un flujo es la conexión de red TCP o UDP. Un flujo podría contener muchas transacciones.
Reglas de DEM
El auténtico poder de McAfee DEM radica en la forma en que captura y normaliza la información
contenida en los paquetes de red.
El DEM también tiene la capacidad de crear reglas complejas mediante expresiones lógicas y regulares
para la coincidencia con patrones, lo cual ofrece la posibilidad de supervisar los mensajes de bases de
datos o aplicaciones casi sin falsos positivos. Los datos normalizados (métricas) varían según la
aplicación, ya que algunos mensajes y protocolos de aplicación tienen más información que otros. Las
expresiones de filtrado se deben crear con cuidado, no solo en cuanto a sintaxis, sino también para
asegurarse de que la métrica sea compatible con la aplicación.
El DEM incluye un grupo de reglas predeterminado. Las reglas de conformidad predeterminadas

supervisan los eventos de base de datos significativos, tales como inicio/cierre de sesión, actividad de
administrador de base de datos, como por ejemplo cambios de DDL, actividad sospechosa y ataques
de base de datos, que suelen ser necesarios para satisfacer los requisitos de conformidad. Es posible
activar o desactivar cada una de las reglas predeterminadas y establecer el valor de los parámetros
que el usuario puede definir.
Estos son los tipos de reglas de DEM: base de datos, acceso a datos, descubrimiento y rastreo de
transacciones.
Tipos de regla Descripción

Base de datos El grupo de reglas predeterminado del DEM incluye reglas para todos los tipos de
bases de datos admitidos y normativas habituales tales como SOX, PCI, HIPAA y
FISMA. Es posible activar o desactivar cada una de las reglas predeterminadas y
establecer el valor de cada uno de los parámetros que el usuario puede definir.
Además de usar las reglas incluidas en el DEM, es posible crear reglas complejas
mediante expresiones lógicas y regulares. Esto permite supervisar los mensajes
de base de datos o aplicación prácticamente sin falsos positivos. Ya que algunos
mensajes y protocolos de aplicación tienen más información que otros, los datos
normalizados (métricas) varían según la aplicación.
Las reglas pueden ser tan complejas como sea necesario y permiten la inclusión
de operadores tanto lógicos como de expresión regular. Es posible aplicar una
expresión de regla a una o varias métricas disponibles para la aplicación.
Acceso a datos Las reglas de acceso a datos del DEM proporcionan la capacidad de rastrear rutas
de acceso desconocidas a la base de datos y enviar alertas en tiempo real.
Algunas infracciones habituales en los entornos de base de datos, como que los
desarrolladores de aplicaciones accedan a los sistemas de producción mediante los
ID de inicio de sesión de aplicación, se pueden rastrear con facilidad cuando se
crean las reglas de acceso a datos apropiadas.

10
Tipos de regla Descripción

Descubrimiento Las reglas de descubrimiento de base de datos del DEM proporcionan una lista de
excepciones de servidores de base de datos, de los tipos admitidos por el ESM,
que están en la red pero no se supervisan. Esto permite a un administrador de
seguridad descubrir los nuevos servidores de base de datos agregados al entorno
y los puertos de escucha no autorizados abiertos para acceder a los datos a través
de las bases de datos. Las reglas de descubrimiento (Editor de directivas | Tipo de regla
de DEM | Descubrimiento) son reglas predefinidas que no se pueden agregar ni editar.
Cuando se activa la opción de descubrimiento la página de servidores de base de
datos (Propiedades de DEM | Servidores de base de datos | Activar), el sistema emplea estas
reglas para buscar servidores de base de datos presentes en la red pero no
incluidos bajo el DEM en el árbol de navegación del sistema.
Rastreo de Las reglas de rastreo de transacciones permiten realizar un seguimiento de las

transacciones transacciones de base de datos y conciliar los cambios automáticamente. Por
ejemplo, el lento proceso de rastrear los cambios de base de datos y conciliarlos
mediante órdenes de trabajo autorizadas en el sistema de fichas de cambio
existente puede automatizarse por completo.
El uso de esta función se comprende mejor con un ejemplo:
El administrador de la base de datos, como parte del procedimiento normal,
ejecutaría el procedimiento almacenado de etiqueta de inicio
(spChangeControlStart en este ejemplo) en la base de datos donde se debe
realizar el trabajo antes de que empiece realmente el trabajo autorizado. La
función Rastreo de transacciones del DEM permite al administrador de base de datos
incluir un máximo de tres parámetros de cadena opcionales a modo de argumento
para la etiqueta en la secuencia correcta:
1 ID
2 Nombre o iniciales del administrador
3 Comentario
Por ejemplo, spChangeControlStart ‘12345’, ‘mshakir’, ‘reindexing app’
Cuando el DEM detecta la ejecución del proceso spChangeControlStart, no
solamente registra la transacción, sino también los parámetros (ID, nombre,
comentario) a modo de información especial.
Una vez terminado el trabajo, el administrador de base de datos ejecuta el
procedimiento almacenado de etiqueta de fin (spChangeControlEnd) y, si procede,
incluye un parámetro de ID, que debe ser el mismo que el ID de la etiqueta de
inicio. Cuando el DEM detecta la etiqueta de fin (y el ID), puede agrupar todas las
actividades entre la etiqueta de inicio (que tiene el mismo ID) y la etiqueta de fin
como una transacción especial. Entonces es posible informar por transacciones y
buscar por ID, que en este ejemplo de conciliación de órdenes de trabajo podría
ser el número de control de cambio.
También es posible utilizar el rastreo de transacciones para registrar el inicio y el
fin de una ejecución de orden o las sentencias de inicio y confirmación a fin de
informar mediante transacciones en lugar de consultas.
Véase también
Referencias de métricas para reglas de DEM en la página 536

10
Referencias de métricas para reglas de DEM

A continuación se ofrece una lista de referencias de métricas para las expresiones de reglas del DEM,
las cuales están disponibles en la página Componente de expresión cuando se agrega una regla en el DEM.
Nombre Definición Tipos de bases de datos

Nombre de El nombre que identifica el tipo de base de datos al MSSQL, Oracle, DB2,
aplicación que se aplica la regla. Sybase, MySQL, Informix,
PIServer, InterSystems
Cache
Hora de inicio Marca de tiempo de inicio de la consulta. MSSQL, Oracle, DB2,

Sybase, MySQL, Informix,
PostgreSQL, Teradata,
Cache
Desviación de hora Captura las desviaciones con respecto a la hora del MSSQL, Oracle, DB2,
de inicio servidor. Sybase, MySQL, PostgreSQL,
Teradata, PIServer,
InterSystems Cache
IP del cliente Dirección IP del cliente. MSSQL, Oracle, DB2,

Cache
Nombre del cliente Nombre del equipo cliente. MSSQL, Oracle, DB2,
Sybase, Informix, PIServer,
InterSystems Cache
PID del cliente ID de proceso asignado por el sistema operativo al MSSQL, DB2, Sybase,
proceso del cliente. MySQL
Puerto del cliente Número de puerto de la conexión de socket del MSSQL, Oracle, DB2,
cliente. Sybase, MySQL, Informix,
Cache
Nombre del Nombre del comando de MySQL. MSSQL, Oracle, DB2,

comando Sybase, Informix
Tipo de comando Tipo de comando de MySQL: DDL, DML, Show o MSSQL, Oracle, DB2,
Replication. Sybase, MySQL, Informix,
Cache
Datos entrantes Número total de bytes del paquete de consulta MSSQL, Oracle, DB2,
entrante. Sybase, MySQL, Informix,
Cache
Datos salientes Número total de bytes del paquete de resultado MSSQL, Oracle, DB2,
saliente. Sybase, MySQL, Informix,
Cache

10

Nombre de la base Nombre de la base de datos a la que se accede. MSSQL, DB2, Sybase,
de datos MySQL, Informix,
PostgreSQL, PIServer,
InterSystems Cache
Hora de fin Marca de tiempo de fin de la consulta. MSSQL, Oracle, DB2,

Cache
Mensaje de error Contiene el texto de mensaje asociado con las DB2, Informix
variables SQLCODE y SQLSTATE de la estructura de
datos SQLCA, que proporciona información sobre el
éxito o el fracaso de las sentencias SQL solicitadas.
Número de mensaje Un número de mensaje exclusivo asignado por el MSSQL, Oracle, Sybase,
servidor de base de datos a cada error. MySQL, Informix,
InterSystems Cache
Gravedad del Número de nivel de gravedad entre 10 y 24 que MSSQL, Sybase, Informix
mensaje indica el tipo y la gravedad del problema.
Texto de mensaje Texto completo del mensaje. MSSQL, Oracle, Sybase,

MySQL, Informix,
InterSystems Cache
Hora de red Tiempo que se tarda en enviar el conjunto de MSSQL, Oracle, DB2,
resultados de vuelta al cliente (response_time - Sybase, MySQL, Informix,
server_response_time). PostgreSQL, Teradata,
Cache
Nombre de cliente Nombre del equipo Windows donde el usuario inició MSSQL
de NT la sesión.
Nombre de dominio Nombre del dominio de Windows donde el usuario MSSQL

de NT inició la sesión.
Nombre de usuario Nombre de inicio de sesión de usuario de Windows. MSSQL
de NT
Nombre del objeto MSSQL, Oracle, DB2,
Sybase, MySQL, Informix
Nombre de usuario Oracle

del SO
Nombre del paquete Un paquete contiene estructuras de control utilizadas DB2
para ejecutar sentencias SQL. Los paquetes se
producen durante la preparación del programa y se
crean utilizando el subcomando BIND PACKAGE de
DB2.
Paquetes entrantes Número de paquetes que componen la consulta. MSSQL, Oracle, DB2,
Cache

10

Paquetes salientes Número de paquetes que componen el conjunto de MSSQL, Oracle, DB2,
resultados devuelto. Sybase, MySQL, Informix,
Cache
Contraseña MSSQL, Oracle, DB2,

PostgreSQL, InterSystems
Cache
Longitud de MSSQL, Oracle, DB2,

contraseña Sybase, MySQL, Informix,
PostgreSQL, InterSystems
Cache
Tamaño de bloque Un bloque de consulta es la unidad básica de DB2, Informix

de consulta transmisión para los datos de consultas y conjuntos
de resultados. La especificación del tamaño del
bloque de consulta permite al solicitante, que puede
tener limitaciones en cuanto a recursos, controlar la
cantidad de datos que se devuelven en cada
momento.
Estado de salida de Estado de salida de una consulta. MSSQL, Oracle, DB2,

consulta Sybase, MySQL, Informix,
InterSystems Cache
Número de consulta Un número exclusivo asignado a cada consulta por el MSSQL, Oracle, DB2,
agente de supervisión AuditProbe; empieza desde Sybase, MySQL, PostgreSQL,
cero para la primera consulta y va aumentando de Teradata, PIServer,
uno en uno. InterSystems Cache
Texto de consulta La consulta SQL real enviada por el cliente. MSSQL, Oracle, DB2,
Cache
Tipo de consulta Un número entero asignado a los distintos tipos de MSSQL, Oracle, Sybase
consultas.
Nombre de usuario Nombre de inicio de sesión de usuario del cliente.

real
Contenido de MSSQL, Oracle, DB2,
respuesta Sybase, MySQL, Informix
Tiempo de respuesta Tiempo de respuesta de un extremo a otro de la MSSQL, Oracle, Sybase,

consulta (server_response_time + network_time). MySQL, Informix,
InterSystems Cache
Filas de devolución Número de filas que componen el conjunto de MSSQL, Oracle, DB2,
resultados devuelto. Sybase, MySQL, Informix,
Cache

10

Indicador de Métrica de indicador de seguridad cuyo valor se MSSQL, Oracle, DB2,
seguridad establece en 1 (de confianza) o 2 (no fiable) cuando Sybase, MYSQL, Informix,
se cumplen los criterios del archivo de directiva de PostgreSQL, Teradata,
acceso especificados por el administrador. El valor 3 PIServer, InterSystems
indica que los criterios del archivo de directiva no se
han cumplido. El valor 0 indica que la supervisión de
seguridad no se ha activado.
Mecanismo de El mecanismo de seguridad utilizado para validar la DB2
seguridad identidad del usuario (por ejemplo, el ID de usuario y
la contraseña).
IP del servidor Dirección IP del host del servidor de base de datos. MSSQL, Oracle, DB2,
InterSystems Cache
Nombre del servidor Se trata del nombre del servidor. El nombre de host MSSQL, Oracle, DB2,
se asigna como nombre de servidor de forma Sybase, Informix, PIServer,
predeterminada. InterSystems Cache
Puerto del servidor Número de puerto del servidor. MSSQL, Oracle, DB2,
InterSystems Cache
Tiempo de respuesta Respuesta inicial del servidor de base de datos a la MSSQL, Oracle, DB2,
del servidor consulta del cliente. Sybase, MySQL, Informix,
Cache
Código de gravedad DB2
SID Identificador de sistema de Oracle. Oracle, Informix,

Cache
SPID ID de proceso de sistema de base de datos asignado MSSQL, Sybase

a cada conexión/sesión concreta.
Código SQL Cuando se ejecuta una sentencia SQL, el cliente
recibe un SQLCODE, el cual es un código de
devolución que proporciona información adicional
específica de DB2 sobre un error o una advertencia
de SQL:
• El SQLCODE EQ 0 indica que la ejecución ha sido
correcta.
• El SQLCODE GT 0 indica que la ejecución ha sido
correcta con una advertencia.
• EL SQLCODE LT 0 indica que la ejecución no ha
sido correcta.
• El SQLCODE EQ 100 indica que no se han
encontrado datos.
El significado de los SQLCODE distintos de 0 y 100
varía en función del producto concreto que
implemente SQL.
Comando SQL Tipo de comando SQL.

10

Estado SQL El SQLSTATE de DB2 es un código de devolución DB2
adicional que proporciona a los programas de
aplicación códigos de devolución comunes para
situaciones de error habituales en los sistemas de
bases de datos relacionales de IBM.
Nombre de usuario Nombre de inicio de sesión de usuario de la base de MSSQL, Oracle, DB2,
datos. Sybase, MySQL, Informix,
Cache
Véase también
Reglas de DEM en la página 534
Reglas de correlación
La finalidad principal del motor de correlación es analizar los datos que fluyen del ESM, detectar
patrones interesantes en el flujo de datos, generar alertas que representen esos patrones e insertar
las alertas en la base de datos de alertas del receptor. El motor de correlación se activa cuando se
configura un origen de datos de correlación.
Dentro del motor de correlación, un patrón interesante tiene como resultado datos interpretados por
una regla de correlación. Una regla de correlación es distinta e independiente de una regla estándar o
de firewall, y dispone de un atributo que especifica su comportamiento. Cada receptor obtiene un
grupo de reglas de correlación de un ESM (grupo de reglas de correlación desplegado), el cual se
compone de cero o más reglas de correlación con un conjunto cualquiera de valores de parámetros
definidos por el usuario. Al igual que en el caso de los grupos de reglas estándar y de firewall, se
incluirá un grupo de reglas de correlación de base en cada ESM (grupo de reglas de correlación básico)
y las actualizaciones de este grupo de reglas se desplegarán en los dispositivos ESM desde el servidor
de actualización de reglas.
Las reglas del servidor de actualización de reglas incluyen valores predeterminados. Cuando se actualiza
el grupo de reglas básico del motor de correlación, es necesario personalizar estos valores
predeterminados para que representen la red de forma apropiada. Si despliega estas reglas sin cambiar
los valores predeterminados, pueden generar falsos positivos o falsos negativos.
Solo se puede configurar un origen de datos de correlación por cada receptor, de forma similar a la
configuración de syslog u OPSEC. Una vez configurado el origen de datos de correlación, se puede
editar el grupo de reglas de base a fin de crear el grupo de reglas de correlación desplegado mediante
el Editor de reglas de correlación. Cabe la posibilidad de activar o desactivar cada regla de correlación y
establecer el valor de los parámetros definibles por el usuario de cada regla.
Además de activar o desactivar las reglas de correlación, el Editor de reglas de correlación permite crear
reglas personalizadas y crear componentes de correlación personalizados que se pueden agregar a las
reglas de correlación.
Véase también
Visualización de los detalles de las reglas de correlación en la página 541
Configuración de una regla de correlación para comparar dos campos en un evento en la
página 541
Omisión de Agrupar por en la página 542

10
Visualización de los detalles de las reglas de correlación

Las reglas de correlación muestran ahora detalles sobre la causa de que se activara la regla. Esta
información puede ayudarle a realizar ajustes en relación con los falsos positivos.
Los detalles se recopilan siempre en el momento de la solicitud en la interfaz de usuario. No obstante,
en el caso de las reglas que usan listas de vigilancia dinámicas u otros valores que pueden cambiar
con frecuencia, es posible configurar la regla para obtener los detalles de inmediato tras la activación.
Esto reduce la posibilidad de que los detalles dejen de estar disponibles.
Procedimiento
1 Configurar cada una de las reglas para que los detalles se muestren de inmediato:
a En la consola de ESM, haga clic en el icono de inicio rápido Correlación .
Se abrirá el Editor de directivas con el tipo de regla Correlación seleccionado.
b Haga clic en la columna Detalles correspondiente a la regla y seleccione Activado.
Puede seleccionar varias reglas a la vez.
2 Ver los detalles:

a En el árbol de navegación del sistema, haga clic en Correlación de reglas bajo el dispositivo ACE.
b En la lista de vistas, seleccione Vistas de eventos | Análisis de eventos y haga clic en el evento que
desee ver.
c Haga clic en la ficha Detalles de correlación para ver los detalles.
Véase también
Reglas de correlación en la página 540
página 541
Configuración de una regla de correlación para comparar dos campos en un

evento
El Editor de valores predeterminados permite configurar una regla de correlación para comparar los valores de
dos campos diferentes dentro de un evento.
Por ejemplo, puede configurar una regla para garantizar que el usuario de origen y el usuario de
destino coincidan. También puede configurar una regla para garantizar que la dirección IP de origen y
la dirección IP de destino no coincidan.
En el caso de los campos numéricos, se admiten los operadores mayor que (>), menor que (<),
mayor o igual que (>=) y menor o igual que (<=).
Procedimiento
1
2 En el panel Tipos de regla, seleccione Correlación, haga clic en la regla que desee utilizar para comparar
campos y, después, haga clic en Editar | Modificar.

