McAfee Enterprise Security Manager 9.5.1

by user

on 28 марта 2017

Category: Documents

>> Downloads: 2

views

Report

Comments

Description

Download McAfee Enterprise Security Manager 9.5.1

Transcript

McAfee Enterprise Security Manager 9.5.1

リリースノート
McAfee Enterprise Security Manager 9.5.1
目次
このリリースについて
9.5.1 の新機能
解決された問題点
既知の問題
アップグレードの手順
製品マニュアルの検索
このリリースについて
この資料には、このリリースに関する重要な情報が含まれていますので、ぜひご一読いただくようお願いいたします。
プレリリース版ソフトウェアの自動アップグレードはサポートされていません。ソフトウェアを製品リリースにアッ
プグレードする場合には、McAfee ベータ版チーム ([email protected]) にアップグレード方法を確認してくださ
い。
®
9.5.1 の新機能
®
McAfee Enterprise Security Manager (McAfee ESM) 9.5.1 では、Security Connected のビジョンをサポート
するため、様々な機能が更新されました。セキュリティビッグデータを統合し、業界最高の SIEM 機能を搭載して
います。
データベースの切り離し
このリリースでは、データベースをアプリケーションのビジネスロジックから切り離しました。これにより、信頼
性が向上し、障害発生時のリカバリ速度が速くなりました。以前のリリースでは、デバイスの再起動が必要になる問
題が発生すると、データベースの再構築に時間がかかり、不要な停止時間が発生しました。これらを分離すること
で、データを再構築する必要性が少なくなりました。
1
レイヤー 7 の収集
McAfee Network Security Manager (NSM) イベントが NSM データベースに書き込まれると、レイヤー 7 データ
がデータベースに記録されます。これは、イベントと一緒に取得できません。 NSM からレイヤー 7 情報を取得す
るため、イベントの取得時に遅延を発生させ、レイヤー 7 データを追加できるようになりました。この遅延は、NSM
関連の次のアクションを実行するときに設定できます。
•
コンソールへの McAfee NSM デバイスの追加
•
NSM データソースの追加
•
NSM デバイスの設定
詳細については、オンラインヘルプまたは製品ガイドで『NSM デバイスでのレイヤー 7 の収集』を参照してくださ
い。
仮想ローカルドライブ
このリリースでは、仮想 ELM の仮想ストレージデバイスを検出し、フォーマットできるようになりました。これら
のデバイスは、データベースの移行やストレージプールとして使用できます。
詳細については、オンラインヘルプまたは製品ガイドで『仮想ローカルドライブをセットアップしてデータを保管
する』を参照してください。
Qualys VA の手動インポート
このリリースでは、Qualys QualysGuard ソースに直接アクセスできない場合に、脆弱性評価 (VA) のエクスポー
トファイルをファイル共有に配置したり、解析用に手動でアップロードすることができます。オンラインヘルプま
たは製品ガイドで『脆弱性評価のソースを管理する』を参照してください。
1
ESM コンソールで、[資産マネージャー] クイック起動アイコン
ックします。
をクリックして [脆弱性評価] タブをクリ
2
[追加] をクリックし、[VA ソースタイプ] フィールドで [Qualys QualysGuard] を選択します。
3
[方法] フィールドで、共有オプション ([SCP]、[FTP]、[NFS]、[CIFS]) を選択するか、[手動アップロード] を
選択します。
Qualys QualysGuard ログファイルの手動アップロードで処理可能なファイルサイズは 2 GB までです。
4
残りの情報を入力して [OK] をクリックします。
5
次のいずれかを行います。
•
ファイル共有オプションを選択した場合には、[取得] をクリックしてデータを収集します。
•
[手動アップロード] を選択した場合には、[アップロード] をクリックしてファイルをアップロードします。
取得したデータが [資産、脅威、脆弱性] ビューに表示されます。このビューにアクセスする方法については、オン
ラインヘルプと製品ガイドで『事前定義ビュー』を参照してください。
AWS CloudTrail データの収集
データソースを追加して、Amazon Web Services (AWS) CloudTrail サービスからデータを取得できます。
1
2
2
システムナビゲーションツリーで Receiver を選択して、[プロパティ] アイコン
[データソース] をクリックして [追加] をクリックします。
をクリックします。
3
