In ESM è possibile download e implementare i pacchetti di contenuti che McAfee crea e distribuisce. In questo articolo viene descritto come implementare i pacchetti di contenuti.
Note:
- I pacchetti di contenuti sono compatibili con le versioni 11.x ESM e successive. Tuttavia, non tutti i pacchetti di contenuti sono compatibili con tutte le versioni ESM. Verificare sempre la documentazione del Content Pack e verificare che sia possibile utilizzarla con l'installazione di SIEM.
- Per un elenco delle domande frequenti relative ai pacchetti di contenuti, consultare KB84036-FAQ per Siem Content Pack.
I pacchetti di contenuti consentono di selezionare, download e distribuire con facilità le impostazioni di configurazione di SIEM critiche. Queste impostazioni sono focalizzate sul monitoraggio di casi di utilizzo come Insider Threat, fuga di dati, email contenuti, Firewall, attività malevole, malware, policy, ricognizione, attività sospette, filtraggio Webe autenticazione. Questi pacchetti di contenuti sono preconfigurati per consentire agli utenti di accedere rapidamente a funzionalità avanzate di gestione delle minacce o della conformità.
Un unico Content Pack potrebbe contenere combinazioni di uno o più dei seguenti componenti:
- Allarmi
- Regole di correlazione
- Rapporti e layout di rapporto
- Variabili
- Visualizzazioni
- Elenchi sorveglianza
Per installare i pacchetti di contenuti
I pacchetti di contenuti vengono scaricati automaticamente come parte del processo di aggiornamento delle regole. Se l'ESM non dispone di accesso a Internet esterno, consultare la sezione riportata di seguito "per individuare e installare i pacchetti di contenuti dalla Knowledge Base" per le istruzioni di installazione.
- Dall'dashboard ESM principale, fare clic sull'icona delle proprietà del sistema in alto a destra.
- Nella finestra proprietà del sistema , fare clic sulla scheda Content Packs sulla sinistra. Vengono visualizzati tutti i pacchetti di contenuto installati.
- Fare clic su Sfoglia per consultare tutti i pacchetti di contenuto disponibili.
- Nella finestra Sfoglia contenuti , selezionare la casella accanto a tutti i pacchetti di contenuto che si desidera installare, quindi fare clic su Installa.
Note:
- Ti viene chiesto cosa desideri fare. È possibile implementare il policy con le installazioni di Content Pack o installare i pacchetti di contenuti senza una policy di implementazione. È inoltre possibile annullare a questo punto.
- Quando si installano i Content Pack, nella colonna stato viene visualizzato uno stato di installato .
- Una volta riesaminate le informazioni nella finestra Installa completata , fare clic su Chiudi, quindi chiudere nuovamente nella finestra Sfoglia contenuti .
- I pacchetti di contenuti installati possono essere gestiti dalla finestra confezioni di contenuti installata.
Per individuare e installare i pacchetti di contenuti dalla Knowledge base
Quando vengono rilasciati nuovi pacchetti di contenuti, nella Knowledge base viene aggiunto un articolo separato per ciascun Content Pack. Questi articoli contengono il Content Pack in un .zip file e informazioni dettagliate sull'utilizzo in formato PDF.
Nota: gli articoli di Siem Content Pack sono disponibili solo per gli utenti registrati di ServicePortal. Per accedervi, è necessario accedere a ServicePortal.
I nuovi articoli del Content Pack vengono aggiunti regolarmente. Seguire la procedura riportata di seguito per cercare e installare manualmente un Content Pack:
- Per cercare e download il Content Pack:
- Accedere a https://supportm.Trellix.com.
- Nella scheda Centro informazioni di ServicePortal, digitare siem content pack il campo termine di ricerca e, nell'elenco a discesa corrispondenza, selezionare esattamente.
- Nel campo prodotto, selezionare Siem-tutti i prodotti.
- Fare clic su Cerca. I pacchetti di contenuto sono elencati come registrati-Siem Content Pack for .
- Fare clic su un link Content Pack. Questa azione apre l'articolo pertinente.