10
3
Haga clic en el icono de menú de un componente lógico y, después, haga clic en Editar.
4 En el área de filtrado, haga clic en Agregar, agregue un filtro nuevo o seleccione un filtro existente y
haga clic en Editar.
5
Haga clic en el icono del Editor de valores predeterminados , escriba el valor y haga clic en Agregar;
después, seleccione el campo en la ficha Campos y haga clic en Agregar.
Véase también
Omisión de Agrupar por

Si ha configurado una regla de correlación para llevar a cabo la agrupación según un campo específico,
puede omitir uno de los componentes de la regla a fin de que coincida con otro campo distinto.
Por ejemplo, si establece el campo Agrupar por de una regla de correlación con el valor IP de origen, puede
omitir un componente de la regla para utilizar IP de destino. Esto significa que todos los eventos tienen la
misma IP de origen excepto los eventos que coinciden con el componente omitido. En dichos eventos,
la IP de destino coincide con la IP de origen del resto de eventos. Esta función resulta útil para buscar
un evento que se dirige a un destino concreto seguido por otro evento que se origina en dicho destino.
Procedimiento
1
2 Haga clic en Correlación en el panel Tipos de regla, seleccione una regla y haga clic en Editar | Modificar.
3 Arrastre y coloque el elemento lógico Coincidir componente en el área Lógica de correlación y, después,
haga clic en el icono de menú o en el icono de menú de un elemento Coincidir componente
existente en el área Lógica de correlación.
4 Seleccione editar, haga clic en Opciones avanzadas y, después, seleccione Omitir Agrupar por y haga clic en
Configurar.
5 En la página Configurar omisiones de Agrupar por, seleccione el campo de omisión y haga clic en Aceptar.
Véase también
página 541
Adición de reglas de correlación, base de datos o ADM

personalizadas
Además de usar las reglas de correlación, base de datos y ADM predefinidas, es posible crear reglas
complejas mediante expresiones regulares y lógicas. Los editores empleados para agregar estos tipos
distintos de reglas se parecen mucho entre ellos, así que se describen en las mismas secciones.

10
Procedimiento
1 En el panel Tipos de regla del Editor de directivas, seleccione ADM, DEM | Base de datos o Correlación.
2 Haga clic en Nueva y seleccione el tipo de regla que desee agregar.
3 Introduzca la información solicitada y, después, arrastre y suelte elementos lógicos y componentes

de expresión de la barra de herramientas en el área Lógica de expresión a fin de crear la lógica de la
regla.
Procedimientos
• Adición de parámetros a un componente o una regla de correlación en la página 547
Los parámetros de una regla o un componente controlan su comportamiento cuando se
ejecutan. Los parámetros no son necesarios.
• Adición o edición de una regla de acceso a datos en la página 551
Las directivas de acceso a datos de DEM proporcionan la capacidad de rastrear rutas de
acceso desconocidas a la base de datos y enviar eventos en tiempo real.
• Adición o edición de una regla de rastreo de transacciones en la página 552
Las reglas de rastreo de transacciones rastrean las transacciones de la base de datos y
concilian automáticamente los cambios, además de registrar el inicio y el fin de una
ejecución de orden o las sentencias de inicio y confirmación a fin de informar mediante
transacciones en lugar de consultas.
• Administración de reglas de correlación, DEM o ADM personalizadas en la página 553
Copie una regla predefinida y utilícela como plantilla para crear una regla personalizada. Al
agregar una regla personalizada, es posible editar la configuración, copiarla y pegarla a fin
de emplearla a modo de plantilla para una regla personalizada nueva, o bien eliminarla.
• Configuración de la regla y el informe para las pistas de auditoría de base de datos en la
página 554
Un informe de tipo Pistas de auditoría de usuario con privilegios permite ver la pista de auditoría de
las modificaciones realizadas en la base de datos o rastrear el acceso a una base de datos o
tabla asociadas con un evento de base de datos concreto.
Véase también
Editor de reglas de base de datos en la página 543
Editor de reglas de correlación en la página 544
Página Coincidir componente en la página 545
Página Componente de expresión en la página 545
Editor de reglas de base de datos

Permite agregar una regla de base de datos.

Opción Definición
Nombre Escriba un nombre descriptivo para la regla.
Gravedad Seleccione una configuración de gravedad.
ID de normalización Cambie el ID normalizado predeterminado si lo desea.
Etiquetas Seleccione etiquetas que definan las categorías a las que pertenece la
regla.
Tipo Seleccione el tipo de regla de base de datos del que se trata.

10

Opción Definición
Acción predeterminada Seleccione la acción de alerta que activa esta regla.
Es posible agregar acciones a la lista de acciones predeterminadas (véase

Adición de una acción de DEM).
Área Lógica de expresión Arrastre y suelte componentes y elementos lógicos en esta área para
definir la lógica de la regla.
Elementos lógicos AND y Arrastre y suelte elementos lógicos en el área Lógica de expresión para definir
OR la lógica de la regla.
Icono Componente de Arrastre y suelte el icono para definir los detalles de los elementos
lógicos.
expresión
Descripción Escriba una descripción de la regla, la cual aparecerá en el área de
descripción del Editor de directivas al seleccionarla.
Véase también
Adición de reglas de correlación, base de datos o ADM personalizadas en la página 542
Editor de reglas de correlación

Permite crear una regla de correlación.
Opción Definición
Nombre Escriba un nombre descriptivo para la regla.
Gravedad Seleccione una configuración de gravedad.
ID de normalización Cambie el ID normalizado predeterminado si lo desea.
Etiquetas Seleccione etiquetas que definan las categorías a las que pertenece la
regla.
Agrupar por Cree una lista de campos que se pueda usar para agrupar los eventos a
medida que lleguen al motor de correlación.
Área Lógica de correlación Arrastre y suelte componentes y elementos lógicos en esta área para
definir la lógica de la regla (véase Ejemplo de regla de correlación
personalizada).
Parámetros Personalice las instancias de una regla y la reutilización de componentes
(véase Adición de parámetros a un componente o una regla de
correlación).
Elementos lógicos AND, Arrastre y suelte los elementos lógicos en el área Lógica de correlación para
OR y SET definir la lógica de la regla.
Iconos Coincidir componente, Arrastre y suelte componentes para definir los detalles de los elementos
Componente de desviación y lógicos.
Reglas/componentes
Descripción Agregue una descripción de la regla, la cual aparecerá en el área de
descripción del Editor de directivas al hacer clic en ella.
Véase también

10
Página Coincidir componente

Defina los campos y los valores con los que debe coincidir el evento para que se active la regla de
correlación.

Opción Definición
Eventos, Flujos Seleccione el tipo de datos a los que desee aplicar el filtrado. Es
posible seleccionar ambos tipos.
Agregar Permite agregar filtros para este componente.
Opciones Es necesario respetar Seleccione esta opción si es necesario que exista un número
avanzadas un cierto número de específico de valores en un campo concreto para que se active el
Valores distintos... componente.
•
Valores distintos: haga clic en el icono Valor predeterminado para
seleccionar el número de valores que debe existir.
•
Campos supervisados: haga clic en el icono Valor predeterminado para
seleccionar el campo donde deben existir los valores.
Este componente Seleccione esta opción si desea que el componente solo se active si
solo debe activarse no se producen coincidencias en el período de tiempo especificado
si... en el campo Período de tiempo en el nivel de puerta.
Omitir Agrupar por Seleccione esta opción para personalizar la agrupación de los
eventos en una regla de correlación. Si dispone de una regla que
agrupa según un campo específico, puede omitir uno de sus
componentes para que la coincidencia se produzca con un campo
especificado en la página Configurar omisiones de Agrupar por. Haga clic en
Configurar para establecer el campo de omisión (véase Omisión de
Agrupar por).
Véase también
Página Componente de expresión

Permite definir la configuración del componente de expresión de una regla de base de datos de ADM o
DEM.

Opción Definición
Not Seleccione esta opción para excluir los valores seleccionados.
Plazo (ADM y DEM) Seleccione la referencia métrica para la expresión. Para ver una
descripción de las opciones para una regla de base de datos de DEM, véase
Referencias de métricas para reglas de DEM.
Descripción (ADM) Escriba una descripción del componente.
Diccionario (ADM) Si desea que esta regla haga referencia a un diccionario de ADM que se
encuentra en el ESM, selecciónelo en la lista desplegable (véase Diccionarios de
ADM).

10

Opción Definición
Operador Seleccione el operador relacional.
ADM
• Igual a = • Mayor o igual que >=
• No igual a != • Menor o igual que <=
• Mayor que > • Menor que <
Base de datos de DEM

• EQ – Igual a • NB - No entre
• BT - Entre • NE - No igual a
• GE - Mayor o igual que • NGT - No mayor que
• GT - Mayor que • NLE - No menor que
• LE - Menor o igual que • REGEXP - Expresión regular
• LT - Menor que
Valores de Indique si la regla se activará cuando cualquiera de los valores coincida con el
coincidencia patrón definido o solamente cuando todos los valores coincidan con el patrón.
Valor (ADM) Seleccione las variables por las que filtrar.
• Si hay un icono de variables junto al campo, haga clic en él y seleccione las
variables.
• En caso contrario, escriba el valor según las instrucciones del campo Entrada válida.
(DEM) Introduzca el valor por el que filtrar.
Entrada válida Permite ver sugerencias sobre los valores que se pueden introducir en el campo
Valor.
Véase también
Elementos lógicos
Cuando agregue un Application Data Monitor (ADM), una base de datos y un componente o una regla
de correlación, utilice Lógica de expresión o Lógica de correlación para crear el marco de la regla.
Elemento Descripción
AND Funciona igual que un operador lógico en un lenguaje informático. Todo lo agrupado bajo
este elemento lógico debe ser verdadero para que la condición sea verdadera. Use esta
opción si desea que se cumplan todas las condiciones bajo este elemento lógico antes de
que se active una regla.
OR Funciona igual que un operador lógico en un lenguaje informático. Solo una de las
condiciones agrupadas bajo este elemento tiene que ser verdadera para que la condición
sea verdadera. Use este elemento si desea que se active la regla cuando se cumpla una
de las condiciones.
SET En el caso de los componentes o las reglas de correlación, SET permite definir
condiciones y seleccionar el número de condiciones que deben ser verdaderas para que
se active la regla. Por ejemplo, si se deben cumplir dos de las tres condiciones del
conjunto para que se active la regla, la configuración será "2 de 3".
Cada uno de estos elementos dispone de un menú con al menos dos de estas opciones:

10
• Editar: es posible editar la configuración predeterminada (véase Edición de elementos lógicos).
• Quitar elemento lógico: permite eliminar el elemento lógico seleccionado. En caso de existir elementos
secundarios no se eliminan, sino que se mueven hacia arriba en la jerarquía.
Esto no se aplica al elemento raíz (el primero de la jerarquía). Si se elimina el elemento raíz,
también se eliminan todos los elementos secundarios.
• Quitar el elemento lógico y todos sus elementos secundarios: es posible eliminar el elemento seleccionado y
todos sus elementos secundarios de la jerarquía.
Al establecer la lógica de la regla, es necesario agregar componentes a fin de definir las condiciones
para la regla. En el caso de las reglas de correlación, también se pueden agregar parámetros para
controlar el comportamiento de la regla o el componente cuando se ejecuten.
Véase también
Edición de elementos lógicos en la página 547
Edición de elementos lógicos

Los elementos lógicos AND, OR y SET tienen una configuración predeterminada. Esta configuración se
puede cambiar en la página Editar elemento lógico.
Procedimiento
1 En el editor de reglas, arrastre y suelte un elemento lógico en las áreas Lógica de expresión o Lógica de
correlación.
2
Haga clic en el icono Menú correspondiente al elemento que desee editar y, después, haga clic
en Editar.
3 Cambie la configuración y haga clic en Aceptar.
Véase también
Elementos lógicos en la página 377
Adición de parámetros a un componente o una regla de correlación

Los parámetros de una regla o un componente controlan su comportamiento cuando se ejecutan. Los
parámetros no son necesarios.
Procedimiento
1 En las páginas Regla de correlación o Componente de correlación, haga clic en Parámetros.
2 Haga clic en Agregar y escriba un nombre para el parámetro.
3 Seleccione el tipo de parámetro que desee y, después, seleccione los valores o anule su selección.
Los valores de Lista e Intervalo no se pueden usar al mismo tiempo. Un valor de lista no puede incluir
un intervalo (1–6 8, 10, 13). La forma correcta de escribir esto es 1, 2, 3, 4, 5, 6, 8, 10, 13.
4 Para seleccionar el valor predeterminado del parámetro, haga clic en el icono Editor de valores
predeterminados .

10
5 Si no desea que el parámetro resulte visible de forma externa, anule la selección de la opción Visible
externamente. El parámetro es local en cuanto al ámbito de la regla.
6 Escriba una descripción del parámetro, que aparecerá en el cuadro de texto Descripción de la página
Parámetros de regla al resaltar el parámetro.
7 Haga clic en Aceptar y, a continuación, en Cerrar.
Véase también
Página Agregar parámetro en la página 548
Página Editor de valores en la página 548
Página Parámetros de regla en la página 549
Página Reglas/componentes en la página 549
Página Agregar parámetro

Permite agregar un parámetro para su uso en una regla o un componente de correlación.

