リリース ノート McAfee Enterprise Security Manager 9.5.0 目次 このリリースについて 9.5.0 の新機能 解決された問題点 既知の問題 アップグレードの手順 製品マニュアルの検索 このリリースについて この資料には、このリリースに関する重要な情報が含まれていますので、ぜひご一読いただくようお願いいたします。 プレリリース版ソフトウェアの自動アップグレードはサポートされていません。ソフトウェアを製品リリースにアッ プグレードする場合には、McAfee ベータ版チーム ([email protected]) にアップグレード方法を確認してくださ い。 ® 9.5.0 の新機能 ® Intel Security の McAfee Enterprise Security Manager (McAfee ESM) 9.5.0 では、Security Connected の ビジョンをサポートするため、様々な機能が更新されました。セキュリティ ビッグデータを統合し、業界最高の SIEM 機能を搭載しています。 Amazon クラウド アクセス権があれば、Amazon Web Services/Elastic Compute Cloud (AWS/EC2) で ESM を開始することがで きます。 1 この機能は、バージョン 9.4.2 から提供されています。 詳細については、バージョン 9.4.2 のリリース ノートを参 照してください。 Application Data Monitor の機能向上 ADM は次のものに対応しています。 • プロトコル: BitTorrent、Apple Filing Protocol (AFP)、Bitcoin、Git、Server Message Block 2 (SMB2)、 Microsoft Endpoint Manager (EPM) • ファイル タイプ: Iso9660、Applefile、ICal 送信データの帯域幅管理 組織の帯域幅の制約のため、デバイスから送信できるデータ量が制限される場合があります。 このリリースでは、 Receiver、Advanced Correlation Engine (ACE)、Enterprise Log Manager (ELM)、ADM, Database Event Monitor (DEM)、Nitro Intrusion Prevention System (IPS) にデータ出力の最大値を定義することができます。 出力値は、1 秒あたりの KB、MB、GB で定義します。 また、毎日実行する処理 (ESM が各デバイスからデータを取得する時間や各デバイスが ELM に送信する時間) に時 間帯を設定することもできます。 この機能は、バージョン 9.4.1 から提供されています。 詳細については、オンライン ヘルプまたは製品ガイドで次 のトピックを参照してください。 • デバイスにネットワーク トラフィック制御をセットアップする • データの収集時間を制限する • ESM にネットワーク トラフィック制御をセットアップする ケースの機能向上 このリリースでは、任意のイベント フィールド、送信元 IP アドレス、宛先 IP アドレス、ホスト デバイスを使用し て、ケース (ソース イベントを含む) を検索できます。 また、ケース クエリーを実行し、テーブル要素、棒グラフ、円グラフ、折れ線グラフなどを使用して独自のビューを 作成することもできます。 詳細については、オンライン ヘルプまたは製品ガイドで次のトピックを参照してください。 • ビューのフィルタリング クライアント データ ソース このリリースでは、IP アドレスが同じ複数のクライアント データ ソースを使用できます。これらのソースはポート 番号で区別します。 これにより、ポート番号でデータ タイプを分離できます。 この機能は、バージョン 9.4.1 から提供されています。 詳細については、オンライン ヘルプまたは製品ガイドで次 のトピックを参照してください。 • クライアント データ ソース • クライアント データ ソースを追加する 設定ファイル このリリースでは、各デバイスの SSH キー、ネットワーク設定、SNMP、その他のファイル設定をバックアップし、 リストアできます。 2 この機能は、バージョン 9.4.1 から提供されています。 詳細については、オンライン ヘルプまたは製品ガイドで次 のトピックを参照してください。 • システム設定のバックアップとリストア • バックアップされた設定ファイルをリストアする コンテンツ パック 特定の脅威状況が発生した場合、関連するコンテンツ パックをルール サーバーからインポートしてインストールす ることで、迅速に対応することができます。 コンテンツ パックには、事例ごとの相関ルール、アラーム、ビュー、 レポート、変数、特定のマルウェアまたは脅威アクティビティを阻止するウォッチリストが含まれます。 コンテンツ パックを使用すると、ツールを最初から作成することなく、脅威に対応することができます。 コンテンツ パックの詳細については、McAfee KnowledgeBase の記事 (KB8373) を参照してください。 また、アラーム、レポート、ウォッチリストのエクスポートとインポートも可能です。 詳細については、オンライン ヘルプまたは製品ガイドで次のトピックを参照してください。 • コンテンツ パックの使い方 • コンテンツ パックをインポートする サイバー脅威の管理 ESM では、リモート ソースから侵害の兆候 (IOC) を取得し、環境内で IOC に関連するアクティビティを迅速に確 認できます。 サイバー脅威管理により、ウォッチリスト、アラーム、レポートを生成する自動フィードをセットアップし、有益な データを利用することができます。 たとえば、不審な IP アドレスをウォッチリストに自動的に追加するフィードを セットアップし、以降のトラフィックを監視できます。 このフィードは、過去のアクティビティを表すレポートを生 成し、送信することもできます。 [イベント ワークフロー ビュー | サイバー脅威インジケーター] ビューを使用すると、環境内で特定の IOC イベン トとアクティビティに迅速にドリルダウンできます。 詳細については、オンライン ヘルプまたは製品ガイドで次のトピックを参照してください。 • サイバー脅威管理をセットアップする • サイバー脅威フィードの結果を表示する データ エンリッチメント ソース タイプに Apache Hadoop Hive、Apache Hadoop Pig、HTTP/HTTPS が追加されました。 Microsoft Active Directory を利用すると、Microsoft Windows イベントにユーザーの完全な表示名を追加できます。 詳細については、オンライン ヘルプまたは製品ガイドで次のトピックを参照してください。 • Hadoop Pig データ エンリッチメント ソースを追加する • インターネット データ エンリッチメント ソースを作成する • ユーザー名に Active Directory データ エンリッチメントを追加する 3 データ ソースの改善 • 設定によっては、データ ソースの時間が ESM と同期されない場合があります。 同期されていないデータ ソー スがイベントを生成すると、システム ナビゲーション ツリーで Receiver の横に赤いフラグが表示されます。 このイベントが発生したときに通知するように、アラームを追加することもできます。 同期されていないデータ ソースは [時間差] ページで管理します。 • データ ソース ルールには、デフォルトのアクションが定義されています。 Receiver は、このアクションをルー ルに関連するイベントのサブタイプに割り当てます。 このアクションは変更できるようになりました。 解析ル ールから継承された値を使用する代わりに、データ ソース ルールごとにイベントのサブタイプの値を設定しま す。 これにより、このイベント サブタイプに異なる値を指定して、ダッシュボード、レポート、解析ルール、ア ラームにルール アクションを設定できます。 これらの機能は、バージョン 9.4.1 から提供されています。 詳細については、オンライン ヘルプまたは製品ガイド で次のトピックを参照してください。 • 同期されていないデータ ソースを管理する • データ ソースのルール アクションを設定する デバイス統計 ESM デバイス固有の CPU、メモリー、キューなどの情報を表示できます。 また、Receiver の使用統計も確認できます。この統計には、過去 10 分間、1 時間、24 時間の受信 (コレクター) と送信 (パーサー) のデータ ソース レートが表示されます。 詳細については、オンライン ヘルプまたは製品ガイドで次のトピックを参照してください。 • デバイス統計を表示する • Receiver スループット統計を表示する • デバイスと機能 動的ホスト構成プロトコル (DHCP) IP ネットワークは、DHCP を使用してネットワーク設定パラメーター (インターフェースとサービスの IP アドレス など) を配布します。 クラウド環境に配備されるように ESM をセットアップすると、DHCP が自動的に有効にな り、IP アドレスが割り当てられます。 クラウド環境でない場合、VLAN、ESM、非高可用性 (HA) Receiver、ACE、ELM で DHCP サーバーを有効または 無効にすることができます。 この機能は、バージョン 9.4.2 から提供されています。 詳細については、オンライン ヘルプまたは製品ガイドで次 のトピックを参照してください。 4 • VLAN で DHCP をセットアップする • DHCP をセットアップする Enterprise Log Manager (ELM) の機能向上 • データベース管理: ELM のパフォーマンスが改善されました。 ELM 管理データベースのサイズを大きくするこ ともできます。 データベースの空き容量が少なくなると、正常性モニター フラグで警告されます。 • ELM の検索速度: ログのインデックス作成方法が変わりました。検索速度が改善され、フル テキスト インデッ クス (FTI) 機能がなくなりました。 FTI が以前に使用していた空間は自動的に解放されます。 新しい方法で追 加の空間が必要になる可能性があります。このため、管理データベースのサイズを増やすことができます。 • ELM の冗長性: この機能は、バージョン 9.4.2 から提供されています。 詳細については、オンライン ヘルプまたは製品ガイドで次のトピックを参照してください。 • [データベースの場所を選択] ページ • システム ログまたはデバイス ログを表示する • ELM の冗長性 • ELM 冗長性をセットアップする ビューとレポートをエクスポートする ページのグラフ、分布、表要素をエクスポートした場合、エクスポートしたデータがページの表示内容と一致するよ うになりました。 複数のページをエクスポートすると、データのエクスポート時にクエリーが結果を戻します。 複 数のページをエクスポートした場合、コンポーネントの内容と異なる可能性があります。 この機能は、バージョン 9.4.1 から提供されています。 詳細については、オンライン ヘルプまたは製品ガイドで次 のトピックを参照してください。 • コンポーネントをエクスポートする フィルター • ASP またはフィルター ルールの実行順序を設定できます。 ASP ルールの場合、複数のカスタム時間形式を設定 し、ASP ログの時間形式に一致する確率を高くすることができます。 • ESM に初めてログオンすると、デフォルトのフィルターとしてソース ユーザー、宛先ユーザー、送信元 IP アド レス、宛先 IP アドレスを使用できます。 フィルターのフィールドは追加または削除できます。フィルター セッ トの保存やデフォルト セットの変更も可能です。すべてのフィルターを管理し、文字列の正規化マネージャーを 開始することもできます。 • また、イベントの詳細でケースをフィルタリングできます。 • ユーザー管理の権限があれば、他のグループのフィルター セットを制限できます。 詳細については、オンライン ヘルプまたは製品ガイドで次のトピックを参照してください。 • ASP とフィルター ルールの順序を設定する • ASP ルールに時間形式を追加する • ビューのフィルタリング HA Receiver HA Receiver をプライマリ モードまたはセカンダリ モードで設定するときに、優先するプライマリ Receiver を選 択できます。 このセットアップでは、1 つの Receiver がプライマリまたはメインのアクティブ デバイスとして機 能します。 セカンダリ Receiver は、プライマリ Receiver を常時監視しています。 