- Nella sezione allegati verso la fine dell'articolo, download il .zip file per il Content Pack.
- Per aggiungere il Content Pack a ESM:
- Dall'dashboard ESM principale, fare clic sull'icona delle proprietà del sistema in alto a destra.
- Nella finestra proprietà del sistema , fare clic sulla scheda Content Packs sulla sinistra. Vengono visualizzati tutti i pacchetti di contenuto installati.
- Fare clic su Sfoglia; quindi, nella finestra Browse content Packs , fare clic su Importa.
- Fare clic su Scegli file, quindi selezionare il file del contenuto del pacchetto .zip scaricato.
- Fare clic su Carica.
- Nella finestra Sfoglia contenuti , selezionare la casella accanto a tutti i pacchetti di contenuto che si desidera installare, quindi fare clic su Installa.
Note:
- Ti viene chiesto cosa desideri fare. È possibile implementare il policy con le installazioni di Content Pack o installare i pacchetti di contenuti senza una policy di implementazione. È inoltre possibile annullare a questo punto.
- Quando si installano i Content Pack, nella colonna stato viene visualizzato uno stato di installato .
- Una volta riesaminate le informazioni nella finestra Installa completata , fare clic su Chiudi, quindi chiudere nuovamente nella finestra Sfoglia contenuti .
- I pacchetti di contenuti installati possono essere gestiti dalla finestra confezioni di contenuti installata.
Come modificare i componenti di allarme
È possibile modificare gli allarmi all'interno dei pacchetti di contenuti per intraprendere altre azioni. Ad esempio, per inviare messaggi di posta elettronica ai destinatari, contrassegnare i sistemi in ePO ed eseguire comandi remoti. Per modificare le seguenti impostazioni:
- Nella struttura di navigazione del sistema ESM, fare clic su Proprietà sistema, allarmi.
- Evidenziare l'avviso che si desidera modificare, quindi fare clic su modifica.
- Apportare le modifiche necessarie e salvare le impostazioni.
Nota: Se il Content Pack viene aggiornato, le configurazioni aggiuntive effettuate agli allarmi provenienti dai Content Pack non vengono riportate.
Per ulteriori informazioni sugli allarmi, consultare la sezione "utilizzo degli allarmi" nella Guida in linea di ESM. Per accedere alla Guida in linea da all'interno di ESM, fare clic sull'icona della guida nell'angolo in alto a destra delle finestre di ESM oppure fare clic sul menu Guida della console ESM.
Come modificare i parametri della regola di correlazione
Per modificare le regole di correlazione:
- Fare clic sull'icona dell' editor di policy e selezionare correlazione in tipi di regole.
- Evidenziare la regola di correlazione che si desidera modificare, fare clic su modifica, quindi fare clic su modifica. È quindi possibile modificare la logica o i parametri della regola di correlazione.
- Salva le impostazioni dopo aver apportato le modifiche.
Per ulteriori informazioni sulle regole di correlazione, consultare le regole di correlazione "" e "esempio di sezioni della regola di correlazione personalizzata o del componente" nella Guida in linea di ESM. Per accedere alla Guida in linea da all'interno di ESM, fare clic sull'icona della guida nell'angolo in alto a destra delle finestre di ESM oppure fare clic sul menu Guida nella console ESM.
Come modificare i rapporto e i layout dei rapporti
I pacchetti di contenuti possono contenere rapporti e layout di rapporto. I layout dei rapporti sono i modelli per i report. È possibile modificare l'aspetto e il contenuto del rapporto modificando il layout in modo che sia più adatto alle proprie esigenze. Ad esempio, è possibile modificare un rapporto in modo che venga eseguito automaticamente in un'ora specifica, essere inviato a destinatari specifici o essere archiviato in posizioni specifiche/alternative.
Per modificare il rapporto:
- Nell'interfaccia utente di ESM, fare clic sull'icona del rapporto .