Opción Definición
Nombre Escriba un nombre para el parámetro.
Tipo Seleccione el tipo de parámetro del que se trata.
Valores que se pueden Seleccione los valores que se introducirán en este parámetro o anule su
introducir en este parámetro selección. Los valores de Lista e Intervalo no se pueden usar al mismo tiempo.
Un valor de lista no puede incluir un intervalo (1-6 8, 10, 13). La forma
correcta de escribir esto sería 1, 2, 3, 4, 5, 6, 8, 10, 13.
Valor predeterminado Para seleccionar el valor predeterminado del parámetro, haga clic en el icono
Editor de valores predeterminados.
Visible externamente Si no desea que el parámetro resulte visible de forma externa, anule la
selección de esta opción. De esta forma, el parámetro será local en el ámbito
de la regla.
Descripción Escriba una descripción del parámetro, que aparecerá en el cuadro Descripción
de la página Parámetros de regla al hacer clic en el parámetro.
Véase también
Adición de parámetros a un componente o una regla de correlación en la página 547
Página Editor de valores

Permite cambiar los parámetros de la regla de correlación seleccionada.
Opción Definición
Tabla Enumera los parámetros para la regla junto con su valor actual y el valor
predeterminado.
Editar Permite realizar cambios en el valor.
Descripción Describe el parámetro seleccionado en la tabla.
Restaurar valores predeterminados Permite restaurar los valores a su configuración predeterminada.
Véase también

10
Página Parámetros de regla

Los parámetros de regla de un componente o regla de correlación controlan el comportamiento
cuando se ejecutan.
Opción Definición
Tabla Ver los parámetros existentes. Si es un componente o una regla nuevos, no aparecerá
ninguno.
Agregar Agregar un parámetro nuevo para la regla o el componente.
Editar Realizar cambios en la configuración de un parámetro existente.
Eliminar Eliminar un parámetro.
Descripción Ver una descripción del parámetro seleccionado.
Véase también
Página Reglas/componentes
La página Reglas/componentes indica las reglas y los componentes a los que se puede hacer referencia
desde el componente o la regla de correlación.
Opción Definición
Tabla Seleccione la regla o el componente a los que desee hacer referencia.
Descripción Muestra una descripción de la regla o el componente seleccionados.
Véase también
Ejemplo de componente o regla de correlación personalizados

Agregue un componente o regla de correlación.
La regla que vamos a agregar en este ejemplo genera una alerta cuando el ESM detecta cinco intentos
de inicio de sesión fallidos de un mismo origen en un sistema Windows, seguidos por un inicio de
sesión correcto, todo ello en un plazo de diez minutos.
1 En el panel Tipos de regla del Editor de directivas, haga clic en Correlación.
2 Haga clic en Nueva y, después, seleccione Regla de correlación.
3 Escriba un nombre descriptivo y seleccione la gravedad.
Ya que un evento generado por esta regla podría indicar que una persona no autorizada ha accedido
al sistema, un valor de gravedad adecuado sería 80.
4 Seleccione el ID de normalización, que podría ser Autenticación o Autenticación | Inicio de sesión y,

después, arrastre y suelte el elemento lógico AND.
Se utiliza AND porque hay dos tipos de acciones que deben llevarse a cabo (primero los intentos de
inicio de sesión y luego un inicio de sesión correcto).
5
Haga clic en el icono Menú y seleccione Editar.

10
6 Seleccione Secuencia para indicar que las acciones (primero cinco intentos de inicio de sesión fallidos
y después un inicio de sesión correcto) deben producirse en una secuencia; después, establezca el
número de veces que se debe producir esta secuencia, que este caso sería "1".
7 Establezca el periodo de tiempo en que se deben producir las acciones y haga clic en Aceptar.
Ya que existen dos acciones que requieren periodos de tiempo, el periodo de diez minutos debe
dividirse entre las dos. En este ejemplo, cinco minutos es el periodo de tiempo para cada acción.
Una vez que se han producido los intentos fallidos en un plazo de cinco minutos, el sistema empieza
a esperar un inicio de sesión correcto del mismo origen de IP en los siguientes cinco minutos.
8 En el campo Agrupar por, haga clic en el icono, mueva la opción IP de origen de la izquierda a la derecha
para indicar que todas las acciones deben proceder de la misma IP de origen y, después, haga clic
en Aceptar.
9 Defina la lógica para esta regla o este componente.

10

Especificar el tipo de 1
filtro que identifica los Arrastre el icono Filtro y suéltelo en el elemento lógico AND.
eventos de interés (en
este caso, varios 2 En la página Componente de filtrado de campos, haga clic en Agregar.
intentos de inicio de 3 Seleccione Regla de normalización | En y, después, seleccione:
sesión fallidos en un
sistema Windows). • Normalización
• Autenticación
• Inicio de sesión
• Inicio de sesión de host
• Varios intentos de inicio de sesión fallidos en un host de Windows
Indique el número de 1 Arrastre y suelte el elemento lógico AND en la barra Filtro.

veces que debe
producirse el fallo de Se utiliza el elemento AND porque son cinco los intentos distintos que
inicio de sesión y el deben producirse. El elemento permite establecer el número de veces y la
periodo de tiempo en cantidad de tiempo en que deben producirse.
el que deben ocurrir
estos fallos.
2
Haga clic en el icono Menú correspondiente al elemento AND recién
agregado y haga clic en Editar.
3 En el campo Umbral, introduzca 5 y borre el resto de valores presentes.
4 Configure el campo Período de tiempo con el valor 5.
Defina el segundo tipo 1 Arrastre y suelte el icono Filtro en la parte inferior del corchete
de filtro que debe correspondiente al primer elemento lógico AND.
utilizarse, que es el
inicio de sesión 2 En la página Coincidir componente, haga clic en Agregar.
correcto.
3 En los campos, seleccione Regla de normalización | En y, después, seleccione:
• Normalización
• Autenticación
• Inicio de sesión
• Inicio de sesión de host
4 Haga clic en Aceptar para volver a la página Coincidir componente.
5 Para definir que el inicio de sesión debe ser correcto, haga clic en Agregar,
seleccione Subtipo de evento | En, haga clic en el icono Variables y haga clic en
Subtipo de evento | correcto | Agregar.
6 Haga clic en Aceptar para volver al Editor de directivas.
La nueva regla se agregará a la lista de reglas de correlación en el Editor de directivas.
Adición o edición de una regla de acceso a datos

Las directivas de acceso a datos de DEM proporcionan la capacidad de rastrear rutas de acceso
desconocidas a la base de datos y enviar eventos en tiempo real.
Algunas infracciones habituales en los entornos de base de datos, como que los desarrolladores de
aplicaciones accedan a los sistemas de producción mediante los ID de inicio de sesión de aplicación, se
pueden rastrear con facilidad cuando se crean las directivas de acceso a datos apropiadas.

10
Procedimiento
1 En el panel Tipos de regla del Editor de directivas, seleccione DEM | Acceso a datos.

• Para agregar una regla, seleccione Nueva y haga clic en Regla de acceso a datos.
• Para editar una regla, selecciónela en el panel de la pantalla de reglas y haga clic en Editar |
Modificar.
Adición o edición de una regla de rastreo de transacciones

Las reglas de rastreo de transacciones rastrean las transacciones de la base de datos y concilian
automáticamente los cambios, además de registrar el inicio y el fin de una ejecución de orden o las
sentencias de inicio y confirmación a fin de informar mediante transacciones en lugar de consultas.
Procedimiento
1 En el Editor de directivas, seleccione DEM | Rastreo de transacciones.

• Para agregar una regla nueva, haga clic en Nueva y, después, en Regla de rastreo de transacciones.
• Para editar una regla, selecciónela en el panel de la pantalla de reglas y haga clic en Editar |
Modificar.
Procedimientos
• Página Regla de rastreo de transacciones en la página 552
Permite agregar o editar una regla de rastreo de transacciones.
Véase también
Página Regla de rastreo de transacciones en la página 552
Página Regla de rastreo de transacciones

Permite agregar o editar una regla de rastreo de transacciones.

Opción Definición
Tipo Seleccione el tipo de regla de rastreo de transacciones del que se trata.
Nombre de regla Escriba un nombre para la regla. Debe ser exclusivo, debería ser descriptivo y
solo puede contener caracteres alfanuméricos, caracteres de subrayado (_) y
espacios.
Etiqueta de inicio de Escriba la consulta SQL que se debe ejecutar antes de realizar cambios en la
consulta base de datos (por ejemplo, spChangeControlStart).
Etiqueta de fin de consulta Escriba la consulta SQL que se debe ejecutar tras realizar cambios en la base
de datos (por ejemplo, spChangeControlEnd).

10

Opción Definición
Etiquetas Haga clic en Seleccionar, elija las etiquetas que desee asociar con la regla y
ID normalizado
Si desea cambiar el predeterminado, haga clic en el icono y seleccione el
ID.
Gravedad Seleccione la configuración de gravedad.
Descripción Escriba una descripción para la regla.
Véase también
Adición o edición de una regla de rastreo de transacciones en la página 552
Administración de reglas de correlación, DEM o ADM personalizadas

Copie una regla predefinida y utilícela como plantilla para crear una regla personalizada. Al agregar
una regla personalizada, es posible editar la configuración, copiarla y pegarla a fin de emplearla a
modo de plantilla para una regla personalizada nueva, o bien eliminarla.
Procedimiento
1 En el Editor de directivas, seleccione ADM o DEM | Base de datos, Acceso a datos o Rastreo de transacciones.

Ver todas las reglas 1 Seleccione la ficha Filtro en el panel Filtros/etiquetado.
personalizadas de ADM o
DEM 2 Haga clic en la barra Avanzadas en la parte inferior del panel.
3 En el campo Origen, seleccione definido por el usuario.
4 Haga clic en Ejecutar consulta.

Las reglas personalizadas del tipo seleccionado aparecerán en el panel
de visualización de reglas.
Copiar y pegar una regla 1 Seleccione una regla predefinida o personalizada.
2 Haga clic en Editar | Copiar
3 Haga clic en Editar | Pegar.

La regla copiada se agregará a la lista de reglas existentes con el
mismo nombre.
4 Para cambiar el nombre, haga clic en Editar | Modificar.
Modificar una regla 1 Seleccione la regla personalizada.

personalizada
2 Haga clic en Editar | Modificar.
Eliminar una regla 1 Seleccione la regla personalizada.

personalizada
2 Haga clic en Editar | Eliminar.

10
Configuración de la regla y el informe para las pistas de auditoría de base

de datos
Un informe de tipo Pistas de auditoría de usuario con privilegios permite ver la pista de auditoría de las
modificaciones realizadas en la base de datos o rastrear el acceso a una base de datos o tabla
asociadas con un evento de base de datos concreto.
Una vez configurados los parámetros para generar este informe, se reciben notificaciones de informe
de conformidad que muestran la pista de auditoría asociada con cada evento. Para generar los eventos
de pista de auditoría, es necesario agregar una regla Acceso a datos y un informe Pistas de auditoría de usuario
con privilegios.
Procedimiento
1 En el panel Tipos de regla del Editor de directivas, seleccione DEM | Acceso a datos.
2 Resalte DEM - Regla de plantilla - Acceso de uso de confianza desde intervalo de IP en el panel de visualización de
reglas.
3 Haga clic en Editar | Copiar y, después, en Editar | Pegar.
4 Cambie el nombre y las propiedades de la nueva regla.

a Resalte la nueva regla y seleccione Editar | Modificar.
b Introduzca un nombre para la regla y, después, escriba el nombre de usuario.
c Seleccione el tipo de acción No fiable y haga clic en Aceptar.
5
Haga clic en el icono Desplegar .
6 Configure el informe:
a En Propiedades del sistema, haga clic en Informes | Agregar.
b Rellene las secciones de la 1 a la 3 y la sección 6.
c En la sección 4, seleccione Informe en PDF o Informe en HTML.
d En la sección 5, seleccione Conformidad | SOX | Pistas de auditoría de usuario con privilegios (Base de datos).
e Haga clic en Guardar.
7 Para generar el informe, haga clic en Ejecutar ahora.
Reglas de ESM
Las reglas de ESM se emplean para generar eventos relacionados con el ESM.
Todas las reglas de este tipo están definidas por McAfee. Se pueden utilizar para generar informes de
conformidad o auditoría que muestren lo que ha ocurrido en el ESM. No es posible agregar, modificar
ni eliminar estas reglas. Sin embargo, es posible cambiar la configuración de las propiedades (véase
Tipos de reglas y sus propiedades).

10
Normalización
Cada proveedor pone nombre a sus reglas y las describe. Como resultado, a menudo un mismo tipo
de regla tiene distintos nombres, lo cual dificulta la recopilación de información sobre los tipos de
eventos que se producen.
McAfee ha compilado y actualiza de forma constante una lista de ID normalizados que describen las
reglas, de forma que los eventos se puedan agrupar en categorías útiles. Cuando se hace clic en
Normalización en el panel Tipos de regla del Editor de directivas, aparecen estos ID, nombres y descripciones.
Estas funciones de evento ofrecen la opción de organizar la información sobre eventos mediante ID
normalizados:
• Ver campos de componentes: Resumen de evento normalizado es una opción disponible al definir los
campos para una consulta de evento en un gráfico circular, un gráfico de barras y los componentes
de lista (véase Administración de consultas).
• Ver filtros de componentes: cuando se crea una vista nueva, es posible filtrar los datos de eventos
en un componente por los ID normalizados (véase Administración de consultas).
• Ver filtros: ID normalizado es una opción presente en la lista de filtros de vista (véase Filtrado de
vistas).
• Ver lista: hay disponible una vista Resumen de evento normalizado en la lista de Vistas de evento.
La ficha Detalles de la vista Análisis de eventos muestra el ID de normalización de los eventos que aparecen
en la lista.
Al agregar filtros de ID normalizado a una vista nueva o existente, es posible:

• Filtrar según todos los ID normalizados en una carpeta de primer nivel. Se incluye una máscara (/5
para una carpeta de primer nivel) al final del ID para indicar que los eventos también se filtrarán
según los ID secundarios de la carpeta seleccionada.
• Filtrar por los ID de una carpeta de segundo o tercer nivel. Se incluye una máscara (/12 para una
carpeta de segundo nivel y /18 para una carpeta de tercer nivel) al final del ID para indicar que los
eventos se filtrarán según los ID secundarios de la subcarpeta seleccionada. El cuarto nivel no
dispone de máscara.
• Filtrar por un ID único.
• Filtrar por varias carpetas o ID al mismo tiempo mediante su selección con las teclas Ctrl o Mayús.
Activación de Copiar paquete

Cuando se activa la opción Copiar paquete para una regla, los datos de paquete se copian en el ESM. Si
está activada, los datos del paquete se incluyen en los datos del evento de origen de una alarma de
tipo Coincidencia de evento interno o Coincidencia de campo.
Procedimiento
1
2 En el panel Tipos de regla, haga clic en el tipo de regla al que desee acceder y, después, localice la
regla en el panel de visualización de reglas.
3 Haga clic en la configuración actual de la columna Copiar paquete, que es desactivado de forma
predeterminada, y haga clic en activado.

10

Es posible configurar la directiva predeterminada para que funcione en el modo de solo alertas o en el
modo de sobresuscripción. También cabe la posibilidad de ver el estado de las actualizaciones de
reglas y de iniciar una actualización.
Modo de solo alertas

Es posible aplicar directivas a dispositivos Nitro IPS y dispositivos virtuales en el Modo de solo alertas.
Cuando el Modo de solo alertas está activado, se envían todas las reglas activadas a los dispositivos con el
uso de alertas aunque la regla esté establecida con una acción de bloqueo como supresión. Al visualizar
los eventos generados, la columna Subtipo de evento incluye la acción como Alerta seguida por la acción
realizada si no estuviera activado el Modo de solo alertas, como alerta-supresión. Esto resulta útil para los
administradores de sistemas que se están familiarizando con los patrones de tráfico de la red, ya que
les permite analizar los eventos generados sin bloquear activamente ningún evento pero viendo la
acción que se realizaría si no estuviera activado el Modo de solo alertas.
La activación del Modo de solo alertas no cambia la configuración de uso individual de las reglas
individuales en el Editor de directivas. Por ejemplo, cuando está activado, podría enviarse una regla al
dispositivo Nitro IPS o el dispositivo virtual con el uso de alertas aunque su uso en el Editor de directivas
esté establecido en supresión (con la excepción de que un grupo de reglas esté establecido con el valor
paso, en cuyo caso permanece igual en este modo). Esto permite activar y desactivar con facilidad el
Modo de solo alertas sin que ello afecte a la configuración de directiva. El Modo de solo alertas no afecta a las
reglas desactivadas. Las reglas nunca se envían a un dispositivo cuando están configuradas con el
valor Desactivar.
Véase también
Activación del Modo de solo alertas en la página 556
Activación del Modo de solo alertas

Si desea que todas las reglas activadas se envíen a los dispositivos con el uso de alertas, deberá
activar la función Modo de solo alertas. Esta opción hace uso de la herencia, de forma que esta
configuración de directiva omite el valor que, de otro modo, se heredaría.
Procedimiento
1
En el Editor de directivas, haga clic en el icono Configuración .
2 En el campo Modo de solo alertas, seleccione Activado.
Procedimientos
• Página Configuración en la página 557
Permite definir la configuración para el modo de solo alertas, el modo de sobresuscripción y
las actualizaciones de reglas.
Véase también
Modo de solo alertas en la página 556
Página Configuración en la página 557

10
Página Configuración
Permite definir la configuración para el modo de solo alertas, el modo de sobresuscripción y las
actualizaciones de reglas.
Opción Definición
Modo de solo alertas Cuando está activado, es posible enviar todas las reglas activadas a los
dispositivos con el uso de alertas, incluso si la regla está establecida con una
acción de bloqueo, como por ejemplo la supresión.
Modo de sobresuscripción Defina cómo se gestionarán los paquetes si se supera la capacidad del
dispositivo.
Actualización de reglas Permite configurar actualizaciones de reglas automáticas, recuperar
manualmente una actualización o actualizar las credenciales utilizadas para
descargar actualizaciones de reglas.
Estado Ver un resumen del estado de actualización de los dispositivos incluidos en el
árbol de directivas.
• Actualizado: no se han realizado cambios en el Editor de directivas desde la última
vez que se desplegó la directiva en los dispositivos.
• Sin actualizar: se han realizado cambios desde la última vez que se desplegó la
directiva.
• Despliegue automático: la directiva tiene el despliegue automático planificado con
una fecha y hora concretas.
Véase también
Activación del Modo de solo alertas en la página 556
Configuración del modo de sobresuscripción

El Modo de sobresuscripción define cómo se gestionarán los paquetes si se supera la capacidad del
dispositivo. En cualquier caso, el paquete se registra a modo de evento.
Procedimiento
1
2 En el campo Modo de sobresuscripción, haga clic en Actualizar.
3 En el campo Valor, introduzca la funcionalidad.

a Si se permite el paso (paso o 1), los paquetes que se descartarían pueden pasar sin ser
analizados.
b Con la supresión (supresión o 0) se eliminan los paquetes que superan la capacidad del
dispositivo.
c Para dejar pasar o eliminar un paquete sin generar un evento, introduzca spass o sdrop.
A partir de la versión 8.1.0, cambiar el Modo de sobresuscripción afecta al dispositivo y a sus elementos
secundarios (dispositivos virtuales). A fin de que este cambio se aplique, es necesario cambiar el
modo en el dispositivo principal.

