Cómo implementar paquetes de contenido de SIEM
Artículos técnicos ID:
KB83783
Última modificación: 2022-09-13 12:45:08 Etc/GMT
Última modificación: 2022-09-13 12:45:08 Etc/GMT
Entorno
McAfee SIEM Enterprise Security Manager (ESM) 11.x
McAfee del Advanced Correlation Engine (ACE) 11.x
de Siem McAfee SIEM Event Receiver (receptor) 11.x
McAfee del Advanced Correlation Engine (ACE) 11.x
de Siem McAfee SIEM Event Receiver (receptor) 11.x
Resumen
En ESM, puede descargar e implementar paquetes de contenido que McAfee crea y distribuye. En este artículo se describe cómo implementar paquetes de contenido.
NOTAS::
NOTAS::
- Los paquetes de contenido son compatibles con las versiones 11.x de ESM y posteriores. Sin embargo, no todos los paquetes de contenido son compatibles con todas las versiones de ESM. Compruebe siempre la documentación del paquete de contenido y confirme que se puede utilizar con la instalación de SIEM.
- Para obtener una lista de preguntas frecuentes sobre los paquetes de contenido, consulte KB84036-FAQ para los paquetes de contenido de Siem.
Los paquetes de contenido le permiten seleccionar, descargar e implementar con facilidad la configuración crítica de SIEM. Estas opciones de configuración se centran en la supervisión de casos de uso como amenazas de Insider, fuga de datos, contenido de correo electrónico, firewall, actividad maliciosa, malware, directivas, reconocimiento, actividad sospechosa, filtrado de contenido Weby autenticación. Estos paquetes de contenido están preconfigurados para ofrecer a los usuarios un acceso rápido a funciones avanzadas de administración de amenazas o de conformidad.
Un único paquete de contenido puede contener combinaciones de uno o varios de los siguientes componentes:
- Alarmas
- Reglas de correlación
- Informes y diseños de informes
- Variables
- Vistas
- Listas de vigilancia
Para instalar paquetes de contenido
Los paquetes de contenido se descargan automáticamente como parte del proceso de actualización de reglas. Si el ESM no dispone de acceso a Internet externo, consulte la sección siguiente titulada "para localizar e instalar paquetes de contenido desde la base de conocimiento" para obtener instrucciones sobre la instalación.
Cuando se publican nuevos paquetes de contenido, se agrega un artículo independiente para cada paquete de contenido al base de conocimiento. Estos artículos contienen el paquete de contenido en un .zip archivo y la información de uso detallada en forma de PDF.
Nota: los artículos de los paquetes de contenido de Siem solo están disponibles para usuarios registrados de ServicePortal. Debe iniciar sesión en ServicePortal para acceder a ellos.
Los nuevos artículos de paquete de contenido se agregan con regularidad. Siga los pasos que se indican a continuación para buscar e instalar manualmente un paquete de contenido:
Los paquetes de contenido se descargan automáticamente como parte del proceso de actualización de reglas. Si el ESM no dispone de acceso a Internet externo, consulte la sección siguiente titulada "para localizar e instalar paquetes de contenido desde la base de conocimiento" para obtener instrucciones sobre la instalación.
- En el panel principal del ESM, haga clic en el icono propiedades del sistema situado en la esquina superior derecha.
- En la ventana propiedades del sistema , haga clic en la pestaña paquetes de contenido de la izquierda. Aquí se muestran todos los paquetes de contenido instalados.
- Haga clic en examinar para ver todos los paquetes de contenido disponibles.
- En la ventana examinar paquetes de contenido , marque la casilla junto a los paquetes de contenido que desee instalar y, a continuación, haga clic en instalar.
NOTAS:- Se le pregunta lo que desea hacer. Puede desplegar la Directiva con las instalaciones del paquete de contenido o instalar los paquetes de contenido sin necesidad de desplegar una directiva. También puede cancelar la operación en este momento.
- Cuando se instalan los paquetes de contenido, se muestra el estado instalado en la columna Estado.
- Tras revisar la información en la ventana instalación finalizada , haga clic en cerrary vuelva a cerrar la ventana examinar paquetes de contenido .
- Los paquetes de contenido instalados se pueden administrar desde la ventana paquetes de contenido instalados.
Cuando se publican nuevos paquetes de contenido, se agrega un artículo independiente para cada paquete de contenido al base de conocimiento. Estos artículos contienen el paquete de contenido en un .zip archivo y la información de uso detallada en forma de PDF.
Nota: los artículos de los paquetes de contenido de Siem solo están disponibles para usuarios registrados de ServicePortal. Debe iniciar sesión en ServicePortal para acceder a ellos.