[データソースベンダー] フィールドで [Amazon] を選択し、[データソースモデル] フィールドで
[CloudTrail] を選択します。
4
データソースの全般フィールドを入力します (詳細については [ヘルプ] アイコンをクリックしてください)。
AWS CloudTrail のフィールドを入力します。
•
[AWS アクセスキー] － AWS アカウントのユーザー名
•
[AWS 秘密鍵] － AWS アカウントのパスワード
•
[SQS URL] － AWS から提供される SQS キューの URL。 AWS にログオンすると、SQS 管理コンソール
に表示されます。
•
[SQS 表示タイムアウト] －要求後にメッセージまたはログが非表示になっている時間。コレクターがメッ
セージまたはログを削除しないと、タイムアウト (デフォルトは 300 秒) 後にリストアされます。
•
[SQS ポーリング間隔] －収集要求の間隔 (デフォルトは 300 秒)
•
[接続] － AWS サイトへの接続をテストします。移動前に接続可能かどうか確認してください。失敗した
場合には、AWS アクセスキー、AWS 秘密鍵、SQS URL が正しいかどうか確認してください。コレクター
のエラーは /var/log/cloudtrail.log.00 ファイルに記録されます。 Receiver で次のコマンドを実行すると、
コレクターを手動で実行できます。
/usr/local/bin/cloudtrailcoll.pl -v <vipsid>
データソースの設定に誤りがあると、CloudTrail コレクターがクラッシュします。
データソースの全般的な情報については、オンラインヘルプまたは製品ガイドで『Receiver のデータソース』を参
照してください。
イベント時間の表示
このリリースでは、Receiver のデータベースにイベントが挿入された正確な時間を表示できます。詳細については、
オンラインヘルプまたは製品ガイドで『イベント時間を表示する』を参照してください。
システムツリーの自動更新
ESM コンソールのシステムツリーが 5 分間隔で自動的に更新されます。更新中はツリーでデバイスを選択できま
せん。ツリーのデバイスが多い場合、更新に 5 分以上かかる場合があります。また、ツリーのデバイスの [プロパ
ティ] ページにアクセスできない場合があります。このような問題が発生する場合には、自動更新を停止できます。
詳細については、オンラインヘルプまたは製品ガイドで『システムの自動更新を停止する』を参照してください。
イベントとフローの取得ジョブの詳細
このリリースでは、[イベントとフローの取得]ジョブのステータスを詳しく確認できるようになりました。この情報
の確認方法については、オンラインヘルプまたは製品ガイドで『イベントとフローを取得する』を参照してくださ
い。
解決された問題点
このリリースでは、次の問題が解決されています。以前のリリースで解決された問題点については、該当するリリー
スのリリースノートを参照してください。
ディスクの使用率が 90% を超えると ESM のイベント処理がロックされる
このリリースでは、ディスクの使用率が 90% を超えても ESM がイベントを処理します。
3
マスター ESM でカスタム相関ルールが通常のイベントとして表示される
このリリースでは、カスタム相関ルールで生成されたイベントが相関イベントとして表示されます。
Altiris 資産ソースのプロキシを有効にできない
このリリースでは、Altiris 資産ソースのプロキシを有効にできます。
1
[資産マネージャー] のクイック起動アイコンをクリックして、[資産ソース] タブをクリックします。
2
デバイスを選択して、[追加] をクリックします。
3
[タイプ] フィールドで [Altiris] を選択し、[プロキシを有効化] を選択します。
ELM データ変数が正しく設定されていない
以前のリリースでは、データ変数のデータ型が原因でストレージプールの日付が正しく表示されませんでした。こ
のデータ型が変更され、ストレージプールの日付で使用される定数が若干変更されました。主な相違は次のとおり
です。
•
1 年がグレゴリオ暦で定義されています (1 年は 365.2425 日)。
•
1 週は 7 日になります。1 年の日数を 52 で割った日数ではありません。 52 週のプールは 1 年として扱われ
ません。 52W と表示されます。同じ規則は 13W (13 週) の倍数にも適用されます。これは 1Q (1 四半期)
の倍数として扱われません。
•
複数の四半期または年数のプールを週単位で定義している場合、週の時間枠に合わせてプールサイズの調整が必
要になる場合があります。たとえば、52W に設定しているプールは、アップグレード後に 1Y と設定されます。
52W になるように 1Y プールを手動で調整してください。
•
アップグレードを実行すると、新しい定数のサイズに合わせてプールのサイズが自動的に調整されます。
Java の更新で DBM がクラッシュする
このリリースでは、新しい Java 1.8 でも DBM が正常に機能します。
パケットサイズが大きいと、増分バックアップに数日かかかる