10
Visualización del estado de actualización de directivas de los

dispositivos
Es posible ver un resumen del estado de actualización de las directivas de todos los dispositivos
pertenecientes al ESM.
Esto ayuda a determinar cuándo se deben desplegar actualizaciones en el sistema.
Procedimiento
1
2 En el campo Estado, observe el número de dispositivos que están actualizados, sin actualizar y
planificados para un despliegue automático.

Existen diversas operaciones que se pueden llevar a cabo con las reglas a fin de administrarlas y
generar la información necesaria.
Administración de reglas
Es posible visualizar, copiar y pegar las reglas de ADM, DEM, DPI, Analizador de syslog avanzado y Correlación.
Las reglas personalizadas de estos tipos se pueden modificar o eliminar. Las reglas estándar se pueden
modificar, pero deben guardarse como una nueva regla personalizada.
Procedimiento
1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla con el que desee trabajar.

Ver las reglas 1 Seleccione la ficha Filtro en el panel Filtros/etiquetado.
personalizadas
2 En la parte inferior del panel, haga clic en la barra Avanzadas.
3 En el campo Origen, seleccione definido por el usuario y haga clic en Ejecutar
consulta .
Copiar y pegar una 1 Seleccione una regla predefinida o personalizada.

regla
2 Seleccione Editar | Copiar y, después, seleccione Editar | Pegar.
La regla copiada se agregará a la lista de reglas existentes con el mismo
nombre.
3 Para cambiar el nombre, seleccione Editar | Modificar.

10

Modificar una regla 1 Resalte la regla que desee ver y, después, seleccione Editar | Modificar.
2 Cambie la configuración y haga clic en Aceptar. Si se trata de una regla

personalizada, se guardará con los cambios. Si es una regla estándar, se
le preguntará si desea guardar los cambios a modo de nueva regla
personalizada. Haga clic en Sí.
Si no ha cambiado el nombre de la regla, se guardará con el mismo nombre

y un ID de firma distinto. Para cambiar el nombre, seleccione la regla y,
después, seleccione Editar | Modificar.
Eliminar una regla • Seleccione la regla personalizada.

personalizada
• Seleccione Editar | Eliminar.
Véase también
Página Editor de directivas en la página 507
Página Editor de directivas

Permite definir la configuración de directiva de un dispositivo.

Opción Definición
Barra de menús Pase el cursor sobre un elemento de esta barra y seleccione cualquiera de las
opciones disponibles. Las opciones varían en función del tipo de regla o la
regla seleccionada.
Barra de ruta de El icono del Árbol de directivas permite acceder a la lista de todas las directivas
navegación del ESM. La lista de la barra de ruta de navegación indica la directiva en la
que se está trabajando.
Panel Tipos de regla Haga clic en cualquiera de los tipos de reglas en este panel a fin de ver las
reglas de ese tipo en el panel de visualización de reglas.
Panel de visualización Haga clic en una regla para ver su descripción en la parte inferior del panel,
de reglas o bien lleve a cabo cualquiera de las opciones disponibles en la barra de
menús o en las columnas del panel de visualización de reglas.
Campo de búsqueda Escriba el nombre de una etiqueta que esté buscando y, después, seleccione
de etiquetas una etiqueta de la lista de posibles coincidencias.
Panel Filtros/etiquetado En la ficha Filtro, ordene las reglas del panel de visualización de reglas por
orden alfabético o por hora, además de filtrar la lista para ver únicamente las
reglas que cumplan los criterios seleccionados. En la ficha Etiquetas, agregue
etiquetas a las reglas seleccionadas en el panel de visualización de reglas
para poder filtrar las reglas según sus etiquetas. Es posible agregar, editar y
eliminar etiquetas personalizadas y categorías de etiquetas.
Icono Crear alarma Permite agregar una alarma para recibir una notificación cuando la regla
seleccionada genere un evento.
Icono Ponderaciones de Permite establecer la gravedad de los activos, etiquetas, reglas y
gravedad vulnerabilidades de forma que se puedan utilizar a la hora de calcular la
Icono Ver historial de Ver y exportar una lista de los cambios realizados en la directiva actual.
cambios de directiva

10

Opción Definición
Icono Configuración Definir la configuración para el modo de solo alertas y el modo de
sobresuscripción, actualizar las reglas mediante el servidor de McAfee y ver
el resumen del estado de actualización de los dispositivos en el árbol de
directivas.
Icono Desplegar Permite desplegar los cambios de directiva en el ESM.
Véase también
Administración de reglas en la página 558
Importación de reglas
Es posible importar un conjunto de reglas exportado de otro ESM y guardarlo en su ESM.
Procedimiento
1 En el panel Tipos de regla del Editor de directivas, haga clic en el tipo de directiva o reglas que desee
importar.
2 Haga clic en Archivo | Importar y seleccione Reglas.
Estos cambios no se rastrean, de forma que no pueden deshacerse.
3 Haga clic en Importar reglas, navegue hasta el archivo que desee importar y seleccione Cargar.
El archivo se cargará en el ESM.
4 En la página Importar reglas, seleccione la acción que se debe realizar si las reglas importadas tienen
el mismo ID que las existentes.
5 Haga clic en Aceptar para importar las reglas, resolviendo los conflictos para ello tal y como se
indica.
El contenido del archivo se revisa y se activan o desactivan las opciones apropiadas en función del
contenido del archivo seleccionado.
Véase también
Conflictos durante la importación de reglas de correlación en la página 561
Página Importar reglas en la página 560
Página Importar reglas

Permite importar un grupo de reglas personalizadas y guardarlo en el ESM.

Opción Definición
Importar reglas Permite seleccionar el archivo de reglas y cargarlo en el ESM.
Sobrescribir reglas existentes Si existe un conflicto a la hora de importar, seleccione esta opción en
caso de que desee eliminar la regla existente y sobrescribirla con la regla
perteneciente a la directiva que se va a importar.

10

Opción Definición
Crear una regla nueva cuando Si existe un conflicto a la hora de importar, seleccione esta opción en
exista un conflicto caso de que desee conservar ambas reglas y se creará de un nuevo ID
para la regla importada.
Omitir la regla cuando ya exista Si existe un conflicto a la hora de importar, seleccione esta opción en
otra regla caso de que desee conservar la regla existente y no importar la
conflictiva.
Véase también
Importación de reglas en la página 560
Conflictos durante la importación de reglas de correlación

Al exportar reglas de correlación, se crea un archivo que contiene los datos de la regla. Sin embargo,
no incluye los elementos a los que la regla hace referencia, tales como variables, zonas, listas de
control, tipos personalizados y activos, que se podrían emplear.
Cuando el archivo exportado se importa a otro ESM, los elementos contenidos en la regla a los que se
haga referencia y que no existen en el sistema de importación producirán un conflicto de regla. Por
ejemplo, si una regla hace referencia a la variable $abc y no hay ninguna variable definida en el
sistema de importación que se denomine $abc, esta situación constituye un conflicto. Los conflictos se
registran y la regla se marca con un indicador para dejar patente que está en conflicto.
Los conflictos se resuelven mediante la creación de los elementos necesarios a los que se hace
referencia (manualmente o a través de la importación, si procede) o la edición de la regla de
correlación para cambiar las referencias dentro de la regla.
Si hay reglas en conflicto, aparece una página inmediatamente tras el proceso de importación que
indica qué reglas hay en conflicto o cuáles han fallado. Las reglas se pueden editar para resolver
conflictos desde esa página, o bien se puede cerrar la página. Las reglas en conflicto se marcan con un
icono de signo de exclamación que indica su estado. La edición de una regla en conflicto en el editor
de reglas se realiza por medio de un botón que, al hacer clic en él, muestra los detalles del conflicto
en el caso de esa regla.
Véase también
Importación de reglas en la página 560
Importación de variables
Es posible importar un archivo de variables y cambiar su tipo. Si existen conflictos, la variable nueva
se cambia de nombre automáticamente.
Antes de empezar
Configure el archivo que desee importar.
Procedimiento
1 En el panel Tipos de regla del Editor de directivas, haga clic en Variable.
2 Haga clic en Archivo | Importar | Variables y desplácese hasta el archivo de variables y haga clic en
Cargar.
Si existen conflictos o errores en el archivo, se abrirá la página Importar: registro de errores para
informar de cada problema.

10
3 En la página Importar variable(s), haga clic en Editar para cambiar el Tipo de las variables seleccionadas.
Exportación de reglas
Es posible exportar reglas personalizadas o todas las reglas de una directiva y, después, importarlas a
otro ESM.
Procedimiento
1 En el panel Tipos de regla del Editor de directivas, haga clic en el tipo de regla que desee exportar.
2 Acceda a una lista de las reglas personalizadas del tipo seleccionado:

a En el panel Filtros/etiquetado, asegúrese de que esté seleccionada la ficha Filtro.
b Haga clic en la barra Avanzadas en la parte inferior del panel.
c En la lista desplegable Origen, seleccione definido por el usuario.
d
3 Seleccione las reglas que desee exportar y haga clic en Archivo | Exportar | Reglas.
4 En la página Exportar reglas, seleccione el formato que se utilizará al exportar las reglas.
5 En la página Descargar, haga clic en Sí, seleccione la ubicación y, por último, haga clic en Guardar.
Si abre el archivo CSV mediante Microsoft Excel, algunos de los caracteres UTF-8 podrían dañarse.
Para corregir este problema, abra el Asistente para importar texto en Excel y seleccione Delimitados y Coma.
Configuración de reglas para la inclusión automática en la lista

negra
Es posible marcar las reglas para la inclusión automática en la lista negra. La dirección IP o bien la
dirección IP y el puerto del equipo infractor se agregan a la lista negra cuando se cumplen las
condiciones establecidas.
Procedimiento
1 En el panel Tipos de regla del Editor de directivas, amplíe IPS y seleccione el tipo de regla. Por ejemplo, a
fin de configurar las reglas de virus para la inclusión automática, seleccione DPI.
2 En la ficha Filtros del panel Filtros/etiquetado, seleccione el filtro. Siguiendo con el ejemplo anterior,
seleccione Virus.
3 Haga clic en el icono Actualizar.
Las reglas filtradas aparecerán en el área de visualización de reglas.
4 Haga clic en el encabezado de la columna Lista negra o seleccione las reglas en la lista y, después,
haga clic en IP o IP y puerto.

10
5
Despliegue los cambios; para ello, haga clic en el icono Desplegar de la esquina superior derecha
y, después, cierre el Editor de directivas.
6 En el árbol de navegación del sistema, seleccione un dispositivo virtual o Nitro IPS y haga clic en el
icono Propiedades .
7 Haga clic en Lista negra y, después, en Configuración.
8 En la página Configuración de lista negra automática, defina la configuración y haga clic en Aceptar.
Filtrado de reglas existentes

Cuando se selecciona un tipo de regla en el Editor de directivas, aparecen todas las reglas del tipo
seleccionado por orden alfabético, de forma predeterminada. Es posible ordenarlas por hora o emplear
etiquetas a fin de filtrar las reglas para poder ver solamente las que cumplen los criterios.
Procedimiento
1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla que desee filtrar.
2 Asegúrese de seleccionar la ficha Filtro en el panel Filtros/etiquetado.

Filtrar con varias etiquetas • Seleccione categorías o etiquetas y haga clic en el icono Ejecutar
consulta .
Solo se mostrarán las reglas que coincidan con todos los filtros.
Ver las reglas que se 1 Seleccione más de una categoría o etiqueta.

ajustan a cualquiera de los
filtros seleccionados 2 Haga clic en el icono OR y, después, en el icono Ejecutar consulta.
Los campos afectados por la herencia (Acción, Gravedad, Lista negra,

Agregación y Copiar paquete) no se pueden filtrar mediante el icono
OR.
Buscar una etiqueta 1 Escriba el nombre de la etiqueta en el campo Escriba aquí para buscar
concreta una etiqueta.
2 Seleccione la opción que prefiera en la lista de opciones.
Ordenar las reglas por su • Haga clic en el icono Ordenar por hora en la barra de herramientas
hora de creación y, después, en el icono Ejecutar consulta.
Ordenar las reglas por •

orden alfabético Haga clic en el icono Ordenar por nombre en la barra de
herramientas y, después, en el icono Ejecutar consulta.
Borrar los filtros • Haga clic en el icono del filtro naranja en la barra de título del
panel de visualización de reglas .
Los filtros se borrarán y todas las reglas aparecerán de nuevo en el
panel de visualización de reglas.

10

Borrar las etiquetas de • Haga clic en el icono Borrar todo de la barra de herramientas.
filtrado
Las etiquetas se borrarán, pero la lista de reglas seguirá filtrada.
Filtrar por ID de firma 1 Haga clic en la barra Avanzadas en la parte inferior del panel Filtro.
2 Escriba el ID de firma y haga clic en el icono Ejecutar consulta.
Filtrar por nombre o 1 En el panel Avanzadas, escriba el nombre o la descripción.

descripción
2 Para obtener resultados independientemente del uso de
mayúsculas o minúsculas, haga clic en el icono de no distinción
entre unas y otras .
Filtrar por tipo de 1 En el panel Avanzadas, haga clic en el icono Filtro .

dispositivo, ID normalizado
o acción 2 En la página Variables de filtrado, seleccione la variable.
Comparar las diferencias • En el panel Avanzadas, seleccione Ver excepciones y, después, haga clic
en la configuración de en el icono Ejecutar consulta.
directiva de un tipo de
regla y su elemento
principal inmediato
Filtrar por Gravedad, Lista • Seleccione el filtro en la lista desplegable de cada uno de esos
negra, Agregación, Copiar campos.
paquete, Origen y Estado
de regla
Ver solo las reglas • Seleccione definido por el usuario en el campo Origen del panel Opciones
personalizadas avanzadas y, después, haga clic en el icono Ejecutar consulta.
Ver las reglas creadas en 1 Haga clic en el icono del calendario situado junto al campo Hora del
un periodo de tiempo panel Avanzadas.
concreto
2 En la página Hora personalizada, seleccione las horas de inicio y
detención, haga clic en Aceptar y, después, haga clic en el icono
Ejecutar consulta.
Visualización de la firma de una regla

Si accede a la base de datos de firmas online de McAfee, podrá ver información sobre la firma de una
regla. Esta opción está disponible para reglas de firewall, inspección profunda de paquetes (DPI) y
origen de datos.
Procedimiento
1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla que desee ver.
2 Seleccione una regla en el panel de visualización de reglas.
3 Haga clic en Operaciones y, después, seleccione Examinar referencia.
Se abrirá la pantalla Resumen de vulnerabilidades de NTAC en el navegador.
4 Para ver el resumen de una firma, haga clic en los vínculos de la sección Firmas de la pantalla.

10
Recuperación de actualizaciones de regla

El equipo de McAfee encargado de las firmas de regla que utiliza un dispositivo virtual o Nitro IPS a fin
de examinar el tráfico de red actualiza constantemente estas firmas, que se pueden descargar
mediante el servidor central. Estas actualizaciones de reglas se pueden recuperar de forma automática
o manual.
Procedimiento
Véase Omisión de la acción en las reglas descargadas a fin de configurar las omisiones para las acciones
realizadas cuando se recuperan reglas del servidor.
1
2 En la línea Actualización de reglas, haga clic en Actualizar.
3 Establezca el ESM para que recupere las actualizaciones de forma automática o compruebe la
existencia de actualizaciones inmediatamente.
4
Si se descargaron las actualizaciones manualmente, haga clic en el icono Desplegar para
aplicarlas.
5 Para ver las actualizaciones manuales, haga lo siguiente:

a En el panel Filtros/etiquetado, haga clic en la barra Avanzadas.
b En el campo Estado de regla, seleccione Actualizado, Nuevo o Actualizado/Nuevo para indicar el tipo de
reglas actualizadas que desea ver.
c
Las reglas actualizadas se mostrarán con el icono del estallido si se han agregado o con un signo
de exclamación si se han modificado.
Véase también
Página Actualización de reglas en la página 565
Página Actualización de reglas

Permite definir la configuración para recuperar las firmas de reglas del servidor de McAfee.
Opción Definición
Intervalo de comprobación Permite que el ESM recupere las actualizaciones automáticamente. Si es la
automática primera vez que actualiza las reglas, aparecerá la página Validación del cliente.
Introduzca su ID y contraseña de cliente y, después, seleccione Validar.
Si no recuerda esta información, póngase en contacto con el Soporte de

McAfee.
horas, minutos Seleccione la frecuencia con la que desea que el sistema busque
actualizaciones.
Comprobar ahora Comprobar la existencia de actualizaciones de reglas y descargarlas ahora.

10

Opción Definición
Actualización manual Haga clic aquí si desea seleccionar el archivo de actualización que cargar.
Credenciales Permite agregar las credenciales proporcionadas por McAfee.
Véase también
Recuperación de actualizaciones de regla en la página 565
Borrado del estado de regla actualizado

Esto puede resultar útil cuando se modifican reglas o se agregan reglas al sistema. Las marcas
correspondientes se pueden borrar una vez que se han revisado las actualizaciones.
Procedimiento
1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla que desee borrar.

Borrar todas las 1 Haga clic en Operaciones y seleccione Borrar estado de regla actualizado.
marcas de estado de
regla 2 Haga clic en Todo.
Borrar las reglas 1 En el panel Filtros/etiquetado, haga clic en la barra Avanzadas.

seleccionadas
2 En el campo Estado de regla, seleccione Actualizado, Nuevo o Actualizado/Nuevo
para indicar el tipo de marca que desea borrar.
3
Las reglas con las marcas seleccionadas se mostrarán en el panel de
visualización de reglas.
4 Seleccione las reglas que desee borrar.
5 Haga clic en Operación | Borrar estado de regla actualizado | Selección.
Comparación de archivos de regla

Es posible comparar el estado de directiva (aplicada, actual, revertida o preparada) de los archivos de
regla de Nitro IPS, Event Receiver, ADM y DEM.
Esto resulta útil si es necesario ver los cambios en caso de aplicar la directiva actual a un dispositivo.
En este caso, se comparan las reglas actuales y las reglas aplicadas.

10
Procedimiento
1 En el árbol de navegación del sistema, haga clic en un dispositivo Nitro IPS, Event Receiver, ADM o
DEM.
2
Haga clic en el icono del Editor de directivas en la barra de herramientas de acciones y, después,
haga clic en Herramientas | Comparar archivos de regla.
3 En la página Comparar archivos de regla, realice las selecciones y, después, haga clic en Comparar.
Si los dos archivos resultantes son inferiores a 15,5 MB aproximadamente, aparecerán en la tabla
Comparar archivos de regla. Si cualquiera de los archivos tiene un tamaño superior, se le solicitará que
descargue ambos archivos.
Visualización del historial de cambios de reglas

Es posible ver las reglas cambiadas, actualizadas o agregadas al sistema, así como la última versión
de cada regla.
Procedimiento
1 En el Editor de directivas, haga clic en Herramientas | Historial de cambios de reglas.
2 En la página Historial de reglas, visualice los cambios realizados en las reglas o haga clic en la ficha
Versión de regla para ver la última versión de cada regla.
Véase también
Página Historial de reglas en la página 567
Página Historial de reglas

Permite ver los cambios realizados en las reglas o la última versión de una regla.

Opción Definición
Historial de cambios Ver los cambios de reglas recientes. Cada entrada ofrece un resumen de la regla y
de reglas la fecha en que se actualizó o se agregó al sistema.
Versión de regla Ver la marca de tiempo de cada dispositivo bajo el que se categorizan reglas en el
sistema. Esto ofrece una forma de localizar la versión de cada regla para facilitar
la administración y la gestión de la conformidad con normativas. De forma
predeterminada, los tipos de dispositivos se ordenan alfabéticamente por nombre.
A fin de ordenarlos por la marca de tiempo, haga clic en el encabezado de
columna Versión.
Mostrar todo En la ficha Historial de cambios de reglas, haga clic en esta opción para generar una lista
de todos los cambios de reglas, no solo los recientes.
Véase también
Visualización del historial de cambios de reglas en la página 567

10
Creación de una nueva lista de vigilancia de reglas

Una lista de vigilancia es un conjunto de tipos específicos de información que se pueden utilizar a
modo de filtros o como condición de alarma para que se le notifique si aparecen en un evento. Estas
listas de control pueden ser globales o específicas de un usuario o grupo del ESM.
Procedimiento
1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla y, después, seleccione las
reglas que desee incluir en la lista de vigilancia.
2 Haga clic en Operaciones y seleccione la opción Crear nueva lista de control.
La página Agregar lista de control incluirá las reglas seleccionadas.
3 Escriba un nombre y asegúrese de que esté seleccionado el botón de opción Estática.
Véase Adición de una lista de vigilancia para agregar una lista de vigilancia dinámica.
4 Seleccione el tipo de datos que controlará la lista de vigilancia y, después, seleccione el usuario
asignado.
Un usuario con privilegios de administrador puede asignar una lista de vigilancia a cualquier usuario
o grupo del sistema. Si no dispone de privilegios de administrador, solo puede asignarse listas de
control a sí mismo o a los grupos de los que sea miembro.
5 Existen las formas siguientes de agregar más valores a la lista de vigilancia:

• Para importar un archivo de valores separados por líneas, haga clic en Importar y seleccione el
archivo.
• Para agregar valores individuales, escriba un valor por línea en el cuadro Valores.
El número máximo de valores es 1000.
6 Si desea recibir una alarma cuando se genere un evento que contenga cualquiera de los valores de
la lista de vigilancia, haga clic en Crear alarma.
Adición de reglas a una lista de vigilancia

Tras crear una lista de vigilancia, podría ser necesario agregarle valores de regla. La opción Adjuntar a
lista de control proporciona una forma de hacerlo.
Procedimiento
1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla.
2 Seleccione las reglas que desee adjuntar a la lista de vigilancia en el panel de visualización de
reglas.
3 Haga clic en el menú Operaciones y seleccione Adjuntar a lista de control.
4 Seleccione la lista de vigilancia a la que desee adjuntar las reglas y haga clic en Aceptar.

10
Véase también
Página Adjuntar a lista de control en la página 569
Página Adjuntar a lista de control

Permite agregar valores a una lista de vigilancia existente.

Opción Definición
Tabla superior Indica los valores de las reglas seleccionadas para su inclusión en la lista de
vigilancia.
Tabla inferior Seleccione a qué lista de vigilancia desea adjuntar los valores.
Véase también
Adición de reglas a una lista de vigilancia en la página 568

Es posible asignar etiquetas a reglas para indicar sus atributos y, después, filtrar las reglas según sus
etiquetas. El ESM dispone de un conjunto predefinido de etiquetas, pero también ofrece la posibilidad
de agregar etiquetas y categorías de etiquetas nuevas.
La ficha Etiquetas no está disponible para los tipos de reglas Variable, Preprocesador y Normalización.
Procedimiento
1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla que desee etiquetar.
2 Haga clic en la ficha Etiquetas en el panel Filtros/etiquetado.

Agregar una nueva 1
categoría de Haga clic en el icono Nueva categoría de etiqueta .
etiqueta
2 Escriba el nombre de la categoría.
3 Si desea que esta etiqueta se utilice en el cálculo de la gravedad de

eventos, seleccione Usar etiqueta para el cálculo de gravedad de eventos y haga clic
en Aceptar.
La categoría se agregará junto con una etiqueta de base. Es posible agregar
etiquetas nuevas debajo de esta categoría.
Agregar una nueva 1 Haga clic en la categoría en la que desee agregar la etiqueta y, después,
etiqueta
haga clic en el icono Nueva etiqueta .
2 Escriba el nombre de la etiqueta.
3 Si desea que esta etiqueta se utilice en el cálculo de la gravedad de
eventos, seleccione Usar etiqueta para el cálculo de gravedad de eventos y haga clic
en Aceptar.

10

Editar una categoría 1 Haga clic en la categoría o la etiqueta que desee editar y, después, haga
o etiqueta
existentes clic en el icono Editar etiqueta .
2 Cambie el nombre o la configuración y haga clic en Aceptar.
Eliminar una 1 Resalte la etiqueta que desee eliminar y haga clic en el icono Quitar etiqueta
etiqueta
personalizada .
2 Haga clic en Sí para confirmarlo.
Procedimientos
• Página Selección de etiquetas en la página 570
Permite seleccionar las etiquetas para definir las categorías cuando se agrega una regla.
Página Selección de etiquetas

Permite seleccionar las etiquetas para definir las categorías cuando se agrega una regla.
Opción Definición
Campo de búsqueda Si busca una etiqueta específica, escríbala en el campo y después selecciónela
en la lista de etiquetas posibles.
Tabla de etiquetas Permite ver y buscar las etiquetas disponibles en el sistema.

Los eventos agregados son eventos que tienen campos coincidentes.
La agregación está activada de forma predeterminada, y es posible elegir el tipo de agregación que se
utilizará para todos los eventos generados en un dispositivo mediante la página Agregación de eventos de
cada dispositivo. Cabe la posibilidad de modificar la configuración de agregación de las reglas
individuales.
Procedimiento
1 En el panel Tipos de regla del Editor de directivas, seleccione el tipo de regla.
2 Seleccione la regla cuya configuración de agregación desee modificar.
3 Haga clic en Operaciones en la barra de herramientas y seleccione Modificar configuración de agregación.
4 Seleccione los tipos de campos que desee agregar mediante las listas desplegables Campo 2 y Campo
3.
Los campos seleccionados deben ser de tipos distintos para que no se produzca un error.

10
6 Si ha realizado cambios que afecten a la forma en que se agregan los dispositivos, se le preguntará
si desea desplegar los cambios. Haga lo siguiente:
a Haga clic en Sí.
En la página Despliegue de excepciones de agregación, aparecerá el estado de los dispositivos afectados

por el cambio. Se marcarán todos los dispositivos no actualizados.
b Si fuera necesario, anule la selección de los dispositivos a los que no desee aplicar los cambios.
c Haga clic en Aceptar para desplegar los cambios.
La columna Estado reflejará el estado de la actualización a medida que se desplieguen los cambios.
Véase también
Página Modificar configuración de agregación en la página 571
Página Modificar configuración de agregación

Permite crear excepciones a la configuración de agregación general para reglas individuales.

Opción Definición
Campo 2 y Campo 3 Seleccione los tipos de campos en los que desee aplicar la agregación. Deben ser
de tipos distintos. Las descripciones para la agregación de nivel 1, nivel 2 y nivel 3
cambian en función de las selecciones.
Véase también
Modificación de la configuración de agregación en la página 570
Página Nueva configuración de reglas en la página 572
Página Agregar omisión en la página 572

Cuando se descargan reglas del servidor central de McAfee, tienen asignada una acción
predeterminada.
Es posible definir una acción de omisión para las reglas del tipo seleccionado cuando se descargan. Si
no se define una acción de omisión, las reglas usan su acción predeterminada.
Procedimiento
1 En el Editor de directivas, haga clic en Herramientas y después seleccione Nueva configuración de reglas.
La página Nueva configuración de reglas indica las omisiones que existen para la Directiva predeterminada.
2 Configure las acciones de omisión y haga clic en Cerrar.

10
Página Nueva configuración de reglas

Las reglas tienen asignada una acción predeterminada cuando se descargan del servidor central. Es
posible establecer una acción de omisión para la configuración predeterminada de las reglas
seleccionadas.

Opción Definición
Directiva Seleccione la directiva correspondiente a la regla a la que desee que se aplique la omisión.
Tabla Ver las omisiones existentes para la directiva seleccionada.
Agregar Haga clic en esta opción para agregar una omisión a la directiva seleccionada.
Editar Cambiar la configuración de la omisión seleccionada.
Eliminar Eliminar la omisión seleccionada.
Véase también
Página Agregar omisión

Permite definir una acción de omisión para las reglas descargadas.
Opción Definición
Lista de etiquetas Seleccione las etiquetas asignadas a la regla a la que desee aplicar esta
omisión.
Por ejemplo, para omitir la acción de todas las reglas de filtrado con la
etiqueta AOL, haga clic en Amenazas actuales | AOL en la lista de etiquetas y,
después, seleccione Filtro en el campo Tipo de regla.
Campo Tipo de regla Seleccione el tipo de regla a la que desee que se aplique la omisión.
Acción de regla Indique si desea que la regla y la etiqueta conserven la configuración
predeterminada, si quiere activar la omisión o si la regla y la etiqueta se
deben desactivar.
Gravedad Seleccione la gravedad de esta omisión. El valor predeterminado es cero.
Lista negra, Agregación, Seleccione la configuración de esta omisión. Si no desea que la configuración
Copiar paquete de estas opciones se omita, conserve el valor de configuración predeterminado.
Véase también
La gravedad de los eventos se calcula en función de la ponderación de gravedad asignada a los
activos, las etiquetas, las reglas y las vulnerabilidades.
Cada una de las cuatro gravedades se pondera en el cálculo final. Este cálculo final es la suma de cada
una de las cuatro gravedades multiplicadas por sus ponderaciones respectivas. La página Ponderaciones
de gravedad muestra las ponderaciones asociadas con los grupos de activos, etiquetas, reglas y
vulnerabilidades. La suma de todas ellas debe equivaler a 100. Cuando se cambia un valor, se ven
afectados otros valores. A continuación se ofrece una descripción de cada tipo de gravedad:

10
Tipo de Descripciones
gravedad
Activo Un activo es una dirección IP, que puede tener una zona asignada o no. La
gravedad de activo de un evento se determina como sigue:
1 La dirección IP y la zona de destino del evento se comparan con todos los activos.
Si se encuentra alguna coincidencia, la gravedad del activo se emplea como
gravedad del evento.
2 Si no se encuentra ninguna coincidencia de dirección IP y zona de destino, se
comparan la dirección IP y la zona de origen con todos los activos. Si se
encuentra alguna coincidencia de dirección IP y zona de origen, se utiliza la
gravedad de ese activo como gravedad para el evento.
3 Si no se encuentra ninguna coincidencia, la gravedad del activo será cero.
Etiqueta La gravedad de etiqueta se calcula mediante las etiquetas de McAfee y las definidas
por el usuario. A fin de emplear una etiqueta en el cálculo de gravedad, debe
definirse tanto para la regla como para el activo del evento. Si la regla o el activo
no tienen etiquetas definidas o si no se encuentran coincidencias de activos, la
gravedad de etiqueta será cero. Para calcular la gravedad de etiqueta, el número de
etiquetas coincidentes de regla y activo se multiplica por 10. La gravedad de
etiqueta está limitada a 100.
Regla La gravedad de regla es la establecida para el evento cuando se creó. Se basa en la

gravedad de regla del evento, que se define en el Editor de directivas, y en los
enriquecimientos de datos configurados para el recopilador del evento.
Vulnerabilidad Si hay información de gravedad de evaluación de vulnerabilidades para el activo y

la regla de un evento, se utiliza la gravedad de evaluación de vulnerabilidades más
alta de todas las coincidencias de activos y reglas como gravedad de
vulnerabilidad; de lo contrario, se emplea cero.
Véase también
Establecimiento de las ponderaciones de gravedad en la página 573
Establecimiento de las ponderaciones de gravedad

Las gravedades de activo, etiqueta, regla y vulnerabilidad se ponderan a la hora de calcular la
gravedad de los eventos. Es necesario definir estas gravedades.
Procedimiento
1
En el Editor de directivas, haga clic en el icono Ponderaciones de gravedad .
Véase también
Ponderaciones de gravedad en la página 572
Página Ponderaciones de gravedad en la página 574

10
Página Ponderaciones de gravedad

Permite establecer las ponderaciones de gravedad para los activos, etiquetas, reglas y
vulnerabilidades.

