No ESM, você pode download e implementar pacotes de conteúdo que a McAfee cria e distribui. Este artigo descreve como implementar pacotes de conteúdo.
Notas:
- Os pacotes de conteúdo são compatíveis com as versões 11.x do ESM e posteriores. Nem todos os pacotes de conteúdo são compatíveis com todas as versões do ESM. Verifique sempre a documentação do pacote de conteúdo e confirme se ele pode ser usado com a instalação do SIEM.
- Para obter uma lista de perguntas frequentes sobre pacotes de conteúdo, consulte KB84036-perguntas frequentes para os pacotes de conteúdo Siem.
Os pacotes de conteúdo permitem que você selecione, download e implemente configurações críticas do SIEM facilmente. Essas configurações são voltadas para o monitoramento de casos de uso, como ameaças internas, vazamentos de dados, conteúdo de e-mail, Firewall, atividades maliciosas, malware, política, reconhecimento, atividade suspeita, filtragem da Webe autenticação. Esses pacotes de conteúdo são pré-configurados para oferecer aos usuários acesso rápido a recursos avançados de gerenciamento de conformidade e ameaças.
Um único pacote de conteúdo pode conter combinações de um ou mais dos seguintes componentes:
- Alarmes
- Regras de correlação
- Relatórios e layouts de relatório
- Variáveis
- Exibições
- Listas de observação
Para instalar pacotes de conteúdo
Os pacotes de conteúdo são baixados automaticamente como parte do processo de atualização de regras. Se o seu ESM não tiver acesso externo à Internet, consulte a seção "para localizar e instalar pacotes de conteúdo Base de conhecimentos" para obter instruções de instalação.
- No ESM principal dashboard, clique no ícone Propriedades do sistema no canto superior direito.
- Na janela Propriedades do sistema , clique na guia pacotes de conteúdo à esquerda. Todos os pacotes de conteúdo instalados são exibidos aqui.
- Clique em procurar para ver todos os pacotes de conteúdo disponíveis.
- Na janela procurar pacotes de conteúdo , marque a caixa ao lado de qualquer pacote de conteúdo que você deseja instalar e clique em instalar.
OBSERVAÇÕES:
- Você será perguntado sobre o que deseja fazer. Você pode distribuir a política com as instalações do pacote de conteúdo ou instalar os pacotes de conteúdo sem uma distribuição de política. Você também pode cancelar neste momento.
- Quando os pacotes de conteúdo são instalados, um status de instalado é exibido na coluna status.
- Depois de revisar as informações na janela instalação concluída , clique em fechare feche novamente na janela procurar pacotes de conteúdo .
- Os pacotes de conteúdo instalados podem ser gerenciados a partir da janela pacotes de conteúdo instalados.
Para localizar e instalar pacotes de conteúdo base de conhecimentos
Quando novos pacotes de conteúdo são liberados, um artigo separado para cada pacote de conteúdo é adicionado ao Base de conhecimentos. Estes artigos contêm o pacote de conteúdo em um .zip arquivo, além de informações detalhadas sobre uso em formato PDF.
Observação: os artigos do Siem Content Pack estão disponíveis somente para usuários registrados do ServicePortal. Você deve efetuar logon no ServicePortal para acessá-los.
Novos artigos do pacote de conteúdo são adicionados regularmente. Siga as etapas abaixo para procurar e instalar manualmente um pacote de conteúdo:
- Para pesquisar e download o pacote de conteúdo:
- Vá para https://supportm.Trellix.com.
- Na guia Centro de conhecimento do ServicePortal, digite siem content pack o campo Pesquisar termo e, na lista suspensa de correspondência, selecione exatamenteo que você selecionou.
- No campo produto, selecione Siem-todos os produtos.
- Clique em Pesquisar. Os pacotes de conteúdo são listados como registrado – Siem Content Pack for .
- Clique em um link de pacote de conteúdo. Essa ação abre o artigo relevante.
- Na seção anexo em direção ao final do artigo, download o .zip arquivo do pacote de conteúdo.
- Para adicionar o pacote de conteúdo ao ESM:
- No ESM principal dashboard, clique no ícone Propriedades do sistema no canto superior direito.
- Na janela Propriedades do sistema , clique na guia pacotes de conteúdo à esquerda. Todos os pacotes de conteúdo instalados são exibidos aqui.
- Clique em procurar; em seguida, na janela procurar pacotes de conteúdo , clique em importar.
- Clique em escolher arquivoe procure para selecionar o pacote .zip de conteúdo obtido por download arquivo.
- Clique em Fazer upload.
- Na janela procurar pacotes de conteúdo , marque a caixa ao lado de qualquer pacote de conteúdo que você deseja instalar e clique em instalar.
OBSERVAÇÕES:
- Você será perguntado sobre o que deseja fazer. Você pode distribuir a política com as instalações do pacote de conteúdo ou instalar os pacotes de conteúdo sem uma distribuição de política. Você também pode cancelar neste momento.
- Quando os pacotes de conteúdo são instalados, um status de instalado é exibido na coluna status.
- Depois de revisar as informações na janela instalação concluída , clique em fechare feche novamente na janela procurar pacotes de conteúdo .
- Os pacotes de conteúdo instalados podem ser gerenciados a partir da janela pacotes de conteúdo instalados.
Como alterar componentes de alarme
Você pode alterar os alarmes nos pacotes de conteúdo para realizar mais ações. Por exemplo, para enviar e-mails a destinatários, marque sistemas no ePO e execute comandos remotos. Para alterar essas configurações:
- Na árvore de navegação do sistema do ESM, clique em Propriedades do sistema, alarmes.
