McAfee SIEM-Geräten werden abgesichert, um die Anzahl grundsätzlicher Schwachstellen zu reduzieren. Hierzu gehören beispielsweise folgende Maßnahmen:
- Auf allen McAfee SIEM-Geräten wird eine benutzerdefinierte Linux-Distribution ausgeführt.
- Alle nicht erforderlichen Dienste (Ports) sind standardmäßig deaktiviert.
- SSH (Secure Shell) ist der einzige Kommunikationskanal für die Geräte bzw. der Geräte untereinander. Die SSH-Schlüssel werden vom ESM aus verwaltet. Die SSH-Port-Nummer kann auch manuell eingestellt werden.
- Der Zugriff auf das Gerät wird mithilfe der Einstellungen für die Zugriffssteuerungsliste (ACL, Access Control List) gesteuert.
- Der SFTP-Zugang (Secure FTP) zu ELM-Daten (Enterprise Log Manager) kann für einen bestimmten Port konfiguriert bzw. deaktiviert werden.
- Für den Remote-Zugriff über SSH auf die Geräte können keine weiteren Benutzer hinzugefügt werden.
- Für das Senden eines ICMP-Ping-Befehls (Internet Control Message Protocol) kann auf allen Geräten eine der Optionen Aktiviert, Umgeleitet oder Ziel nicht erreichbar konfiguriert werden.
- Jedes Gerät verfügt über eine Firewall, die standardmäßig jede Datenverkehrsverbindung trennt, die in der Konfiguration der Datenquelle nicht explizit zugelassen ist.
- Die Einstellungen zur Anmeldesicherheit können in Enterprise Security Manager (ESM) konfiguriert werden.
- Die SIEM-Geräte unterstützen FIPS 140-2, Stufe 2 sowie Konfigurationen, die den Common Criteria (Allgemeine Kriterien für die Bewertung der Sicherheit von Informationstechnologie) entsprechen. Weitere Informationen hierzu finden Sie im Installationshandbuch (PD24720) sowie im Schnellstart-Handbuch (PD23999).