Opción Definición
Línea numerada Arrastre y suelte los marcadores. Los campos Activos, Etiquetas,
Reglas y Vulnerabilidades reflejan esta configuración.
Gravedad proporcionada por proveedor de Indique cómo se debe calcular la gravedad de vulnerabilidad
evaluación de vulnerabilidades o Gravedad PCI en los datos entrantes. Si se seleccionan ambas opciones, se
proporcionada por proveedor de evaluación de usará el mayor de los dos valores para calcular el valor de
vulnerabilidades gravedad.
Véase también
Establecimiento de las ponderaciones de gravedad en la página 573

Existe la posibilidad de ver o exportar un registro de los cambios que se han realizado en la directiva.
Este registro puede albergar un máximo de 1 GB de datos. Cuando se alcanza el límite, se borran los
archivos más antiguos en caso de ser necesario.
Procedimiento
1
En el Editor de directivas, haga clic en el icono Ver historial de cambios de directiva .
2 Visualice o exporte el registro y, a continuación, haga clic en Cerrar.
Véase también
Página Historial de cambios de directiva en la página 574
Página Historial de cambios de directiva

Permite ver o exportar un registro de los cambios que se han realizado en la directiva.

Opción Definición
Tabla Ver una lista de los cambios realizados en la directiva actual.
Ver Ver los detalles del registro seleccionado. Si desea descargar estos detalles, haga clic en
Descargar todo el archivo.
Exportar Exportar los detalles del registro seleccionado.
Véase también
Visualización del historial de cambios de directiva en la página 574

10

Cuando se realizan cambios en las directivas, es necesario desplegarlos a fin de que se apliquen. Los
cambios realizados en el nivel de la directiva predeterminada se aplican a todas las directivas cuando
se lleva a cabo el despliegue en todos los dispositivos.
Procedimiento
1
En el Editor de directivas, haga clic en el icono Desplegar .
2 Seleccione cómo desea que se produzca el despliegue.
Cuando todos los dispositivos finalicen el despliegue, el estado de la directiva indicará un despliegue
correcto. Si el comando de despliegue no tiene un resultado correcto, aparecerá una página con un
resumen de los comandos fallidos.
Véase también
Página Desplegar en la página 575
Página Hora de despliegue en la página 575
Página Desplegar
Permite desplegar los cambios de directiva en el ESM.

Opción Definición
Permite desplegar la directiva en un dispositivo.
Desplegar directiva en todos los dispositivos Permite desplegar los cambios de directiva en todos los
ahora dispositivos. Haga clic en Aceptar.
Editar Permite seleccionar otras opciones de despliegue.
Véase también
Página Hora de despliegue

Permite establecer el momento en que se producirá un despliegue de directiva.
Opción Definición
Preparar despliegue posterior Permite establecer un momento en el futuro para desplegar la directiva
en los dispositivos seleccionados en la página Desplegar. Haga clic en el
icono del calendario para establecer la fecha y la hora.
Desplegar ahora Permite desplegar la directiva en los dispositivos seleccionados
inmediatamente.

10

Opción Definición
Revertir dispositivo a la directiva Si esta opción está activa, permite volver a la directiva aplicada
activa anterior anteriormente.
Omitir o borrar directivas Permite omitir el despliegue preparado en el caso de esta directiva.
preparadas
Véase también

Es posible configurar el tráfico para que pase por Nitro IPS sin comprobarlo con respecto a las reglas.
Por ejemplo, podría ser necesario configurar el tráfico del protocolo VoIP de forma que cruce el
dispositivo Nitro IPS sin que se compruebe.
Procedimiento
1 En el Editor de directivas, haga clic en el tipo de regla Variable.
2 Amplíe la categoría priority_traffic y haga clic en PRIORITY_TRAFFIC_LIST.
3 Haga clic en Editar y seleccione Modificar.
4 Administre la configuración y haga clic en Aceptar.

Índice
A actualizar software de dispositivo 54

actualizar software de ESM 31
acceder a dispositivo remoto 326
acumulación, aumentar índices disponibles 280
acceder a información detallada en la vista 431
acumulación, indización 284
acceso, otorgar a dispositivos 59
Adiscon, configurar origen de datos 145
acciones
ADM
agregar a DEM 206
configuración 184
alarmas 355
eventos 184
asociación 136
resumen 14
barra de herramientas 37, 41
ADM, diccionarios 186
definir para DEM 205
administrar 190
orígenes de datos 136
configurar 187
ACE
ejemplos 189
agregar un administrador de correlación de riesgos 178
hacer referencia 192
calificación de correlación de riesgos, agregar 180
ADM, mostrar contraseñas en visor de sesión 186
correlación histórica 182
ADM, reglas
motor de correlación 177
administrar personalizadas 553
motor de correlación de riesgos 177
agregar nuevas 542
motores de correlación 177
anomalías de protocolo 200
resumen 14
aplicaciones y protocolos compatibles 532
seleccionar tipos de datos que enviar desde el ESM 177
conceptos clave 532
acerca de esta guía 9
elementos lógicos 377, 546
activar modo FIPS 29
elementos lógicos, editar 547
Active Directory
gramática de expresiones regulares 193
autenticación de inicio de sesión 291
literales 193
configurar opciones de autenticación 297
módulos de protocolo de correo electrónico 199
recuperar datos 492
módulos de protocolo de correo web 199
Active Response 463
módulos de protocolo de transferencia de archivos 199
DXL 463
operadores 193
formato de fecha 463
propiedades específicas de protocolos 199
validación de datos, lista de vigilancia 463
protocolo DNA, anomalías en reglas de ADM 200
activos
protocolo IP, anomalías en reglas de ADM 200
administrar 480
protocolo TCP, anomalías en reglas de ADM 200
definir activos antiguos 483
referencias métricas 197
gravedad 572
sintaxis 193
activos antiguos, definir 483
tipos de términos 195
actualizaciones
administración de amenazas 500
buscar para reglas 32
administración de casos
recuperar para reglas 565
informes, generar 477
actualizar
panel, mostrar 289
estado de dispositivos, ver directiva 558
administración de configuración 483
software en varios dispositivos 68
administración de zonas 494
actualizar árbol de navegación del sistema, detener 238
administrador de activos 500
actualizar dispositivos 76
administrador de correlación de riesgos, agregar 178
actualizar licencia de DEM 202

Índice
administrador de correlación, agregar 178 alarmas 347 (continuación)

administrador de tareas 324, 325 plantillas 348
admitidos, orígenes de datos 133 plantillas de mensajes 348
adquisición de datos respuesta 359
activar en McAfee Risk Advisor 219 servidor de correo, mensajes 239
McAfee Risk Advisor 219 SMS 347
agregación SNMP 347
administrar excepciones de eventos 395 supervisar 359
agregar excepciones 394 syslog 347
configuración en dispositivo 393 UCAPL, crear 364
definición 391 usuario asignado 355, 360
modificar configuración de reglas 570 usuario asignado, cambiar 360
modificar configuración en vista 431 ver 359
agregar una subzona 499 alarmas activadas
agregar, tipos personalizados de tiempo 461 casos 360
ajustar confirmar 359, 360
alarmas 363 editar 360
alarma eliminar 360
administrar consultas 324, 325 filtro 360
alarmas 347 usuario asignado 360
acciones 355 alertas
activar 354, 355 escalación de alarmas 355
agregar a regla 378 alertas visuales
ajustar 363 acción de alarma 355
alarmas de Threat Intelligence Exchange 221 alias, agregar 252
alertas de audio 353 almacenamiento
archivos de audio 353 configurar datos de ESM 279
casos 360 configurar datos de máquina virtual de ESM 279
condiciones 355 almacenamiento de datos
confirmar 359, 360 configurar ESM 279
copiar 354 configurar máquina virtual de ESM 279
correo electrónico 347 unidad virtual local 164
crear 347, 353, 355, 363 almacenamiento de datos duplicado, agregar para ELM 160
crear nueva a partir de evento de vista 431 almacenamiento de datos externo de ELM 161
desactivar 354 almacenamiento de datos, agregar duplicado para ELM 160
destinatarios 351 almacenamiento de datos, duplicar para ELM 160
destinatarios de mensajes 351 almacenamiento de datos, preparativos para almacenar datos
editar 360 en ELM 152
eliminar 360 almacenamiento de ELM, estimar necesario 151
escalación 355 almacenamiento, ubicación alternativa para ELM 170
eventos de correlación 350 almacenar datos de ELM, preparativos 152
eventos de origen, correlación 350 almacenar registros de ELM 154
fallo de alimentación 380 Altiris, recuperar datos de servidor 492
filtro 360 amenazas
flujo de trabajo 347 activar o desactivar para cálculo de riesgo 501
gravedad 355 ver detalles 501
ID de firma del monitor de estado 366 ampliar
informes 362 ESM principal y redundante 325
mensajes 239, 348 receptor de disponibilidad alta 87
mensajes, configurar 347 análisis, ejecutar McAfee Vulnerability Manager 232
mensajes, servidor de correo 239 analizador de syslog avanzado
notificaciones, agregar destinatarios 240 agregar regla personalizada 524
panel 37 orígenes de datos 137
panel, mostrar 289 reglas 524
personalizar resumen 378

Índice
analizador de syslog avanzado, origen de datos CAC (continuación)

codificación distinta de UTF-8 141 autenticación 291
anomalías de protocolo, TCP 513 cargar certificado raíz de CA 296
API externa configuración 295
administrar consultas 324, 325 inicio de sesión, configurar 296
aplicar opciones de configuración al DEM 205 calificación de correlación de riesgos 180
aprendizaje automático de orígenes de datos, configurar 108 cambios, ver en historial de reglas 567
árbol de navegación del sistema camuflaje 321
actualización automática, detener 238 capa 7, retraso de extracción de eventos 235
diagrama 41 capturas SNMP
organizar dispositivos 55 UCAPL, alarma 364
archivado cargar
configuración, definir para receptor 91 archivos de audio 353
archivo casos
configurar particiones inactivas 280 acción de alarma 355
archivos de audio agregar 469
alarmas 353 agregar eventos a un caso existente 470
cargar 353 cerrar 472
archivos de configuración, sincronizar en DEM 203 crear a partir de alarma activada 360
archivos de copia de seguridad, usar 312 editar 472
ArcSight, agregar origen de datos 143 enviar caso seleccionado por correo electrónico 476
asignación de almacenamiento, reducir en ELM 159 enviar correo electrónico al agregar o cambiar 476
asignación de datos, definir límites 282 estado, agregar 475
Asistente de consultas 435 estado, agregar o editar 476
ASN eventos de origen, ver 476
búsqueda desde vista 431 filtro 476
búsqueda, realizar 433 informes, generar 477
definir configuración de dispositivo 390 notificación por correo electrónico 476
ASP 524 personalizar resumen 378
auditorías ver detalles 473
UCAPL, alarma 364 ver todos 476
autenticación de ePO 217 categoría
agregar nueva etiqueta 569
B agregar nueva variable 511
base de datos editar 569
administrar 278 certificado
administrar configuración de índice 283 frase de contraseña, obtener para McAfee Vulnerability
Manager 232
estado 236
instalar nuevo 265
pistas de auditoría 554
certificado raíz de CA, cargar 296
pistas de auditoría, configurar regla e informe 554
certificado raíz, cargar para CAC 296
servidor, agregar 212
certificado, cargar raíz de CA para CAC 296
utilización de memoria 285
certificados
base de datos de administración duplicada, sustituir para ELM
172 UCAPL, alarma 364
base de datos de administración, restaurar ELM 170 Check Point, configurar orígenes de datos 148
base de datos, reglas clave
agregar nuevas 542 administrar dispositivo 48
elementos lógicos 377, 546 dispositivo 49
elementos lógicos, editar 547 exportar 50
buscar campos coincidentes alrededor de eventos 442 importar 52
buscar ELM 431 claves de comunicación, exportar y restaurar 323
cliente, orígenes de datos 114
C agregar 114
localizar 115
CAC
codificación de origen de datos ASP 141
agregar usuarios 296

Índice
coincidencia de campo conjuntos de filtros

condición de alarma 355 administrar 446
coincidencia de evento interno consola
condición de alarma 355 agregar dispositivo 34
comandos remotos cambiar aspecto 289
acción de alarma 355 diagrama 37
escalación de alarmas 355 tema de color 38
comparar archivos de regla 566 tiempo de espera 40
comparar valores en gráficos de distribución 439 consola, preferencias 36
compatibilidad con la retransmisión de syslog 145 consultar informes en CSV 239, 348
compilación, ver para software 44 consultas
componentes administrar 324, 325
agregar parámetros 547 eliminar en ejecución 324, 325
barra de herramientas 428 consultas compartidas, desactivar 316
ejemplo de regla 549 contains, filtro 413
enlazar 438 contraseñas
exportar 434 cambiar 289
opciones de menú 431 predeterminadas 29
personalizar 425 contraseñas en visor de sesión, mostrar 186
vista 423 control del tráfico de red
vistas 424 dispositivos 55
compresión, administración en ELM 168 ESM 258
compresión, establecer en ELM 168 convenciones tipográficas e iconos utilizados en esta guía 9
comprobación de integridad, ver resultados 175 copia de seguridad, restaurar 311
condición, agregar para informe 411 copiar y pegar reglas 558
condiciones correlación de riesgos, calificación 180
alarmas 355 correlación histórica, ACE 182
coincidencia de campo 355 correlación histórica, agregar filtro 182
coincidencia de evento interno 355 correlación, orígenes de datos 135
desviación 355 correlación, reglas
frecuencia de activación 355 administrar personalizadas 553
monitor de estado 355 agregar nuevas 542
tasa de comprobación 355 elementos lógicos 377, 546
tasa de eventos 355 elementos lógicos, editar 547
umbral 355 ver detalles
conexiones configuradas para mostrar detalles 541
cambiar con ESM 60 correo electrónico
configurar para McAfee Vulnerability Manager 233 alarmas 347
configuración de ELM 151 notificación de caso 476
configuración de filtrado, editar para reenvío de eventos 402 servidor de correo, conectar 239
configuración de índice, base de datos 283 crear
configuración de mensajes 239, 348 alarmas 347
configuración de red crear automáticamente orígenes de datos 106
IPMI, configurar puerto 256 crear copia de seguridad
configuración del sistema configuración de ESM 309
crear copia de seguridad 308 configuración del sistema 308
guardar en ESM redundante 313 ELM 168
restaurar 308 Credenciales de autenticación de ePO 217
configurar estaciones finales para descubrimiento de red 490 credenciales de ePO 217
configurar opciones avanzadas de DEM 203 credenciales, obtención y adición para actualización de reglas
configurar ping para descubrimiento de red 490 32
confirmar Criterios comunes, configuración 28

alarma activada 360
confirmar automáticamente D
acción de alarma 355 DAS, asignar para almacenar datos de ELM 164

Índice
datos de evaluación de vulnerabilidades, integrar 99 directiva (continuación)

datos de evaluación de vulnerabilidades, recuperar 104 aplicar cambios 575
datos de registro, restaurar ELM 170 Árbol de directivas 505
datos sin procesar, archivar 90 árbol de directivas, iconos 505
definidos por el usuario, tipos de orígenes de datos 132 cambiar nombre 505
DEM copiar 505
actualizar licencia 202 directiva secundaria, agregar 505
agregar acción 206 eliminar 505
configuración avanzada 203 exportar 505
definir acciones 205 importar 505
editar acción personalizada 207 localizar 505
establecer operación 207 ver reglas 505
identificación de usuarios 210 diseño, agregar para informe 408
máscaras de datos confidenciales 208 disponibilidad alta, receptores 79
opciones de configuración, aplicar 205 dispositivo de almacenamiento SAN, aplicar formato para datos
referencias de métricas de regla 536 de ELM 163
reglas 534 dispositivo de almacenamiento, agregar en ELM 155
resumen 14 dispositivo de duplicación, desactivar en ELM 161
servidor de base de datos, agregar 212 dispositivo iSCSI, agregar para almacenamiento de ELM 162
sincronizar archivos de configuración 203 dispositivo remoto, acceder 326
DEM, configuración específica 201 dispositivos
DEM, reglas actualizar 76
administrar personalizadas 553 actualizar software 54
desactivar comunicación SSH con ESM 60 administrar claves 48
desactivar dispositivo de duplicación de ELM 161 administrar claves de comunicación SSH 53
descargadas, omitir acción en reglas 571 administrar varios 68
descargar agregar a la consola 34
eventos, flujos y registros 384 agregar vínculo de URL 46, 69
descubrimiento de red 485 ASN, definir configuración 390
administración de configuración 483 cambiar descripción 48
descubrimiento de redestaciones finales cambiar nombre 48
intervalo de barrido de ping 490 cambiar pantalla predeterminada 289
subredes en las que hacer ping 490 campo de tipo de pantalla 41
tiempo de espera de ping 490 clave 49
descubrir endpoints 490 comandos Linux 59
desfragmentador de IP basado en destino 514 compilación 44
DESM, resumen 14 conexión con ESM, cambiar 60
destinatarios configuración de agregación 393
agregar 240 configurar descargas de eventos, flujos y registros 384
mensajes de alarma 351 control del tráfico de red 55
desviación datos de estado, descargar 47
condición de alarma 355 desactivar orígenes de datos 289
detalles de sesión, ver 418 detener 60
detección de anomalías eliminar 41
asistente 224 eliminar nodos 76
variables, editar 225 estadísticas de dispositivo 47
detección de barrido de puertos 514 exportar clave 50
detener dispositivos 60 geolocalización, definir configuración 390
detener varios dispositivos 68 ID de equipo 44
DHCP, configurar 262 importar clave 52
direcciones IP de destino, mostrar nombre de host en informes informe de recuento 236
413 informes de resumen 70
direcciones IP de origen, mostrar nombre de host en informes iniciar 60
413 IPMI, configurar puerto 256
directiva modelo 44
agregar 505