Los nuevos artículos de paquete de contenido se agregan con regularidad. Siga los pasos que se indican a continuación para buscar e instalar manualmente un paquete de contenido:
- Para buscar y descargar el paquete de contenido:
- Vaya a https://supportm.trellix.com.
- En la pestaña Centro de conocimiento de ServicePortal, escriba
siem content pack el campo término de búsqueda y, en la lista desplegable coincidir, seleccione exactamente. - En el campo producto, seleccione Siem-todos los productos.
- Haga clic en Buscar. Los paquetes de contenido se muestran como registrados: Siem Content Pack para
. - Haga clic en un vínculo de paquete de contenido. Esta acción abre el artículo pertinente.
- En la sección datos adjuntos de la parte inferior del artículo, descargue el .zip archivo correspondiente al paquete de contenido.
- Para agregar el paquete de contenido al ESM:
- En el panel principal del ESM, haga clic en el icono propiedades del sistema situado en la parte superior derecha.
- En la ventana propiedades del sistema , haga clic en la pestaña paquetes de contenido de la izquierda. Aquí se muestran todos los paquetes de contenido instalados.
- Haga clic en examinar; a continuación, en la ventana examinar paquetes de contenido , haga clic en importar.
- Haga clic en elegir archivoy busque y seleccione el archivo descargado del paquete .zip de contenido.
- Pulse Cargar.
- En la ventana examinar paquetes de contenido , marque la casilla junto a los paquetes de contenido que desee instalar y, a continuación, haga clic en instalar.
NOTAS:- Se le pregunta lo que desea hacer. Puede desplegar la Directiva con las instalaciones del paquete de contenido o instalar los paquetes de contenido sin necesidad de desplegar una directiva. También puede cancelar la operación en este momento.
- Cuando se instalan los paquetes de contenido, se muestra el estado instalado en la columna Estado.
- Tras revisar la información en la ventana instalación finalizada , haga clic en cerrary vuelva a cerrar la ventana examinar paquetes de contenido .
- Los paquetes de contenido instalados se pueden administrar desde la ventana paquetes de contenido instalados.
Cómo cambiar los componentes de la alarma
Puede cambiar las alarmas de los paquetes de contenido para realizar más acciones. Por ejemplo, para enviar correos electrónicos a los destinatarios, etiquete los sistemas en ePO y ejecute comandos remotos. Para cambiar esta configuración:
- En el árbol de navegación del sistema de ESM, haga clic en propiedades del sistema, alarmas.
- Resalte la alarma que desee cambiar y, a continuación, haga clic en Editar.
- Realice los cambios necesarios y guarde la configuración.
Nota: Las configuraciones adicionales realizadas en las alarmas de los paquetes de contenido no se transfieren si se actualiza el paquete de contenido.
Para obtener más información sobre las alarmas, consulte la sección "funcionamiento de las alarmas" en la ayuda en línea de ESM. Para acceder a la ayuda online desde el ESM, haga clic en el icono de ayuda situado en la esquina superior derecha de las ventanas de ESM, o bien haga clic en el menú ayuda de la consola de ESM.
Para obtener más información sobre las alarmas, consulte la sección "funcionamiento de las alarmas" en la ayuda en línea de ESM. Para acceder a la ayuda online desde el ESM, haga clic en el icono de ayuda situado en la esquina superior derecha de las ventanas de ESM, o bien haga clic en el menú ayuda de la consola de ESM.
Cómo cambiar los parámetros de regla de correlación
Para cambiar las reglas de correlación:
Para cambiar las reglas de correlación:
- Haga clic en el icono del Editor de directivas y seleccione correlación en tipos de regla.
- Resalte la regla de correlación que desee cambiar, haga clic en Editary, a continuación, haga clic en modificar. A continuación, puede cambiar la lógica o los parámetros de la regla de correlación.
- Guarde la configuración después de realizar los cambios.
Para obtener más información sobre las reglas de correlación, consulte la "reglas de correlación" y "ejemplo de las secciones regla de correlación personalizada o componente" en la ayuda en línea de ESM. Para acceder a la ayuda online desde el ESM, haga clic en el icono de ayuda situado en la esquina superior derecha de las ventanas de ESM, o bien haga clic en el menú ayuda de la consola de ESM.