パケットテーブルのバックアップ速度が向上しました。以前のリリースで 3 時間かかっていたバックアップが 15
分から 20 分で完了します。
SNMP が HA ペアのセカンダリ Receiver で実行されていない
このリリースでは、[SNMP 設定] ページに追加されたラジオボタンを使用すると、プライマリとセカンダリの両方
の SNMP 設定を編集できます。オンラインヘルプまたは製品ガイドで『SNMP を設定する』を参照してください。
カスタムレポートのレイアウトを保存できない
このリリースでは、[レポートレイアウト] ページで [保存] をクリックすると、予期したとおりカスタムレポートが
表示されます。
データベースのアーカイブで最初の 255 個のイベントパーティションしか表示されない
このリリースでは、[アクティブでないパーティション] ページ ([システムのプロパティ] 、 [データベース] 、 [ア
ーカイブ] の順に選択) にすべてのパーティションが表示されます。
4
既知の問題
この製品リリースの既知の問題については、McAfee KnowledgeBase の次の記事を参照してください。 KB83418
アップグレードの手順
9.5.1 ソフトウェアリリースのシステムを準備するには、ESM、Nitro IPS、ACE、ADM、Database Event Monitor
(DEM)、Receiver、ELMERC、ELM、ESM/Receiver の組み合わせに適したアップグレードファイルをダウンロー
ドし、所定の順序に従ってアップグレードします。
デバイスのインストールの詳細については、『McAfee Enterprise Security Manager 9.5.1 インストールガイド』
を参照してください。
タスク
•
9 ページの「アップグレードファイルをダウンロードする」
システムをアップグレードする準備が整ったら、アップグレードファイルをローカルシステムにダウン
ロードします。
•
10 ページの「システムをアップグレードする」
使用するモードに応じて、ESM とそのデバイスを所定の順序でアップグレードする必要があります。ア
ップグレード後、デバイスの設定を書き直してポリシーをロールアウトします。
•
12 ページの「ESM、ESMREC、ENMELM をアップグレードする」
システムの準備が整ったら、ESM、ESMREC または ENMELM を 9.5.1 にアップグレードします。
•
13 ページの「デバイスをアップグレードする」
FIPS モードではない場合は、ESM のアップグレード後に、IPS、Event Receiver、ELM、ELM/Event
Receiver、ACE、ADM、DEM をアップグレードします。 FIPS モードの場合は、ESM をアップグレー
ドする前にデバイスをアップグレードします。
アップグレードの準備
アップグレードを行う前にいくつかの作業を行う必要があります。
•
アップグレードを開始する前に、ESM チェックリストを見直して ESM とデバイスが適切な状態であることを確
認します。
•
以前のビルド (9.3.2 以降) からアップグレードされ ESM データベースの再構築が完了していることを確認し
ます。また、このアップグレードに対して適切な停止時間帯をスケジュールできることを確認します。
•
アップグレードを開始する前に、ESM のデータベースのバックアップを完了させます。
•
ソフトレイドサブシステムが実行されていて、2 台のドライブがアクティブであることを確認します。ESM
4245R/5205R/5510R/5750R、ESMREC 4245R/5205R/5510R、ESMLM 4245R/5205R/5510R を実行し
ている場合は、以下の方法で cat/proc/mdstat コマンドを実行します。
•
ESM コンソールで、[システムのプロパティ] 、 [ESM 管理] 、 [ターミナル] の順にクリックし、[書き込み]
をクリックしてコマンドを入力します。
•
ESM に SSH します。
•
モニターとキーボードをデバイスに接続します。
次の例のように出力された場合は、RAID が正常に機能しており、アップグレードを開始することができます。
Personalities : [raid1] md_d127 : active raid1 sda[0](W) sdb[1](W) 488386496 blocks [2/2]
[UU] Unused devices: <none>
5
[UU] コードは、アクティブなドライブを表します。 [_U] または [U_] と表示された場合は、ドライブが RAID
の一部になっていません。アップグレードの前に McAfee サポートに連絡してください。
情報のタイプ
詳細
対応のデバイスタイ ESM、ESM/Event Receiver (ESMREC) または ESM/Log Manager (ENMELM) は、9.5.1
プ
デバイスモデルとのみ通信を行います。デバイスのモデルを確認するには、cat /proc/
cpuinfo コマンドを実行してください。出力の model name 行には CPU 番号が含まれ
ています。以下のいずれかの CPU が必要です。
デバイスの削除
• 1275
• 5450
• 2160
• 5645
• 2670
• 6300
• 3220
• 6400
• 5405
• 7500
• 5410
• 7542
• 5440
• 9400
ESM、ESMREC または ENMELM のアップグレードを実行する前に、指定されたすべての
デバイスモデルと、指定された Nitro IPS モデルの仮想 IP アドレスを削除する必要があり
ます。削除を行わない場合、問題の発生とアップグレードが失敗することを示すメッセージ
が [ログイン] ページとメッセージログに表示されます。 ESM もアップグレードに失敗
し、デバイスメッセージログに記録されます。
仮想 IPS を削除するには、システムナビゲーションツリーからデバイスを選択し、[プロパ
ティ] アイコンをクリックします。 [デバイスの設定] 、 [仮想デバイス] の順に選択して、
既存の仮想デバイスを選択し、[削除] をクリックします。 [書き込み] をクリックして、IPS
に設定を書き込みます。
9.5.1 の ESM、ESMREC または ENMELM から IPS デバイスにポリシーをロールアウトす
る必要があります。これを行わないと、IPS がバイパスモードのままになり、トラフィック
が一切検査されなくなります。
再構築時間
テーブルの再構築時間は ESM、ESMREC、ENMELM によって異なります。 ESM データベ
ースのアップグレード時間を短縮するには:
• イベント、フロー、ログの収集期間としてより長い時間を設定し、再構築にさらに時間を
かけられるようにします。 ESM コンソールで、[システムのプロパティ] 、 [イベント、
フロー、ログ]の順にクリックし、[自動確認間隔] を設定します。
• 再構築が完了するまでイベント、フロー、ログの収集を停止します。この手順は、ESM
に送信されるイベントやフローの数が少ない場合にのみ実行してください。 ESM コンソ
ールで、[システムのプロパティ] 、 [イベント、フロー、ログ]の順にクリックし、[自動
確認間隔] の選択を解除します。
デバイスの再構築時間は約 45 分です。
アップグレードの順
序
9.3.2 以降から直接 9.5.1 にアップグレードすることができます。 9.3.2 より前のバージ
ョンをアップグレードするには、次の順序でアップグレードする必要があります。
7.x.x > 8.2.x > 8.3.x > 8.4.2 > 8.5.6 > 9.0.2 > 9.2.1 > 9.3.2 以降 > 9.5.1
Receiver-HA デバ
イスのアップグレー
ド
6
Receiver-HA デバイスをアップグレードするには、最初に Receiver の高可用性ステータス
をチェックする必要があります。 ESM オンラインヘルプで、
『Receiver の高可用性ステー
タスを確認する』を参照してください。
特別なアップグレード状況
状況によっては、アップグレードの前後で特別な操作が必要になります。
状況
アクション
新しい McAfee 新しい McAfee ESM モデルをインストールした場合、保守契約でポリシー、パーサー、ルール
ESM モデルのイの更新を取得できるように、30 日以内にハードウェアを登録してください。登録しないと、更
ンストール
新を受信できません。恒久的なユーザー名とパスワードを取得するには、情報を
LicensingMcAfee 宛に電子メールで送信してください。必要な情報は、McAfee 承認番号、アカ
ウント名、住所、連絡先の名前、連絡先のメールアドレスです。
オフラインでル
ールの更新を取
得する場合
1 http://www.mcafee.com/us/downloads/downloads.aspx に移動します。
2 右上隅にある [マイ製品のダウンロード] をクリックして、[実行] をクリックします。
3 承認番号を入力して、表示された文字を入力し、[送信] をクリックします。
4 [MFE Enterprise Security Manager] をクリックして、[MFE Nitro ルールのダウンロード]
をクリックします。
5 使用許諾条件を確認して、[同意する] をクリックします。
利用可能な更新ファイルが ESM バージョン別に表示されます。
6 お使いの ESM バージョンに適したルールをダウンロードします。
デバイス通信の
問題を解決する
場合
McAfee デバイス (ESM は除く) をアップグレードした場合、「操作を実行するには、その前に
9.5.1 にアップグレードする必要があります」というメッセージが表示される場合があります。
ESM の正しいバージョンを使用しているかどうか確認します。
1 ESM コンソールで、システムナビゲーションツリーからデバイスを選択し、[プロパティ] ア
イコンを選択します。
2 [接続] をクリックして、次に [ステータス] をクリックします。
バージョンが更新されます。
3 メッセージが表示される原因となった操作をやり直します。
冗長 ESM をア
ップグレードす
る場合
前述のように、最初にプライマリ ESM をアップグレードしてから冗長 ESM を更新する必要が
あります。
1 プライマリ ESM で、ナビゲーションツリーから ESM を選択し、[プロパティ] アイコンをク
リックします。
2 [イベント、フロー、ログ] をクリックして、[自動確認間隔] オプションの選択を解除します。
3 冗長 ESM をアップグレードした後で、プライマリ ESM でイベント、フロー、ログの収集を
再度有効にします。
7
状況
アクション
McAfee ePO と McAfee ePO デバイスがすでに ESM 上にある場合は、それを更新する必要があります。
Policy Auditor
1 オールインワンデバイスでない場合、McAfee ePO デバイスが接続する Receiver をアップ
グレードします。
2 ESM コンソールで、[ePO プロパティ] 、 [デバイス管理] の順にクリックし、[更新] をクリ
ックします。
[デバイス管理] タブで自動取得を設定できます。
3 [Receiver プロパティ] をクリックし、[脆弱性評価] タブをクリックします。
4 [書き込み] をクリックします。
5 手順 2 を繰り返し、ESM で VA データを取得します。
更新すると、Policy Auditor が VA ソースとして登録されます。これにより、Policy Auditor
が vathirdparty.conf に書き込まれます。
6 ESM コンソールからログアウトして、再度ログインします。
高可用性
Receiver のア
ップグレード
8
アップグレードを行う前に、優先プライマリ Receiver を [設定なし] に設定してください。これ
により、[フェールオーバー] オプションが使用可能になります。
アップグレードプロセスでは、セカンダリ Receiver からアップグレードを開始し、両方の
Receiver をアップグレードします。両方の Receiver をアップグレードした後に、優先プライ
マリ Receiver を再度適用できます。
状況
アクション
ELM 管理データ ELM モデルによっては、ELM 管理データベースのインデックスを作成すると、余分な時間がか
ベースの再構築かる場合があります。たとえば、プール数、ロギングデバイスから送信されたデータ量、ネッ
トワーク帯域幅 (リモートストレージを使用している場合) によっては、インデックスの作成に
かかる時間が長くなる場合があります。
このタスクはバックグラウンドで実行されるため、パフォーマンスに対する影響は最小限になり
ます。完了すると、履歴データのクエリー機能が向上します。
再構築のステータスを確認するには、[ELM プロパティ]、[ELM 情報] の順に移動します。 [ア
クティブステータス] フィールドに「データベースの再構築中」というメッセージが表示されて
いる場合には、ELM データベースを停止または開始しないでください。送信側のデバイスで新
しい ELM データのすべてにインデックスを作成してから ELM にデータを送信します。
Receiver が ELM にロギングし、最大容量に近づいている場合には、サポートに連絡してくださ
い。
冗長 ESM のア
ップグレード
最初にスタンバイ ESM をアップグレードしてから、アクティブな ESM をアップグレードする
必要があります。
アップグレードプロセスを実行すると、ELM の冗長が中断します両方の ELM をアップグレード
したら、ELM 冗長を再開する必要があります。
1 スタンバイ ELM をアップグレードします。
2 アクティブ ELM をアップグレードします。
3 システムナビゲーションツリーでスタンバイ ELM を選択し、[ELM プロパティ]、[ELM 冗
長] の順に移動します。 [サービスに戻す] をクリックします。
4 [ELM プロパティ]、[ELM 情報] の順に移動し、[更新] をクリックします。アクティブとスタ
ンバイの両方の ELM のステータスが [OK] と表示されます。
スタンバイ ELM のステータスが OK でない場合、もう一度 [更新] をクリックします。 2、3
分後に、スタンバイ ELM のステータスが「[OK。冗長 ELM 再同期が 100% 完了]」に変わり
ます。 [更新] を数回クリックしなければならない場合があります。
アップグレードファイルをダウンロードする
システムをアップグレードする準備が整ったら、アップグレードファイルをローカルシステムにダウンロードしま
す。
タスク
1
McAfee の[製品のダウンロード] Web サイト (http://www.mcafee.com/us/downloads/downloads.aspx)
にアクセスして、[マイプロダクトのダウンロード] フィールドにカスタマー承認番号を入力し、[検索] をクリッ
クします。
2
アップグレードするデバイスを選択します。
9
3
適切なリンク (MFE <デバイス名> v9.5.1) を選択し、McAfee EULA の内容を確認して [同意する] をクリック
します。
4
以下のファイルをローカルシステムにダウンロードします。
デバイスタイプ
ファイル名
McAfee Enterprise Security Manager (ESM または ETM)
ESSREC_Update_9.5.1.tgz
McAfee Enterprise Security Manager、Log Manager (ENMELM
または ESMREC)
ESS_Update_9.5.1.tgz
McAfee Nitro Intrusion Prevention System (Nitro IPS または
NTP)
IPS_Update_9.5.1.tgz
McAfee Event Receiver (ERC または ELMERC)
RECEIVER_Update_9.5.1.tgz
McAfee Database Event Monitor (DEM)
DBM_Update_9.5.1.tgz
McAfee Advanced Correlation Engine (ACE)
RECEIVER_Update_9.5.1.tgz
McAfee Enterprise Log Manager (ELM)
RECEIVER_Update_9.5.1.tgz
McAfee Application Data Monitor (ADM)
APM_Update_9.5.1.tgz
これで、これらのファイルを使用して ESM とデバイスをアップグレードできます。
システムをアップグレードする
使用するモードに応じて、ESM とそのデバイスを所定の順序でアップグレードする必要があります。アップグレー
ド後、デバイスの設定を書き直してポリシーをロールアウトします。
開始する前に
• 『アップグレードの準備』と『特別なアップグレード状況』を確認します。
•
システムでバージョン 9.3.2 以降が実行されていることを確認します。
•
最近 9.3.2 にアップグレードした場合は、データベースの再構築が完了していることを確認します。
タスク
1
以下の順序でデバイスをアップグレードします。
ESM とデバイスのアップグレードの詳細については、
『ESM、ESMREC または ENMELM をアップグレードする』
と『デバイスをアップグレードする』を参照してください。
10
モード
順序
非
FIPS
1 ESM、ESMREC、または ENMELM をアップグレードします。
2 データベースが構築されるまで待ちます。
3 ELM または ELMERC をアップグレードします。
4 Nitro IPS、Event Receiver、ACE、DEM、ADM をアップグレードします。
冗長 ESM をアップグレードする場合は、『特別なアップグレード状況』の『冗長 ESM のアップグレ
ード』を参照してください。
FIPS
1 ELM または ELMERC をアップグレードします。
2 Nitro IPS、Event Receiver、ACE、DEM、ADM をアップグレードします。
3 ESM、ESMREC、または ENMELM をアップグレードします。すべてのデバイスアップグレードが
開始されたら始めることができます。
FIPS モード時に ESM をアップグレードする前にデバイスのアップグレードが失敗することで、ELM ロ
グ収集に影響を与える可能性があります。
2
デバイスと通信していることを確認します。
3
手動のルール更新を ESM にダウンロードします (このドキュメントの『特別なアップグレード状況』セクション
にある『オフラインでルールの更新を取得する場合』を参照)。
4
更新されたルールを適用します。
a
5
システムナビゲーションツリーでシステムを選択し、[プロパティ]
アイコンをクリックします。
b
[システム情報] ページで [ルールの更新] をクリックし、[手動更新] をクリックします。
c
更新ファイルを選択して [アップロード] をクリックし、[OK] をクリックします。
以下の手順に従って各デバイスのデバイス設定を書き直し、9.5.1 のすべての設定が適用されていることを確認
します。
a
ESM コンソールで、システムナビゲーションツリーからデバイスを選択し、[プロパティ] アイコンをクリ
ックします。
b
各デバイスに対して以下の手順を実行します。
11
デバイスタイプ
プロセス
Event Receiver
または ESM/
Event Receiver
の組み合わせ
• データソースの場合: [データソース] 、 [書き込み] の順にクリックします。
ACE
• リスク相関の場合: [リスク相関管理] 、 [書き込み] の順にクリックします。
• 仮想マシンのソースの場合: [脆弱性評価] 、 [書き込み] の順にクリックします。
• 履歴相関の場合: [履歴] 、 [履歴相関を有効化] 、 [適用] の順にクリックします。すで
に選択されている場合は、選択を解除してから再び選択し、[適用] をクリックします。
• ルール相関の場合: [ルール相関] をクリックし、[ルール相関を有効化] を選択して [適
用] をクリックします。すでに選択されている場合は、選択を解除してから再び選択し、
[適用] をクリックします。
Nitro IPS、DEM、 • 仮想デバイスの場合 (IPS や ADM): [仮想デバイス] 、 [書き込み] の順にクリックしま
または ADM
す。
• データベースサーバーの場合: [データベースサーバー] 、 [書き込み] の順にクリック
します。
6
アップグレードしたデバイスすべてにポリシーをロールアウトします。
ポリシーを Nitro IPS デバイスにロールアウトしたら、[デバイス設定] 、 [インターフェース] の順に選択して、
デバイスのバイパスモードを無効にします。
7
デバイスからの ELM または ELMERC 収集ログがある場合は、ELM を同期させます ([デバイスのプロパティ] 、
[デバイス設定] 、 [ELM を同期] の順にクリックします)。
ESM、ESMREC、ENMELM をアップグレードする
システムの準備が整ったら、ESM、ESMREC または ENMELM を 9.5.1 にアップグレードします。
開始する前に
この文書全体を参照してください。 ESM に接続しているすべてのデバイスが 9.5.1 でサポートされて
いることを確認してください (『アップグレードの準備』の『サポートされているデバイス』を参照)。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ESM コンソールで、ESM デバイスを選択し、[プロパティ] アイコンをクリックします。
2
[ESM 管理] を選択し、[ESM を更新] をクリックします。
3
[ソフトウェア更新ファイルを選択] ページで、以下のファイルのいずれかを参照します。
4
デバイスタイプ
ファイル
スタンドアロンの Enterprise Security Manager (ESM)
ESS_Update_9.5.1.tgz
Receiver が組み込まれた Enterprise Security Manager (ESMREC)
ESSREC_Update_9.5.1.tgz
Receiver と Enterprise Log Manager が組み込まれた Enterprise Security
Manager (ENMELM)。コンビネーションボックスともいいます。
ESSREC_Update_9.5.1.tgz
ファイルを選択し、[アップロード] をクリックします。
ESM が再起動してすべてのユーザーの接続が失われることが示されます。
12
5
[はい] をクリックして続行し、ブラウザーを閉じることを求められたら [OK] をクリックします。
アップグレードが実行されます。完了までに数時間かかることがあります。
6
アップグレードが完了したら、新しいブラウザーセッションからコンソールにログオンし直します。
デバイスをアップグレードする
FIPS モードではない場合は、ESM のアップグレード後に、IPS、Event Receiver、ELM、ELM/Event Receiver、
ACE、ADM、DEM をアップグレードします。 FIPS モードの場合は、ESM をアップグレードする前にデバイスをア
ップグレードします。
開始する前に
この文書全体を参照してください。 ESM に接続しているすべてのデバイスが 9.5.1 でサポートされて
いることを確認してください (『アップグレードの準備』の『サポートされているデバイス』を参照)。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
ESM コンソールで、アップグレードするデバイスを選択し、[プロパティ] アイコンをクリックします。
2
デバイスの [管理] をクリックし、[デバイスを更新] をクリックします。
3
[ソフトウェア更新ファイルを選択] ページで、以下のファイルのいずれかを参照します。
デバイスタイプ
ファイル
IPS
IPS_Update_9.5.1.tgz
• Event Receiver
Receiver_Update_9.5.1.tgz
• ELM
• ELM/Event Receiver の組み合わ
せ
• ACE
DEM
DBM_Update_9.5.1.tgz
ADM
APM_Update_9.5.1.tgz
ESS 仮想マシン
このデバイスのアップグレードは利用できません。 McAfee Sales に
連絡して新しい ESM VM モデルを購入してください。
4
ファイルを選択し、[アップロード] をクリックします。
5
[デバイスソフトウェアを更新] ページで、[はい] をクリックして続行します。
ファイルがアップロードされ、デバイスが再起動します。
6
通信が再開したら、デバイスのバージョンを確認します。
13
製品マニュアルの検索
製品のリリース後は、McAfee のオンラインナレッジセンターに製品情報が掲載されます。
タスク
1
McAfee ServicePortal (http://support.mcafee.com) で、[Knowledge Center] タブに移動します。
2
[KnowledgeBase] ペインで、コンテンツのソースをクリックします。
•
[Product Documentation] をクリックして、ユーザーマニュアルを検索します。
•
[Technical Articles] をクリックして、KnowledgeBase の記事を検索します。
3
[Do not clear my filters] を選択します。
4
製品名を入力してバージョンを選択し、[Search] をクリックします。マニュアルの一覧が表示されます。
タスク
•
15 ページの「ESM ヘルプを使用する」
ESM の使い方が分からない場合には、オンラインヘルプを使用してください。概念、リファレンス、
ESM の操作方法などを確認できます。
•
15 ページの「よくある質問」
ここでは、よくある質問について紹介します。
ローカライズされた情報を検索する
McAfee ESM のリリースノート、オンラインヘルプ、製品ガイド、インストールガイドは次の言語に翻訳されて
います。
•
中国語 (簡体字)
•
日本語
•
中国語 (繁体字)
•
韓国語
•
英語
•
ポルトガル語 (ブラジル)
•
フランス語
•
スペイン語
•
ドイツ語
ローカライズされたオンラインヘルプにアクセスする
ESM で言語設定を変更すると、オンラインヘルプの言語も自動的に変更されます。
1
ESM にログオンします。
2
ESM コンソールのシステムナビゲーションペインで、[オプション] を選択します。
3
言語を選択し、[OK] をクリックします。
4
ESM ウィンドウの右上隅にあるヘルプアイコンをクリックするか、[ヘルプ] メニューを選択します。選択した
言語でヘルプが表示されます。
ヘルプが英語で表示された場合、ローカライズされたヘルプはまだ使用できません。今後の更新で、ローカライズ
されたヘルプをインストールする予定です。
14
翻訳された製品マニュアルをナレッジセンターで検索する
1
ナレッジセンターを表示します。
2
翻訳された製品マニュアルを以下の条件で検索します。
•
検索語句－製品ガイド、インストールガイドまたはリリースノート
•
製品－ SIEM Enterprise Security Manger
•
バージョン－ 9.5.0 以降
3
検索結果で、関連するドキュメントのタイトルをクリックします。
4
PDF アイコンのあるページで、右側に言語リンクが表示されるまで下にスクロールします。関連する言語をクリ
ックします。
5
PDF リンクをクリックします。翻訳された製品マニュアルが表示されます。
ESM ヘルプを使用する
ESM の使い方が分からない場合には、オンラインヘルプを使用してください。概念、リファレンス、ESM の操作
方法などを確認できます。
開始する前に
オプション: ローカライズされた情報を検索する 14 ページの「」。
タスク
1
2
ESM ヘルプを開くには、次のいずれかを行います。
•
メニューオプションで [ヘルプ]、[ヘルプの目次] の順に選択します。
•
ESM 画面の右上にある？マークをクリックします。その画面に固有のコンテキストヘルプが表示されま
す。
[ヘルプ] ウィンドウ:
•
ヘルプ内の語句を検索するには、[検索] フィールドを使用します。 [検索] フィールドの下に結果が表示され
ます。関連するリンクをクリックすると、右側のペインにヘルプトピックが表示されます。
•
ヘルプトピックを順番に確認するには、[目次] タブを使用します。
•
ヘルプ内の特定の語句を探すには、[索引] を使用します。キーワードが英字順に表示されます。必要なキー
ワードが見つかるまでリストをスクロールしてください。キーワードをクリックすると、ヘルプトピックが
表示されます。
•
現在のヘルプトピックを印刷するには (スクロールバーを除く)、ヘルプトピックの右上にあるプリンター
のアイコンをクリックします。
•
関連するヘルプトピックのリンクを探すには、下にスクロールしてヘルプトピックの最後に移動してくださ
い。
よくある質問
ここでは、よくある質問について紹介します。
ESM の情報を他の言語で見ることはできますか？
ESM のリリースノート、オンラインヘルプ、製品ガイド、インストールガイドは次の言語に翻訳されてい
ます。
15
•
中国語 (簡体字と繁体字)
•
日本語
•
英語
•
韓国語
•
フランス語
•
ポルトガル語 (ブラジル)
•
ドイツ語
•
スペイン語
ローカライズされた情報を検索する 14 ページの「」
McAfee ESM の情報はどこで入手できますか？
•
ESM ヘルプを使用する 15 ページの「」
•
ナレッジセンターを利用する
•
エキスパートセンターを利用する
•
McAfee ESM の動画を見る
サポートされている SIEM デバイスを教えてください。
McAfee ESM の Web サイトを見る
データソースの設定方法を教えてください。
ナレッジセンターで最新のデータソースの設定ガイドを参照してください。
使用可能なコンテンツパックを教えてください。
ナレッジセンターで KB 記事を参照してください。
Copyright © 2015 McAfee, Inc. www.intelsecurity.com
Intel および Intel のロゴは、Intel Corporation における登録商標です。McAfee および McAfee のロゴは、McAfee, Inc. における登録商標です。
その他すべての登録商標および商標はそれぞれの所有者に帰属します。