Índice
dispositivos (continuación) ELM (continuación)

nodo de grupo, eliminar 76 agregar dispositivo iSCSI para almacenamiento 162
número de serie 44 almacenamiento de datos duplicado, agregar 160
organizar 35, 55, 66 almacenamiento de datos externo 161
otorgar acceso 59 almacenar registros 154
registro de mensajes 47 aplicar formato a dispositivo SAN para almacenar datos 163
reiniciar 60 asignación de almacenamiento, reducir 159
servidores NTP 241 base de datos de administración duplicada, sustituir 172
sincronizar con ESM 57 base de datos de administración, restaurar 170
sincronizar relojes 264 búsqueda mejorada 422
software, actualizar 54 compresión 168
supervisar tráfico 59 compresión, establecer 168
tipo de pantalla 41 comprobación de integridad, ver resultados 175
ver información general 44 configurar comunicación 57
ver registro 71 consultar con expresiones regulares 176
versión 44 crear copia de seguridad 168
dispositivos ePO datos de registro, restaurar 170
consulta en el panel de Real Time for McAfee ePO 224 definir ubicación de almacenamiento alternativa 170
consultar para enriquecimiento de datos 223 desactivar dispositivo de duplicación 161
consultas sobre informes o vistas 223 dispositivo DAS para almacenar datos de ELM 164
dispositivos simultáneos para descubrimiento de red 490 duplicar almacenamiento de datos 160
dispositivos virtuales 62 grupo de almacenamiento duplicado, reconstruir 160
agregar a dispositivo 65 grupo de almacenamiento, agregar o editar 157
lista negra 228 migrar base de datos 171
modo de solo alertas 556 mover grupo de almacenamiento 159
reglas de selección, administrar 64 preparativos para almacenar datos 152
reglas internas 522 recuperar datos 172
documentación restaurar 168
convenciones tipográficas e iconos 9 resumen 14
destinatarios de esta guía 9 sincronizar con dispositivo 57
específica de producto, buscar 10 trabajo de búsqueda 172
duplicados, eliminar nodos de dispositivo 68 trabajo de búsqueda, crear 173
duplicar almacenamiento de datos de ELM 160 trabajo de búsqueda, ver resultados 175
trabajo de comprobación de integridad 172
E trabajo de comprobación de integridad, crear 173
editor de directivas uso de almacenamiento, ver 171
modo de sobresuscripción, configurar 557 vista de búsqueda 421
ver estado de actualización de dispositivos 558 endpoints, descubrimiento 490
Editor de directivas enlazar componentes 438
historial de cambios 574 enmascarar direcciones IP 321
ejecutar enriquecimiento de datos 331
ePolicy Orchestrator 431 Active Response
ePolicy Orchestrator desde ESM 216 agregar origen de enriquecimiento de datos 466
elementos lógicos para reglas de correlación, base de datos y agregar orígenes 332
ADM 377, 546 consultar dispositivos ePO 223
elementos lógicos, editar 547 resultados de búsqueda de Active Response 466
eliminada, agregar o eliminar entrada eliminada en McAfee ePO
Network Security Manager 235 agregar credenciales de autenticación 218
eliminar transmisión de eventos, vista 78
alarma activada 360 ePolicy Orchestrator
eventos o flujos 431 adquisición de datos de McAfee Risk Advisor, activar 219
reglas personalizadas 558 configuración 216
ELM ejecutar desde ESM 216
agregar almacenamiento de datos duplicado 160 etiquetas, asignar a dirección IP 218
agregar dispositivo de almacenamiento 155

Índice
error de registro de seguridad etiquetas (continuación)

UCAPL, alarma 364 asignar a reglas o activos 569
errores de carga manual, fuente de Cyber Threat asignar de ePolicy Orchestrator a dirección IP 218
solución de problemas categoría, agregar ahora 569
carga manual de un archivo IOC STIX XML 344 editar existentes 569
errores de inicio de sesión eliminar personalizadas 569
UCAPL, alarma 364 gravedad 572
escalación personalizadas, eliminar 569
alarmas 355 Event Receiver
ESM configurar opciones 78
actualizar software 31 resumen 14
administrar 316 evento de correlación, ver eventos de origen 92
almacenamiento de datos, configurar 279 eventos
ampliar principal y redundante 325 administrar excepciones de agregación 395
archivos de copia de seguridad 312 agregar a lista negra 431
control del tráfico de red 258 agregar a un caso 470
copia de seguridad de la configuración 309 buscar campos coincidentes alrededor 442
ESM redundante 309 comprobar 388
funciones de seguridad 290 configurar descargas 384
hora no sincronizada con origen de datos 380 crear caso para rastrear 470
IPMI, configurar puerto 256 descripción 383
no sincronizado con origen de datos 381 detalles de sesión, ver 418
redundante, funcionamiento 313 eliminar 431
registro, configurar 323 escalación de alarmas 355
reglas 554 establecer umbral de inactividad 386
restaurar configuración 310 marcar como revisados 431
resumen 14 ponderaciones de gravedad, configurar 573
sincronizar con dispositivo 57 recuperar 387
sustituir redundante 315 registro, administrar tipos de eventos 319
ver información del sistema 236 registros, establecer idioma 33
ESM distribuido ver hora exacta 467
agregar filtros 216 eventos de correlación
propiedades 215 alarmas, eventos de origen 350
ESM principal, ampliar 325 eventos de origen, alarmas 350
ESM redundante eventos de correlación histórica, descargar 183
ampliar 325 eventos de metadatos 184
cómo funciona 313 eventos de origen
configurar 309 alarmas, correlación 350
guardar configuración 313 correlación, alarmas 350
sustituir 315 eventos de origen, ver para evento de correlación 92
estadísticas, ver en dispositivo 47 eventos de transmisión para receptor, NSM y ePO 78
estado eventos, flujos y registros
dispositivos, ver actualización de directivas 558 limitar tiempo de recopilación 385
inactivo 73 examinar referencia desde vista 431
receptor de disponibilidad alta 88 excepciones a la configuración de agregación, agregar 394
estado de casos, agregar 475 excepciones, agregar regla de firewall 518
estado de dispositivo, descargar datos 47 exportar
estado de regla actualizado, borrar 566 clave 50
estado del sistema claves de comunicación 323
UCAPL, alarma 364 componente 434
etiqueta de ePO reglas 562
acción de alarma 355 ver 431
etiquetar, ePO 217 exportar e importar
etiquetas archivo .exk 25
agregar nuevas 569 archivo .puk 25

Índice
exportar zonas 497 G

expresiones regulares, usar para consultas en el ELM 176
geolocalización, definir configuración del dispositivo 390
extensiones de archivo de archivos de exportación 24
Global Threat Intelligence, lista de vigilancia 454
gráfico de distribución, comparar valores 439
F gramática de expresiones regulares para reglas de ADM 193
fallo de alimentación gravedad
alarmas 380 alarmas 355
fecha, cambiar formato 289 asociación 136
filtro contains 413 escalación de alarmas 355
filtros orígenes de datos 136
agregar al ESM distribuido 216 ponderaciones 572
agregar reglas 522 ponderaciones, configurar 573
alarma activada 360 gravedad de riesgoadministración del riesgo
barra de herramientas 446 administrar 500
guardar valores actuales como predeterminados 446 vistas, personalizadas y predefinidas 500
opciones, agregar y quitar 446 grupo de almacenamiento duplicado, reconstruir 160
panel 37 grupo de almacenamiento, agregar dispositivo de
reglas existentes 563 almacenamiento para vincular 155
tipos personalizados 458 grupo de almacenamiento, agregar o editar 157
UCF 449 grupo de almacenamiento, mover 159
usar valores predeterminados 446 grupo de almacenamiento, reconstruir duplicado 160
visibles para el usuario y todos, alternar 446 grupo de dispositivos, administrar 67
vistas 444 grupo de nombre/valor, agregar tipo personalizado 462
Windows, ID de evento 449 grupo de registro predeterminado, establecer 58
filtros, reenvío de eventos 401 grupo de reglas 149
filtrosID normalizado, seleccionar 449 Grupo Hogar, desactivar uso compartido de archivos 155
FIPS, modo grupos
dispositivo con clave aplicada, agregar 24 configurar usuarios 301
extensiones de archivo 24 usuarios 286
terminología 24 grupos de reglas de McAfee 149
firma, ver para reglas 564 GTI, lista de vigilancia 454
flujo de trabajo, rastrear 470
flujos H
comprobar 388 Hadoop PIG 337
configurar descargas 384 hardware 236
descripción 383 hardware, requisitos mínimos 19
eliminar 431 historial
establecer umbral de inactividad 386 cambios de directiva 574
recuperar 387 ver cambios de reglas 567
vistas 420 historial de ejecución de TIE 431
formato de evento común, orígenes de datos 143 hora del dispositivo
frase de contraseña y certificado, obtener para McAfee ver para un evento 467
Vulnerability Manager 232
hora del evento
frecuencia de activación
ver 467
condición de alarma 355
hora del sistema, sincronizar 263
fuente de Cyber Threat
hora no sincronizada entre el ESM y el origen de datos 380, 381
errores de carga manual 344
fuentes de Cyber Threat 342 I
fuentes de Internet
IBM ISS, origen de datos SiteProtector 147
crear listas de vigilancia 455
icono de dispositivos, agregar 41
funciones administrativas
icono de obtención de eventos y flujos 41
UCAPL, alarma 364
iconos de inicio rápido 37
funciones de seguridad 290
ID de cliente 236
ID de equipo, ver para dispositivo 44

Índice
ID de firma del monitor de estado 367 informes (continuación)

alarmas 366 resumen de dispositivos 70
ID normalizado trimestrales, establecer mes de inicio 405
seleccionar 449 iniciar dispositivos 60
identificación de usuarios iniciar sesión
administrar 210 consola, primera vez 29
agregar regla 211 definir configuración 291
idioma, establecer para registros de eventos 33 lista de control de acceso 294
imágenes seguridad 290
agregar a página de inicio de sesión 30 iniciar varios dispositivos 68
incluir en PDF e informes 411 intercambiar funciones de receptores de disponibilidad alta 86
importar interfaz
archivo de normalización de cadenas 458 administrar red 249
clave de dispositivo 52 configuración de red 250
lista de orígenes de datos 116 IP
reglas 560 dirección, asignar etiquetas de ePolicy Orchestrator 218
variable 511 IPMI, configurar puerto en ESM o dispositivos 256
importar configuración de zonas 497 IPMI, configurar puerto en la red 256
importar hoja de cálculo de orígenes de datos 118 IPS
importar, nombres de host 261 asistente de detección de anomalías 224
inactivas, configurar archivo para particiones 280 configurar opciones 224
inclusión automática en lista negra para reglas 562 inclusión en lista negra automática, configurar 231
inclusión en lista negra automática, configurar 231 informe de análisis, generar 226
indicadores de compromiso (IOC) 342 lista negra 228
indicadores de estado 41, 73 lista negra, administrar 229
indicadores, dispositivo o sistema 73 modo de solo alertas 556
índices de acumulación, aumentar disponibles 280 reglas internas 522
indización de acumulación, administrar 284 variable de tráfico prioritario 576
informativos, indicadores 73 variables de detección de anomalías, editar 225
informe IPv6
administrar consultas 324, 325 configurar receptor de disponibilidad alta 84
informe de análisis, generar para IPS 226
informe de hora de evento 236 J
informes
jerarquía de ESM, enmascarar datos 321
acción de alarma 355
administración de casos, generar 477
L
agregar 405
agregar condición 411 LDAP
alarmas 362 autenticación de inicio de sesión 291
análisis de IPS, generar 226 servidor, autenticar usuarios 300
cancelar 362 lectura de final de archivos, método de recopilación de orígenes
de datos 131
cola 362
licencia, actualizar en DEM 202
consultar dispositivos ePO 223
límites de asignación de datos, definir 282
definidos por el usuario 404
límites de retención de datos, configurar 281
descargar 362
límites, configurar para retención de datos 281
detener 362
Linux
diseño 408
comandos 327
eliminar 362
comandos disponibles 328
escalación de alarmas 355
Linux, introducir comandos en dispositivo 59
hora de evento 236
lista de control de acceso, configurar 294
incluir imagen 411
lista de exclusiones de IP, administrar 489
mostrar nombres de host 413
lista de vigilancia
notificaciones, agregar destinatarios 240
adjuntar eventos 431
predefinidos 404
administrar consultas 324, 325
recuento de tipos de dispositivos 236

Índice
lista de vigilancia (continuación) McAfee Vulnerability Manager (continuación)

agregar 450 ejecutar análisis 232
agregar reglas 568 McAfee, MIB 273
crear en vista 431 mejorada, búsqueda de ELM 422
crear nueva 568 memoria, utilización en base de datos 285
descripción general 450 mensaje de syslog
GTI 454 UCAPL, alarma 364
lista de vigilancia de Threat Intelligence Exchange 221 mensajes
lista negra acción de alarma 355
a partir de evento en vista 431 alarmas 239, 348
administrar para IPS 229 alarmas, configurar 347
agregar entrada de McAfee Network Security Manager 234 alarmas, destinatarios 351
configuración de inclusión automática en la lista negra 231 alarmas, servidor de correo 239
configurar global 329 correo electrónico 347
dispositivo virtual o IPS 228 destinatarios, alarmas 351
entrada, agregar o eliminar eliminada en McAfee Network escalación de alarmas 355
Security Manager 235 plantillas de alarma 348
global 329 servidor de correo, conectar 239
inclusión automática para reglas 562 SMS 347
lista negra global 329 SNMP 347
configurar 329 syslog 347
listas de vigilancia MIB
acción de alarma 355 extraer de ESM 278
Active Response MIB de McAfee 273
agregar lista de vigilancia 466 migración de base de datos
fuentes de Internet 455 unidad virtual local 164
resultados de búsqueda de Active Response 466 migrar la base de datos, ELM 171
listas negras migrar orígenes de datos a otro receptor 129
acción de alarma 355 modelo, ver para dispositivo 44
literales para reglas de ADM 193 modificar reglas 558
logotipo, agregar a página de inicio de sesión 30 modo de sobresuscripción, configurar 557
modo de solo alertas
M activar 556
mantenimiento de archivos, administrar 312 directivas 556
mapa de red 490 modo FIPS
máquina virtual, configurar almacenamiento de datos 279 activar 21
máscaras de datos confidenciales 208 comprobar integridad 22
administrar 209 comunicar con varios dispositivos ESM 25
McAfee ePO copia de seguridad de información 24
credenciales, configurar para usuarios 299 funciones disponibles no conformes 21
McAfee ePO, orígenes de datos 146 funciones eliminadas 21
McAfee Network Security Manager funciones solo disponibles en el modo FIPS 21
agregar o eliminar 235 restaurar información 24
configuración 233 seleccionar 21
entrada de lista negra eliminada 235 solucionar problemas 27
entrada de lista negra, agregar 234 módulos de protocolo de correo electrónico para reglas de ADM
McAfee Risk Advisor 199
adquisición de datos 219 módulos de protocolo de correo web para reglas de ADM 199
adquisición de datos, activar 219 módulos de protocolo de transferencia de archivos para reglas
de ADM 199
McAfee ServicePortal, acceso 10
monitor de estado
McAfee Vulnerability Manager
condición de alarma 355
análisis, desde vista 431
ID de firma 367
certificado y frase de contraseña, obtener 232
motor de correlación de riesgos, ACE 177
conexiones, configurar 233
motor de correlación, ACE 177
configuración 232
mover grupo de almacenamiento 159

Índice
mover orígenes de datos a otro sistema 129 orígenes de datos 93 (continuación)