5 セカンダリは、プライマリが故障していると判断すると、プライマリの動作を停止して機能を引き継ぎます。選択し た優先プライマリ オプションによって、修復されたプライマリはセカンダリとなるか、プライマリに戻ります。 アップグレードを行う前に、優先プライマリ Receiver を [設定なし] に設定してください。これにより、フェールオ ーバー オプションが使用可能になります。 両方の Receiver をアップグレードした後に、優先プライマリ Receiver を再度適用できます。 詳細については、オンライン ヘルプまたは製品ガイドで次のトピックを参照してください。 • 高可用性 Receiver • HA デバイスをリセットする • Receiver-HA デバイスをセットアップする • Receiver-HA の役割を切り替える • セカンダリ デバイスを再度初期化する • HA Receiver をアップグレードする IP アドレスの詳細 ® ™ McAfee Global Threat Intelligence (McAfee GTI) のライセンスがあり、IP アドレスの詳細を検索する場合、リ スクの重大度や位置情報など、IP アドレスに関する詳細を確認できるようになりました。 この機能は、バージョン 9.4.1 から提供されています。 詳細については、オンライン ヘルプまたは製品ガイドで次 のトピックを参照してください。 • イベントの IP アドレスの詳細を表示する • WHOIS または ASN 参照を実行する McAfee Threat Intelligence Services (MTIS) McAfee Threat Intelligence Services (MTIS) とシステムの脆弱性評価のソースが既知の脅威のリストを生成し ます。 ESM は、脅威の重大度と各資産の重要度からリスク レベルを計算し、組織に対する脅威を測定します。 • 資産マネージャー: 資産を資産マネージャーに追加するときに、重要度を割り当て、組織に対する資産の重要度を 設定することができます。 たとえば、バックアップ機能のある単一のコンピューターが組織のセットアップを管 理している場合、このコンピューターの重要度は高くなります。 しかし、複数のコンピューター (それぞれがバ ックアップ機能を搭載している) がセットアップを管理している場合、各コンピューターの重大度は低くなりま す。 • 脅威管理: 資産マネージャーの [脅威管理] タブには、既知の脅威、脅威の重大度、影響を受ける製品のベンダー、 リスクの計算に使用されるかどうかが表示されます。 特定の脅威をリスク計算の対象にすることも、対象外にす ることもできます。 リストの脅威ごとに、脅威の取り扱いや対策などの推奨事項を確認できます。 • 事前定義のビュー: 3 つのビューが事前に定義され、概要、資産、脅威、リスクの概要が表示されます。 • 資産の脅威サマリー - 上位の資産がリスク スコアと脅威レベル別に表示されます。また、リスク別に脅威レ ベルを確認することもできます。 • 最近の脅威サマリー - ベンダー、リスク、資産、使用可能な保護製品別に最近発生した脅威が表示されます。 • 脆弱性のサマリー - 脅威と資産別に脆弱性が表示されます。 脆弱性の合計数 または ダイヤル コンポーネントを含むビューを表示すると、脆弱性の報告数が多くなる場合 があります。 MTIS フィードにより、VA ソースが報告した元の脆弱性に基づき、脅威が追加されます。 詳細については、オンライン ヘルプまたは製品ガイドで次のトピックを参照してください。 6 • 資産、脅威、リスク評価 • 既知の脅威を管理する • 資産を管理する • ESM ビューの使用方法 電源またはハードウェア障害 電源やハードウェアでエラーが発生すると、システムが警告なしでシャットダウンする可能性があります。 障害を警 告するように設定するには、ESM の電源障害が発生したときにアラームを鳴らすようにセットアップできます。 一 般的なハードウェア障害と DAS 電源障害を通知する SNMP トラップもセットアップできます。 この機能は、バージョン 9.4.1 から提供されています。 詳細については、オンライン ヘルプまたは製品ガイドで次 のトピックを参照してください。 • 電源障害通知アラームを追加する • 電源障害通知に SNMP トラップをセットアップする 重大度とアクション マップ 重大度とアクション マップに以下の新しいアクション タイプが追加されました。 • 25 = アラート - 拒否 • 33 = 感染 • 26 = アラート - ドロップ • 34 = 移動 • 27 = アラート - sdrop • 35 = 移動 - 失敗 • 28 = 再起動 • 36 = 隔離 • 29 = ブロック • 37 = 隔離 - 失敗 • 30 = 駆除 • 38 = 削除 - 失敗 • 31 = 駆除 - 失敗 • 39 = 拒否 • 32 = 継続 McAfee Threat Intelligence Exchange (TIE) の統合 ® TIE 機能は、バージョン 9.4.2 から提供されています。 詳細については、オンライン ヘルプまたは製品ガイドで次のトピックを参照してください。 • Threat Intelligence Exchange の統合 • TIE 実行履歴を表示してアクションをセットアップする トリガー イベント アラームがトリガーされたときに、このアラームをトリガーしたイベントを表示できます。 トリガーされるアラーム とケースをカスタマイズして、フィールドの一致と内部イベントをサマリーに追加できます。 この機能は、バージョン 9.4.1 から提供されています。 詳細については、オンライン ヘルプまたは製品ガイドで次 のトピックを参照してください。 • トリガーされたアラームを表示して管理する • トリガーされたアラームとケースのサマリーをカスタマイズする 7 ウォッチリスト • インターネット上のソースからウォッチリストを作成し、定期的に更新したり、脅威フィードを自動的にウォッ チリストに追加できます。 このウォッチリストで、HTTP 要求で取得するデータをプレビューしたり、このデー タをフィルタリングする正規表現を追加できます。 • McAfee Global Threat Intelligence (McAfee GTI) ウォッチリストをダウンロードするには、インターネッ ト接続が必要です。 オフラインでダウンロードすることはできません。 ® ™ 詳細については、オンライン ヘルプまたは製品ガイドで次のトピックを参照してください。 • インターネット ソースのウォッチリストを作成する 製品マニュアルの更新 • FIPS (Federal Information Processing Standard) モード: 製品マニュアルの FIPS 情報が更新され ました。 • 「正常性モニター シグネチャ ID」に、各 ID のタイプ、デバイス、重大度が記述されています。 • インストール ガイド: ネットワーク ポートの配線図が更新されました。 • オンライン ヘルプ/製品ガイド: 情報を簡単に検索できるように、目次を再編成しました。 解決された問題点 このリリースでは、次の問題が解決されています。以前のリリースで解決された問題点については、該当するリリー スのリリース ノートを参照してください。 親 ESM のリアルタイム アラートが原因でパフォーマンスに問題が生じる 親 ESM でリアルタイム アラームを作成すると、親 Receiver でのみアラームがトリガーされるようになりました。 対応する分散 Receiver ではアラームがトリガーされません。 ELM デバイス ログにロックの競合が表示される ELM にストレージ プールを追加しても、デバイス ログにロック競合が表示されなくなりました。 HTML レポートのタイトルの配置 作成した HTML レポート ([ESM プロパティ | レポート]) に、設定したタイトル配置 (左寄せ、右寄せ、中央) が正 しく適用されるようになりました。 データ ソース名の文字制限 データ ソース名の文字制限が 100 文字に増えました。 日本語でレポートをエクスポートすると無効な文字が表示される 日本語でレポートをエクスポートしたときに、日付の範囲が正しく表示されるようになりました。1 ?? 2 ではなく 1 / 2 と表示されます。 スタック コンポーネントにベースラインがない スタック オプションを選択してイベント分布のフィールドをグループ化すると、ベースラインが正しく表示されま す。 8 冗長 ESM デバイスとの同期で問題が発生する 冗長 ESM デバイスとの同期が正常に実行されるようになりました。 高可用性から既知のホストが削除される 高可用性 Receiver の既知のホストが削除されなくなりました。 データの CSV エクスポートが完了しない ESM がデータを CSV ファイルに正常にエクスポートするようになりました。 冗長 ESM の同期プロセス 冗長 ESM の同期を開始した後でプロセスに割り込めなくなりました。 CSV ファイルでデータ ソースを変更しても情報が削除されない ESM で、CSV ファイルを使用してデータ ソースを正常に削除できるようになりました。 自動学習のデータ ソースの編集 ESM で、自動学習のデータ ソース タイプに変更が正しく適用されるようになりました。 既知の問題 この製品リリースの既知の問題については、McAfee KnowledgeBase の次の記事を参照してください。 KB83418 アップグレードの手順 9.5.0 ソフトウェア リリースのシステムを準備するには、ESM、Nitro IPS、ACE、ADM、Database Event Monitor (DEM)、Receiver、ELMERC、ELM、ESM/Receiver の組み合わせに適したアップグレード ファイルをダウンロー ドし、所定の順序に従ってアップグレードします。 デバイスのインストールの詳細については、『McAfee Enterprise Security Manager 9.5.0 インストール ガイド』 を参照してください。 タスク • 14 ページの「アップグレード ファイルをダウンロードする」 システムをアップグレードする準備が整ったら、アップグレード ファイルをローカル システムにダウン ロードします。 • 15 ページの「システムをアップグレードする」 使用するモードに応じて、ESM とそのデバイスを所定の順序でアップグレードする必要があります。 ア ップグレード後、デバイスの設定を書き直してポリシーをロールアウトします。 • 17 ページの「ESM、ESMREC、ENMELM をアップグレードする」 システムの準備が整ったら、ESM、ESMREC または ENMELM を 9.5.0 にアップグレードします。 • 18 ページの「デバイスをアップグレードする」 FIPS モードではない場合は、ESM のアップグレード後に、IPS、Event Receiver、ELM、ELM/Event Receiver、ACE、ADM、DEM をアップグレードします。 FIPS モードの場合は、ESM をアップグレー ドする前にデバイスをアップグレードします。 9 アップグレードの準備 アップグレードを行う前に、いくつかの準備作業が必要になります。 • アップグレードを開始する前に、ESM チェックリストを見直して ESM とデバイスが適切な状態であることを確 認します。 • 以前のビルド (9.3.2 以降) からアップグレードされ ESM データベースの再構築が完了していることを確認し ます。また、このアップグレードに対して適切な停止時間帯をスケジュールできることを確認します。 • アップグレードを開始する前に、ESM のデータベースのバックアップを完了させます。 • ソフト レイド サブシステムが実行されていて、2 台のドライブがアクティブであることを確認します。ESM 4245R/5205R/5510R/5750R、ESMREC 4245R/5205R/5510R、ESMLM 4245R/5205R/5510R を実行し ている場合は、以下の方法で cat/proc/mdstat コマンドを実行します。 • ESM コンソールで、[システムのプロパティ] 、 [ESM 管理] 、 [ターミナル] の順にクリックし、[書き込み] をクリックしてコマンドを入力します。 • ESM に SSH します。 • モニターとキーボードをデバイスに接続します。 次の例のように出力された場合は、RAID が正常に機能しており、アップグレードを開始することができます。 Personalities : [raid1] md_d127 : active raid1 sda[0](W) sdb[1](W) 488386496 blocks [2/2] [UU] Unused devices: <none> [UU] コードは、アクティブなドライブを表します。 [_U] または [U_] と表示された場合は、ドライブが RAID の一部になっていません。 アップグレードの前に McAfee サポートに連絡してください。 10 情報のタイプ 詳細 対応のデバイス タイ ESM、ESM/Event Receiver (ESMREC) または ESM/Log Manager (ENMELM) は、9.5.0 プ デバイス モデルとのみ通信を行います。 デバイスのモデルを確認するには、cat /proc/ cpuinfo コマンドを実行してください。 出力の model name 行には CPU 番号が含まれ ています。以下のいずれかの CPU が必要です。 デバイスの削除 • 1275 • 5450 • 2160 • 5645 • 2670 • 6300 • 3220 • 6400 • 5405 • 7500 • 5410 • 7542 • 5440 • 9400 ESM、ESMREC または ENMELM のアップグレードを実行する前に、指定されたすべてのデ バイス モデルと、指定された Nitro IPS モデルの仮想 IP アドレスを削除する必要がありま す。 削除を行わない場合、問題の発生とアップグレードが失敗することを示すメッセージが [ログイン] ページとメッセージ ログに表示されます。 ESM もアップグレードに失敗し、デ バイス メッセージ ログに記録されます。 仮想 IPS を削除するには、システム ナビゲーション ツリーからデバイスを選択し、[プロパ ティ] アイコンをクリックします。 次に、 [デバイス設定] 、 [仮想デバイス] の順に選択 し、既存の仮想デバイスを選択して [削除] をクリックします。 [書き込み] をクリックし て、IPS に設定を書き込みます。 9.5.0 ESM、ESMREC または ENMELM から IPS デバイスにポリシーをロールアウトする 必要があります。これを行わないと、IPS がバイパス モードのままになり、トラフィックが 一切検査されなくなります。 再構築時間 テーブルの再構築時間は ESM、ESMREC、ENMELM のいずれかによって異なります。 ESM データベースのアップグレード時間を短縮するには: • イベント、フロー、ログの収集期間としてより長い時間を設定し、再構築にさらに時間を かけられるようにします。 ESM コンソールで、[システムのプロパティ] 、 [イベント、 フロー、ログ]の順にクリックし、[自動確認間隔] を設定します。 • 再構築が完了するまでイベント、フロー、ログの収集を停止します。 この手順は、ESM に送信されるイベントやフローの数が少ない場合にのみ実行してください。 ESM コンソ ールで、[システムのプロパティ] 、 [イベント、フロー、ログ]の順にクリックし、[自動 確認間隔] の選択を解除します。 デバイスの再構築時間は約 45 分です。 アップグレード パス 9.3.2 以降から直接 9.5.0 にアップグレードすることができます。 9.3.2 より前のバージ ョンをアップグレードするには、次の順序でアップグレードする必要があります。 7.x.x > 8.2.x > 8.3.x > 8.4.2 > 8.5.6 > 9.0.2 > 9.2.1 > 9.3.2 以降 > 9.5.0 Receiver-HA デバ イスのアップグレー ド Receiver-HA デバイスをアップグレードするには、最初に Receiver の高可用性ステータス をチェックする必要があります。 ESM オンライン ヘルプで、 『Receiver の高可用性ステー タスを確認する』を参照してください。 11 特別なアップグレード状況 状況によっては、アップグレードの前または後に特別な手順の実行が必要になることがあります。 状況 アクション 新しい McAfee 新しい McAfee ESM モデルをインストールした場合、保守契約でポリシー、パーサー、ルール ESM モデルのイ の更新を取得できるように、30 日以内にハードウェアを登録してください。 登録しないと、更 ンストール 新を受信できません。 恒久的なユーザー名とパスワードを取得するには、情報を LicensingMcAfee 宛に電子メールで送信してください。必要な情報は、McAfee 承認番号、アカ ウント名、住所、連絡先の名前、連絡先のメール アドレスです。 オフラインでル ールの更新を取 得する場合 1 http://www.mcafee.com/us/downloads/downloads.aspx に移動します。 2 右上隅にある [マイ製品のダウンロード] をクリックして、[実行] をクリックします。 3 承認番号を入力して、表示された文字を入力し、[送信] をクリックします。 4 [MFE Enterprise Security Manager] をクリックして、[MFE Nitro ルールのダウンロード] をクリックします。 5 使用許諾条件を確認して、[同意する] をクリックします。 利用可能な更新ファイルが ESM バージョン別に表示されます。 6 お使いの ESM バージョンに適したルールをダウンロードします。 デバイス通信の 問題を解決する 場合 McAfee デバイス (ESM は除く) をアップグレードした場合、「操作を実行するには、その前に 9.5.0 にアップグレードする必要があります」というメッセージが表示される場合があります。 ESM の正しいバージョンを使用しているかどうか確認します。 1 ESM コンソールで、システム ナビゲーション ツリーからデバイスを選択し、[プロパティ] ア イコンを選択します。 2 [接続] をクリックして、次に [ステータス] をクリックします。 バージョンが更新されます。 3 メッセージが表示される原因となった操作をやり直します。 12 状況 アクション 冗長 ESM をア ップグレードす る場合 前述のように、最初にプライマリ ESM をアップグレードしてから冗長 ESM を更新する必要が あります。 1 システム ナビゲーション ツリーでプライマリ ESM を選択し、[プロパティ] アイコンをクリ ックします。 2 [イベント、フロー、ログ] をクリックして、[自動確認間隔] オプションの選択を解除します。 3 プライマリ ESM で SSH セキュア接続を使用し、以下のコマンドを実行してアラート ファイ ルが処理されていないことを確認します。 ll /usr/local/ess/dbredund/ 4 フォルダーにアラート ファイルが存在しない場合には、プライマリ ESM をアップグレードし ます。 5 冗長 ESM で SSH セキュア接続を使用し、以下のコマンドを実行してアラート ファイルが処 理されていないことを確認します。 ll /usr/local/ess/dbredundPrimarytransfer/ 6 フォルダーにアラート ファイルが存在しない場合には、冗長 ESM をアップグレードします。 7 冗長 ESM をアップグレードした後で、プライマリ ESM でイベント、フロー、ログの収集を 再度有効にします。 SSH セキュア接続で top コマンドを実行しても、冗長 ESM でアラートが処理されているかど うか確認できます。 event insert プロセスが実行されていないことを確認します (太字の項 目を参照)。 12169 root 20 0 6031m 4.5g 9700 S 0 4.8 58:37.20 cp Job31 idle 12170 root 20 0 6031m 4.5g 9700 S 0 4.8 73:51.55 cp Job32 idle 12171 root 20 0 6031m 4.5g 9700 S 0 4.8 62:37.59 cp Job33 idle 12172 root 20 0 6031m 4.5g 9700 S 0 4.8 69:39.24 cp Job34 idle 12173 root 20 0 6031m 4.5g 9700 S 0 4.8 2:32.00 cp Backup 12174 root 20 0 6031m 4.5g 9700 S 0 4.8 0:00.72 cp RedundantInsert McAfee ePO と McAfee ePO デバイスがすでに ESM 上にある場合は、それを更新する必要があります。 Policy Auditor 1 オールインワン デバイスでない場合、McAfee ePO デバイスが接続する Receiver をアップ グレードします。 2 ESM コンソールで、[ePO プロパティ] 、 [デバイス管理]の順にクリックし、[更新] をクリ ックします。 [デバイス管理] タブで自動取得を設定できます。 3 ESM コンソールで [Receiver プロパティ] をクリックし、[脆弱性評価 (VA)] タブをクリッ クします。 4 [書き込み] をクリックします。 5 手順 2 を繰り返し、ESM で VA データを取得します。 更新すると、Policy Auditor が VA ソースとして登録されます。これにより、Policy Auditor が vathirdparty.conf に書き込まれます。 6 ESM コンソールからログアウトして、再度ログインします。 13 状況 アクション 高可用性 Receiver のア ップグレード アップグレードを行う前に、優先プライマリ Receiver を 設定なし に設定してください。これ により、フェールオーバー オプションが使用可能になります。 アップグレード プロセスでは、セカンダリ Receiver から先にアップグレードを開始し、両方の Receiver をアップグレードします。 両方の Receiver をアップグレードした後に、優先プライ マリ Receiver を再度適用できます。 ELM 管理データ ELM モデルによっては、ELM 管理データベースのインデックスを作成すると、余分な時間がか ベースの再構築 かる場合があります。 たとえば、プール数、ロギング デバイスから送信されたデータ量、ネッ トワーク帯域幅 (リモート ストレージを使用している場合) によっては、インデックスの作成に かかる時間が長くなる場合があります。 このタスクはバックグラウンドで実行されるため、パフォーマンスに対する影響は最小限になり ます。完了すると、履歴データのクエリー機能が向上します。 再構築のステータスを確認するには、[ELM プロパティ]、[ELM 情報] の順に移動します。 [ア クティブ ステータス] フィールドに「データベースの再構築中」というメッセージが表示されて いる場合には、ELM データベースを停止または開始しないでください。 送信側のデバイスで新 しい ELM データのすべてにインデックスを作成してから ELM にデータを送信します。 Receiver が ELM にロギングし、最大容量に近づいている場合には、サポートに連絡してくださ い。 冗長 ESM のア ップグレード 最初にスタンバイ ESM をアップグレードしてから、アクティブな ESM をアップグレードする 必要があります。 アップグレード プロセスを実行すると、ELM の冗長が中断します 両方の ELM をアップグレード したら、ELM 冗長を再開する必要があります。 1 スタンバイ ELM をアップグレードします。 2 アクティブ ELM をアップグレードします。 3 システム ナビゲーション ツリーでスタンバイ ELM を選択し、[ELM プロパティ]、[ELM 冗 長] の順に移動します。 [サービスに戻す] をクリックします。 4 [ELM プロパティ]、[ELM 情報] の順に移動し、[更新] をクリックします。 アクティブとスタ ンバイの両方の ELM のステータスが OK と表示されます。 スタンバイ ELM のステータスが OK でない場合、もう一度 [更新] をクリックします。 2、3 分後に、スタンバイ ELM のステータスが「OK。冗長 ELM 再同期が 100% 完了」に変わり ます。 [更新] を数回クリックしなければならない場合があります。 アップグレード ファイルをダウンロードする システムをアップグレードする準備が整ったら、アップグレード ファイルをローカル システムにダウンロードしま す。 タスク 14 1 McAfee の[製品のダウンロード] Web サイト (http://www.mcafee.com/us/downloads/downloads.aspx) にアクセスして、[マイプロダクトのダウンロード] フィールドにカスタマー承認番号を入力し、[検索] をクリッ クします。 2 アップグレードするデバイスを選択します。 3 適切なリンク (MFE <デバイス名> v9.5.0) を選択し、McAfee EULA の内容を確認して [同意する] をクリック します。 4 以下のファイルをローカル システムにダウンロードします。 • McAfee Enterprise Security Manager (ESM または ETM) デバイスの場合: ESS_Update_9.5.0.tgz • McAfee Enterprise Security Manager と Log Manager (ENMELM または ESMREC) デバイスの場合: ESSREC_Update_9.5.0.tgz • McAfee Nitro Intrusion Prevention System (Nitro IPS または NTP) デバイスの場合: IPS_Update_9.5.0.tgz • McAfee Event Receiver (ERC または ELMERC) デバイスの場合: RECEIVER_Update_9.5.0.tgz • McAfee Database Event Monitor (DEM) デバイスの場合: DBM_Update_9.5.0.tgz • McAfee Advanced Correlation Engine (ACE) デバイスの場合: RECEIVER_Update_9.5.0.tgz • McAfee Enterprise Log Manager (ELM) デバイスの場合: RECEIVER_Update_9.5.0.tgz • McAfee Application Data Monitor (ADM) デバイスの場合: APM_Update_9.5.0.tgz これで、これらのファイルを使用して ESM とデバイスをアップグレードできます。 システムをアップグレードする 使用するモードに応じて、ESM とそのデバイスを所定の順序でアップグレードする必要があります。 アップグレー ド後、デバイスの設定を書き直してポリシーをロールアウトします。 開始する前に • 『アップグレードの準備』と『特別なアップグレード状況』を確認します。 • システムでバージョン 9.3.2 以降が実行されていることを確認します。 • 最近 9.3.2 にアップグレードした場合は、データベースの再構築が完了していることを確認します。 タスク 1 以下の順序でデバイスをアップグレードします。 ESM とデバイスのアップグレードの詳細については、 『ESM、ESMREC または ENMELM をアップグレードする』 と『デバイスをアップグレードする』を参照してください。 15 モード 順序 非 FIPS 1 ESM、ESMREC、または ENMELM をアップグレードします。 2 データベースが構築されるまで待ちます。 3 ELM または ELMERC をアップグレードします。 4 Nitro IPS、Event Receiver、ACE、DEM、ADM をアップグレードします。 冗長 ESM をアップグレードする場合は、「特別なアップグレード状況」の「冗長 ESM のアップグレ ード」を参照してください。 FIPS 1 ELM または ELMERC をアップグレードします。 2 Nitro IPS、Event Receiver、ACE、DEM、ADM をアップグレードします。 3 ESM、ESMREC、または ENMELM をアップグレードします。すべてのデバイス アップグレードが 開始されたら始めることができます。 FIPS モードの場合、ESM をアップグレードする前にデバイスのアップグレードに失敗すると、ELM ロ グ収集が影響を受ける可能性があります。 2 デバイスと通信していることを確認します。 3 手動のルール更新を ESM にダウンロードします (このドキュメントの『特別なアップグレード状況』セクション にある『オフラインでルールの更新を取得する場合』を参照)。 4 更新されたルールを適用します。 a 5 16 システム ナビゲーション ツリーでシステムを選択し、[プロパティ] アイコンをクリックします。 b [システム情報] ページで [ルールの更新] をクリックし、[手動更新] をクリックします。 c 更新ファイルを選択して [アップロード] をクリックし、[OK] をクリックします。 以下の手順に従って各デバイスのデバイス設定を書き直し、9.5.0 のすべての設定が適用されていることを確認 します。 a ESM コンソールで、システム ナビゲーション ツリーからデバイスを選択し、[プロパティ] アイコンをクリ ックします。 b 各デバイスに対して以下の手順を実行します。 デバイス タイプ プロセス Event Receiver または ESM/ Event Receiver の組み合わせ • データ ソースの場合: [データ ソース] 、 [書き込み] の順にクリックします。 ACE • リスク相関の場合: [リスク相関管理] 、 [書き込み] の順にクリックします。 • 仮想マシンのソースの場合: [脆弱性評価] 、 [書き込み] の順にクリックします。 • 履歴相関の場合: [履歴] 、 [履歴相関を有効化] 、 [適用] の順にクリックします。 すで に選択されている場合は、選択を解除してから再び選択し、[適用] をクリックします。 • ルール相関の場合: [ルール相関] をクリックし、[ルール相関を有効化] を選択して [適 用] をクリックします。すでに選択されている場合は、選択を解除してから再び選択し、 [適用] をクリックします。 Nitro IPS、DEM、 • 仮想デバイスの場合 (IPS や ADM): [仮想デバイス] 、 [書き込み] の順にクリックしま または ADM す。 • データベース サーバーの場合: [データベース サーバー] 、 [書き込み] の順にクリック します。 6 アップグレードしたデバイスすべてにポリシーをロールアウトします。 Nitro IPS デバイスにロールアウトした後、[デバイス設定] 、 [インターフェース] の順にクリックします。 7 デバイスからの ELM または ELMERC 収集ログがある場合は、ELM を同期させます ([デバイスのプロパティ] 、 [デバイス設定] 、 [ELM を同期] の順にクリックします)。 ESM、ESMREC、ENMELM をアップグレードする システムの準備が整ったら、ESM、ESMREC または ENMELM を 9.5.0 にアップグレードします。 開始する前に このドキュメントをすべて読み、ESM に接続しているすべてのデバイスが 9.5.0 でサポートされている ことを確認します (『アップグレードの準備』の『サポートされているデバイス』を参照)。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 ESM コンソールで、ESM デバイスを選択し、[プロパティ] アイコンをクリックします。 2 [ESM 管理] を選択し、[ESM を更新] をクリックします。 3 [ソフトウェア更新ファイルを選択] ページで、以下のファイルのいずれかを参照します。 デバイス タイプ ファイル スタンドアロンの Enterprise Security Manager (ESM) [ESS_Update_9.5.0.tgz] Receiver が組み込まれた Enterprise Security Manager (ESMREC) [ESSREC_Update_9.5.0.tgz] [ESSREC_Update_9.5.0.tgz] Receiver と Enterprise Log Manager が組み込まれた Enterprise Security Manager (ENMELM)。コンビネーション ボックスともいいます。 4 ファイルを選択し、[アップロード] をクリックします。 ESM が再起動してすべてのユーザーの接続が失われることが示されます。 17 5 [はい] をクリックして続行し、ブラウザーを閉じることを求められたら [OK] をクリックします。 アップグレードが実行されます。完了までに数時間かかることがあります。 6 アップグレードが完了したら、新しいブラウザー セッションからコンソールにログオンし直します。 デバイスをアップグレードする FIPS モードではない場合は、ESM のアップグレード後に、IPS、Event Receiver、ELM、ELM/Event Receiver、 ACE、ADM、DEM をアップグレードします。 FIPS モードの場合は、ESM をアップグレードする前にデバイスをア ップグレードします。 開始する前に このドキュメントをすべて読み、すべてのデバイスが 9.5.0 でサポートされていることを確認します (『アップグレードの準備』の『サポートされているデバイス』を参照)。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 ESM コンソールで、アップグレードするデバイスを選択し、[プロパティ] アイコンをクリックします。 2 デバイスの [管理] オプションをクリックし、[デバイスを更新] をクリックします。 3 [ソフトウェア更新ファイルを選択] ページで、以下のファイルのいずれかを参照します。 デバイス タイプ ファイル IPS [IPS_Update_9.5.0.tgz] • Event Receiver [Receiver_Update_9.5.0.tgz] • ELM • ELM/Event Receiver の組み合わ せ • ACE DEM [DBM_Update_9.5.0.tgz] ADM [APM_Update_9.5.0.tgz] ESS 仮想マシン このデバイスのアップグレードは利用できません。 McAfee Sales に連 絡して新しい ESM VM モデルを購入してください。 4 ファイルを選択し、[アップロード] をクリックします。 5 [デバイス ソフトウェアを更新] ページで、[はい] をクリックして続行します。 ファイルがアップロードされ、デバイスが再起動します。 6 18 通信が再開したら、デバイスのバージョンを確認します。 製品マニュアルの検索 製品のリリース後は、McAfee のオンライン ナレッジセンターに製品情報が掲載されます。 タスク 1 McAfee ServicePortal (http://support.mcafee.com) で、[Knowledge Center] タブに移動します。 2 [KnowledgeBase] ペインで、コンテンツのソースをクリックします。 • [Product Documentation] をクリックして、ユーザー マニュアルを検索します。 • [Technical Articles] をクリックして、KnowledgeBase の記事を検索します。 3 [Do not clear my filters] を選択します。 4 製品名を入力してバージョンを選択し、[Search] をクリックします。マニュアルの一覧が表示されます。 製品ドキュメント McAfee 製品には、総合的なドキュメント セットが用意されています。ESM オンライン ヘルプまたはナレッジ セ ンターから、ローカライズされた McAfee ESM 製品マニュアルにアクセスできます。 ローカライズされたオンライン ヘルプへのアクセス ESM にログオンすると、言語の設定を変更できます。この設定を変更すると、オンライン ヘルプで使用される言語 も変更されます。 1 ESM にログオンします。 2 ESM コンソールのシステム ナビゲーション ペインで、[オプション] をクリックします。 3 [言語] ドロップダウン リストから言語を選択して、[OK] をクリックします。 4 ヘルプにアクセスするには、ESM ウィンドウの右上隅にあるヘルプ アイコンをクリックするか、ESM コンソー ルで [ヘルプ] メニューをクリックします。 選択した言語でオンライン ヘルプが表示されます。 ヘルプが英語で表示された場合、ローカライズされたヘルプはまだ使用できません。 今後の更新で、ローカライズ されたヘルプをインストールする予定です。 ナレッジ センターでのローカライズされたマニュアルの取得 1 承認番号を使用して、MFE Enterprise Security Manager 製品ダウンロード ページにログオンします。 2 次に、 ESM v9.5.0 製品マニュアル のリンクをクリックします。 3 [言語] ドロップダウン リストから言語を選択します。 4 該当するリンクをクリックします。ローカライズされた製品ガイド (pg)、インストール ガイド (ig) またはリリ ース ノート (rn) が表示されます。 19 Copyright © 2015 McAfee, Inc. www.intelsecurity.com Intel および Intel のロゴは、Intel Corporation における登録商標です。McAfee および McAfee のロゴは、McAfee, Inc. における登録商標です。 その他すべての登録商標および商標はそれぞれの所有者に帰属します。
© Copyright 2024 ExpyDoc