- Selezionare il rapporto che si desidera modificare, quindi fare clic su modifica. È possibile modificare la condizione, il fuso orario, la Dataforma t, la lingua, il formato del rapportoe i filtri utilizzati nel rapporto.
- Per modificare il layout del rapporto, fare clic sul nome del rapporto, quindi fare clic su modifica.
Nota: Se un rapporto non esiste, fare clic su Aggiungi nella sezione rapporti . Selezionare il layout del rapporto richiesto in sezione 5 , quindi fare clic su modifica. (È possibile scegliere un layout di rapporto esistente o crearne uno da includere con questo rapporto).
- Salva le impostazioni dopo aver apportato le modifiche.
Per ulteriori informazioni sui rapporti e sui layout dei report, consultare i seguenti argomenti della Guida in linea di ESM:
- Gestione dei rapporti
- Aggiunta di una condizione del rapporto
- Aggiunta di un layout di rapporto
Per accedere alla Guida in linea da all'interno di ESM, fare clic sull'icona della guida nell'angolo in alto a destra delle finestre di ESM oppure fare clic sul menu Guida nella console ESM.
Modifica delle variabili
Le variabili aggiunte tramite pacchetti di contenuti possono essere modificate in base alle esigenze della propria organizzazione. Per modificare una variabile:
- Fare clic sull'icona dell' editor di policy , quindi selezionare variabile.
- Individuare la variabile che si desidera modificare, fare clic su modifica, quindi fare clic su modifica.
- Salva le impostazioni dopo aver apportato le modifiche.
Per ulteriori informazioni sulla gestione delle variabili e sulle modalità di utilizzo, consultare la sezione "variabili" nella Guida in linea di ESM. Per accedere alla Guida in linea da all'interno di ESM, fare clic sull'icona della guida nell'angolo in alto a destra delle finestre di ESM oppure fare clic sul menu Guida nella console ESM.
Come modificare le visualizzazioni
È possibile modificare le visualizzazioni fornite dai pacchetti di contenuti per modificare il proprio aspetto o i filtri utilizzati con essi. Tutte le modifiche apportate alle visualizzazioni vengono ripristinate come predefinite durante un aggiornamento a un Content Pack. È possibile creare una versione della visualizzazione per salvare le personalizzazioni. Le visualizzazioni possono essere ulteriormente filtrate attraverso il riquadro filtro sul lato destro della schermata. Per modificare la visualizzazione:
- Selezionare la visualizzazione, quindi fare clic su modifica visualizzazione corrente.
- Selezionare il componente che si desidera modificare, quindi fare clic su modifica query.
- Salva le impostazioni dopo aver apportato le modifiche.
Per ulteriori informazioni sulla gestione delle visualizzazioni, consultare la sezione "gestire le visualizzazioni" nella Guida in linea di ESM. Per informazioni sull'utilizzo dei filtri, consultare la sezione "Filtering views" della Guida in linea di ESM. Per accedere alla Guida in linea da all'interno di ESM, fare clic sull'icona della guida nell'angolo in alto a destra delle finestre di ESM oppure fare clic sul menu Guida nella console ESM.
Come modificare elenchi sorveglianza
È possibile aggiungere valori agli elenchi di elenchi sorveglianza statici forniti dai Content Pack. Se un Content Pack viene aggiornato, i valori aggiunti alla lista di controllo non vengono riportati. Per aggiungere altri elementi a una lista di controllo:
- Fare clic sull'icona della lista di controllo , selezionare l'elenco di controllo che si desidera modificare, quindi fare clic su modifica.
- Fare clic sulla scheda valori , scorrere fino in fondo all'elenco e aggiungere valori alla fine della lista di controllo.
Nota: Specificare una sola voce per riga.
- Salva le impostazioni dopo aver apportato le modifiche.
Per ulteriori informazioni su elenchi sorveglianza, consultare la sezione "elenchi sorveglianza" nella Guida in linea di ESM. Per accedere alla Guida in linea da all'interno di ESM, fare clic sull'icona della guida nell'angolo in alto a destra delle finestre di ESM oppure fare clic sul menu Guida nella console ESM.