ASP, codificación 141
N Check Point, configurar 148
navegación por el sistema cliente 114
árbol 37 cliente, agregar 114
barra 37 cliente, localizar 115
NIC de omisión codificación para ASP 141
configurar 255 compatibilidad con la retransmisión de syslog 145
descripción general 255 configuración de Adiscon 145
Nitro IPS correlación 135
resumen 14 crear automáticamente 106
nodos de dispositivo duplicados, eliminar 68 formato de evento común 143
nombre/valor, tipos personalizados 462 hoja de cálculo para importar 118
nombres de host hora no sincronizada con ESM 380
administrar 260 importar hoja de cálculo 118
nombres de host, importar lista 261 importar lista 116
nombres de host, mostrar en informes 413 McAfee ePO 146
normalización 555 método de recopilación de lectura de final de archivos 131
normalización de cadenas método de recopilación, leer final de archivo 131
administrar archivos 456 migrar a otro receptor 129
crear archivo que importar 458 mostrar desactivados 289
normalización de RPC 514 mover a otro sistema 129
normalización de solicitud web 514 registros de seguridad de Windows 135
notificación de fallos de alimentación 272 reglas de creación automática, agregar 107
notificación, configurar SNMP 56 Security Device Event Exchange (SDEE) 142
NSM SiteProtector de IBM ISS 147
capa 7 235 tipos definidos por el usuario 132
herramienta de configuración de NSM-SIEM 146 ver archivos generados 132
transmisión de eventos, vista 78 WMI Event Log 134
número de serie orígenes de datos secundarios, agregar 113
sistema 236 orígenes de datos, acciones de reglas 530
ver para dispositivo 44 orígenes, agregar para enriquecimiento de datos 332
P
O
página de inicio de sesión, personalizar 30
omitir acción en reglas descargadas 571
panel de casos 37
opciones de configuración, aplicar al DEM 205
pantalla personalizada, agregar, editar, eliminar 35, 66
operación, establecer para DEM 207
pantalla, seleccionar tipo 35
operadores para reglas de ADM 193
parámetros, agregar a componente o regla de correlación 547
origen de datos
particiones inactivas, configurar archivo 280
no sincronizado con ESM 381
PDF, incluir imagen 411
origen de evaluación de vulnerabilidades, agregar 100
perfil de comando remoto, configurar 266
orígenes de activos 491
perfil de sistema de evaluación de vulnerabilidades, definir 99
administrar 492
perfiles, configurar 266
agregar receptor 150
personalizados
receptor 150
filtros de tipos 458
orígenes de datos 93
personalizar resumen 378
administrar 98
plantillas, mensajes de alarma 348
admitidos 133
ponderaciones, configurar para gravedad 573
agregar 94
predefinidas, vistas 419
agregar para ArcSight 143
preferencias de la consola 36
agregar secundarios 113
preguntas más frecuentes 11, 15
analizador de syslog avanzado 137
propiedades específicas de protocolos para reglas de ADM 199
aprendizaje automático, configurar 108
protocolo
asociación de gravedades y acciones 136
eventos de anomalía 184

Índice
protocolo DNA, anomalías en reglas de ADM 200 redundancia de ELM

protocolo IP, anomalías en reglas de ADM 200 desactivar la redundancia 165
protocolo TCP, anomalías en reglas de ADM 200 ver detalles sobre la sincronización de datos 165
proveedores de evaluación de vulnerabilidades disponibles en volver a poner el ELM en espera en servicio 165
ESM 105
reensamblado de TCP basado en destino 514
puertos
reenvío de eventos
receptor de disponibilidad alta, red 82
activar o desactivar 400
agentes 399
R agregar destinos 397
RADIUS agregar filtros 401
autenticación de inicio de sesión 291 configurar 395, 396
configuración de autenticación 293 editar configuración de filtrado 402
rastrear un evento 470 modificar configuración 401
rastreo de sesiones TCP/UDP 514 referencia, diccionario de ADM 192
Real Time for McAfee ePO referencias métricas
consulta en el panel de ePO 224 ADM, reglas 197
ejecutar acciones 220 DEM, reglas 536
receptor registrar evento
origen de activos, agregar 150 acción de alarma 355
orígenes de datos 93 registro
receptor de disponibilidad alta 79 activar para flujos 421
ampliar 87 configurar ESM 323
comprobar estado 88 establecer grupo predeterminado 58
configurar con IPv6 84 ver de sistema o dispositivo 71
configurar dispositivos 83 registro de flujos, activar 421
intercambiar funciones 86 registro de mensajes, ver en dispositivo 47
puertos de red 82 registro del sistema, ver 71
reinicializar dispositivo secundario 84 registros
solucionar problemas si falla 90 administrar 319
sustituir receptor 89 comprobar 388
receptor de disponibilidad alta secundario, reinicializar 84 configurar descargas 384
receptores descripción 383
archivar datos sin procesar 90 establecer idioma 33
configuración de archivado, definir 91 tipos generados 320
orígenes de activos 150 registros de seguridad de Windows 135
transmisión de eventos, vista 78 registros, almacenar en ELM 154
reconstruir grupo de almacenamiento duplicado 160 regla de rastreo de transacciones, agregar o editar 552
recopilador regla de selección para dispositivos virtuales, administrar 64
SIEM Collector 98 reglas
recuperación de evaluación de vulnerabilidades, solucionar activar eventos 184
problemas 105 agregar a lista de vigilancia 568
recuperar actualizaciones de reglas 565 agregar alarma 378
red analizador de syslog avanzado 524
administrar interfaces 249 borrar estado de regla actualizado 566
componente de topología, agregar dispositivos 426 buscar actualizaciones 32
configurar opciones 243 comparar archivos 566
interfaces, configurar en dispositivos 250 copiar y pegar 558
puertos de receptor de disponibilidad alta 82 crear personalizadas a partir de evento 431
topología, detalles de dispositivos 427 credenciales de actualización 32
red, descubrir 485 eliminar personalizadas 558
red, mapa 490 estándar, acceso 226
reducir asignación de almacenamiento en ELM 159 eventos de Windows 532
redundancia de ELM exportar 562
cambiar ELM 165 filtrar existentes 563
suspender la comunicación con el ELM en espera firewall, acceso 226

Índice
reglas (continuación) reloj de dispositivos, sincronizar 264

gravedad 572 reloj del sistema 236
historial, ver cambios 567 Remedy
importar 560 acción de alarma 355
inclusión automática en lista negra 562 configuración del servidor 237
internas 521, 522 ID de caso, agregar al registro de evento 433
modificar 558 ID de caso, establecer 431
modificar configuración de agregación 570 requisitos mínimos de hardware y software 19
normalización 555 responder
omitir acción en descargadas 571 alarmas 359
origen de datos 530 restaurar
preprocesador 514, 515 claves de comunicación 323
rastreo de transacciones, agregar o editar 552 configuración del sistema 308
recuperar actualizaciones 565 restaurar archivos de configuración con copia de seguridad 311
tipos y propiedades 509 restaurar configuración de ESM 310
variables 510 restaurar ELM mediante copias de seguridad 168
ver firma 564 resultados de búsquedas de Active Response
ver personalizadas 558 anexar datos a una lista de vigilancia 464
reglas de acceso a datos, agregar o editar 551 buscar en datos resultantes 464
reglas de ASP crear lista de vigilancia 464
establecer orden 525 exportar datos 464
formatos de hora, agregar 526 retención de datos, configurar límites 281
reglas de ASP personalizadas, agregar 524 riesgo
reglas de correlación 540 amenazas que incluir en el cálculo 501
agregar parámetros 547 rutas estáticas, agregar 254
conflictos al importar 561
ejemplo 549 S
reglas de Threat Intelligence Exchange 221 SDEE, orígenes de datos 142
reglas de creación automática de orígenes de datos, agregar secuestro de sesiones, TCP 513
107
seguridad, claves de comunicación SSH 53
reglas de filtrado
ServicePortal, buscar documentación del producto 10
establecer orden 525
servidor de correo,
orden de las reglas 522
alarmas, conectar 239
orden de los datos 522
conectar 239
reglas de firewall 227, 515
servidores NTP
acceso 226
establecer para dispositivo 241
agregar excepciones 518
ver estado 242
agregar personalizadas 516
sesión
crear a partir de evento o flujo 431
cerrar en la consola 29
tipos 227, 515
sesiones simultáneas
reglas de inspección profunda de paquetes (DPI) 519
UCAPL, alarma 364
agregar 520
sincronización de hora 263
atributos, agregar 521
sincronizar dispositivo
reglas de origen de datos 530
relojes 264
aprendizaje automático, administrar 531
sincronizar dispositivo con ESM 57
reglas de origen de datos de aprendizaje automático,
administrar 531 sincronizar hora del sistema 263
reglas de preprocesador 514, 515 SMS
reglas estándar, acceso 226 alarmas 347
reglas internas 521 SNMP
administrar 522 alarmas 347
reglas personalizadas configuración 269
ver 558 configurar notificaciones 56
reinicializar receptor de disponibilidad alta secundario 84 MIB 273
reiniciar dispositivos 60 notificación de fallos de alimentación 272
reiniciar varios dispositivos 68

Índice
software trabajo de comprobación de integridad 172

actualizar en varios dispositivos 68 crear 173
software, actualizar dispositivo 54 tráfico prioritario, administrar 576
software, actualizar ESM 31 trimestrales, establecer mes de inicio de informes 405
software, requisitos mínimos 19
solución de problemas U
fallo de receptor de disponibilidad alta 90 UCAPL
solucionar problemas del modo FIPS 27 alarmas, crear 364
soporte técnico, encontrar información de productos 10 auditorías, alarma 364
SSH capturas SNMP, alarma 364
claves de comunicación, administrar para dispositivos 53 certificados, alarma 364
comunicación, desactivar con ESM 60 error de registro de seguridad, alarma 364
regenerar clave 324 errores de inicio de sesión, alarma 364
STIX, tipos de indicadores compatibles 343 estado del sistema, alarma 364
subzonas funciones administrativas, alarma 364
agregar 499 mensaje de syslog, alarma 364
supervisar sesiones simultáneas, alarma 364
alarmas 359 umbral de inactividad, alarma 364
supervisar tráfico de dispositivo 59 UCF, filtros 449
sustituir receptor con problemas 89 umbral
sustituir receptor de disponibilidad alta 89 condición de alarma 355
syslog umbral de inactividad
alarmas 347 UCAPL, alarma 364
umbral de inactividad, establecer 386
T unidad virtual local 164
tasa de comprobación uso compartido de archivos en el Grupo Hogar, desactivar 155
condición de alarma 355 uso de almacenamiento, ver en ELM 171
tasa de eventos usuario asignado
condición de alarma 355 escalación de alarmas 355
TCP usuarios
anomalías de protocolo 513 agregar 287
secuestro de sesiones 513 agregar inicio de sesión CAC 296
tema de color, consola 38 autenticar mediante servidor LDAP 300
terminal, usar comandos Linux 327 desactivar 300
Threat Intelligence Exchange nombre predeterminado 29
integración con ESM reactivar 300
historial de ejecución 221 uso 286
tiempo de espera, consola 40
tipo de pantalla de dispositivos, seleccionar 35 V
tipo de pantalla predeterminada, cambiar 289 variables 510
tipo personalizado categoría, agregar ahora 511
agregar grupo de nombre/valor 462 eliminar personalizadas 511
tipos de indicadores, compatibles 343 importar 511
tipos de reglas 509 modificar 511
tipos de términos para reglas de ADM 195 modificar tipo 511
tipos personalizados personalizadas, agregar 511
crear 460 priority_traffic 576
de tiempo, agregar 461 varios dispositivos
nombre/valor 462 administrar 68
predefinidos 461 icono de administración 41
trabajo de búsqueda 172 ver
trabajo de búsqueda, crear 173 administrar consultas 324, 325
trabajo de búsqueda, ver resultados 175 ver preferencias de panel 39
versión, ver para software 44

Índice
vincular componentes 438 VLAN (continuación)

vínculo de URL cambiar 431
agregar información de dispositivo 46 volcado de TCP 59
vínculos de URL vulnerabilidad
agregar a dispositivo 69 administrar orígenes 493
virtual, unidad local 164 evaluación 493
visor de sesión, ver contraseñas 186 gravedad 572
vista predeterminada, cambiar 444
vistas W
administrar 441
WHOIS
agregar personalizadas 423
búsqueda desde vista 431
barra de herramientas 37, 418
búsqueda, realizar 433
barra de herramientas de componentes 428
Windows
búsqueda de ELM mejorada 421
ID de evento, filtros 449
cambiar predeterminada 444
reglas de eventos 532
componentes 423
WMI Event Log 134
componentes, descripción 424
componentes, personalizar 425
Z
consultar dispositivos ePO 223
datos de una vista 444 zipzap 514
detalles de datos 428 zona horaria
filtrar 444 formato, cambiar 289
filtros 444 zonas
flujo 420 administrar 495
nombres de host, mostrar en lugar de direcciones IP 423 agregar 496
panel 37 agregar una subzona 499
predefinidas 419 exportar configuración 497
vistas de fábrica 419 importar configuración de zonas 497
VLAN
agregar 252

0-02

Manual Siem Mcaffe

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual Siem Mcaffe

Cargado por

Copyright:

Formatos disponibles

Guía del producto

McAfee Enterprise Security Manager 9.6.0

ATRIBUCIONES DE MARCAS COMERCIALES

2 McAfee Enterprise Security Manager 9.6.0 Guía del producto

3 Configuración del ESM 41

McAfee Enterprise Security Manager 9.6.0 Guía del producto 3

Organización de los dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . 55

4 McAfee Enterprise Security Manager 9.6.0 Guía del producto

Configuración de un ESM redundante . . . . . . . . . . . . . . . . . . . . . . 313

4 Administración de Cyber Threat 341

5 Uso de paquetes de contenido 345

6 Flujo de trabajo de alarmas 347

7 Uso de los eventos 383

McAfee Enterprise Security Manager 9.6.0 Guía del producto 5

Configuración de descargas de eventos, flujos y registros . . . . . . . . . . . . . . 384

8 Administración de casos 469

6 McAfee Enterprise Security Manager 9.6.0 Guía del producto

9 Uso de Asset Manager 479

10 Administración de directivas y reglas 503

McAfee Enterprise Security Manager 9.6.0 Guía del producto 7

Recuperación de actualizaciones de regla . . . . . . . . . . . . . . . . . . . . 565

8 McAfee Enterprise Security Manager 9.6.0 Guía del producto

Acerca de esta guía

• Administradores: personas que implementan y aplican el programa de seguridad de la empresa.

Cursiva Título de un manual, capítulo o tema; un nuevo término; énfasis

Precaución: Consejos importantes para proteger su sistema informático,

McAfee Enterprise Security Manager 9.6.0 Guía del producto 9

Búsqueda de documentación de productos

Búsqueda de información localizada

• Chino tradicional • Coreano

• Inglés • Portugués brasileño

Acceso a la Ayuda online localizada

2 En el panel de navegación del sistema de la consola de ESM, seleccione Opciones.

3 Seleccione un idioma y haga clic en Aceptar.

10 McAfee Enterprise Security Manager 9.6.0 Guía del producto

Búsqueda de documentación del producto localizada en el Centro de conocimiento

2 Busque la documentación del producto localizada mediante los parámetros siguientes.

• Producto: SIEM Enterprise Security Manager

3 En los resultados de la búsqueda, haga clic en el título del documento relevante.

Preguntas más frecuentes

¿Dónde puedo encontrar información sobre ESM en otros idiomas?

• Visite el Centro de conocimiento

• Visite el Centro de expertos

• Vea los vídeos de McAfee ESM

¿Qué dispositivos de la solución SIEM se admiten?

McAfee Enterprise Security Manager 9.6.0 Guía del producto 11

12 McAfee Enterprise Security Manager 9.6.0 Guía del producto

Cómo funciona McAfee Enterprise Security Manager

ESM consta de tres capas.

• Almacenamiento, administración y análisis de datos: dispositivos que proporcionan todos los

McAfee Enterprise Security Manager 9.6.0 Guía del producto 13

Los dispositivos y sus funciones

14 McAfee Enterprise Security Manager 9.6.0 Guía del producto

Uso de la Ayuda de ESM

Preguntas más frecuentes

¿Dónde puedo encontrar información sobre ESM en otros idiomas?

• Visite el Centro de conocimiento

• Visite el Centro de expertos

• Vea los vídeos de McAfee ESM

¿Qué dispositivos de la solución SIEM se admiten?

McAfee Enterprise Security Manager 9.6.0 Guía del producto 15

Búsqueda de información localizada

• Chino tradicional • Coreano