- Realce o alarme que você deseja alterar e clique em Editar.
- Faça as alterações necessárias e salve suas configurações.
Nota: Configurações adicionais feitas a alarmes de pacotes de conteúdo não são transportadas se o pacote de conteúdo for atualizado.
Para obter mais informações sobre alarmes, consulte a seção "trabalhar com alarmes" na ajuda on-line do ESM. Para acessar a ajuda on-line no ESM, clique no ícone da ajuda no canto superior direito das janelas do ESM ou clique no menu ajuda do console do ESM.
Como alterar parâmetros de regra de correlação
Para alterar as regras de correlação:
- Clique no ícone Editor de políticas e selecione correlação em tipos de regras.
- Realce a regra de correlação que você deseja alterar, clique em Editare, em seguida, clique em Modificar. Em seguida, você pode alterar a lógica, ou os parâmetros, da regra de correlação.
- Salve suas configurações depois de fazer as alterações.
Para obter mais informações sobre regras de correlação, consulte as regras de correlação de "" e "exemplo de regra de correlação personalizada ou componente" seções na ajuda on-line do ESM. Para acessar a ajuda on-line no ESM, clique no ícone da ajuda no canto superior direito das janelas do ESM ou clique no menu ajuda do console do ESM.
Como alterar relatórios e layouts de relatórios
Os pacotes de conteúdo podem conter relatórios e layouts de relatórios. Os layouts de relatório são os modelos para relatórios. Você pode alterar a aparência e o conteúdo relatório alterando o layout para adaptá-lo às suas necessidades. Por exemplo, você pode alterar um relatório para ser executado automaticamente em um horário específico, ser enviado a destinatários específicos ou ser armazenado em locais especificados/alternativos.
Para alterar o relatório:
- Na interface do usuário do ESM, clique no ícone do relatório .
- Selecione o relatório que você deseja alterar e, em seguida, clique em Editar. Você pode alterar a condição, fuso horário, Dataforma t, idioma, formato do relatórioe filtros usados no relatório.
- Para alterar o layout do relatório, clique no nome do relatórioe, em seguida, clique em Editar.
Nota: Se um relatório não existir, clique em Adicionar na seção relatórios . Selecione o layout de relatório necessário na seção 5 e clique em Editar. (Você pode escolher um layout de relatório existente ou criar um para incluir com esse relatório.)
- Salve suas configurações depois de fazer as alterações.
Para obter mais informações sobre relatórios e layouts de relatórios, consulte os tópicos a seguir na ajuda on-line do ESM:
- Gerenciamento de relatórios
- Adicionar uma condição de relatório
- Adicionar um layout de relatório
Para acessar a ajuda on-line no ESM, clique no ícone da ajuda no canto superior direito das janelas do ESM ou clique no menu ajuda do console do ESM.
Como alterar variáveis
As variáveis adicionadas por meio de pacotes de conteúdo podem ser alteradas de acordo com as necessidades da sua organização. Para alterar uma variável:
- Clique no ícone Editor de políticas e selecione variável.
- Localize a variável que você deseja alterar, clique em Editare, em seguida, clique em Modificar.
- Salve suas configurações depois de fazer as alterações.
Para obter mais informações sobre como gerenciar variáveis e como usá-las, consulte a seção "variáveis" na ajuda on-line do ESM. Para acessar a ajuda on-line no ESM, clique no ícone da ajuda no canto superior direito das janelas do ESM ou clique no menu ajuda do console do ESM.
Como alterar as exibições
Você pode alterar as exibições fornecidas por pacotes de conteúdo para alterar suas aparências ou os filtros usados com eles. Todas as alterações feitas nas exibições são revertidas para o padrão durante uma atualização a um pacote de conteúdo. No entanto, você pode criar uma versão do modo de exibição para salvar suas personalizações. As exibições podem ser filtradas ainda mais por meio do painel filtrar no lado direito da tela. Para alterar a exibição:
- Selecione a exibição e, em seguida, clique em Editar exibição atual.
- Selecione o componente que você deseja alterar e clique em Editar consulta.
- Salve suas configurações depois de fazer as alterações.
Para obter mais informações sobre como gerenciar exibições, consulte a seção "gerenciar exibições" na ajuda on-line do ESM. Para obter informações sobre como usar filtros, consulte a seção "exibições de filtragem" da ajuda on-line do ESM. Para acessar a ajuda on-line no ESM, clique no ícone da ajuda no canto superior direito das janelas do ESM ou clique no menu ajuda do console do ESM.
Como alterar o listas observação
Você pode adicionar valores às listas de listas observação estáticos fornecidos por pacotes de conteúdo. Se um pacote de conteúdo for atualizado, os valores que você tiver anexado à lista de observação não serão transferidos. Para adicionar mais itens a uma lista de observação:
- Clique no ícone lista de Observação , selecione a lista de observação que deseja alterar e, em seguida, clique em Editar.
- Clique na guia valores , role para a parte inferior da lista e adicione valores no final do Watchlist.
Nota: Especifique somente uma entrada por linha.
- Salve suas configurações depois de fazer as alterações.
Para obter mais informações sobre o listas observação, consulte a seção "listas observação" na ajuda on-line do ESM. Para acessar a ajuda on-line no ESM, clique no ícone da ajuda no canto superior direito das janelas do ESM ou clique no menu ajuda do console do ESM.