Cómo cambiar los informes y los diseños de
informes Los paquetes de contenido pueden contener informes y diseños de informes. Los diseños de informe son plantillas para informes. Puede cambiar la apariencia y el contenido del informe cambiando el diseño para que se ajuste mejor a sus necesidades. Por ejemplo, puede cambiar un informe para que se ejecute automáticamente a una hora específica, se envíe a destinatarios específicos o se almacene en ubicaciones especificadas/alternativas.
informes Los paquetes de contenido pueden contener informes y diseños de informes. Los diseños de informe son plantillas para informes. Puede cambiar la apariencia y el contenido del informe cambiando el diseño para que se ajuste mejor a sus necesidades. Por ejemplo, puede cambiar un informe para que se ejecute automáticamente a una hora específica, se envíe a destinatarios específicos o se almacene en ubicaciones especificadas/alternativas.
Para cambiar el informe:
- En la interfaz de usuario de ESM, haga clic en el icono de Informe .
- Seleccione el informe que desee cambiar y, a continuación, haga clic en Editar. Puede cambiar la condición, la zona horaria, la forma t,el idioma, el formato de informey los filtros utilizados en el informe.
- Para cambiar el diseño del informe, haga clic en el nombre del informey, a continuación, haga clic en Editar.
Nota: Si no existe un informe, haga clic en Agregue en la sección informes . Seleccione el diseño de informe que necesite en la sección 5 y, a continuación, haga clic en Editar. (Puede elegir un diseño de informe existente o crear uno para incluirlo con este informe.)
- Guarde la configuración después de realizar los cambios.
Para obtener más información acerca de los informes y los diseños de informes, consulte los siguientes temas en la ayuda en línea de ESM:
- Administración de informes
- Adición de una condición de informe
- Agregar un diseño de informe
Para acceder a la ayuda online desde el ESM, haga clic en el icono de ayuda situado en la esquina superior derecha de las ventanas de ESM, o bien haga clic en el menú ayuda de la consola de ESM.
Cómo cambiar variables
Las variables agregadas a través de paquetes de contenido se pueden cambiar para adaptarse a las necesidades de su organización. Para cambiar una variable:
- Haga clic en el icono del Editor de directivas y seleccione variable.
- Localice la variable que desee cambiar, haga clic en Editary, a continuación, haga clic en modificar.
- Guarde la configuración después de realizar los cambios.
Para obtener más información sobre cómo administrar las variables y cómo utilizarlas, consulte la sección "variables" de la ayuda en línea de ESM. Para acceder a la ayuda online desde el ESM, haga clic en el icono de ayuda situado en la esquina superior derecha de las ventanas de ESM, o bien haga clic en el menú ayuda de la consola de ESM.
Cómo cambiar las vistas
Puede cambiar las vistas proporcionadas por los paquetes de contenido para cambiar su apariencia o los filtros utilizados con ellos. Los cambios que realice en las vistas se revierten al valor predeterminado durante una actualización de un paquete de contenido. Sin embargo, puede crear una versión de la vista para guardar sus personalizaciones. Las vistas se pueden filtrar con posterioridad mediante el panel filtro de la parte derecha de la pantalla. Para cambiar la vista:
- Seleccione la vista y, a continuación, haga clic en Editar vista actual.
- Seleccione el componente que desee cambiar y haga clic en Editar consulta.
- Guarde la configuración después de realizar los cambios.
Para obtener más información sobre cómo administrar vistas, consulte la sección "administrar vistas" de la ayuda en línea de ESM. Para obtener información sobre cómo utilizar los filtros, consulte la sección "filtrado de vistas" de la ayuda en línea de ESM. Para acceder a la ayuda online desde el ESM, haga clic en el icono de ayuda situado en la esquina superior derecha de las ventanas de ESM, o bien haga clic en el menú ayuda de la consola de ESM.
Cómo cambiar listas vigilancia
Puede agregar valores a las listas de listas vigilancia estáticas proporcionadas por los paquetes de contenido. Si se actualiza un paquete de contenido, los valores que ha anexado al lista de vigilancia no se transfieren. Para agregar más elementos a un lista de vigilancia:
- Haga clic en el icono de lista de vigilancia , seleccione el lista de vigilancia que desee cambiar y, a continuación, haga clic en Editar.
- Haga clic en la pestaña valores , desplácese hasta el final de la lista y agregue valores al final de lista de vigilancia.
Nota: Especifique solo una entrada por línea.
- Guarde la configuración después de realizar los cambios.
Para obtener más información sobre listas vigilancia, consulte la sección "listas vigilancia" de la ayuda en línea de ESM. Para acceder a la ayuda online desde el ESM, haga clic en el icono de ayuda situado en la esquina superior derecha de las ventanas de ESM, o bien haga clic en el menú ayuda de la consola de ESM.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicados
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas: