McAfee Enterprise Security Manager 10.0.0 产品手册·»加 Active Response 数据扩充来源...

产品手册

McAfee Enterprise Security Manager 10.0.0

版权

© 2017 Intel Corporation

商标特性Intel 和 Intel 徽标是英特尔公司在美国和/或其他国家或地区的注册商标。McAfee、迈克菲、McAfee 徽标、McAfee Active Protection、McAfee DeepSAFE、ePolicyOrchestrator、McAfee ePO、McAfee EMM、McAfee Evader、Foundscore、Foundstone、Global Threat Intelligence、迈克菲全方位实时保护、Policy Lab、McAfeeQuickClean、Safe Eyes、McAfee SECURE、McAfee Shredder、SiteAdvisor、McAfee Stinger、McAfee TechMaster、McAfee Total Protection、TrustedSource 和VirusScan 是 McAfee, Inc. 或其子公司在美国和其他国家或地区的商标或注册商标。其他名称和商标可能已声明为其他公司的财产。

许可信息

许可协议致全体用户：请仔细阅读与您所购买的许可相关的法律协议，以了解使用许可软件的一般条款和条件。如果您不清楚所购买的许可属于哪一类，请查看软件包装盒中或购买产品时单独提供的销售文档以及其他相关的许可授权或订单文档，这些文档既可以是小册子、产品光盘上的文件，也可以是软件包下载网站提供的文件。如果您不接受该协议规定的所有条款和条件，请勿安装本软件。根据情况，您可以将产品退回 McAfee, Inc. 或原购买处以获得全额退款。

2 McAfee Enterprise Security Manager 10.0.0 产品手册

目录

前言 9关于本手册 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

读者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9约定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

查找产品文档 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10查找本地化的信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

1 简介 13McAfee® Enterprise Security Manager (McAfee ESM) 工作原理 . . . . . . . . . . . . . . . . . . 13设备及其功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14使用 ESM 帮助 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15查找本地化的信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

2 入门 17登录和退出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17自定义登录页面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18更新 ESM 软件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19获取并添加规则更新凭据 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20检查规则更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20更改事件日志的语言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21连接设备 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

将设备添加至 ESM 控制台 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21选择显示类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22管理自定义显示类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

设置控制台超时值 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

3 配置 ESM 25有关设备密钥 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

对设备进行密钥管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26管理 SSH 密钥 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

组织设备 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27查看设备信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27刷新设备 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31查看设备摘要报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31查看系统或设备日志 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32管理多个设备 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33管理所有设备的 URL 链接 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33在设备上设置网络流量控制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34配置 SNMP 通知 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35将设备与 ESM 进行同步 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35设置与 ELM 的通信 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35设置默认日志记录池 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36授予访问您系统的权限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36监视流量 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36开启、停止、重新启动或刷新设备 . . . . . . . . . . . . . . . . . . . . . . . . . . 37

McAfee Enterprise Security Manager 10.0.0 产品手册 3

更改与 ESM 的连接 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37虚拟设备 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38管理自定义显示类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41管理自定义显示类型中的组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42删除组或设备 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42在系统导航树中删除重复的设备 . . . . . . . . . . . . . . . . . . . . . . . . . . 43

配置设备 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Event Receiver 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44Enterprise Log Search (ELS) 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . 85Enterprise Log Manager (ELM) 设置 . . . . . . . . . . . . . . . . . . . . . . . . . 87Advanced Correlation Engine (ACE) 设置 . . . . . . . . . . . . . . . . . . . . . . . 105Application Data Monitor (ADM) 设置 . . . . . . . . . . . . . . . . . . . . . . . . 111(DEM) 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125分布式 ESM (DESM) 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136ePolicy Orchestrator 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136McAfee Vulnerability Manager 设置 . . . . . . . . . . . . . . . . . . . . . . . . . 142McAfee Network Security Manager 设置 . . . . . . . . . . . . . . . . . . . . . . . 143

配置辅助服务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145常规系统信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146配置补救服务器设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146停止自动刷新 ESM 系统树 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147定义消息设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147在设备上设置 NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149管理全局黑名单页面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151配置网络设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151系统时间同步 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164安装新证书 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165配置配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166SNMP 配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167

管理数据库 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174设置数据库存档 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174设置 ESM 数据存储 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175设置 ESM VM 数据存储 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176增加可用累加器索引的数量 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176设置数据保留限制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177定义数据分配限制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177管理数据库索引设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177管理累加器索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178查看数据库内存使用率 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179

使用用户和组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179添加用户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180选择用户设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181设置安全 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182设置 McAfee ePO 的用户凭据 . . . . . . . . . . . . . . . . . . . . . . . . . . . 187禁用或重新启用用户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188对 LDAP 服务器的用户进行身份验证 . . . . . . . . . . . . . . . . . . . . . . . . 188设置用户组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189添加具有访问限制的组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192

备份和还原系统设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192备份 ESM 设置和系统数据 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193还原 ESM 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194还原备份的配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195使用 ESM 上的备份文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195管理文件维护 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195

冗余 ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196设置 ESM 冗余 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196

目录


删除冗余 ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197禁用共享查询 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198将冗余 ESM 更改为主要 ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . 198

管理 ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199管理日志 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199屏蔽 IP 地址 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201设置 ESM 日志记录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202导出和还原通信密钥 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202重新生成 SSH 密钥 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203查询任务管理器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203管理在 ESM 上运行的查询 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203更新主要或冗余的 ESM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204

使用全局黑名单 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204设置全局黑名单 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

数据扩充 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206添加数据浓缩来源 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207设置 McAfee Real Time for McAfee ePO™ 数据扩充 . . . . . . . . . . . . . . . . . . . 209添加 Hadoop HBase 数据扩充来源 . . . . . . . . . . . . . . . . . . . . . . . . . 210添加 Hadoop Pig 数据扩充来源 . . . . . . . . . . . . . . . . . . . . . . . . . . 211为用户名添加 Active Directory 数据扩充 . . . . . . . . . . . . . . . . . . . . . . . 211

4 使用信息显示板视图 213信息显示板构建基块 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213预定义的（默认）视图 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214打开信息显示板视图 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214添加自定义信息显示板视图 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215绑定信息显示板小组件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215过滤信息显示板视图 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216对通知做出响应 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216调查开放案例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217

5 管理 Cyber Threat 219设置 Cyber Threat 管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219设置域的网络威胁源 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220查看 Cyber Threat 源结果 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220支持的指示器类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221手动上传 IOC STIX XML 文件时出错 . . . . . . . . . . . . . . . . . . . . . . . . . . . 222

6 使用内容包 223导入内容包 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223

7 警报工作流 225准备构建警报 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225

设置警报消息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225管理警报音频文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229

构建警报 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229启用或禁用警报监控 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230复制警报 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230创建警报 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231

监控并响应警报 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234查看和管理触发的警报 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235管理警报报告队列 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236

调整警报 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237创建 UCAPL 警报 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238添加健康监视器事件警报 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239添加字段匹配警报 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244

目录


自定义已触发警报和案例的摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . 246将警报添加至规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247创建 SNMP 陷阱作为警报操作 . . . . . . . . . . . . . . . . . . . . . . . . . . 247添加电源故障通知警报 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248管理不同步的数据源 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248

8 使用事件 251事件、流和日志 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251

设置事件、流和日志下载 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251限制数据的收集时间 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252定义不活动阈值设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253获取事件和流 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254检查事件、流和日志 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254定义地理位置和 ASN 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255累积事件或流 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256设置事件转发 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259

管理报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266为季度报告设置开始月份 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266添加报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267添加报告布局 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268向报告中添加图像组件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270在 PDF 和报告中包含图像 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271添加报告条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271在报告中显示主机名 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272

contains 和 regex 过滤器的描述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273使用 ESM 视图 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276

管理视图 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277查看会话详细信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277过滤视图 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277监视列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280流视图 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285“增强的 ELM 搜索”视图 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285查看组件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286使用查询向导 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289

自定义类型过滤器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294创建自定义类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296预定义的自定义类型表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297添加时间自定义类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297名称/值自定义类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297添加名称/值组自定义类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298添加 UCF 和 Windows 事件 ID 过滤器 . . . . . . . . . . . . . . . . . . . . . . . . 298

McAfee® Active Response 搜索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299运行 Active Response 搜索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299管理 Active Response 搜索结果 . . . . . . . . . . . . . . . . . . . . . . . . . . 300添加 Active Response 数据扩充来源 . . . . . . . . . . . . . . . . . . . . . . . . 301添加 Active Response 关注列表 . . . . . . . . . . . . . . . . . . . . . . . . . . 301

9 管理案例 303添加案例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303从事件创建案例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304将事件添加到现有案例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304编辑或关闭案例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306查看案例详细信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306添加案例状态级别 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308电子邮件案例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308查看所有案例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309

目录


生成案例管理报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310

10 使用资产管理器 313“资产管理器”工作原理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313

管理资产 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314定义旧资产 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316

资产来源 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316管理资产来源 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316

管理漏洞评估来源 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318区域管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318

管理区域 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319添加区域 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319导出区域设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320导入区域设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320添加子区域 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321

资产、威胁和风险评估 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322管理已知威胁 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323

11 管理策略和规则 325了解策略编辑器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325策略树 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326在策略树中管理策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327为数据库审核跟踪设置规则和报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330规范化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330规则类型及其属性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331

ADM 规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332高级 Syslog 解析器 (ASP) 规则 . . . . . . . . . . . . . . . . . . . . . . . . . . 346关联规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350数据来源规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354DEM 规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356ESM 规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357过滤器规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357添加或编辑事务跟踪规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358变量 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359Windows 事件规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362

默认策略设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362设置认购超额模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362查看设备的策略更新状态 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362

规则操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363管理规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363导入规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364导入变量 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365导出规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365过滤现有规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366查看规则特征码 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367检索规则更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367清除已更新规则状态 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368比较规则文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369查看规则更改历史记录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369创建新的规则监视列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370将规则添加到监视列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370

将标记分配到规则或资产 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371修改累积设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371对已下载的规则进行覆盖操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372严重性权重 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373

设置严重性权重 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373

目录


查看策略更改历史记录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374应用策略更改 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374启用复制数据包 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375

A FIPS 模式信息 377FIPS 模式信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377检查 FIPS 完整性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377在 FIPS 模式中添加锁定的设备 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378

在 FIPS 模式下备份和还原设备信息 . . . . . . . . . . . . . . . . . . . . . . . . . 379在 FIPS 模式下启用多个 ESM 设备之间的通信。 . . . . . . . . . . . . . . . . . . . . 380

对 FIPS 模式进行故障排除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381

索引 383

目录


前言

本手册将提供使用 McAfee 产品所需的信息。

目录关于本手册查找产品文档

关于本手册下文介绍本手册的目标读者、使用的印刷约定和图标以及组织结构。

读者McAfee 的所有文档均针对目标读者进行了深入研究和精雕细琢。

本手册中的信息主要供以下读者使用：

• 管理员 — 实施公司安全计划的人员。

约定本手册使用下列印刷约定和图标。

斜体书、章节或主题的标题；新术语；强调

粗体强调的文本

固定宽度字体用户键入的命令和其他文本；代码示例；显示的消息

“Narrow Bold” 产品界面（如选项、菜单、按钮和对话框）中的内容

蓝色超文本指向某个主题或外部网站的链接

注意：补充信息，用以强调某个要点，提醒读者某件事情或提供备选方法

提示：佳做法信息

小心：有关保护您的计算机系统、软件安装、网络、企业或数据的重要建议

警告：有关使用硬件产品时避免人身伤害的重要建议


查找产品文档在“ServicePortal”中，您可以查找有关已发布的产品的信息，包括产品文档、技术文章等。

任务

1 转至 “ServicePortal” (http://support.mcafee.com)，然后单击“知识中心”选项卡。

2 在“知识库”窗格的“内容来源”下，单击“产品文档”。

3 选择产品和版本，然后单击“搜索”以显示文档列表。

任务

• 查找本地化的信息第 10 页我们提供以下语言的本地化（已翻译）McAfee ESM 发行说明、帮助、产品手册和安装手册：

查找本地化的信息我们提供以下语言的本地化（已翻译）McAfee ESM 发行说明、帮助、产品手册和安装手册：

• 简体中文

• 繁体中文

• 英文

• 法文

• 德文

• 日文

• 韩文

• 葡萄牙文（巴西）

• 西班牙语

访问本地化的在线帮助

更改 ESM 中的语言设置会自动更改在线帮助中使用的语言。

1 登录 ESM。

2 在 ESM 控制台的系统导航窗格中，选择“选项”。

3 选择语言，然后单击“确定”。

4 单击 ESM 窗口右上角的帮助图标，或选择“帮助”菜单。 “帮助”以您选择的语言显示。

如果帮助仅以英文显示，则帮助的本地化版本尚不可用。将来的更新会安装本地化的帮助。

查找知识中心上的本地化产品文档

1 请访问知识中心。

2 通过以下参数搜索本地化的产品文档：

• 搜索词汇 — 产品指南、安装指南或发行说明

• 产品 — SIEM Enterprise Security Manger

• 版本 — 选择发行版本

前言查找产品文档


https://support.mcafee.com

https://support.mcafee.com/

3 在搜索结果中，单击相关的文档标题。

4 在附有 PDF 图标的页面上，向下滚动滑块，直到看到右侧的语言链接。单击相关的语言。

5 要打开产品文档的本地化版本，请单击 PDF 链接。



1 简介

McAfee®

Enterprise Security Manager (McAfee ESM) 允许安全和合规性专业人员收集、存储和分析单个位置中的事件并对其执行操作。

目录 McAfee® Enterprise Security Manager (McAfee ESM) 工作原理设备及其功能使用 ESM 帮助查找本地化的信息

McAfee® Enterprise Security Manager (McAfee ESM) 工作原理McAfee ESM 收集和累积来自安全设备、网络基础设施、系统和应用程序的数据和事件。然后将 Intelligence 应用到这些数据，方法是将其与有关用户、资产、漏洞和威胁的上下文信息组合在一起。它将这些信息关联起来以查找相关事件。使用交互式可自定义信息显示板，您可以深入查找特定事件以调查事件。

ESM 由三个层级组成：• 接口 – 被称作 ESM 控制台的基于浏览器的接口。

• 数据存储、管理和分析 – 提供存储、规范化、累积、配置、报告、可视化和搜索功能的设备：• ESM（必需）

• Advanced Correlation Engine (ACE)（强烈推荐）

• McAfee Enterprise Log Manager (ELM)（强烈推荐）

• Enterprise Log Search (ELS)（强烈推荐）

• 数据收集 - 提供从用户网络环境获取数据的界面和服务的设备：• Event Receiver（接收器）

• Application Data Monitor (ADM)

• Database Event Monitor (DEM)

组件间的所有命令、控制和通信功能都是通过安全通信渠道进行调整。

1


设备及其功能ESM 使您能够管理您安全环境中的所有物理和虚拟设备并与这些设备交互。该图显示 ESM 设备如何配合工作来收集和共享数据，以便您对环境中的潜在威胁做出响应。

另请参阅 Event Receiver 设置第 44 页Enterprise Log Manager (ELM) 设置第 87 页Application Data Monitor (ADM) 设置第 111 页(DEM) 设置第 125 页Advanced Correlation Engine (ACE) 设置第 105 页分布式 ESM (DESM) 设置第 136 页ePolicy Orchestrator 设置第 136 页

1 简介设备及其功能


使用 ESM 帮助是否对如何使用 ESM 存在疑问？将在线帮助作为上下文敏感的信息来源，从中查找概念信息、参考材料和使用 ESM的分步式说明。

任务1 若要打开 ESM 帮助，请执行以下操作之一：

• 请选择菜单选项“帮助 | 帮助内容”。

• 单击 ESM 屏幕右上角的问号，查找特定于该屏幕的上下文敏感的帮助。

2 从帮助窗口中：• 使用“搜索”字段查找帮助中的任意词汇。结果会显示在“搜索”字段下方。单击相关链接，在右侧窗格中显示帮助

主题。

• 使用“目录”选项卡（目录），查看帮助中话题的顺序列表。

• 使用“索引”查找帮助中的特定词汇。关键字按照字母排列顺序组织，以便您滚动列表，直到找到想要的关键字。单击该关键字，以显示该帮助主题。

• 单击帮助主题右上角的打印机图标，打印当前帮助主题（无滚动条）。

• 向下滚动至帮助主题的底部，查找相关帮助主题的链接。

查找本地化的信息我们提供以下语言的本地化（已翻译）McAfee ESM 发行说明、帮助、产品手册和安装手册：

• 简体中文

• 繁体中文

• 英文

• 法文

• 德文

• 日文

• 韩文

• 葡萄牙文（巴西）

• 西班牙语

访问本地化的在线帮助

更改 ESM 中的语言设置会自动更改在线帮助中使用的语言。1 登录 ESM。

2 在 ESM 控制台的系统导航窗格中，选择“选项”。

3 选择语言，然后单击“确定”。

4 单击 ESM 窗口右上角的帮助图标，或选择“帮助”菜单。 “帮助”以您选择的语言显示。

如果帮助仅以英文显示，则帮助的本地化版本尚不可用。将来的更新会安装本地化的帮助。

简介使用 ESM 帮助 1


查找知识中心上的本地化产品文档

1 请访问知识中心。

2 通过以下参数搜索本地化的产品文档：• 搜索词汇 — 产品指南、安装指南或发行说明

• 产品 — SIEM Enterprise Security Manger

• 版本 — 选择发行版本

3 在搜索结果中，单击相关的文档标题。

4 在附有 PDF 图标的页面上，向下滚动滑块，直到看到右侧的语言链接。单击相关的语言。

5 要打开产品文档的本地化版本，请单击 PDF 链接。

1 简介查找本地化的信息


https://support.mcafee.com/

2 入门

验证您的 ESM 环境为新环境并准备就绪。

目录登录和退出自定义登录页面更新 ESM 软件获取并添加规则更新凭据检查规则更新更改事件日志的语言连接设备设置控制台超时值

登录和退出安装并设置设备后，您可以首次登录 ESM 控制台。

任务有关产品功能、用途和佳做法的详细信息，请单击“?”或“帮助”。

1 在客户端计算机上打开 Web 浏览器，并转至您配置网络接口时设置的 IP 地址。

2 单击“登录”，选择控制台语言，然后键入默认用户名和密码。• 默认用户名：NGCP

• 默认密码：security.4u

3 单击“登录”，阅读“ 终用户许可协议”，然后单击“接受”。

4 更改您的用户名和密码，然后单击“确定”。

5 选择是否启用 FIPS 模式。

如果需要在 FIPS 模式下工作，则必须在首次登录系统时启用该模式，这样，以后所有 McAfee 设备的操作都是在FIPS 模式下进行。我们建议您在不需要的情况下不启用 FIPS 模式。有关 FIPS 的更多信息，请参阅“关于 FIPS 模式”。

6 根据说明获取用户名和密码，这些是访问规则更新时所必需的。

7 执行初始 ESM 配置：

a 选择系统日志使用的语言。

b 选择该 ESM 所在时区和该帐户使用的日期格式，然后单击“下一步”。

c 在“初始 ESM 配置”向导页面上，定义设置。单击每个页面上的“显示帮助” 图标获取说明。

2


8 单击“确定”，然后单击帮助链接以了解或查看此版本的 ESM 中可用的新功能。

9 完成工作会话后，请使用以下任一方法退出：• 如果没有打开的页面，则单击控制台右上角的系统导航栏上的“退出”。

• 如果打开页面，则请关闭浏览器。

另请参阅自定义登录页面第 18 页更改事件日志的语言第 21 页

自定义登录页面您可以自定义登录页面以添加文本，例如公司安全策略或徽标。


1 在系统导航树中选择 “系统属性” | “自定义设置”。

2 执行下列任一个操作：

若要... 请执行以下操作...

添加自定义文本 1 单击页面顶部的文本框。

2 键入您要添加到“登录”页面的文本。

3 选择“在登录屏幕包含文本”。

添加自定义图像 1 单击“选择图像”。

2 上载要使用的图像。

3 选择“在登录屏幕包含图像”。

如果您在上载新自定义徽标之后仍在“登录”页面看到旧的徽标，则清除浏览器中的缓存。

删除自定义图像单击“删除图像”。此时将显示默认徽标。该选项仅在上传自定义图像时可用。

表 2-1 选项定义

选项定义

“输入其他任何文本” 将自定义文本添加到控制台登录页面和设备 LCD 显示屏，如公司安全策略。

“ 选择一个自定义徽标 ” 选择您希望在登录页面显示的图像（请参见“自定义登陆页面”）。

“在登录屏幕包含文本 ” 选择是否希望添加的文本显示在登录页面中（请参见“ 在 PDF 和报告中添加图像”）。

“在登录屏幕包含图像 ” 选择是否希望所选的图像显示在登录页面中。

“在导出的 PDF 中添加图像”

如果您希望选择的图像显示在导出的 PDF 和打印的报告中，则请选择该选项。

“自动刷新系统树” 系统树每五分钟自动刷新一次。如果您不希望出现上述情况，则请取消选择该选项（请参阅“停止自动刷新系统树”）。

“设备链接 ” 对系统中每台设备的 URL 链接进行更改（请参见“编辑设备的 URL”）。

2 入门自定义登录页面


表 2-1 选项定义（续）

选项定义

“补救 ” 配置“补救电子邮件服务器”设置，以便向补救系统（如果您已设置）发送事件。请参见“配置补救设置”。

“指定月份” 如果您按照季度运行报告，请定义第一个季度的起始月（请参阅“设置季度性报告的起始月”）。

另请参阅登录和退出第 17 页更改事件日志的语言第 21 页

更新 ESM 软件从更新服务器或安全工程师中使用软件更新，然后将它们上载到 ESM。

要更新主要或冗余 ESM，请参阅“更新主要或冗余 ESM”。


1 在系统导航树中选择“系统属性”，然后单击“ESM 管理”。

2 在“维护”选项卡中单击“更新 ESM”。

3 选择要用来更新 ESM 的文件，然后单击“确定”。

ESM 会重新启动，并且在安装更新时所有当前会话都会断开连接。


选项定义

软件更新表单击文件，然后单击“确定”。您会收到警告，通知您这将会导致 ESM 重新启动，且当前所有会话都将断开连接。单击“是”以继续。

“ 浏览 ” 浏览从 McAfee 安全工程师或 McAfee 规则和更新服务器获得的软件更新文件。单击“上载”，然后在警告页面单击“是”。

另请参阅获取并添加规则更新凭据第 20 页检查规则更新第 20 页“选择软件更新文件”页面第 19 页

“选择软件更新文件”页面为 ESM 选择软件更新文件。


选项定义

软件更新表单击文件，然后单击“确定”。您会收到警告，通知您这将会导致 ESM 重新启动，且当前所有会话都将断开连接。单击“是”以继续。

“ 浏览 ” 浏览从 McAfee 安全工程师或 McAfee 规则和更新服务器获得的软件更新文件。单击“上载”，然后在警告页面单击“是”。

另请参阅更新 ESM 软件第 19 页

入门更新 ESM 软件 2


获取并添加规则更新凭据作为维护合同的一部分，ESM 会提供策略、解析器和规则更新。您有 30 天的访问权限，然后则必须提供永久凭据。


1 通过电子邮件将此信息发送至 [email protected]，即可获取您的凭据。• McAfee 授权号

• 帐户名

• 地址

• 联系人名称

• 联系人电子邮件地址

2 从 McAfee 收到客户 ID 和密码时，请在系统导航树中依次选择 “系统属性” | “系统信息” | “规则更新” 。

3 请单击“凭据”，然后键入客户 ID 和密码。

4 请单击“验证”。

另请参阅更新 ESM 软件第 19 页检查规则更新第 20 页

检查规则更新McAfee 特征码团队会不断更新用以检查网络流量的规则特征码。这些更新可在 McAfee 的中心服务器中下载。这些规则更新可自动检索，也可手动检索。


1 在系统导航树上，请选择“系统属性”，然后确保已选择“系统信息”。

2 在“规则更新”字段中，检查确定您的许可证尚未到期。

如果您的许可证已到期，则请参阅“获取和添加规则更新凭据”。

3 如果您的许可证有效，则请单击“规则更新”。

4 选择其中一个选项：• “自动检查时间间隔”可设置系统，从而根据您选择的频率自动检查更新。

• “立即检查”可立即检查更新。

• “手动更新”可从本地文件更新规则。

5 单击“确定”。

另请参阅更新 ESM 软件第 19 页获取并添加规则更新凭据第 20 页

2 入门获取并添加规则更新凭据


更改事件日志的语言首次登录 ESM 时选择记录事件日志（例如状况监视器日志和设备日志）所用的语言。您可以更改语言设置。


1 在系统导航树中选择 “系统属性” | “ESM 管理”。

2 单击“系统语言”，从下拉列表中选择一种语言，然后单击“确定”。

另请参阅登录和退出第 17 页自定义登录页面第 18 页

连接设备要启用应用程序和数据库监控、基于规则和风险的高级关联和合规性报告，请将物理和虚拟设备连接到 McAfeeESM。

目录将设备添加至 ESM 控制台选择显示类型管理自定义显示类型

将设备添加至 ESM 控制台设置并安装物理和虚拟设备之后，您必须将这些设备添加到 ESM 控制台。

开始之前设置与安装设备。

只有在多个 ESM 设备中安装复杂 ESM 时才需要执行这些步骤，已将设备添加到 ESM。如果是通过组合 ESM 进行简单 ESM 安装，则无需执行该任务。

任务1 在系统导航树上，单击“本地 ESM”或组。

2 在操作工具栏上，单击。

3 选择要添加的设备类型，然后单击“下一步”。

4 在“设备名称”字段，输入在该组中唯一的名称，然后单击“下一步”。

5 提供请求的信息：• 对于 McAfee ePO 设备 — 选择接收器，键入登录 Web 界面所需的凭据，然后单击“下一步”。要用于与数据库

通信，请键入相应设置。

选择“需要用户身份验证”，使得只有具有用户名和密码的用户才能访问设备。

• 对于所有其他设备 — 键入设备的目标 IP 地址或 URL。

6 选择是否在设备上使用 Network Time Protocol (NTP) 设置，然后单击“下一步”。

7 输入该设备的密码，然后单击“下一步”。

入门更改事件日志的语言 2


ESM 测试设备通信并报告连接的状态。

另请参阅选择显示类型第 22 页管理自定义显示类型第 22 页管理自定义显示类型中的组第 42 页

选择显示类型选择要在导航树中显示设备的方式。

开始之前要选择自定义显示，必先将它添加到系统中（请参阅“管理自定义显示类型”）。

任务1 在系统导航窗格上，单击显示类型字段中的下拉箭头。

2 选择一种显示类型。

导航树中设备组更改为反映针对当前工作会话所选的类型。

另请参阅将设备添加至 ESM 控制台第 21 页管理自定义显示类型第 22 页管理自定义显示类型中的组第 42 页

管理自定义显示类型您可以通过添加、编辑或删除自定义显示类型来定义系统导航树上设备的组织方式。


1 在系统导航窗格上，单击显示类型下拉箭头。

2 执行以下任一操作：


添加自定义显示类型 1 单击“添加显示”。

2 请填写字段，然后单击“确定”。

编辑自定义显示类型 1 单击要编辑的显示类型旁边的“编辑”图标。

2 更改设置，然后单击“确定”。

删除自定义显示类型单击要删除的显示类型旁边的“删除”图标。

另请参阅将设备添加至 ESM 控制台第 21 页选择显示类型第 22 页管理自定义显示类型中的组第 42 页

2 入门连接设备


设置控制台超时值只要有活动，ESM 控制台上的当前会话会一直保持打开状态。定义多久没有活动时关闭会话。


1 在系统导航树中选择 “系统属性” | “登录安全”。

2 在“UI 超时值”中选择没有活动的情况下必须通过的分钟数，然后单击“确定”。

如果选择 0，则控制台将始终保持开放状态。

入门设置控制台超时值 2


2 入门设置控制台超时值


3 配置 ESM

ESM 管理数据、设置、更新和配置。它可同时与多个设备通信。创建 ESM 环境时，请仔细考虑您组织的需求和合规性目标，以支持您组织的安全管理生命周期。

目录有关设备密钥组织设备配置设备配置辅助服务管理数据库使用用户和组备份和还原系统设置冗余 ESM 管理 ESM 使用全局黑名单数据扩充

有关设备密钥对于与设备通信的 ESM，必须使用在加密设备时创建的通信密钥加密所有通信。

建议将所有密钥导出到一个使用密码加密的备用文件中。然后，可以导入这些密钥，以便在遇到紧急情况时还原与设备的通信，或者将密钥导出到其他设备。

所有设置存储在 ESM 中，这意味着 ESM 控制台了解 ESM 上维护的密钥，并且如果 ESM 与设备成功通信，则不需要导入设备密钥。

例如，您可能在周一对设置（包含设备密钥）进行了备份，然后在周二对其中一个设备进行密钥更新。如果在周三您意识到需要还原周一的设置，您在设置还原完成之后导入周二创建的密钥。尽管恢复将设备密钥还原为周一的样子，但是设备仍将仅侦听使用周二密钥编码的流量。必须先导入此密钥，而后才能够与设备进行通信。

我们建议不要将设备密钥导入单独的 ESM。导出密钥用于将设备重新安装到设备的托管 ESM，以获取设备管理适当的角色。如果您将设备导入另一个 ESM，则多个设备功能不可用，包括策略管理、ELM 日志记录和管理以及数据来源和虚拟设备设置。设备管理员能够从其他 ESM 覆盖设备上的设置。我们建议您使用单个 ESM 管理附加到其中的设备。DESM 可以从附加到其他 ESM 的设备处理数据收集。

3


对设备进行密钥管理在将设备添加到 ESM 之后，必须对设备进行密钥管理以启用通信。对设备进行密钥管理可忽略除通信来源之外的一切，从而提高安全性。

开始之前如果在更改子级 IP 地址后锁定分布式 ESM，请确保端口 443 为开放状态，以重新与 ESM 建立连接。

设备名称中不得使用以下字符：! @ # $ % ^ & * ) ( ] [ } { : ; " ' > < > , / ? ` ~ + = \ |


1 在系统导航树中，选择设备，然后单击“属性”图标。

2 单击 “密钥管理” | “锁定设备”。

如果设备已建立连接，并能与 ESM 进行通信，则将打开“密钥设备向导”。

3 键入设备的新密码，然后单击“下一步”。

4 单击“导出密钥”，然后填写“导出密钥”页面，或者如果希望稍后导出密钥，则单击“完成”。


选项定义

“ 输入您的新密码 ” 为设备键入并确认新密码。

“ 下一步 ” 在键入并确认密码之后单击此选项。在设备成功密钥管理后，系统会通知您。

“导出密钥” 导出此密钥的副本。极力建议您启用此功能，因为当您必须重新添加此设备时将需要此功能。


选项定义

“锁定设备” 对设备进行密钥管理以便 ESM 能够与其进行通信，并确保更安全。

“导入密钥” 导入密钥将 ESM 还原到以前设置，或者在另一 ESM 或旧有控制台中使用该密钥。

“导出密钥” 导出密钥，将其保存在一个备用文件中以备将来使用。

“管理 SSH 密钥” 为此设备查看或删除 SSH 通信密钥。

另请参阅管理 SSH 密钥第 26 页

管理 SSH 密钥对于设备需要与其进行安全通信的系统，设备可使用 SSH 通信密钥。您可以通过删除密钥来停止与这些系统的通信。



2 单击“密钥管理”，然后单击“管理 SSH 密钥”。

“管理 SSH 密钥”页面会为 ESM 列出设备与其进行通信的 ID。

3 配置 ESM有关设备密钥


3 突出显示 ID 并单击“删除”可停止与其中一个列出的系统的通信。

4 确认删除并单击“确定”。


选项定义

“已授权密钥”表查看此设备对其有 SSH 通信密钥的计算机。如果已启用 SSH，此列表中的计算机将进行通信。

“已知主机” 对于设备，管理此设备已与其对话的任何具有 SSH 功能设备的密钥（例如，Receiver 到 SCP数据来源）。对于 ESM，查看 ESM 与其对话的系统树中所有设备的密钥。

“已知主机”表查看 IP 地址、设备名称和 known_hosts 文件中可用的主机数据填充的指纹 (root/.ssh/known_hosts)。

“设备的指纹” 查看此设备的指纹，它是由设备的公共 SSH 密钥生成。

“删除” 删除 ESM 中的选定项目。

“查看密钥” 查看选定项目的密钥。

另请参阅对设备进行密钥管理第 26 页

组织设备系统导航树列出了系统中的设备。您可以使用显示类型功能选择显示方式。

随着系统中设备的数量不断增加，有条理地对它们进行组织有助于您轻松查找到需要的设备。例如，如果您在不同地点设有多家办事处，那么好按照其所在的时区显示。

您可以使用三个预定义的显示，也可以设置自定义显示。您可以通过各个自定义显示添加组来进一步组织设备。

查看设备信息查看有关设备的一般信息。打开设备的“信息”页面可查看系统 ID、序列号、型号、版本、内部版本及更多信息。

配置 ESM组织设备 3




2 查看可用信息，然后单击“确定”。


选项定义

“计算机 ID” 设备标识号。为重新激活您的系统，McAfee 支持会要求您提供该编号，以便为您发送正确的文件。

“ 序列号” 设备序列号。

“ 型号” 设备型号。

“版本” 设备中当前运行的软件版本

“内部版本” 软件版本的内部版本号

“时钟 (GMT)” 设备上次打开或刷新的日期和时间

“同步设备时钟” 将此设备上的时钟与 ESM 上的时钟同步。

“区域” 设备已被分配的区域（如果已分配）。如果单击“区域”，系统将打开“区域策略管理器”（请参阅“添加区域”）。

“策略” 此设备中策略的当前状态。如果单击“策略”，“策略编辑器”会打开（请参阅“策略编辑器”）。

“状态” 设备中进程的状态以及运行 FIPS 自检后的 FIPS 状态（如果您的设备正在 FIPS 模式下运行）。

“开始” 启动设备。如果设备处于开启状态，则不会执行任何操作。

“停止” 停止设备。系统会警告您所有数据连接将停止。

“重新启动” 重新启动设备。系统会警告您在系统重新启动期间，数据连接将停止。

“刷新” 刷新页面中的信息


选项定义

“设备 ID” 分配给设备的标识号。此号码无法更改。

“名称” 当您将设备添加到系统时为其指定的名称。

“系统名称” 在 LCD 或 SSH 上显示的名称。该名称必须以字母字符开头，并且仅能包含字母数字字符和短划线。

“URL” 可供查看事件或流详细信息的地址。多不超过 512 个字符。如果 URL 地址包含第三方应用程序的地址，并且您需要附加代表事件或流中数据显示的变量，请单击变量图标并选择变量。

若要访问 URL，请单击事件或流视图表格组件底部的“启动设备 URL”图标。这会将您带至第三方应用程序，通过 URL 传递关联的事件或流数据。

“说明” 设备的说明。

3 配置 ESM组织设备


任务• 添加 URL 链接第 29 页

若要查看 URL 中的设备信息，您可以在“名称和描述”页面中为每一设备设置链接。添加之后，可以通过单

击位于视图组件底部的“启动设备 URL”图标在“事件分析”和“流分析”视图中访问每一设备的链接。• 查看设备统计信息第 29 页

查看设备特定 CPU、内存、队列以及设备的其他详细信息。• 查看消息日志和设备统计信息第 30 页

您可以查看系统生成的消息、查看有关设备性能的统计信息或者下载包含设备状态信息的 .tgz 文件。• 更改设备名称第 31 页

当将设备添加到系统树中时，您为其指定名称，该名称会显示在系统树中。该名称、系统名称、URL 和描述均可进行更改。

另请参阅添加 URL 链接第 29 页查看设备统计信息第 29 页查看消息日志和设备统计信息第 30 页更改设备名称第 31 页

添加 URL 链接若要查看 URL 中的设备信息，您可以在“名称和描述”页面中为每一设备设置链接。添加之后，可以通过单击位于视图

组件底部的“启动设备 URL”图标在“事件分析”和“流分析”视图中访问每一设备的链接。



2 单击“名称和描述”，然后键入 URL。

3 单击“确定”以保存更改。

另请参阅查看设备信息第 27 页查看设备统计信息第 29 页查看消息日志和设备统计信息第 30 页更改设备名称第 31 页

查看设备统计信息查看设备特定 CPU、内存、队列以及设备的其他详细信息。

开始之前验证您是否具备设备管理权限。


1 在系统导航树中，选择相关设备，然后单击“属性”图标。

2 单击设备“管理”，然后单击“查看统计信息”。



会出现一个显示设备统计信息的图形，该图形每 10 分钟刷新一次。显示数据需要至少 30 分钟的数据。每种度量类型都包含多种度量，其中某些是默认启用的。单击“已显示”，启用度量。第四列表示相应度量的刻度。


选项定义

“日期范围” 选择您要查看统计信息的时间。

“度量” 选择您要查看的度量类型。

“刷新” 单击该选项，使用您选择的度量的统计信息填充图形和表。

图形查看图表中所选的统计信息。

表查看表格中所选的统计信息。

“组”列列出度量组的类型。

“度量”列列出度量，即度量组的子类别。

“显示方式”列表示图形中当前显示的度量。您可以选择或取消选择度量，图形中会反映出这些更改。

“刻度”列表示相应度量的刻度。

“颜色”列表示图形上代表各个度量的行的颜色。

另请参阅添加 URL 链接第 29 页查看设备信息第 27 页查看消息日志和设备统计信息第 30 页更改设备名称第 31 页设备统计信息的性能监控选项卡第 30 页

设备统计信息的性能监控选项卡查看所选 ESM 或设备的各种统计信息。


选项定义

“日期范围” 选择您要查看统计信息的时间。

“度量” 选择您要查看的度量类型。

“刷新” 单击该选项，使用您选择的度量的统计信息填充图形和表。

图形查看图表中所选的统计信息。

表查看表格中所选的统计信息。

“组”列列出度量组的类型。

“度量”列列出度量，即度量组的子类别。

“显示方式”列表示图形中当前显示的度量。您可以选择或取消选择度量，图形中会反映出这些更改。

“刻度”列表示相应度量的刻度。

“颜色”列表示图形上代表各个度量的行的颜色。

另请参阅查看设备统计信息第 29 页

查看消息日志和设备统计信息您可以查看系统生成的消息、查看有关设备性能的统计信息或者下载包含设备状态信息的 .tgz 文件。





2 单击设备的“管理”，然后选择以下其中一个选项：

选项说明

“查看日志” 单击可查看由系统记录的消息。单击“下载整个文件”可将数据下载到文件。

“查看统计信息” 单击该选项可查看有关设备性能的统计信息，例如以太网接口、ifconfig 和 iptables 过滤器。

“设备数据” 单击该选项，以下载包含有关设备状态数据的 .tgz 文件。当您使用 McAfee 支持来解决系统中的问题时，可以使用此选项。

另请参阅添加 URL 链接第 29 页查看设备统计信息第 29 页查看设备信息第 27 页更改设备名称第 31 页

更改设备名称当将设备添加到系统树中时，您为其指定名称，该名称会显示在系统树中。该名称、系统名称、URL 和描述均可进行更改。



2 单击“名称和描述”，然后更改名称、系统名称、URL 和描述，或者查看“设备 ID”编号。


另请参阅添加 URL 链接第 29 页查看设备统计信息第 29 页查看消息日志和设备统计信息第 30 页查看设备信息第 27 页

刷新设备您可以手动更新系统中的设备，这样可确保其信息与 ESM 中的信息相匹配。

• 在操作工具栏中，单击“刷新设备”图标。

查看设备摘要报告设备摘要报告会显示 ESM 上设备的类型和数目，以及各个设备后一次接收事件。可将这些设备以逗号分隔值 (CSV)的格式导出。




1 在系统导航树上，选择“系统属性”，然后单击“系统信息” | “查看报告”。

2 请查看或导出“设备类型数”或“事件时间”报告。



选项定义

“ 设备类型数 ” 查看设备类型列表，以及 ESM 上各个类型设备的设备数。

“ 事件时间 ” 查看 ESM 上每台设备上一次检索事件的时间。

“导出到 CSV” 将包含此信息的 CSV 格式的报告导出到指定位置中。

查看系统或设备日志系统和设备日志显示设备上发生的事件。您可以查看摘要页面，该页面会显示 ESM 或设备上的事件计数和首末次事件时间，或查看“系统日志”或“设备日志”页面上的事件详细列表。


1 查看事件数据的摘要：• 系统数据 — 在“系统属性”上，单击“系统日志”。

• 设备数据 — 在设备的“属性”页面上，单击“设备日志”。

2 若要查看事件的日志，请输入事件范围，然后单击“查看”。

“系统日志”或“设备日志”页面会列出您指定的时间范围内生成的所有事件。


选项定义

“ 开始时间”、“停止时间” 更改事件列表的时间范围，然后单击“ 刷新 ”。

“导出” 单击该选项，从而将部分或全部日志导出为纯文本文件。一次多可以导出 50,000条记录。

第一（状态）列中的过滤器图标

若要查看全部、仅状态相关的或仅非状态相关的日志事件，则选择该选项。状态相关的日志事件在单个设备上生成，会在从设备中提取事件、流和日志时被检索。

“类别”、“名称”和“设备名称”列中的过滤器图标。

单击该选项，从而根据其类别、用户名或设备过滤事件。


选项定义

“事件计数” 设备中记录的事件总数。

“第一个事件” 第一个日志事件发生的日期和时间。

“ 后一个事件” 后一个日志事件发生的日期和时间。

“开始时间”、“停止时间” 如果您要查看特定时间范围内的事件，则在这些字段中输入开始和停止时间。

“查看” 单击此选项可查看指定时间范围内的事件。



管理多个设备“多设备管理”选项使您可以同时启动、停止、重启或更新多个设备上的软件。


1 在系统导航树上，选择要管理的设备。

2 单击操作工具栏上的“多设备管理”图标。

3 选择要执行的操作以及要对哪些设备执行操作，然后单击“开始”。


选项定义

“操作” 选择要执行的操作。• “启动” — 启动选择的设备。

• “停止” — 停止选择的设备。

• “重新启动” — 停止并重启选择的设备。

• “更新” — 使用您在“选择软件更新文件”页面中选择的软件更新所选设备。

“设备名称” 查看可以管理的设备列表。

“包括”列选择设备。

“全选” 单击该选项选择所有设备。

“全都不选” 单击该选项取消选择所有设备。

“启动” 单击开始操作。

“状态”列查看各个设备的操作状态。

“关闭” 单击该选项关闭“多设备管理”页面。该操作将会继续，直到完成。

管理所有设备的 URL 链接您可以为每个设备设置一个链接来查看 URL 中的设备信息。

开始之前为设备设置 URL 站点。


1 在系统导航树中，选择“系统属性”，然后单击“自定义设置” | “设备链接”。

2 若要添加或编辑 URL，请突出显示设备，单击“编辑”，然后输入 URL。

URL 字段具有 512 个字符的限制。


您可以通过单击每个设备“事件分析”和“流分析”视图底部的“启动设备 URL”图标来访问 URL。




选项定义

“ 设备名称 ”列列出 ESM 上的所有设备。

“ URL ”列显示针对每台设备设置的 URL 地址。

“编辑” 打开“编辑 URL”页面，从中可输入 URL 地址。

“删除 URL” 删除所选设备的 URL。


选项定义

“ URL ” 为此设备的 URL 站点输入地址。

“ 变量 ”图标如果输入的 URL 地址包括第三方应用程序地址，且需要在 URL 地址中附加变量来表示事件和流中的数据，请在必须插入变量的 URL 地址相应位置单击，然后单击变量图标并选择变量。

在设备上设置网络流量控制定义接收器、ACE、ELM、ADM 和 DEM 设备的大数据输出值。当您的带宽存在限制且必须控制上述每个设备可以发送的数据量时，此功能很有帮助。选项包括 Kbps、Mbps 和Gbps。

配置此功能时请小心谨慎，因为限制流量可能导致数据丢失。



2 单击设备的“配置”选项，单击“接口”，然后单击“流量”选项卡。

表将列出现有的控制。

3 要为设备添加控制，请单击“添加”，输入网络地址和掩码，设置速率，然后单击“确定”。

如果将掩码设置为零 (0)，则将控制所有发送的数据。

4 单击“应用”。

您指定的网络地址的出站流量速度会被控制。


选项定义

“网络”列根据您的定义，显示系统控制出站流量所在网络的地址。

“掩码”列显示网络地址的掩码。

“ 大吞吐量”列显示您对每个网络定义的大吞吐量。

“添加”、“编辑”、“删除” 管理您要控制的网络地址。


选项定义

“网络” 键入您要从中控制出站流量的网络地址。

“掩码” 选择网络地址的掩码。针对所有地址选择 0。

“速率” 选择千字节 (Kb)、兆字节 (Mb) 或千兆字节 (Gb)，然后选择发送流量每秒的速率。



另请参阅

添加吞吐量速率页面第 161 页

配置 SNMP 通知若要配置设备生成的 SNMP 通知，您必须定义发送哪些陷阱及其目标。

如果您正在 HA 接收器上设置 SNMP，则主要接收器的陷阱会通过共享的 IP 地址传播出去。因此，您设置侦听程序时，需要为共享的 IP 地址设置一个。



2 单击“配置” | “SNMP”。

3 定义设置，然后单击“确定”。

将设备与 ESM 进行同步如果您必须替换 ESM，则导入每个设备的密钥以存储设置。如果您没有当前的数据库备份，则还必须将数据来源、虚拟设备以及数据库服务器设置与 ESM 进行同步，这样便能恢复提取事件。



2 单击 “配置” | “同步设备”。

3 同步完成时，单击“确定”。

设置与 ELM 的通信如果您从此设备将数据发送到 ELM，“ELM IP”和“同步 ELM”将显示在设备的“配置”页面，从而可允许您更新 IP 地址并将 ELM 与设备同步。



2 单击“配置”，然后执行以下其中一项操作：

单击…… 以执行以下操作...

“ELM IP ” 为此设备链接到的 ELM 更新 IP 地址。如果您更改 ELM 的 IP 地址，或者如果更改此设备通过其与ELM 进行通信的 ELM 管理接口，则必须执行此操作。

“同步 ELM” 如果其中一个设备被替换，则同步 ELM 和设备。当您使用此功能时，系统将重新建立两个设备之间的 SSH 通信，并对具有以前设置的新设备使用密钥。



设置默认日志记录池如果您的系统中有 ELM 设备，则可以设置一个设备，这样其接收的事件数据会被发送到 ELM 设备。若要执行此操作，必须配置默认 ELM 记录池。

在设备的累积时间段到期之前，设备不会将事件发送到 ELM。



2 单击“配置 ” | “日志记录”。

3 在打开的页面中进行适当选择。

当启用此设备到 ELM 的数据日志记录时，您会收到通知。


选项定义

“日志配置”页面选择“日志记录”可启用该选项。

“日志记录”链接单击该选项可访问“ELM 日志记录选项”页面。

“ELM 日志记录选项”页面选择在 ELM 上要将数据记录在其中的存储池。

“设备 - ELM 关联”页面如果您还未选择要将数据记录在其中的 ELM，则确认您想要执行此操作。在进行此关联之后，则无法更改。

“选择要进行记录的 ELM”页面如果您的系统中有多个 ELM，则选择要将数据记录在其中的 ELM。

“选择 ELM IP 地址”页面选择您想要设备与 ELM 进行通信的 IP 地址。

“无 ELM 池”页面如果您在 ELM 中没有任何存储池，则转到“ELM 属性” | “存储池” 来添加它们。

另请参阅接收器数据来源第 53 页

授予访问您系统的权限当您拨打 McAfee 的电话支持时，您可能需要授予访问权限，这样技术支持工程师才能查看您的系统。



2 单击设备“管理” | “连接”。

该按钮变为“断开连接”，并且系统将提供您的 IP 地址。

3 向技术支持工程师提供 IP 地址。

您可能还需要提供其他信息，例如密码。

4 单击“断开连接”可结束连接。

监视流量要监控流经 DEM 或 ADM 设备的流量，请使用“TCP 转储”下载设备上正在运行的 Linux 程序的实例。





2 单击设备“管理”。

3 在页面的“TCP 转储”部分，执行以上步骤可下载实例。


选项定义

“命令行参数” 键入要传递至 TCP 转储命令的参数。例如，若要查看设备上第一个网络接口的所有流量，您可能会输入 -nni eth0

“开始” 单击此选项可在设备上启动转储

“停止” 当所需流量已通过设备时单击此选项。

“导出” 单击此选项可将结果导出到文件。

开启、停止、重新启动或刷新设备在“信息”页面中开启、停止、重新启动或刷新设备。



2 确认选中设备“信息”，然后单击“启动”、“停止”、“重新启动”或“刷新”。

更改与 ESM 的连接在将设备添加到 ESM 时，需设置该设备与 ESM 的连接。您可以更改 IP 地址和端口，禁用 SSH 通信并检查连接状态。

开始之前如果在更改子级 IP 地址后锁定分布式 ESM，请确保端口 443 为开放状态，以重新与 ESM 建立连接。

更改这些设置将不会影响设备本身，仅会影响 ESM 与设备之间的通信方式。





2 单击“连接”，然后进行更改。



选项定义

“目标 IP 地址/名称” 键入 ESM 用来与设备进行通信的 IP 地址或主机名。

“目标端口” 选择用来尝试通信的端口（默认端口为 22）。

“设备 ID” 查看设备的标识号。

“将此设备标记为已禁用” 选择此选项可停止 SSH 到 ESM 的通信。系统导航树中此设备的图标将指示其被禁用。

“状态” （可选）单击此选项可检查连接。


选项定义

“关联的接收器” 选择与设备相关联的接收器。您可以选择该链接来打开“属性”页面。

“数据库登录参数” 更改数据库登录参数以便提取文件。

“网站 UI 凭据” 更改设置以访问网络用户界面。

“需要用户身份验证” 若需要所有用户在访问设备之前使用用户名和密码进行身份验证，请选择此选项。

“连接” 单击任意一项以测试与数据库或网络之间的连接。

虚拟设备您可以向某些 ADM 设备型号添加虚拟设备，以监控流量、比较流量模式以及用于报告。

用途和好处

虚拟设备的用途有以下几种：• 针对规则集来比较流量模式。例如，您可以设置一个只关注 Web 流量端口的虚拟设备，然后设置一个用于启用或

禁用不同规则的策略。

• 报告。虚拟设备的这种用途就像设置了一个自动过滤器。

• 同时监控多个流量路径。通过使用虚拟设备，您可以为每个流量路径指定单独的策略，还可以按照不同的策略对不同的流量进行排序。

每个型号的大设备数

可以向 ADM 添加的虚拟设备数取决于具体的型号：



大设备数型号

2 APM-1225APM-1250

4 APM-2230APM-3450

0 APM-VM

选择规则的用途

选择规则会被用作过滤器，以决定虚拟设备处理的数据包。

数据包若要与选择规则相匹配，它必须与该规则定义的所有过滤器条件均匹配。如果数据包的信息与单个选择规则的所有过滤条件均匹配，则包含匹配选择规则的虚拟设备会处理该数据包。否则将其按顺序传递至下一个虚拟设备。默认情况下，如果没有任何选择规则与任意虚拟设备匹配，ADM 本身会处理该数据包。

针对 IPv4 虚拟设备的注意事项：

• 单个连接的所有数据包只会按照该连接中的第一个数据包进行分类。如果连接中的第一个数据包与列表中第三个虚拟设备的选择规则相匹配，则该连接中的所有后续数据包都将转到第三个虚拟设备。即使数据包与列表中位置更高的虚拟设备匹配，仍执行该操作。

• 无效的数据包（未建立连接或不是已建立连接一部分的数据包）将按照基础设备进行分类。例如，您有一个虚拟设备，该设备负责关注来源端口或目标端口为 80 的数据包。收到端口为 80 的无效数据包时，该数据包将排序到基础设备，而不是关注端口 80 流量的虚拟设备。因此，您可以查看基础设备中的事件，就像这些事件应该转到虚拟设备一样。

选择规则的排列顺序非常重要，因为数据包第一次与规则匹配后，该数据包会被自动排到相应的虚拟设备进行处理。例如，您添加四个选择规则，排在第四的规则是常触发的过滤器。这意味着，在到达常触发的选择规则之前，每个数据包必须跳过此虚拟设备的其他过滤器。若要提高处理效率，请将常触发的过滤器排在第一，而不是后的位置。

虚拟设备的顺序

进入到 ADM 设备的数据包将按照虚拟设备的设置顺序与每个虚拟设备的选择规则进行比较。因此检查虚拟设备时遵循的顺序很重要。只有在数据包与第一个设备上的所有选择规则都不匹配的情况下，该数据包才会尝试与第二个虚拟设备的选择规则进行匹配。

要更改 ADM 设备上的顺序，请转至“编辑虚拟设备”页面（“ADM 属性” | “虚拟设备” | “编辑”）并使用箭头将其调整为正确顺序。

ADM 虚拟设备

ADM 虚拟设备可以监控接口中的流量。您的系统中多可以有四个 ADM 接口过滤器。每个过滤器一次只能应用于一个 ADM 虚拟设备。如果将某个过滤器指定给了 ADM 虚拟设备，它不会显示在可用过滤器的列表中，除非将其从该设备中删除。

无效的数据包（未建立连接或不是已建立连接一部分的数据包）将按照基础设备进行分类。例如，如果 ADM 虚拟设备查找端口为 80 的数据包，而通过端口 80 的数据包无效，则会将其排序到基础设备。因此，您可以查看基础设备中的事件，就像这些事件应该转到 ADM 虚拟设备一样。

另请参阅添加虚拟设备第 40 页管理选择规则第 40 页



管理选择规则选择规则被用作过滤器，以确定虚拟设备将处理哪些数据包。您可以添加、编辑和删除选择规则。

规则列出的顺序非常重要，因为数据包第一次与规则匹配后，该数据包会被路由到该虚拟设备进行处理。


1 选择 ADM 设备，然后单击“属性”图标。

2 单击“虚拟设备”，然后单击“添加”。

将打开“添加虚拟设备”窗口。

3 添加、编辑、删除或更改表中选择规则的顺序。


选项定义

ADM “添加选择规则”页面选择接口过滤器之一，然后单击“确定”。

多可能有四个 ADM 接口过滤器。每个过滤器一次只能应用于一个 ADM 虚拟设备。

另请参阅虚拟设备第 38 页

添加虚拟设备您可以向某些 ADM 设备添加虚拟设备，从而设置用于确定每个设备将处理哪些数据包的选择规则。

开始之前请确保可以向您选定的设备添加虚拟设备（参阅“关于虚拟设备”）。


1 在系统导航树中，选择 ADM 设备，然后单击“属性”图标。

2 单击“虚拟设备” | “添加”。



3 输入所需的信息，然后单击“确定”。

4 单击“写入”以将设置添加到设备。


选项定义

“虚拟设备”表列出 ADM 中当前的虚拟设备。

“日志记录” 激活或取消激活所有虚拟设备上的日志记录。

“设置存储池...”图标打开“ELM 日志记录选项”页面，这样您便可以将存储池添加到选定虚拟设备。

“添加” 打开“添加虚拟设备”页面。

“编辑” 打开“编辑虚拟设备” 页面，其中您可以更改选定虚拟设备的设置。

“删除” 从表中删除所选的设备。

“上移”和“下移”箭头在系统中的设备列表中上移或下移选定虚拟设备。其顺序非常重要，因为数据包将从列表中的第一个虚拟设备开始处理，并从该处向下开始工作。

“写入” 将虚拟设备中的任何更改写入 ADM。


选项定义

“名称” 键入虚拟设备的名称。

“URL” 如果您已设置了一个虚拟设备，输入可以从其中查看此虚拟设备信息的 URL 地址。如果需要将变量添加到地址，请单击“变量”图标。

“已启用” 如果您想要启用设备，则选择此选项。

“存储池” 如果您的系统中有 ELM，并且您想要此设备接收的数据记录在 ELM 中，则单击此链接，然后选择存储池。

“区域” 如果在您系统中定义了区域（请参阅“区域管理”），选择必须将此虚拟设备分配到的区域。

“说明” 添加有关设备的注释或重于信息。

“添加” 单击此选项可将选择规则添加到设备，这决定了它所处理的数据包。

“编辑” 单击此选项可更改“选择规则”中的设置。

“删除” 单击此选项可删除选定规则。

“上移”和“下移”箭头可更改规则的名称。

另请参阅虚拟设备第 38 页

管理自定义显示类型您可以通过添加、编辑或删除自定义显示类型来定义系统导航树上设备的组织方式。


1 在系统导航窗格上，单击显示类型下拉箭头。





添加自定义显示类型 1 单击“添加显示”。

2 请填写字段，然后单击“确定”。

编辑自定义显示类型 1 单击要编辑的显示类型旁边的“编辑”图标。


删除自定义显示类型单击要删除的显示类型旁边的“删除”图标。

另请参阅将设备添加至 ESM 控制台第 21 页选择显示类型第 22 页管理自定义显示类型中的组第 42 页

管理自定义显示类型中的组您可以在自定义显示类型中使用组将您的设备整理到逻辑分组中。

开始之前添加自定义显示类型（请参阅“管理自定义显示类型”）。


1 在系统导航窗格上，单击显示类型下拉列表。

2 选择自定义显示，然后执行以下操作之一：


添加新组 1 单击系统或组节点，然后单击操作工具栏上的“添加组”图标。

2 填写字段，然后单击“确定”。

3 拖放显示上的设备，将其添加到组。

如果设备属于显示上的树，则会创建设备节点副本。然后，您可以删除系统树上的副本。

编辑组选择组，单击“属性”图标，然后在“组属性”页面上进行更改。

删除组选择组件，然后单击“删除组”图标。组及其包含的设备会从自定义显示中删除。设备未从系统中删除。

另请参阅将设备添加至 ESM 控制台第 21 页选择显示类型第 22 页管理自定义显示类型第 22 页

删除组或设备当某一设备不再属于系统的一部分或者您不再使用某一组时，可将其从系统导航树中删除。




1 在系统导航树上，突出显示要删除的设备或组，然后单击操作工具栏中的“删除”图标。

2 出现确认提示时，请单击“确定”。

在系统导航树中删除重复的设备当您将设备从系统树中拖放到某一组，或者在设置组后升级 ESM 软件时，重复的设备节点会显示在系统导航树中。我们建议您删除它们以避免混淆。


1 在系统导航窗格上，单击显示类型下拉列表。

2 选择包含重复设备的显示类型旁边的“编辑”图标。

3 取消选择重复的设备，然后单击“确定”。

重复的设备现在便仅会列在其分配的组中。

配置设备要启用实时取证、应用程序和数据库监控、基于规则和风险的高级关联和合规性报告，请将物理和虚拟设备连接到McAfee ESM。


选项定义

“ACL 设置” 设置访问控制设置，以限制对设备的访问。

“高级 DEM 设置” 定义 DEM 日志的设置。

“应用” 单击以将所有配置设置写入 DEM。

“压缩” 设置要应用到传入 ELM 的所有数据的压缩级别。

“数据” 选择要从 ESM 发送到设备的数据类型。

“数据存档” 设置接收器，将原始数据的备份转发到进行长期存储的存储设备中。

“ELM IP” 如果您已选择将数据从此设备发送到 ELM，则可以对此设备链接到的 ELM 更新 IP 地址。

“流” 启用或禁用流数据的日志记录。

“ 接口” 为设备与 ESM 通信设置网络接口。

“许可证” 查看和更新 DEM 许可信息。

“日志记录” 如果您的系统中有 ELM 设备，并且如果您想要接收的数据发送至 ELM，则为设备设置默认日志记录池。

“迁移数据库” 在 ELM 设备中，设置一个备用位置以存储其生成的记录。

“网络时间协议 (NTP)设置”

将设备时间与 NTP 服务器同步。

“密码” 如果您查看其会话数据的事件的规则具有密码相关的设置，则选择是否要将与事件相关的密码显示在“会话查看器”中。

配置 ESM配置设备 3



选项定义

“还原配置” 还原 ESM 备份过程中保存的该设备的配置文件。此备份包含 SSH、网络、SNMP 和其他 .conf 文件。

“SNMP 陷阱” 配置设备生成的 SNMP 陷阱。

“同步设备” 将设备数据来源或虚拟设备设置与 ESM 上的设备数据来源或虚拟设置同步。如果您正在同步接收器，则接收器上的从属设备也会被作为设备添加至 McAfee ESM。

“同步 ELM” 如果您已选择将数据从此设备发送到 ELM，则将 ELM 与设备进行同步。

“同步文件” 单击此选项以同步所有 DEM 配置文件。

“时区” 将 ADM 设置为您的时区。

目录 Event Receiver 设置 Enterprise Log Search (ELS) 设置 Enterprise Log Manager (ELM) 设置 Advanced Correlation Engine (ACE) 设置 Application Data Monitor (ADM) 设置 (DEM) 设置分布式 ESM (DESM) 设置 ePolicy Orchestrator 设置 McAfee Vulnerability Manager 设置 McAfee Network Security Manager 设置

Event Receiver 设置“Event Receiver”可从多个供应商来源中收集安全事件和网络流数据，包括防火墙、虚拟专用网 (VPN)、路由器、NetFlow、sFlow 等。

使用“Event Receiver”可收集此类数据并规范化到一个便于管理的解决方案。这针对来自多个供应商（例如 Cisco、Check Point 和 Juniper）的不同设备为您提供了单一视图，并且允许收集事件和流数据。

高可用性的接收器（接收器 HA）可用于主要和次要模式，互相作为备份。次要接收器 (B) 可持续监控主要接收器(A)，并且系统会向这两种设备发送新的配置或策略信息。接收器 B 确定接收器 A 出现故障时，则断开接收器 A 的数据来源 NIC 的网络连接，并作为新的主接收器接管。在您手动干预将接收器 A 还原到主接收器前，接收器 B 将一直作为主接收器。

另请参阅查看流事件第 44 页高可用性接收器第 45 页存档接收器原始数据第 51 页

查看流事件“流查看器”会在您选择的 McAfee ePO、McAfee

®

Network Security Manager、接收器、数据来源、子数据来源或客户端生成事件时显示这些事件列表。您可以过滤该列表并选择要在视图中显示的事件。


1 在系统导航树中，选择需要查看的设备，然后单击操作工具栏中的“查看流事件”图标。

2 单击“开始”可开始流，单击“停止”则停止流。

3 配置 ESM配置设备


3 在查看器中选择任何一个可用的操作。

4 单击“关闭”。


选项定义

“开始” 开始流。

“停止” 停止流。

表在事件进入设备时查看事件。

“数据包”部分查看所选事件的详细信息。

“过滤器”图标若要在生成事件时过滤事件，请单击并输入您想要过滤的信息。只有那些与过滤器相匹配的事件才会显示。

“列”图标更改流表中显示的列。

“全部清除”图标清除事件的当前列表。

“启动视图”图标查看视图中的选定事件。若要查看事件，请关闭查看器。事件将会显示在控制台的视图部分。

另请参阅 Event Receiver 设置第 44 页

高可用性接收器高可用性接收器在主要和次要模式下使用，这样在主要接收器出现故障时次要接收器可迅速取代其功能。这样可提供数据收集的连续性，比单一接收器所提供的功能要好得多。

高可用性接收器功能与 FIPS 不兼容。如果您需要遵守 FIPS 规则，请勿使用此功能。

该设置包括两个接收器，一个作为主要或首选主要接收器，另一个作为次要接收器。次要接收器可连续监控主要接收器。当次要接收器确定主要接收器出现故障时，它将停止主要接收器并行使其功能。

主要接收器修复之后，会成为次要接收器或再次成为主要接收器。这取决于“HA 接收器”选项卡上“首选主要设备”字段中选择的选项（请参阅“设置接收器 HA 设备”）。

可购买以下具有高可用性功能的接收器型号：

• ERC-1225-HA • ERC-1250-HA

• ERC-2230-HA • ERC-1260-HA

• ERC-2250-HA • ERC-2600-HA

• ERC-4245-HA • ERC-4600-HA

• ERC-4500-HA

这些型号包括智能平台管理界面 (IPMI) 端口以及至少 4 个 NIC，这对于 HA 功能是必需的（请参阅“接收器 HA 上的网络端口”）。

IPMI 卡可通过关闭出现故障的接收器排除两个 DS NIC 同时使用共享 IP 和 MAC 的可能性。IPMI 卡使用交叉或直通电缆连接到另一接收器。接收器使用交叉或直通电缆在检测信号 NIC 上连接。有一个管理 NIC 负责与 ESM 通信，数据来源 NIC 收集数据。

当主要接收器正常运行且次要接收器处于辅助模式下时，将出现以下情况：

• 接收器不断通过专用检测信号 NIC 和管理 NIC 进行通信。

• 任何接收到的证书（例如 OPSEC 或 Estreamer）都将传递给对中的另一接收器。



• 所有数据来源使用数据来源 NIC。

• 每个接收器可监控并报告自己的健康状况。这包括内部健康项目，例如磁盘错误、数据库冻结和 NIC 中丢失的链接。

• ESM 可与接收器定期通信以确定其状态和健康状况。

• 任何新的配置信息都会发送给主要和次要接收器。

• ESM 会将策略同时发送给主要和次要接收器。

• 停止/重新启动/呼叫主页可单独应用于每个接收器。

以下部分介绍了在接收器 HA 遇到问题时会出现什么情况。

主要接收器故障测定主要接收器故障是次要接收器的责任所在。它必须快速确定该故障并准确地将数据丢失降到低。在故障转移时，自主要接收器上次发送数据到 ESM 之后的所有数据都会丢失。数据丢失的数量取决于接收器的吞吐量以及 ESM 从接收器提取数据的比率。这些计算过程必须保持精确平衡才能优化数据可用性。

当主要接收器完全失败（断电、CPU 故障）时，与主要接收器间的检测信号通信便不会存在。Corosync 识别通信的丢失并将主要接收器标记为失败。次要接收器中的 Pacemaker 要求主要接收器中的 IPMI 卡关闭主要接收器。然后次要接收器承担共享的 IP 和 MAC 地址，并启动所有收集器。

次要接收器故障当次要接收器对检测信号通信不再响应时，便出现了次要接收器故障过程。这意味着系统在使用管理和检测信号接口尝试执行此操作一段时间之后已无法与次要接收器进行通信。

如果主要接收器无法获取检测信号和完整性信号，corosync 会将次要接收器标记为故障，并且 pacemaker 使用次要接收器的 IPMI 卡将其关闭。

主要接收器健康问题主要接收器的健康状况将严重受损。严重受损的健康状况将包含无法响应的数据库、无法响应的数据来源接口以及过多的磁盘错误。

当主要接收器注意到以上这些状况下的健康问题时，它会终止 corosync 和 pacemaker 进程并设置健康状况警报。终止这些进程会导致数据收集任务转移到次要接收器中。

次要接收器健康问题当次要接收器的健康状况严重受损时，将出现以下情况：

• 次要接收器在收到查询时会向 ESM 报告健康问题，并终止 corosync 和 pacemaker 进程。

• 如果次要接收器仍然属于群集的一部分，则会将自身从群集删除并在主要接收器出现故障时不可用。

• 系统会对健康问题进行分析并尝试修复。

• 如果健康问题得到解决，接收器将使用“返回服务”程序返回到正常操作。

• 如果健康问题没有得到解决，系统将启动“替换失败的接收器”过程。

返回至服务当接收器在故障（例如在发生电源故障、硬件修复或网络修复之后重新启动）之后继续服务时，将出现以下情况：

• 处于高可用性模式下的接收器在启动时没有开始收集数据。他们将处于次要模式中，除非将其设置为主要接收器。

• 首选的主要设备承担主要接收器的角色，并开始使用共享的数据源 IP 收集数据。如果没有首选的主要设备，则当前的主要设备开始使用共享的数据源并收集数据。



有关此过程的详细信息，请参阅“替换失败的接收器”。

升级接收器 HA

接收器 HA 升级过程可按顺序升级这两个接收器，从次要接收器开始。升级操作如下：

1 升级 tarball 文件被上载至 ESM，并应用到次要接收器。

2 您使用“切换接收器 HA 角色”过程切换主要和次要接收器的角色，这样已升级的接收器现在便成为主要接收器，而另一尚未升级的接收器成为次要接收器。

3 升级 tarball 文件被应用到新的次要接收器。

4 您使用“切换接收器 HA 角色”过程再次切换主要和次要接收器的角色，这样初始接收器角色便会再次恢复。

进行升级时，好不要设置首选的主要接收器。参阅

如果您的接收器 HA 设置有首选的主要接收器，则好在升级前更改该设置。在“HA 接收器”选项卡上（参阅“设置接收器 HA 设备”），选择“首选的主要设备”字段中的“无”。这样您可以使用“故障转移”选项；而如果设置首选的主要接收器，则无法使用该选项。两个接收器均完成升级后，您可以再应用首选的主要接收器设置。

另请参阅 Event Receiver 设置第 44 页设置接收器高可用性设备第 47 页重新初始化次要设备第 48 页通过 IPv6 设置接收器 HA 第 48 页重置 HA 设备第 49 页切换接收器 HA 角色第 50 页替换失败的接收器第 50 页对失败的接收器进行故障排除第 51 页

设置接收器高可用性设备定义接收器高可用性设备的设置。

开始之前添加用作主要设备的接收器（请参阅“将设备添加到 ESM 控制台”）。必须有三个或更多的 NIC。

高可用性接收器功能与 FIPS 不兼容。如果您需要遵守 FIPS 规则，请勿使用此功能。


1 在系统导航树中，选择要作为主要 HA 设备的接收器，然后单击“属性”图标。

2 单击“接收器配置”，然后单击“接口”。

3 单击“HA 接收器”选项卡，然后选择“设置高可用性”。

4 填写所需信息，然后单击“确定”。

这将启动以下过程：密钥保护次要接收器、更新数据库、应用 globals.conf 和同步这两个接收器。



另请参阅高可用性接收器第 45 页重新初始化次要设备第 48 页通过 IPv6 设置接收器 HA 第 48 页重置 HA 设备第 49 页切换接收器 HA 角色第 50 页替换失败的接收器第 50 页对失败的接收器进行故障排除第 51 页

重新初始化次要设备如果由于任何原因次要接收器停止服务，则在重新安装该接收器之后对其进行重新初始化。


1 在系统导航树中，选择主要接收器的“接收器属性”，然后单击“接收器配置” | “接口” | “HA 接收器”。

2 验证“次要管理 IP”字段中为正确的 IP 地址。

3 单击“重新初始化次要”。

ESM 则执行重新初始化接收器所必需的步骤。

另请参阅高可用性接收器第 45 页设置接收器高可用性设备第 47 页通过 IPv6 设置接收器 HA 第 48 页重置 HA 设备第 49 页切换接收器 HA 角色第 50 页替换失败的接收器第 50 页对失败的接收器进行故障排除第 51 页

通过 IPv6 设置接收器 HA根据该流程通过 IPv6 设置高可用性，因为您无法通过 LCD 手动设置 IPv6 地址。

开始之前• 请通过手动或自动方法确保 ESM 正使用 IPv6（“系统属性” | “网络设置”）。

• 了解网络管理员创建的共享 IP 地址。


1 在 HA 对中的两个接收器上：

a 打开接收器，然后通过 LCD 启用 IPv6。

b 导航至“管理端口 IP 配置” | “管理端口 1” | “IPv6”并记录下管理端口 IP 地址。由于网络延迟，该操作可能会占用一些时间。

2 将其中一个接收器添加至 ESM（请参阅“将设备添加至 ESM 控制台”）。

• “名称” — HA 对的名称。

• “目标 IP 地址或 URL” — 您记录下来的该 HA 接收器的管理端口 IPv6 地址。

3 选择系统导航树上新添加的设备，然后单击“接收器属性” | “接收器配置” | “接口”。



4 在“IPv6 模式”字段中，选择“手动”（HA 唯一受支持的模式）。

5 单击编号 1 接口旁边的“设置”，在“IPv6”字段中键入共享 IP 地址，然后单击“确定”。

该地址在 HA 设置期间被分配到共享接口。否则，HA 无法正常故障转移。

6 在“接收器属性”上，单击“连接”，在“目标 IP 地址/名称”中输入共享 IPv6 地址，然后单击“确定”。

7 继续执行“设置接收器 HA 设备”中显示的 HA 设置流程。

另请参阅高可用性接收器第 45 页设置接收器高可用性设备第 47 页重新初始化次要设备第 48 页重置 HA 设备第 49 页切换接收器 HA 角色第 50 页替换失败的接收器第 50 页对失败的接收器进行故障排除第 51 页

重置 HA 设备如果您需要将 HA 接收器重置为设置为 HA 设备之前的状态，可以在 ESM 控制台中执行此操作，或者如果与接收器的通信失败，则在 LCD 菜单中执行此操作。

• 执行以下任一操作：


在 ESM 控制台中重置接收器

1 在系统导航树中，单击“接收器属性”，然后单击 “接收器配置” | “接口”。

2 取消选择“设置高可用性”，然后单击“确定”。

3 在警告页面单击“是”，然后单击“关闭”。

两个接收器会在大概五分钟左右的超时之后重新启动，将 MAC 地址返回到其原始值。

在 LCD 菜单中重置主要或次要接收器

1 在接收器的 LCD 菜单上，按下“X”。 4 若要重置主要接收器，请按选中按钮。

2 按住下箭头键，直到您看到“禁用HA”。

5 若要重置次要接收器，请按一次下箭头键，然后按选中按钮。

3 按一次右箭头键，以在 LCD 屏幕上显示“禁用主要”。

另请参阅高可用性接收器第 45 页设置接收器高可用性设备第 47 页重新初始化次要设备第 48 页通过 IPv6 设置接收器 HA 第 48 页切换接收器 HA 角色第 50 页替换失败的接收器第 50 页对失败的接收器进行故障排除第 51 页



切换接收器 HA 角色用户发起的切换过程可让您切换主要接收器和次要接收器的角色。

当您在升级接收器、准备将接收器返回给制造商或移动接收器上的电缆时，可能需要执行此操作。此切换会使数据丢失的数量减到少。

如果收集器（包括 McAfee ePO 设备）与接收器 HA 相关联并且接收器 HA 出现故障转移，那么在它们将故障转移接收器的新 MAC 地址与共享 IP 地址关联之前，收集器都无法与接收器 HA 通信。这可能花费几分钟到几天时间，具体取决于当前网络配置。


1 在系统导航树中，选择接收器 HA 设备，然后单击“属性”图标。

2 选择 “高可用性” | “故障转移”。会出现以下情况：

• ESM 指示次要接收器开始使用共享数据来源 IP 并收集数据。

• 次要接收器发出群集资源管理器 (CRM) 命令以切换共享的 IP 和 MAC，并启动收集器。

• ESM 从主要接收器提取所有警报和流数据。

• ESM 将次要接收器标记为主要接收器，并将主要接收器标记为次要接收器。

另请参阅高可用性接收器第 45 页设置接收器高可用性设备第 47 页重新初始化次要设备第 48 页通过 IPv6 设置接收器 HA 第 48 页重置 HA 设备第 49 页替换失败的接收器第 50 页对失败的接收器进行故障排除第 51 页

替换失败的接收器如果次要接收器出现无法解决的健康问题，则可能需要替换该接收器。当收到新的接收器时，按照 McAfee ESM 设置和安装指南中的步骤进行安装。如果设置了 IP 地址并插入了电缆，则可以将接收器重置回到 HA 群集。


1 在系统导航树中，选择 HA 接收器的“接收器属性”，然后单击“接收器配置” | “接口”。

2 单击“HA 接收器”选项卡，然后验证是否选择了“设置高可用性”。

3 验证 IP 地址是否正确，然后单击“重新初始化次要”。

新的接收器将被重置回到群集并启用 HA 模式。

另请参阅高可用性接收器第 45 页设置接收器高可用性设备第 47 页重新初始化次要设备第 48 页通过 IPv6 设置接收器 HA 第 48 页重置 HA 设备第 49 页切换接收器 HA 角色第 50 页对失败的接收器进行故障排除第 51 页



对失败的接收器进行故障排除如果 HA 设置中的接收器无论何种原因关闭，则数据来源的写入、全局设置、累计设置及其他均显示为失败，并且SSH 错误也会出现。

事实上，设置将部署到仍在运行的接收器中，但是会出现一个错误，因为无法与关闭的接收器同步。不过，无法部署策略。在此情况下，您可以使用以下几种选项：

• 等待部署策略，直至另一接收器可用并进行同步。

• 从高可用性模式下删除接收器，这可能会造成两到五分钟的 HA 群集的关闭时间，在此期间内不会收集事件。

另请参阅高可用性接收器第 45 页设置接收器高可用性设备第 47 页重新初始化次要设备第 48 页通过 IPv6 设置接收器 HA 第 48 页重置 HA 设备第 49 页切换接收器 HA 角色第 50 页替换失败的接收器第 50 页

存档接收器原始数据配置接收器，将原始数据的备份转发到进行长期存储的存储设备中。

ESM 支持的三种类型的存储包括：服务器消息块/通用 Internet 文件系统 (SMB/CIFS)、网络文件系统 (NFS) 和 Syslog转发。SMB/CIFS 和 NFS 以数据文件格式来存储由数据源使用电子邮件、estream、http、SNMP、SQL、syslog 和远程代理协议发送给接收器的所有原始数据的备份。这些数据文件每隔五分钟发送到存档一次。Syslog 转发可将 syslog协议的原始数据作为合并 syslog 的连续数据流发送到在“数据存档设置”页面的“Syslog 转发”部分所配置的设备。接收器每次仅可转发到一种类型的存储；您可以配置所有这三种类型，但是仅能启用一种类型来存档数据。

此功能不支持 Netflow、sflow 和 IPFIX 数据源类型。

另请参阅 Event Receiver 设置第 44 页定义存档设置第 51 页

定义存档设置若要存储系统日志消息的原始数据，您必须配置接收器存档所使用的设置。




1 在系统导航树中，选择“接收器属性”，然后单击“接收器配置” | “数据存档”。

2 选择共享类型并输入所需信息。

在使用 CIFS 共享的系统中必须打开端口 445 以启用 CIFS 共享连接。同样，在使用 SMB 共享的系统中必须打开端口 135 才能建立 SMB 连接。

3 当您准备好将更改应用到接收器设备时，单击“确定”。

表 3-25 SMB/CIFS 共享选项定义

选项定义

“共享类型” 选择 SMB 或 CIFS 共享类型。

“IP 地址” 键入共享的 IP 地址。

“共享名称” 键入共享的名称。

“路径” 键入共享中的子目录，其中必须存储存档数据（例如 TMP/存储）。如果存储位于共享的根目录，则不需要路径。

“用户名”和“密码” 键入连接到共享的有效用户名，然后键入连接到共享时使用的用户帐户的密码。

在连接到 SMB/CIFS 共享时不能在密码中使用逗号。

“连接” 单击此选项可测试连接。

表 3-26 NFS 共享选项定义

选项定义

“IP 地址” 键入安装点的 IP 地址，然后键入安装点的名称。

“安装点” 键入安装点的名称。

“路径” 键入共享中的子目录，其中必须存储存档数据（例如 TMP/存储）。如果存储位于共享的根目录，则不需要路径。


表 3-27 Syslog 转发共享选项定义

选项定义

“IPv4 地址”或“IPv6 地址” 键入数据流应转发到的系统日志服务器的 IP 地址。

“IPv4 路径”或“IPv6 路径” 输入数据流应转发到的系统日志服务器的端口。

另请参阅存档接收器原始数据第 51 页

查看关联事件的来源事件可在“事件分析”视图中查看关联事件的来源事件。

开始之前ESM 中必须已存在关联数据来源（请参阅“关联数据来源”和“添加数据来源”）。




1 在系统导航树中，展开接收器，然后单击“关联引擎”。

2 在视图列表中，单击“事件视图”，然后选择“事件分析”。

3 在“事件分析”视图中，单击关联事件旁边第一列中的加号 (+)。

仅当关联事件具有来源事件时，才会显示加号。

来源事件列在关联事件的下方。

查看接收器吞吐量统计信息查看接收器使用情况统计信息，包括近 10 分钟、1 小时和 24 小时的入站（收集器）和出站（解析）数据源速率。

开始之前验证您是否具备设备管理权限。


1 在系统导航树中，选择接收器，然后单击属性图标。

2 单击“接收器管理|查看统计信息|吞吐量”。

3 查看接收器统计信息。

如果入站速率比出站速率高出 15%，则系统会将行标记为关键（近 24 小时）或作为警告（近一小时）。

4 通过选择全部、关键或警告选项对数据源进行过滤。

5 选择用于显示度量的度量单位：千字节 (KB) 数或记录数。

6 若要每 10 秒钟自动刷新数据，请选中“自动刷新”复选框。

7 单击相关列标题，对数据进行排序。

接收器数据来源McAfee Event Receiver 可从多个供应商来源中收集安全事件和网络流数据，包括防火墙、虚拟专用网 (VPN)、路由器、NetFlow、sFlow 等。数据来源用于控制接收器如何收集日志和事件数据。您必须添加数据来源并定义其设置，这样它们才能够收集您需要的数据。

“数据来源”页面是管理接收器设备的数据来源的起点。您可以通过该页面添加、编辑和删除数据来源，也可以导入、导出和迁移数据来源。您还可以添加子数据来源和客户端数据来源。

另请参阅添加数据来源第 54 页选择从文件尾部数据来源收集方法第 71 页设置默认日志记录池第 36 页管理数据来源第 56 页设置数据来源的日期格式第 66 页导入数据来源列表第 69 页将数据来源移动到其他系统第 70 页



添加数据来源配置您需要添加到接收器的数据来源的设置以便收集数据。


1 在系统导航树中，选择要添加到数据来源的接收器，然后单击“属性”图标。

2 在“接收器属性”上，单击 “数据来源” | “添加”。

3 选择供应商和型号。

要填写的字段取决于您的选择。


数据来源将添加到接收器中数据来源的列表中，也会添加到您选择的接收器下的系统导航树中。


选项定义

数据来源表查看系统中的数据来源、这些数据来源是否有客户端以及属于什么类型的数据来源。另外，它可以显示接收器是否处理此数据来源的数据，以及处理数据的方式。选项包括：• “解析” — 收集的数据被解析并插入到数据库中。

• “日志记录” — 数据被发送到 ELM。仅当您的系统中有 ELM 设备时，该选项才可用。

• “SNMP 陷阱” — 数据来源从任何具有发送 SNMP 陷阱功能的可管理网络设备接受标准 SNMP 陷阱。这些标准陷阱包括：身份验证失败、冷启动、EGP 邻居设备丢失、链接关闭、链接开启和热启动。在收到这些陷阱之后，系统将对该数据来源生成一个事件。

如果您需要通过 IPv6 发送或接收 SNMP 陷阱，则必须将 IPv6 地址格式化为 IPv4 转换地址。例如，将10.0.2.84 转换为 IPv6 如下所示：2001:470:B:654:0:0:10.0.2.84 或 2001:470:B:654::A000:0254。

您可以通过选择和取消选择表中的设置对其进行更改。另外，您可以通过单击“日志记录” 或“SNMP” 图标来添加存储池或 SNMP 配置文件。

“添加” 向接收器添加新数据来源。

“添加子” 向现有数据来源添加子数据来源。这将有助于您组织数据来源。

“客户端” 添加客户端数据来源，这可扩展接收器中所允许的数据来源数量。

“编辑” 对选定数据来源的设置进行更改。

“删除” 删除选定数据来源。

“导入” 导入以 .csv 格式保存的数据来源列表（请参阅“导入数据来源列表”）。

“导出” 导出系统中的数据来源列表。

“迁移” 在接收器之间重新分配或重新分发数据来源。

“高级” 上载或查看自定义数据来源定义。

“自动了解” 设置接收器自动了解未知 IP 地址。

“重命名” 更改用户定义的数据来源条目名称。

“上载” 对选定的数据来源上载文件。这仅适用于系统日志。

“写入” 将数据来源设置的更改写入到接收器。




选项定义

“使用系统配置文件”

选择该选项，则可使用配置文件配置该数据源。只有基于 SNMP 和 syslog 协议的设备可使用配置文件中的设置进行预填充。

“数据来源供应商”、“数据来源型号”

为此数据来源选择供应商和型号。如果要添加生成非 UTF-8 编码数据的高级 syslog 解析器 (ASP) 数据来源，请选择“通用”作为供应商，并选择“高级 Syslog 解析器”作为型号。

“数据格式” 选择解析方法。

“数据检索” 选择数据收集方法。使用 SCP 时，LANG 环境变量必须设置为“lang=C”。如果选择“SCP 文件来源”，则不支持相对路径。您必须定义确切的完整位置。

选择“CIFS 文件来源”或“NFS 文件来源”时，您必须选择收集方法。请参阅“选择从文件尾部数据来源收集方法”，以了解有关该字段的详细信息。

“已启用” 选择接收器处理数据的方式。• 如果选择“日志记录”，系统会要求您提供详细信息（请参阅“设置默认日志记录池”）。

• 如果选择“SNMP 陷阱”（请参阅“使用 SNMP 陷阱处理数据来源”），请在“SNMP 数据来源配置文件”页面上选择您要使用的配置文件。如果您需要的配置文件不在列表中，请单击“系统配置文件”链接并添加配置文件（请参阅“配置配置文件”）。

“名称” 键入数据来源的名称。

“IP 地址”、“主机名”、“查找”

输入单个 IP 地址或主机名。单击“查找”，如果已输入 IP 地址，则可添加主机名；或者如果已输入主机名，则可添加 IP 地址。您可使用主机名（不需要 IP 地址）设置 WMI 数据来源。

其余字段填写剩余字段，这些字段会根据供应商、设备型号、数据检索方法或所选设备型号的协议的不同而变化。

“接口” 配置任何父接收器设置（请参阅“设置接口”）。确保用于数据收集的端口在“通信”选项卡中已打开。这些端口在默认情况下关闭，因此您必须对其进行设置。

“高级” 添加 URL，设置 CEF 转发，或设置该数据来源，以导出到其他接收器。


选项定义

表列出用户定义的规则。

“编辑” 单击可重命名选定的数据来源。

另请参阅接收器数据来源第 53 页管理数据来源第 56 页设置数据来源的日期格式第 66 页导入数据来源列表第 69 页将数据来源移动到其他系统第 70 页选择从文件尾部数据来源收集方法第 71 页



使用 SNMP 陷阱处理数据来源SNMP 陷阱功能允许数据来源接受来自任何具有发送 SNMP 陷阱功能的可管理网络设备的标准 SNMP 陷阱。

这些标准陷阱为：

• 身份验证失败 • 链接关闭

• 冷启动 • 链接开启和热启动

• EGP 邻居损失

若要通过 IPv6 发送 SNMP 陷阱，您必须将 IPv6 地址表述为 IPv4 转换地址。例如，若将 10.0.2.84 转换为 IPv6，则如下所示：

2001:470:B:654:0:0:10.0.2.84 或 2001:470:B:654::A000:0254。

如果选择 “SNMP 陷阱”，则有以下三个选项：

• 如果之前未选择配置文件，将会打开 “SNMP 数据来源配置文件”对话框，允许您选择要使用的配置文件。

• 如果之前已选择配置文件，将会打开 “SNMP 数据来源配置文件”对话框。要更改配置文件，请单击“系统配置文件”字段中的向下箭头，并选择新的配置文件。

• 如果之前已选择配置文件而您想要进行更改，但 “SNMP 数据来源配置文件”对话框的下拉列表中没有所需的配置文件，您可以创建数据来源 SNMP 配置文件。


选项定义

“系统配置文件” 从现有配置文件列表选择一个配置文件，或者单击链接并添加稍后可以选择的新配置文件。

“覆盖现有配置文件分配” 选择是否要删除任何现有 SNMP 配置文件分配并使用此配置文件进行替换。

管理数据来源您可以添加、编辑、删除、导入、导出和迁移数据来源，还可以在“数据来源”页面添加子数据来源和客户端数据来源。


1 在系统导航树中，选择“接收器属性”，然后单击“数据来源”。

2 查看接收器中的数据来源列表，并执行任何可用选项来管理它们。

3 单击“应用”或“确定”。

另请参阅接收器数据来源第 53 页添加数据来源第 54 页设置数据来源的日期格式第 66 页导入数据来源列表第 69 页将数据来源移动到其他系统第 70 页选择从文件尾部数据来源收集方法第 71 页

SIEM CollectorSIEM Collector 通过加密连接，将 Windows 事件日志发送到接收器。

如果没有 SIEM Collector，则 Windows 事件收集会仅限于使用 WMI 协议或第三方代理实现。在许多环境中，安全策略锁定对系统的访问，因此您无法使用 WMI。



WMI 流量为明文，仅可以访问写入到 Windows 事件日志的日志。您无法访问通过其他服务（如 DNS、DHCP 和 IIS）或通过使用其他第三方代理创建的日志文件。

您可以独立使用 SIEM Collector，也可将其作为现有 McAfee ePolicy Orchestrator 实现的一部分，从而将 WMI 功能添加到现有 McAfee 代理。

您还可以将 SIEM Collector 作为集线器，通过 RPC 从其他系统收集日志，而无需将 SIEM Collector 包添加至每个系统。

其他功能包括：

• 用户定义的 SQL 数据库收集插件（支持 SQL Server 和 Oracle）。

• 解析导出的 Windows 事件（格式为 .evt 或 .evtx）的插件。

• 支持 SQL Server C2 审核（.trc 格式）的插件。

集成漏洞评估数据DEM 和 Receiver 中的漏洞评估 (VA) 可让您集成能从很多 VA 供应商检索的数据。

您可以通过多种方式使用此数据。• 根据终端对该事件的已知漏洞提高事件的严重性。 • 访问网络资产的摘要和深入分析信息。

• 将系统设置为自动了解资产及其属性（检测到的操作系统和服务）。

• 修改“”“”“策略编辑器”配置，例如如果发现某资产正在运行 MySQL，则打开 MySQL 签名。

• 创建并操纵用户定义的资产组的成员关系。

您可以在预定义的视图或创建的自定义视图中访问系统生成的 VA 数据。预定义的视图包括：• “信息显示板视图” | “资产漏洞信息显示板”

• “合规性视图” | “PCI” | “测试安全系统和进程” | “11.2 网络漏洞扫描”

• “执行视图” | “监管资产中的重要漏洞”

要创建自定义视图，请参阅“添加自定义视图”。

如果创建的视图包括“漏洞总数”、“计数”或“拨号”组件，您可能看到漏洞的膨胀计数。这是因为 McAfee ThreatIntelligence Services (MTIS) 源是根据 VA 来源报告的原始漏洞来累加威胁的（请参阅资产、威胁和风险评估）。

McAfee 规则团队维护着一个规则文件，该文件可将 McAfee sigID 映射到 VIN，一个或多个参考映射到通用漏洞和暴露 (CVE) ID、错误跟踪 ID、来源代码开放的漏洞数据库 (OSVDB) ID 和/或 Secunia ID。这些供应商可报告其漏洞中的 CVE 和错误跟踪 ID；这样，CVE 和错误跟踪 ID 便包含在此版本中。

定义 VA 系统配置文件当添加 eEye REM 来源时，“添加漏洞评估来源”页面可为您提供使用先前定义的系统配置文件的选项。若要使用此功能，您必须首先定义配置文件。


1 在系统导航树中，选择 DEM 或接收器设备，然后单击“属性”图标。

2 单击“漏洞评估” | “添加”。

3 在“VA 来源类型”字段中，选择“eEye REM”。

4 单击“使用系统配置文件”。



5 单击“添加”，然后在“配置文件类型”字段中选择“漏洞评估”。

6 在“配置文件代理”字段中，选择此配置文件的 SNMP 版本。

该页面中的字段将根据选定版本激活。



选项定义

表请查看系统上的接收器和 DEM，及其 VA 来源。

“添加” 添加来源。

“编辑” 更改选择的来源。

“删除” 请删除选择的 VA 来源。

“检索” 请检索所选来源的 VA 数据。

“写入” 请将所作更改写入到设备中。

“上传” (Qualys) 如果您在添加 VA 来源时选择“方法”字段中的“手动上传”，请单击该选项上传文件。

上传的 Qualys QualysGuard 日志文件大小不得超过 2 GB。

添加 VA 来源要与 VA 来源进行通信，请将该来源添加到系统，为 VA 供应商添加通信参数，计划数据检索频率参数，并修改严重性计算。


1 在系统导航树中，选择 DEM 或接收器设备，然后单击“属性”图标。

2 单击“漏洞评估”。

3 添加、编辑、删除或检索 VA 来源，并将任何更改写入设备。

4 请单击“应用”或“确定”。


选项定义

“客户端 ID” 请键入 Frontline 客户端 ID 编号。该字段为 Digital Defense Frontline 的必填字段。

“公司名称” 在 FusionVM 上，必须扫描公司名称。如果该字段留空，则会扫描用户所属的所有公司。如果输入多个公司，则以逗号分隔名称。

“数据检索” (Qualys QualysGuard) 选择检索 VA 数据的方法。 “HTTP/HTTPS”为默认方法。其他选项包括“SCP”、“FTP”、“NFS”、“CIFS”和“手动上传”。

手动上传的 Qualys QualysGuard 日志文件大小不得超过 2 GB。

“域” 请键入 Windows 框的域（可选，除非域中存在域控制器或服务器）。

“导出的扫描文件目录”

导出的扫描文件所处的目录。

“导出的扫描文件格式”

导出的扫描文件格式（XML、NBE）。

“安装目录” Saint 在服务器上的安装位置。 Saint 装置扫描程序的安装目录为 /usr/local/sm/。




选项定义

“IP 地址” • 对于 eEye REM：发送陷阱信息的 eEye 服务器的 IP 地址。

• 对于 eEye Retina：持有导出的扫描文件 (.rtd) 的客户端的 IP 地址。

• 对于 McAfee® Vulnerability Manager：其安装所在服务器的 IP 地址。

• 对于 Nessus、OpenVAS、LanGuard 和 Rapid7 Metasploit Pro：持有导出的扫描文件的客户端 IP 地址。

• 对于 NGS：存储 Squirrel 报告的系统的 IP 地址。

• 对于 Rapid7、Lumension、nCircle 和 Saint：各个服务器的 IP 地址。

“安装目录” 如果您选择“方法”字段中的“nfs”，则会添加“安装目录”字段。配置“nfs”时，请输入安装目录集。

“方法” 用以检索导出的扫描文件的方法（“SCP”、“FTP”、“NFS”或“CIFS”安装）。LanGuard 通常使用“CIFS”。

“密码” • 对于 McAfee Vulnerability Manager：如果对 SQL 服务器使用 Windows 身份验证模式，则为 Windows 框的密码。如果不是，则为 SQL 服务器的密码。

• 对于 Nessus、OpenVAS、LanGuard 和 Rapid7 Metasploit Pro：SCP 或 FTP 的密码（请参阅用户名）。

• 对于 NGS：SCP 和 FTP 方法的密码。

• 对于 Qualys 和 FusionVM：Qualys Front Office 或 Fusion VM 用户名的密码（请参阅用户名）。

• 对于 Rapid7 Nexpose、Lumension、nCircle 和 Saint：连接到 Web 服务器时使用的密码（请参阅用户名）。

• 对于 Digital Defense Frontline：Web 界面密码。

“端口” Rapid7 Nexpose、Lumension、nCircle、McAfee® Vulnerability Manager 或 Saint Web 服务器正在侦听的端口。 Rapid7 Nexpose 的默认端口为 3780，Lumension 为 205，nCircle 为443，McAfee Vulnerability Manager 为 1433，Saint 为 22。

“项目/工作区名称” 请填入特定项目或工作区的名称，或留空（表示所有项目或工作区）。

“代理 IP 地址” HTTP 代理的 IP 地址

“代理密码” 代理用户名对应的密码。

“代理端口” HTTP 代理正在侦听的端口。

“代理用户名” 代理的用户名。

“Qualys 或FusionVM 服务器URL ”

待查询的 Qualys 或 FusionVM 服务器的 URL。

“远程路径和共享名称”

对于 CIFS method Nessus、OpenVAS、eEye Retina、Metasploit Pro、LanGuard 和NGS。

您可以在路径名称中使用反斜杠或斜杠（如 Program Files\CIFS\va 或 /Program Files/CIFS/va）。




选项定义

“计划接收器”或“DEM 数据检索”

表示您要从接收器或 DEM 中检索 VA 数据的频率：• “每天” — 请选择您每天检索数据的时间。

• “每周” — 请选择您在每周的哪一天检索数据和进行检索的当日时间。

• “每月” — 请选择检索数据的日期和当日时间。

如果您不要在预设时间检索数据，则请选择“禁用”。

eEye REM 不支持从来源检索数据，因此必须要从接收器或 DEM 检索数据。

“计划 VA 数据检索”

表示您要从 VA 来源中检索 VA 数据的频率。请参阅计划接收器或 DEM 数据检索，了解详细信息。

“会话” Saint：从其中收集会话数据。若要包含所有会话，请键入“全部”。

“SNMP 身份验证密码”

如果您选择“SNMP 安全级别”字段中的“authNoPriv”或“authPriv”，则该字段会处于活动状态。请输入“SNMP 身份验证协议”字段中选择的身份验证协议的密码。

“SNMP 身份验证协议”

如果您选择“SNMP 安全级别”字段中的“authNoPriv”或“authPriv”，则该字段会处于活动状态。请选择该来源的协议类型：“MD5”或“SHA1”（SHA1 和 SHA 是指同一协议类型）。请确保您的 REM Events 服务器配置与您的选择匹配。

“SNMP 社区” 您配置 REM Events 服务器时设置的 SNMP 社区。

“SNMP 隐私密码” 如果您选择“SNMP 安全级别”字段中的“authPriv”，则该字段会处于活动状态。请输入 DES或 AES 隐私协议的密码。在 FIPS 模式中，“AES”是唯一的可用选项。

“SNMP 隐私协议” 如果您选择“SNMP 安全级别”字段中的“authPriv”，则该字段会处于活动状态且您可以选择DES 或 AES。在 FIPS 模式中，“AES”是唯一的可用选项。

“SNMP 安全级别” 您想要对此来源设置的安全级别。

• “noAuthNoPriv” — 没有身份验证协议和隐私协议

• “authNoPriv” — 有身份验证协议，但没有隐私协议

• “authPriv” — 身份验证和隐私协议二者都有。

SNMP 身份验证和隐私字段会根据您选择的安全级别处于活动状态。请确保您的 REMEvents 服务器配置与您的选择匹配。

“SNMP 用户名” “REM Events 服务器配置”中的安全名称。

“SNMP 版本” 来源的 SNMP 版本。SNMP 字段会根据所选的版本进行激活。

“SNMPv3 引擎 ID” （可选）如果使用 SNMPv3 配置文件，则为陷阱发送人的 SNMPv3 引擎 ID。

“Sudo 密码” （可选）键入访问 Saint 安装目录所需的密码（请参阅“使用 sudo”）。

“超时” 该字段允许您为来源使用默认的超时值，或提供特定超时值。如果您有许多来自供应商的VA 数据并且默认超时设置不允许您返回全部或任意数据，则这个选项会非常有用。您可以通过提高超时值来允许更多的 VA 数据检索时间。如果您提供某一值，该值将用于所有通信。

“令牌” （可选）可在“Metasploit 全局设置”中设置的身份验证令牌。

“URL” 请键入 Digital Defense Frontline 服务器的 URL。

“使用 HTTP 代理” 如果您选择使用 HTTP 代理，则“代理 IP 地址”、“代理端口”、“代理用户名”和“代理密码”字段会被激活。

“使用被动模式” 如果您在“方法”字段中选择“ftp”，该字段将被激活。然后，您必须选择何时使用被动模式。

“使用 sudo” 如果您有权访问 Saint 安装目录且想要使用该访问权限，请选择此选项（请参阅 Sudo 密码）。




选项定义

“使用系统配置文件” (eEye REM)

选择是否要使用之前定义的配置文件。如果选择此选项，所有 SNMP 字段都将被停用。在选择现有系统配置文件的其中一个时，所选配置文件中的信息会填充这些字段。要定义配置文件，请参阅定义 VA 系统配置文件。

“用户名” 键入 McAfee® Vulnerability Manager 的用户名。如果对 SQL 服务器使用 Windows 身份验证模式，则请输入 Windows 框的用户名。如果不是，则为 SQL 服务器的用户名。

• 对于 Nessus、OpenVAS 和 Rapid7 Metasploit Pro：为 SCP 或 FTP 的用户名。

• 对于 NGS：为 SCP 和 FTP 方法的用户名。

• 对于 Qualys 或 FusionVM：用于身份验证的 Front Office 或 FusionVM 用户名。

• 对于 Rapid7 Nexpose、Lumension、nCircle 和 Saint：为连接到 Web 服务器时使用的用户名。

• 对于 Digital Defense Frontline：Web 界面用户名。

“VA 来源名称” 请键入该来源的名称。

“通配符表达式” 用于描述导出的扫描文件名称的通配符表达式。通配符表达式可以在文件名中使用“通配符”的标准定义和星号 (*) 或问号 (?)。

如果您有 NBE 和 XML 文件，则必须指定此字段中是否需要 NBE 或 XML 文件（例如，*.NBE 或 *.XML）。如果您仅使用星号 (*)，则会出错。

检索 VA 数据在添加来源之后，您可以检索 VA 数据。有两种方式可从来源检索 VA 数据：计划或立即。两种类型的检索均可在除eEye REM（必须进行计划）之外的所有 VA 来源上执行。


1 在系统导航树中，选择“DEM”或“接收器属性”，然后单击“漏洞评估”。

2 选择 VA 来源，然后选择其中一个选项。


“立即检索” • 单击“检索”。

如果检索成功，作业将在后台运行并且您会收到通知（如果不成功，请参阅“排除 VA 检索中的故障”）。

“计划检索” 1 单击“编辑”。

2 在“计划 VA 数据检索”字段中，选择频率。


4 在“漏洞评估”页面，单击“写入”将更改写入设备。


4若要查看数据，单击“资产管理器”快速启动图标，然后选择“漏洞评估”选项卡。



排除 VA 检索中的故障当检索 VA 数据时，如果没有成功，您会收到通知。以下是一些检索可能不成功的原因。

此资源... 原因...

Nessus、OpenVAS和 Rapid7Metasploit Pro

• 空目录。

• 设置中的错误。

• 目录中的数据已检索，因此数据不是新的。

Qualys、FusionVM和 Rapid7 Nexpose

目录中的数据已检索，因此数据不是新的。

Nessus 如果您在将新的 Nessus 文件上载到您的 FTP 站点时覆盖现有 Nessus 文件，文件日期将保持不变；因此，当您执行 VA 检索时，不会返回数据，因为其将被视为旧数据。若要避免这种情况，在上载新文件之前从 FTP 站点删除旧的 Nessus 文件，或者对上载文件使用不同名称。

可用 VA 供应商ESM 可与这些 VA 供应商集成。

VA 供应商版本

Digital Defense Frontline 5.1.1.4

eEye REM（REM 事件服务器） 3.7.9.1721

eEye Retina

eEye Retina VA 来源与 Nessus 数据来源相似。您可以使用 scp、ftp、nfs 或 cifs 来获取 .rtd 文件。您必须将 .rtd 文件手动复制到 scp、ftp 或nfs 共享以提取这些文件。.rtd 文件通常位于 Retina Scans 目录中。

5.13.0，审核：2400

McAfee Vulnerability Manager 6.8, 7.0

Critical Watch FusionVM 4-2011.6.1.48

LanGuard 10.2

Lumension Support PatchLink Security ManagementConsole 6.4.5 及更高版本

nCircle 6.8.1.6

Nessus Support Tenable Nessus 3.2.1.1 及 4.2版本和文件格式 NBE, .nessus (XMLv2)和 .nessus (XMLv1)；另外 OpenNessus3.2.1 XML 格式

NGS

OpenVAS 3.0, 4.0

Qualys

Rapid7 Nexpose — 推荐的 VA 合作伙伴供应商

Rapid7 Metasploit Pro — 推荐的 VA 合作伙伴供应商

可以通过将 Rapid7 VA 来源添加到同一接收器来推导以名称 Nexpose为开头的 Metasploit 攻击的严重性。如果无法进行推导，则默认严重性为 100。

4.1.4-更新 1，文件格式 XML

Saint

GFI Languard

NGS SQuirrel



VA 供应商版本

iScan Online？

Tripwire/nCircle IPS360？

自动创建数据来源通过使用接收器随附的五项标准规则或您创建的规则，可将接收器设置为自动创建数据来源。

开始之前确保在“事件、流和日志”对话框（“系统属性 | 事件、流和日志”）中选择了自动检查，或单击操作工具栏中

的“获取事件和流”图标以提取事件和/或流。


1 在“接收器属性”中，单击“数据来源 | 自动了解”。

2 在“自动了解”窗口中，单击“配置”。

3 在“自动添加规则编辑器”窗口中，确保选择了“启用自动创建”，然后选择您希望接收器用来自动创建数据来源的自动添加规则。

4 若要对现有的自动了解数据应用所选的规则，请单击“运行”，然后单击“关闭”。

另请参阅设置数据来源自动了解第 64 页添加新的自动创建规则第 63 页

添加新的自动创建规则您可以添加由接收器用来自动创建数据来源的自定义规则。


1 在“接收器属性”中，单击“数据来源 | 自动学习 | 配置 | 添加”。

2 在“配置自动添加规则”对话框中，添加定义规则所需的数据，然后单击“确定”。

新规则将添加到“自动添加规则编辑器”对话框的自动添加规则列表中。然后可以选择此新建规则，这样当自动了解的数据满足规则中所定义的标准时，将会创建数据来源。


选项定义

“ 启用自动创建 ” 选择是否要从自动了解的数据中自动创建数据来源。每当 ESM 手动或自动从接收器提取警报时，均会出现自动创建。

表查看当前接收器中的自动添加规则以及是否启用规则。您可以启用或禁用此列表中的规则。

“ 添加 ” 添加新的自动添加规则。

“编辑” 对选定的自动添加规则进行更改。

“删除” 删除选定的自动添加规则。




选项定义

“立即运行” 将启用的规则应用到自动了解数据的当前列表。

箭头按钮向上或向下移动列表中选定的自动添加规则以更改其顺序。这个操作非常重要，因为自动了解的数据按照其列出的顺序与规则相匹配，并且数据来源根据与其相匹配的第一个规则进行创建。


选项定义

“ 说明” 键入描述此规则的名称。

“类型” 从下拉列表中选择规则类型。

“启用” 选择是否想要启用此规则。

“自动了解匹配条件”列

定义接收的数据必须要匹配的条件，将其添加为数据来源或客户端。

“数据来源/客户端创建参数”列

如果数据与标准相匹配，定义您想要创建的数据来源的设置。• 键入数据来源的名称。此字段支持表示 IP 地址、型号和主机名的变量。例如，您可以键入数据

来源 - {MODEL}_{HOST}_{IP}。

• 请选择数据来源或客户端。

• 如果是客户端，请选择包含该客户端的父级，然后选择客户端类型。

• 选择供应商、型号、时区和区域。

• 如果您想要将由数据来源（非客户端）生成的数据存储在 ELM 中，请单击“存储池”并选择存储池。

另请参阅自动创建数据来源第 63 页设置数据来源自动了解第 64 页

设置数据来源自动了解设置 ESM，以自动了解 IP 地址。

开始之前确保为 Syslog、MEF 和流定义了端口（请参阅“设置接口”）。

接收器中的防火墙可在您指定的时间打开，这样系统便能了解一组未知 IP 地址。然后您可以作为数据来源添加到系统。

当您升级时，自动了解结果会从“自动了解”页面删除。如果存在升级之前尚未采取任何操作的自动了解结果，那么您在执行升级再次收集这些结果之后必须运行自动了解。


1 在系统导航树中，选择“接收器属性”，然后单击“数据来源” | “自动了解”。

2 根据需要定义设置，然后单击“关闭”。




选项定义

“ 启用”或“禁用”

启用或禁用自动了解。

接收器端口必须与发送数据的来源相匹配，否则自动了解将不会进行。

• 在相应的“小时”字段选择想要自动了解出现的时间长度（大为 24 小时；0 为连续），然后单击“启用”。自动了解将会开始，并且该按钮变为“禁用”。当时间到期时，自动了解功能将被禁用，并使用找到的 IP 地址填充该表。

当对 MEF 使用自动了解功能时，您无法使用主机 ID 添加自动了解的数据来源。

• 在收集完成之前停止该过程 — 单击“禁用”。数据收集将停止，但是收集到该点的数据将会被处理。

• 等到处理完成 — 在指定的时间段内收集数据。对数据进行处理并将数据添加到表中。

所有检索的信息都会存储在 ESM 中，直至您再次启用自动了解。

您可以从“自动了解”页面离开，自动了解在您选择的时间段内将继续进行。“当前状态”字段将显示自动了解过程的执行情况。• “自动了解停止” — 此时自动了解不再进行。这可能意味着自动了解未被请求，或者请求的学习和处

理已完成。

• “收集数据” — 自动了解已启用并且当前正在收集数据。这将会在您指定的时间段内进行。

• “处理自动了解的数据” — 系统正在处理已收集的数据。这会在收集数据之后您指定的时间段内进行。

• “发生错误” — 在收集或处理数据时出现错误。

“配置” 设置规则，这样收集的 IP 地址在符合规则中定义的条件时可自动添加为数据来源。

表查看已自动了解的数据来源的 IP 地址。每个地址均给定一个名称，由 IP 地址和自动了解内容组成，并列出了日志的格式。系统也尝试匹配数据来源类型。

“添加” 将自动了解的 IP 地址添加为数据来源。1 选择表中具有相同类型的一个或多个 IP 地址，然后单击“添加”。

2 在“自动了解的来源”页面，选择其中一个选项：

3 单击“确定”。将出现下列情况之一：• 如果选定的 IP 地址没有与其关联的名称，系统将询问您是否要将前添加到选定的地址。

– 如果单击“否”，IP 地址将用作这些数据来源的名称。

– 如果单击“是”，“名称前 ”页面将会打开。输入名称，然后单击“确定”。这些数据来源的名称将由您添加的名称和 IP 地址组成。

• 如果选定的 IP 地址包含名称，数据来源会被添加到“数据来源”页面的列表中。

“编辑名称”

编辑选定项目的默认名称。名称字段多包含 50 个字符。每个名称必须唯一。

“删除” 从列表中删除选定的 IP 地址。列表不会保存，除非关闭“自动了解”。

“更改类型”

更改选定 IP 地址的类型。如果系统建议的类型错误，您将需要执行此操作。查看数据包将能为您提供确定正确类型所需的信息。

“刷新” 重新加载页面中的数据，更改自动了解的数据以及系统日志、MEF 或 Netflow 自动了解的状态。

“显示数据包”

单击此选项可查看选定数据来源的数据包。




选项定义

“为选定的自动了解项目创建数据来源”

为每个选定的自动了解来源创建新数据来源。如果某个来源需要更多信息，则“添加数据来源”会打开，允许您添加信息。

“为现有数据来源创建客户端，或通过客户端创建新数据来源”

下列选项可用：• “按类型匹配的客户端”：如果存在匹配选定 IP 的某个数据来源，相关项目将作为按

类型匹配的客户端数据来源添加到该数据来源。如果不存在匹配选定 IP 的数据来源，则会创建一个数据来源。其余项目作为按类型匹配的客户端数据来源添加到该数据来源。

• “按 IP 匹配的客户端”：使用此选项可选择将该 IP 添加为客户端的数据来源。选择此选项时，下拉列表变为活动状态。如果有一个或多个数据来源匹配此 IP，则都会列出。如果没有，则唯一可用的选项是“无 – 创建新数据来源”。选择您要将该 IP 添加为客户端的数据来源，然后单击“确定”。

另请参阅自动创建数据来源第 63 页添加新的自动创建规则第 63 页

设置数据来源的日期格式选择数据来源中包含的日期格式。


1 在系统导航树中，选择接收器，然后单击“添加数据来源”图标。

2 单击“高级”，然后在“日期顺序”字段中进行选择：• “默认” – 使用默认的日期顺序（先月后日）。使用客户端数据来源时，使用此设置的客户端将继承父级数据来源

的日期顺序。

• “先月后日” – 月份在日之前 (04/23/2014)。

• “先日后月” – 日在月份之前 (23/04/2014)。


另请参阅接收器数据来源第 53 页添加数据来源第 54 页管理数据来源第 56 页导入数据来源列表第 69 页将数据来源移动到其他系统第 70 页选择从文件尾部数据来源收集方法第 71 页

添加子数据来源您可以添加子数据来源，以帮助您整理数据来源。





2 在数据来源表中，单击您要将子数据来源添加到其中的数据来源。

3 单击“添加子”，然后按照填写父数据来源的方式填写这些字段。


数据来源会作为子级添加在表和系统导航树上的父级数据来源下。


选项定义

“数据来源供应商” 选择自动了解的数据来源或客户端的供应商。

“数据来源模型” 选择数据来源或客户端的模型。

“时区” 选择数据来源或客户端的时区。

客户端数据来源您可以通过添加客户端数据来源来扩充接收器中所允许的数据来源数量。对于使用系统日志、ASP、CEF、MEF、NPP 和 WMI 收集器的数据来源，您多可以添加 32,766 个数据来源客户端。

如果数据源已属于父数据源或子数据源，或者属于 WMI 数据源并已选中“使用 RPC”，则此选项不可用。

您可以添加 IP 地址相同的多个客户端数据源，而使用端口号来区分这些数据源。这样，您可以针对每个数据类型使用不同的端口，对数据进行分离，然后使用数据进入时所用的同一端口来转发数据。

添加客户端数据源（请参阅“客户端数据源”和“添加客户端数据源”）时，选择是使用父级数据源端口还是其他端口。

客户端数据来源具有以下特征：• 它们不具有 VIPS、策略或代理权限。 • 它们与父数据来源共享同一策略和权限。

• 它们不会显示在“数据来源”表中。 • 它们必须处于同一时区，因为它们使用的是父数据来源配置。

• 它们显示在系统导航树中。

客户端 WMI 数据源可具有独立的时区，因为时区由发送给 WMI 服务器的查询决定。

另请参阅添加客户端数据来源第 67 页

添加客户端数据来源要增加接收器上允许的数据来源的数量，请将客户端添加到现有数据来源。

开始之前将数据来源添加到接收器（请参阅“添加数据来源”）。





2 选择您要将客户端添加到其中的数据来源，然后单击“客户端”。

“数据来源客户端”页面列出了当前属于选定数据来源一部分的客户端。

3 单击“添加”，输入请求的信息，然后单击“确定”。

事件转到更具体的数据来源（父级数据来源或客户端）。例如，您有两个客户端数据来源，一个数据来源的 IP 地址为1.1.1.1，另一个的 IP 地址为 1.1.1.0/24，表示范围。两者均属于相同类型。如果一个事件与 1.1.1.1 相匹配，则会转到第一个客户端，因为其更加具体。


选项定义

客户端表查看属于“数据来源”表中所选数据来源一部分的客户端。

“搜索” 如果您正在搜索特定客户端，则请在字段中键入客户端名称并单击“搜索”。

“添加” 单击该选项，以将客户端添加到数据来源。

“编辑” 单击该选项可编辑选定的客户端。

“删除” 单击此选项可删除选定的客户端。


选项定义

“ 名称 ” 键入此客户端的名称。

“ 时区 ” 选择此客户端数据来源所在的时区。

“日期顺序” 选择日期采用的格式：月在日前还是月在日后。

“IP 地址”、“主机名” 键入客户端的 IP 地址或主机名。您可以同时拥有 IP 地址相同的多个客户端数据源。该端口用于对其进行区分。

“需要 syslog TLS” 选择该选项，则可对 syslog 使用传输层安全性 (TLS) 加密协议。

“端口” 选择客户端与其父级使用相同端口，还是使用其他列出的端口。

“按类型匹配” 选择该选项，则可以按照类型匹配客户端，然后选择此客户端的供应商和型号。

另请参阅客户端数据来源第 67 页

找到客户端“数据来源客户端”页面列出了系统中的所有客户端。由于您可能拥有 65,000 多个客户端，因此提供搜索功能以便使您在需要时找到特定的客户端。


1 在系统导航树中，选择“接收器属性”，然后单击“数据来源” | “客户端”。

2 输入要搜索的信息，然后单击“搜索”。



导入数据来源列表“数据来源”页面中的“导入”选项可让您导入以 .csv 格式保存的数据来源列表。这样就不需要对每个数据来源进行单独的添加、编辑或删除操作。

您可以在两种解决方案中使用该选项：

• 将从安全位置中的接收器复制的原始数据来源数据复制到不安全位置中的接收器。如果这是您正在进行的操作，请参阅“移动数据来源”。

• 通过将数据来源添加到现有列表、编辑现有数据来源或删除现有数据来源，编辑接收器中的数据来源。如果这是您需要执行的操作，请遵循以下步骤。


1 导出当前接收器中的数据来源列表。

a 在系统导航树中，选择“接收器属性”，然后单击“数据来源”。

b 单击“导出”，然后单击“是”确认下载。

c 选择下载的位置，更改文件名（如果需要），然后单击“保存”。

现有数据来源的列表则会被保存。

d 访问并打开此文件。

此时将打开一个电子表格，其中列出了当前接收器中的数据来源数据（参阅“导入数据源时的电子表格字段”）。

2 添加、编辑或删除列表中的数据来源。

a 在列 A 中，指定要对该数据来源执行的操作：添加、编辑或删除。

b 如果您是添加或编辑数据来源，请在电子表格列中输入信息。

不能编辑数据来源的策略或名称。

c 保存对电子表格所做的更改。

不能将数据来源编辑为来自客户端数据来源或送至客户端数据来源的数据来源。

3 将列表导入接收器。

a 在系统导航树中，选择“接收器属性”，然后单击“数据来源”。

b 单击“导入”，然后选择文件并单击“上传”。

不能更改数据来源的策略或名称

“导入数据来源”页面打开，列出了已对电子表格所做的更改。

c 若要导入更改，请单击“确定”。

正确格式化的更改都会被添加。

d 如果更改的格式存在错误，“消息日志”将描述错误。

e 单击“下载整个文件”，然后单击“是”。

f 选择下载要保存的位置，更改文件名（如果需要），然后单击“保存”。

g 打开已下载的文件。

它将列出存在错误的数据来源。



h 更正错误，然后保存并关闭文件。

i 关闭“消息日志”和“导入数据来源”，然后单击“导入”并选择您保存的文件。

“导入数据来源”列出了您更正的数据来源。

j 单击“确定”。


选项定义

“上传” 单击并浏览至要添加到 ESM 的自定义数据来源定义的 .npd 文件。该文件由 McAfee 生成。

“查看” 单击可查看已安装的数据来源定义。

另请参阅接收器数据来源第 53 页添加数据来源第 54 页管理数据来源第 56 页设置数据来源的日期格式第 66 页将数据来源移动到其他系统第 70 页选择从文件尾部数据来源收集方法第 71 页

将数据来源迁移到其他接收器您可以在同一系统上的接收器之间重新分配或重新分发数据来源。如果您购买了一个新的接收器并希望平衡两个接收器之间的数据来源和关联数据，或者如果购买了一个较大的替换接收器并需要将数据来源从当前接收器转移到新的接收器，这项功能将很有帮助。


1 在系统导航树中，选择包含数据来源的接收器的“接收器属性”，然后单击“数据来源”。

2 选择要迁移的数据来源，然后单击“迁移”。

3 在“目标接收器”字段中选择新的接收器，然后单击“确定”。


选项定义

“目标接收器” 列出 ESM 中的所有接收器。选择您要将选定数据来源移动到的接收器。

将数据来源移动到其他系统若要将数据来源从一个接收器移动到不同系统中的另一接收器，您必须选择要移动的数据来源，将它们及其原始数据保存到远程位置，然后将其导入到其他接收器。

开始之前若要执行此功能，您必须在两个接收器中拥有设备管理权限。

使用此过程可将位于安全位置中的接收器中的数据来源移动到不安全位置中的接收器。

在导出数据来源信息时存在限制：• 您不能传输流数据来源（例如 IPFIX、NetFlow 或 sFlow）。

• 关联事件的来源事件不显示。

• 如果您对次要接收器中的关联规则进行更改，则关联引擎不会处理这些规则。当关联数据传输时，它会从文件插入这些事件。




“选择数据来源和远程位置”


2 选择数据来源，然后单击“编辑”。

3 单击“高级”，然后选择“以 NitroFile 格式导出”。

数据将被导出到远程位置，并使用配置文件进行配置。


从现在起，此数据来源生成的原始数据会被复制到远程共享位置。

“创建原始数据文件”

1 访问保存原始数据的远程共享位置。

2 保存在可让您移动文件到次要接收器的位置（例如您可将其带至不安全位置的跳转驱动器）中生成的原始数据。

“创建可说明数据来源的文件”

1 在系统导航树中，选择“接收器属性”，然后单击“数据来源” | “导入”。

2 找到您移动的数据来源的文件，然后单击“上载”。

3 在“远程共享配置文件”列表中，选择您可以在其中保存原始数据文件的位置。如果未列出配置文件，则单击“远程共享配置文件”，并添加配置文件。


数据来源被添加到次要接收器，并通过远程共享配置文件访问原始数据。

“导入原始数据和数据来源文件”

1 在系统导航树中，访问次要接收器中的“数据来源”，然后单击“导入”。

2 找到您移动的数据来源的文件，然后单击“上载”。“导入数据来源”页面将列出要导入的数据来源。

3 在“远程共享配置文件”列表中，选择您可以在其中保存原始数据文件的位置。如果未列出配置文件，则单击“远程共享配置文件”，并添加配置文件（请参阅“配置配置文件”）。


另请参阅接收器数据来源第 53 页添加数据来源第 54 页管理数据来源第 56 页设置数据来源的日期格式第 66 页导入数据来源列表第 69 页选择从文件尾部数据来源收集方法第 71 页

选择从文件尾部数据来源收集方法若要在添加数据来源时选择“数据检索”字段中的“NFS 文件来源”或“CIFS 文件来源”，您必须选择收集方法。

选项包括：• “复制文件” — 整个日志会从远程共享复制到接收器进行处理。如果日志文件规模较大且新信息的更新频率较低，则

复制整个日志文件会效率较低，占用大量时间。

• “从文件尾部” — 对日志进行远程读取且仅读取新事件。每次读取日志时，会从之前停止的位置开始读取。如果文件发生重大变更，则会检测到该变更并从开始处重新读取整个文件。




1 在系统导航树中，单击接收器，然后单击操作工具栏中的“添加数据来源”图标。

2 提供要求的信息，选择“数据检索”字段中的“CIFS 文件来源”或“NFS 文件来源”。

3 在“收集方法”字段中，选择“从文件尾部”，然后填写以下字段：• “多行分隔日志” — 选择该选项，以指定事件是否具备动态长度。

• “事件分隔符” — 输入字符串，以表示一个事件的结束和另一个事件的开始。分隔符差别很大，具体取决于日志文件的类型。

• “分隔符为正则表达式” — 选择是否将“事件分隔符”字段中的值作为正则表达式，而非静态值进行解析。

• “尾部模式” — 选择“开头”，以全面解析第一次运行时遇到的文件，或选择“结束”，以添加文件大小的注解并仅收集新事件。

• “递归子目录” — 选择该选项，以读取从子目录（子目录）进行的收集，通过通配符表达式字段查找匹配项。如果未选择该选项，则仅搜索父目录文件。

4 请填写剩余字段，然后单击“确定”。

另请参阅接收器数据来源第 53 页添加数据来源第 54 页管理数据来源第 56 页设置数据来源的日期格式第 66 页导入数据来源列表第 69 页将数据来源移动到其他系统第 70 页

特定数据来源的配置有些数据来源需要更多信息和特殊配置设置。请查看这些部分，了解详细信息。• 检查点 • Big Fix

• IBM Internet Security Systems SiteProtector • 公用事件格式

• McAfee ePolicy Orchestrator • ArcSight

• ePolicy Orchestrator 4.0 • 安全设备事件交换

• NSM-SEIM • 高级 syslog 解析器

• Syslog 中继支持 • WMI 事件日志

• Adiscon

您还可以参考知识中心的新配置指南，了解这些数据来源。

WMI 事件日志按照分发管理任务组 (DMTF) 的定义，WMI 是基于 Web 的企业管理 (WBEM) 的 Microsoft 实施。它是 Windows 操作系统的主要管理技术，允许管理信息在管理应用程序间共享。从远程计算机获取管理数据的能力正是使 WMI 有用的能力。

WMI 与 FIPS 不兼容。如果您需要遵守 FIPS 规则，则不要使用此功能。



WMI 事件日志设置为数据来源并通过接收器发送。接收器按已设的间隔轮询 Windows 服务器并收集事件。WMI 收集器可从 Windows 框中的任何事件日志收集事件。默认情况下，接收器可收集安全、管理和事件日志。您能够输入其他日志文件，例如目录服务或 Exchange。事件日志数据可收集在数据包数据中并通过事件表详细信息进行查看。

WMI 事件日志需要管理或备份操作员权限，除非在数据来源和用户设置正确使用 Windows 2008 或 2008 R2 时（请参阅“提取 Windows 安全日志”）。

以下这些其他设备从 WMI 数据来源提供支持：

• McAfee Antivirus • Microsoft SQL Server

• Windows • RSA Authentication Manager

• Microsoft ISA Server • Symantec Antivirus

• Microsoft Active Directory • Microsoft Exchange

有关通过 Adiscon 设置系统日志 WMI 的说明，请参阅“Adiscon 设置”。

当您在设置 WMI 数据来源时，供应商为“Microsoft”，型号为“WMI Event Log”。

设置提取 Windows 安全日志当使用 Windows 2008 或 2008 R2 时，如果正确设置了 WMI 事件日志数据来源和用户，则不具有管理员权限的用户可提取 Windows 安全日志。


1 在需要从中读取事件日志的 Windows 2008 或 2008 R2 系统中创建新用户。

2 在 Windows 系统中将用户分配到事件日志读取者组。

3 在 McAfee Event Receiver 中创建新的 Microsoft WMI 事件日志源，输入在步骤 1 中创建的用户凭据（请参阅“添加数据来源”）。

4 选择“使用 RPC”框，然后单击“确定”。

关联数据来源关联数据来源会分析从 ESM 流出的数据并检测数据流中的可疑模式。它会生成关联警报，来表示这些模式并将这些警报插入到接收器警报数据库中。

可疑模式由关联策略规则解析的数据来表示，您可以创建并修改这些规则。

在接收器中仅能配置一个关联数据来源，其方式与配置 syslog 或 OPSEC 相类似。配置接收器的关联数据来源后，您可以部署关联的默认策略。然后您可以编辑该关联默认策略中的基础规则，或添加自定义规则和组件，然后部署该策略。您可以启用或禁用每个规则，并设置每个规则用户可定义参数的值。有关关联策略的详细信息，请参阅“关联规则”。

当您添加关联数据来源时，供应商为“McAfee” ，型号为“关联引擎”。

当启用关联数据来源时，ESM 会向接收器中的关联引擎发送警报。



严重性和操作映射严重性和操作参数的用法略有不同。这些参数的目标是将系统日志消息的值映射到适合系统模式的值中。• severity_map - 严重性显示为 1（不严重）到 100（严重）之间的值，这些值分配给与规则相匹配的事件。在

有些情况下，发送消息的设备可能会显示严重性为数字 1-10，或者显示为文本（高、中、低）。当出现这种情况时，系统无法将其捕获为严重性，因此必须创建映射。例如，以下是一则来自 McAfee IntruShield 的消息，以文本格式显示了严重性。<113>Apr 21 07:16:11 SyslogAlertForwarder: Attack NMAP: XMAS Probe (Medium)\000

使用严重性映射的规则的语法如下所示（严重性映射以粗体显示用于强调）：

alert any any any -> any any (msg:"McAfee Traffic"; content:"syslogalertforwarder";severity_map:High=99,Medium=55,Low=10; pcre:"(SyslogAlertForwarder)\x3a\s+Attack\s+([^\x27]+)\x27([^\x28]+)\x28"; raw; setparm:application=1; setparm:msg=2; setparm:severity=3; adsid:190; rev:1;)

severity_map : High=99,Medium=55,Low=10. 这会将文本映射为我们使用的数字格式。

setparm : severity=3. 这表示进行第三次捕获并将其设置为等于严重性。所有 setparm 修饰符都以这种方式工作。

• action_map - 像严重性那样使用。操作表示第三方设备执行的操作。操作的目标是创建对终用户有用的映射。例如，以下是来自 OpenSSH 的失败的登录消息。Dec 6 10:27:03 nina sshd[24259]: Root 失败的密码，从 10.0.12.20 端口 49547 ssh2

alert any any any -> any any (msg:"SSH Login Attempt"; content:"sshd"; action_map:Failed=9,Accepted=8;

pcre:"sshd\x5b\d+\x5d\x3a\s+((Failed|Accepted)\s+password)\s+for\s+((invalid|illegal)\s+user\s+)?(\S+)\s+from\s+(\S+)(\s+(\S+)\s+port\s+(\d+))?"; raw; setparm:msg=1; setparm:action=2; setparm:username=5; setparm:src_ip=6;adsid:190; rev:1;)

该操作（失败）映射为数字。此数字表示我们可以在系统中使用的不同操作。以下是可用操作类型的完整列表。

• 0 = 空 • 20 = 停止

• 1 = 通过 • 21 = 通知

• 2 = 拒绝 • 22 = 信任

• 3 = 植入 • 23 = 不受信任

• 4 = sdrop • 24 = 误报

• 5 = 警报 • 25 = 警报拒绝

• 6 = 默认 • 26 = 警报植入

• 7 = 错误 • 27 = 警报 sdrop

• 8 = 成功 • 28 = 重启

• 9 = 失败 • 29 = 阻止

• 10 = 紧急 • 30 = 清理

• 11 = 重要 • 31 = 清理失败

• 12 = 警告 • 32 = 继续

• 13 = 信息 • 33 = 已感染

• 14 = 调试 • 34 = 移动

• 15 = 健康 • 35 = 移动失败



• 16 = 添加 • 36 = 隔离

• 17 = 修改 • 37 = 隔离失败

• 18 = 删除 • 38 = 删除失败

• 19 = 开始 • 39 = 已拒绝

在该示例中，失败在 syslog 消息中映射为 9，该数字在系统报告中为失败。

以下是对规则结构的分解：

警报 any any any -> any any (msg:”Login Attempt”; content:”sshd”; action_map or severity_map (if you need it);pcre:”您在此处输入正则表达式”; raw; setparm:data_tag_goes_here; adsid:190; rev:1;)

高级 syslog 解析器高级 Syslog 解析器 (ASP) 提供了一种根据用户定义的规则解析系统日志消息外数据的机制。这些规则可指示 ASP 如何识别指定消息以及应将该特定于消息的事件数据存放的位置，例如特征码 ID、IP 地址、端口、用户名以及操作。

当系统日志设备未在“添加数据来源”中具体确定，或者当来源特定的解析器未正确解析消息或完全解析与已接收事件相关的数据点时，可使用 ASP。它对于通过复杂日志来源（例如 Linux 和 UNIX 服务器）进行的排序来说也较为理想。此功能要求您编写专门针对 Linux 或 UNIX 环境定制的规则（请参阅“向高级 Syslog 解析器添加规则”）。

您可以通过选择系统日志作为供应商将 ASP 数据来源添加到接收器（请参阅“添加数据来源”）。在执行此操作之后，按照设备制造商的说明配置系统日志设备，从而将系统日志数据发送到接收器的 IP 地址。

在添加 ASP 来源时，您必须在收集事件数据之前应用某一策略。如果启用了“一般系统日志支持”，则可以应用不包含规则的策略并开始一般性地收集事件数据。

有些包含 Linux 和 UNIX 服务器在内的数据来源可生成大量非统一数据，这会使得接收器无法将类似事件发生情况归类到一起。这会导致出现很大范围的不同事件，而事实上只是相同事件简单的重复，但是却会有不同的系统日志数据发送到接收器。

将规则添加到 ASP 可让您大限度地利用您的事件数据。ASP 使用与 Snort 非常类似的格式。

ACTION Protocol Src_ip Src_port -> Dst_ip Dst_port (keyword: option; keyword: option;...;)

当将文本值与 9.0.0 及更高版本的 PCRE 子捕获合并在一起时，如果文本包含空格或其他字符，将其单独放在引号内，并使 PCRE 子捕获参考保留在引号之外。

规则定义如下。

部分字段说明

规则标题

规则标题包含警报操作和 any any any 格式。规则包括：

ALERT any any any -> any any

“操作” 当出现匹配时如何处理事件。选项如下：

• ALERT — 记录事件

• DROP — 记录事件但是不转发

• SDROP — 不记录事件也不转发

• PASS — 在定义时进行转发，但是不记录

“协议” 如果事件定义了协议，则根据协议过滤有效匹配。

“来源/目标 IP” 如果事件定义了来源或目标 IP 地址，则根据该地址过滤有效匹配。

“来源/目标端口”

如果事件定义了来源或目标 IP 端口，则根据该端口过滤有效匹配。



部分字段说明

规则正文

规则正文包含大部分匹配条件，并定义了如何解析数据并记录到 ESM 数据库。规则正文的元素在关键字选项对中进行了定义。有些关键字没有以下选项。

“msg” （必填）与此规则关联的消息。这是在 ESM Thin Client 中显示的字符串以用于报告，除非使用 pcre/setparm 检测消息进行覆盖（请参见下文）。Msg 的第一部分是类别名，后跟实际消息 (msg: "category rule message")。

“内容” （可选 — 一个或多个）内容关键字是一种非通配符文本限定符，用来在事件通过规则集时对事件进行预先过滤，也可以包含空格（例如内容: "search 1"; 内容 "something else"）。

“进程名称” 在许多 UNIX 和 Linux 系统中，进程名称（和进程 ID）属于标准化系统日志消息标题的一部分。进程名称关键字可用来过滤规则的事件匹配值。用来排除或过滤事件匹配值，其中Linux 或 UNIX 服务器中的两个进程可能具有类似或相同的邮件文本。

“adsid” 要使用的数据来源 ID。此值可覆盖数据来源编辑器中的“默认规则分配”。

“sid” 规则的特征码 ID。这是在 ESM Thin Client 中使用的匹配 ID，除非使用 pcre/setparm 检测sid 进行覆盖。

“修订版” 规则修订版。用于跟踪更改。

“严重性” 介于 1（不严重）到 100（严重）的值，这些值分配给与规则相匹配的事件。

“pcre” PCRE 关键字是一种与入站事件相匹配的兼容 Perl 的正则表达式。PCRE 以引号分隔，并且所有出现的“/”均视作正常字符。括号中的内容用于 setparm 关键字。PCRE 关键字可由nocase、nomatch、raw 和 setparm 关键字进行修改。

“nocase” 使 PCRE 内容相匹配，而不论案例是否匹配。

“nomatch” 转化 PCRE 匹配（在 Perl 中相当于 !~）。

“raw” 比较 PCRE 和包含标题数据在内的整个系统日志消息（工具、后台程序、日期、主机/IP、进程名称和进程 ID）。通常标题不用在 PCRE 匹配中。

“setparm” 可出现多次。PCRE 中的每个参数集按发生顺序分配有一个编号。这些编号可分配给数据标记（例如：setparm:username=1）。这会将捕获文本放置在第一组括号内并将其分配到用户名数据标记。识别的标记列在以下表格中。

标记说明

* sid 这一捕获参数可覆盖匹配规则的 sid。

* msg 这一捕获的参数可覆盖匹配规则的消息或名称。

* 操作这一捕获的参数可表示第三方设备执行了何种操作。

* 协议

* src_ip 这可以替换系统日志来源的 IP，它是事件的默认来源 IP。

* src_port

* dst_ip

* dst_port

* src_mac

* dst_mac

* dst_mac

* genid 这用于将 sid 修改为存储在数据库中，用于 snort 预处理器中的非 McAfee snort 匹配。

* url 保留，但尚未使用。

* src_username 第一/来源用户名。

* username src_username 的别名。

* dst_username 第二/目标用户名。

* domain



标记说明

* hostname

* application

* severity 必须为整数。

* 操作映射可让您将产品的特定操作映射至 McAfee 操作。操作映射区分大小写。示例：alert any any any ->any any (msg:"OpenSSH Accepted Password"; content:"Accepted password for ";action_map:Accepted=8, Blocked=3; pcre:"(Accepted)\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;))。有关详细信息，请参阅“严重性和操作映射”。

* 严重性映射可让您将产品的特定严重性映射至 McAfee 严重性。与操作映射类似，严重性映射区分大小写。示例：alert any any any -> any any (msg:"OpenSSH Accepted Password"; content:"Acceptedpassword for "; severity_map:High=99, Low=25, 10=99, 1=25; pcre:"(Accepted)\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;))pri(?:\x3d|\x3a)\s*(?:p\x5f)?([^\x2c]+)。有关详细信息，请参阅“严重性和操作映射”。

* var 这是使用 setparm 的另一方式。不过，从多个 PCRE 的多个捕获中创建一个值是一种有益利用。您可以创建仅捕获一小部分字符串的多个 PCRE，而不是使用多个捕获的一个较大 PCRE。以下是一个捕获用户名、域并在对象名字段中创建一个存储的电子邮件地址的示例。

• 语法 = var:field=${PCRE:Capture}

• PCRE = 不是实际的 PCRE 而是 pcre 的编号。如果您的规则有两个 PCRE，那么您将有一个编号为 1 或 2 的 PCRE。

• 捕获 = 不是实际的捕获而是编号（第一、第二或第三个捕获 [1,2,3]）

• 示例消息：一个名叫 Jim 的男人为 McAfee 工作。

• PCRE: (Jim).*?(McAfee)

• 规则：alert any any any -> any any (msg:"Var User Jim"; content:"Jim"; pcre:"(Jim)";pcre:"(McAfee)"; var:src_username=${1:1}; var:domain=${2:1}; var:objectname=${1:1}@${2:1}.com raw; classtype:unknown; adsid:190; sev:25; sid:610061000; rev:1; normID:1209008128; gensys:T;)

• 映射的来源用户：Jim

• 映射的域：McAfee

• 映射的对象名：[email protected]

* sessionid 这是一个整数。

* commandname 这是字符串值。

* objectname 这是字符串值。

* event_action 此标记用于设置默认操作。您不能在同一规则中使用 event_action 和 action_map。例如，如果您有一个成功登录的事件，则可能会使用 event_action 标记并将操作默认为成功（例如event_action:8;）。



标记说明

* firsttime_fmt 用于设置事件的第一次。请参阅格式列表。

* lasttime_fmt 用于设置后一次的事件。请参阅格式列表。您可以将其与 setparm 或 var 一起使用（var:firsttime="${1:1}" 或 setparm:lasttime="1"）。例如：

警报 any any any -> any any (msg:"SSH Login Attempt"; content:"content";firsttime_fmt:"%Y-%m-%dT%H:%M:%S.%f"; lasttime_fmt:"%Y-%m-%dT%H:%M:%S.%f"pcre:"PCRE goes here; raw; setparm:firsttime=1; setparm:lasttime=1; adsid:190; rev:1;)

对于当前支持的格式，请参阅 http://pubs.opengroup.org/onlinepubs/009695399/functions/strptime.html 以了解更多详细信息。

%Y - %d - %m %H : %M : %S

%m - %d - %Y %H : %M : %S

%b %d %Y %H : %M : %S

%b %d %Y %H - %M - %S

%b %d %H : %M : %S %Y

%b %d %H - %M - %S %Y

%b %d %H : %M : %S

%b %d %H - %M - %S

%Y %H : %M : %S

%Y %H - %M - %S

%m - %d - %Y

%H : %M : %S

%H - %M - %S

%Y 是 4 位的年份

%m 是月份 (1-12)

%d 是日期 (1-31)

%H 是小时 (1-24)

%M 是分钟 (0-60)

%S 是秒 (0-60)

%b 是月份缩写（jan，feb）

以下是一个规则示例，可根据 OpenSSH 登录识别密码并从事件的来源 IP 地址、来源端口和用户名进行提取：

警报 any any any -> any any (msg:"OpenSSH Accepted Password";content:"Accepted password for ";pcre:"Accepted\s+password\s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)";setparm:username=1;setparm:src_ip=2;setparm:src_port=3;sid:31;rev:1;)

有关 PCRE 资源在线，请访问 http://perldoc.perl.org/perlre.html。

添加采用其他编码的 ASP 数据来源ESM 读取 UTF-8 编码数据。如果您的 ASP 数据源采用其他编码生成数据，则必须在添加数据源时表明这一点。




1 在系统导航树中，单击接收器，然后单击“添加数据来源”图标。

2 在“数据来源供应商”字段中选择“通用”，然后在“数据来源型号”字段中选择“高级 Syslog 解析器”。

3 输入所需的信息，并在“编码”字段中选择正确的编码。

来自此数据来源的数据已格式化，因此接收器在收到这些数据时可读取它们。

安全设备事件交换 (SDEE)SDEE 格式介绍了一种表示由各种类型的安全设备生成的事件的标准方式。SDEE 规范指出 SDEE 事件使用 HTTP 或HTTPS 协议进行传输。使用 SDEE 向客户端提供事件信息的 HTTP 服务器称为 SDEE 提供者，而 HTTP 请求的发起者称为 SDEE 客户端。

Cisco 已定义了一些 SDEE 标准的扩展，称其为 CIDEE 标准。接收器可用作 SDEE 客户端，要求 Cisco 入侵防御系统生成的 CIDEE 数据。

不像接收器支持的某些其他类型的数据来源那样，SDEE 使用“提取”模式而不是“推送”模式。这意味着接收器会定期联系 SDEE 提供者并要求自上次请求事件之后生成的任何事件。每次从 SDEE 提供者请求事件时，事件会被处理和存储在接收器的事件数据库中，可以随时由 ESM 进行检索。

您可以将 SDEE 提供者作为数据来源添加到接收器，方法是选择 Cisco 作为供应商，IOS IPS (SDEE) 作为数据来源型号（请参阅“添加数据来源”）。

接收器能够从 SDEE/CIDEE 事件提取此信息：

• 来源和目标 IP 地址

• 来源和目标端口

• 协议

• 事件时间

• 事件计数（CIDEE 提供了一种接收器遵守的事件累计的方式）。

• 特征码 ID 和子 ID

• ESM 事件 ID 从 SDEE 特征码 ID 进行计算，并且 CIDEE 子特征码 ID 使用以下公式：

ESMI ID = (SDEE ID * 1000) + CIDEE sub-ID

因此，如果特征码 ID 为 2000，并且 CIDEE 子特征码 ID 为 123，ESMI 事件 ID 则为 2000123。

• VLan

• 严重性

• 事件描述

• 数据包内容（如果可用）。

如果接收器是首次连接到 SDEE 提供者，当前日期和时间则用作请求事件的起始点。以后的连接都要求自上次成功提取之后的所有事件。

添加 ArcSight 数据来源添加 ArcSight 设备的数据来源。




1 在系统导航树中，选择接收器节点。

2 单击操作工具栏上的“添加数据来源”图标。

3 在“数据来源供应商”字段中选择“ArcSight”，然后在“数据来源型号”字段中选择“公用事件格式”。

4 键入数据来源的名称，然后键入 ArcSight IP 地址。

5 填写剩余字段（请参阅“添加数据来源”）。


7 为将数据转发到 ArcSight 设备的每个来源设置数据来源。

从 ArcSight 接收到的数据将会被解析，以便在 ESM 控制台中进行查看。

公用事件格式 (CEF)ArcSight 目前使用智能连接器将 270 个数据来源中的事件转化为公用事件格式 (CEF)。CEF 是一种适用于生成事件或日志的设备的协同标准。它包含大部分相关的设备信息并能更轻松地解析和使用事件。

事件消息并不需要明确由事件生成器生成。消息使用由条形 (|) 字符分隔的字段组成的公用前进行格式化。必须使用前，并且必须显示所有指定的字段。在扩展名中指定了其他字段。格式如下：

CEF：版本|设备供应商|设备产品|设备版本|设备事件级别 Id|名称|严重性|扩展

消息的扩展名部分为其他字段的占位符。以下是前字段的定义：

• “版本”为整数，可标识 CEF 格式的版本。事件使用者使用此信息来确定字段代表的内容。目前仅以以上格式建立了版本 0（零）。根据经验可能表明其他字段必须添加到“前 ”，因此需要进行版本号更改。添加新格式通过标准正文来处理。

• “设备供应商”、“设备产品”和“设备版本”是能够唯一标识发送设备类型的字符串。两个产品不可使用相同的设备供应商和设备产品对。没有中央监管机构可管理这些产品对。事件生成器必须确保它们分配了具有唯一名称的产品对。

• “DeviceEventClassId” 是每个事件类型的唯一标识符。这可以是字符串或者整数。DeviceEventClassId 可标识所报告事件的类型。在入侵检测系统 (IDS) 范围中，检测某一活动的每个特征码或规则均分配有唯一的deviceEventClassId。其他类型的设备也同样要求如此，能够帮助关联引擎处理事件。

• “名称”是表示人类可读和可理解的事件说明的字符串。事件名称不应包含其他字段中具体提到的信息。例如“Portscan from 10.0.0.1 targeting 20.1.1.1”并不是一个好的事件名。必须为“Port scan”。其他信息是冗余的，能够从其他字段提取。

• “严重性”是一个整数，反应了事件的重要性。严重性范围为 0 到 10，其中 10 表示重要的事件。

• “扩展”是密钥值对的集合。密钥属于预先定义集的一部分。标准允许包含其他密钥，稍后会进行概述。事件可包含任意顺序任意数量的密钥值对，以空格分隔。如果字段包含空格（例如文件名），这是可以的，并能完全按照该方式进行记录。例如：

fileName=c:\Program Files\ArcSight 是有效令牌。

以下是一个可说明其外观的示例消息：

Sep 19 08:26:10 zurich CEF:0|security|threatmanager|1.0|100|worm successfully stopped|10|src=10.0.0.1dst=2.1.2.2 spt=1232

如果您使用 NetWitness，您的设备需要进行正确配置以便将 CEF 发送到接收器。默认情况下，在使用 NetWitness 时的 CEF 格式如下所示：



CEF:0|Netwitness|Informer|1.6|{name}|{name}|Medium | externalId={#sessionid} proto={#ip.proto}categorySignificance=/Normal categoryBehavior=/Authentication/Verify categoryDeviceGroup=/OScategoryOutcome=/Attempt categoryObject=/Host/Application/Service act={#action} deviceDirection=0shost={#ip.host} src={#ip.src} spt={#tcp.srcport} dhost={#ip.host} dst={#ip.dst} dport={#tcp.dstport}duser={#username} dproc=27444 fileType=security cs1={#did} cs2={#password} cs3=4 cs4=5 cn1={#rid} cn2=0cn3=0

正确的格式需要您将上述“dport”更改为“dpt”。

Adiscon 设置Syslog WMI 通过 Adiscon 提供支持。

在 Microsoft Adiscon Windows 事件数据来源的 Event Reporter 中必须提供以下格式字符串才能运行正常：

%sourceproc%,%id%,%timereported:::uxTimeStamp%,%user%,%category%,%Param0%;%Param1%;%Param2%;%Param3%;%Param4%;%Param5%;%Param6%;%Param7%;%Param8%;%Param9%;%Param10%;%Param11%;%Param12%;%Param13%;%Param14%;%Param15%

Syslog 中继支持从各种设备通过系统日志中继服务器转发事件到接收器需要额外的步骤。

您必须添加一个 syslog 中继数据来源才能接受数据流和其他数据来源。这允许接收器将数据流拆分为初始数据来源。支持 Sylog-ng 和 Splunk。此图表介绍了这一方案：

1 Cisco ASA 设备 5 数据来源 1 — 系统日志中继

2 SourceFire Snort 设备 6 数据来源 2 — Cisco ASA

3 TippingPoint 设备 7 数据来源 3 — SourceFire Snort

4 系统日志中继 8 数据来源 4 — TippingPoint

以此方案作为示例，您必须设置系统日志中继数据来源 (5) 才能从系统日志中继 (4) 接收数据流，在“Syslog 中继”字段选择“syslog”。在设置系统日志中继数据来源之后，对各个设备添加数据来源（6、7 和 8），在“系统日志中继”字段选择“无”，因为此设备不是系统日志中继服务器。

“上载系统日志消息”功能在系统日志中继设置中无法工作。

系统日志中的标题必须配置为如以下示例所示： 1 <123> 345 Oct 7 12:12:12 2012 mcafee.com httpd[123]

其中

1 = 系统日志版本（可选）

345 = 系统日志长度（可选）

<123> = 工具（可选）



Oct 7 12:12:12 2012 = 日期；支持数百种格式（必填）

mcafee.com 主机名或 IP 地址（ipv4 或 ipv6）（必填）

httpd = 应用程序名称（可选）

[123] 应用程序 pid（可选）

: = 冒号（可选）

主机名和数据字段能以任一格式显示。IPv6 地址可以括在方括号 [ ] 中。

运行 NSM-SIEM 配置工具在设置 NSM 数据来源之前，您必须运行 NSM-SIEM 配置工具。


1 下载该配置工具。

a 浏览至 McAfee 产品下载网站。

b 在“下载我的产品”搜索框中输入提供给您的客户授权号。

c 单击“搜索”。在 MFE “<产品名> <版本>”下载链接下找到产品更新文件。

d 阅读 McAfee EULA 并单击“我同意”。

e 下载“NSM-SIEM 配置工具”文件。

2 在 NSM 服务器上运行该配置工具。

该工具必须找到 NSM 的默认路径。如果未找到，则浏览至该路径。

3 输入在安装 NSM 时输入的 NSM SQL 用户、密码和数据库名。

4 在数据来源和添加了数据来源的接收器 IP 地址上输入 SIEM 用户名和密码。

将在数据来源屏幕中输入这些信息。

设置 ePolicy Orchestrator您可以设置均指向相同 IP 地址的多个 ePolicy Orchestrator 数据来源，在数据库名称字段中包含不同的名称。

这能让您设置与选择尽可能一样多的 ePolicy Orchestrator 数据来源，并使其均指向中央服务器上不同的数据库。使用提供用来访问 ePolicy Orchestrator 数据库的信息填写“用户 ID” 和“密码”字段，并使用 ePolicy Orchestrator 设备的版本填写“版本”字段。默认端口为 1433。

“数据库名称”为必填项。如果数据库名称包含短划线，则必须将名称括在括号内（例如，[ePO4_WIN-123456]）。

“ePO 查询”选项可让您查询 ePolicy Orchestrator 设备并创建客户端数据来源。如果在“使用客户端数据来源”字段中选择了默认的“按类型匹配”，并且您单击“ePO 查询”，则 ePolicy Orchestrator 设备会被查询并且任何支持的 ePolicyOrchestrator 产品会被添加为客户端数据来源。

这些产品如果完全集成到 ePolicy Orchestrator，则会受到支持：

• ANTISPYWARE • MNAC

• DLP • POLICYAUDITOR

• EPOAGENT • SITEADVISOR

• GSD • VIRUSCAN



• GSE • SOLIDCORE

• HOSTIPS

如果选择了“匹配 IP”，则 ePolicy Orchestrator 设备会被查询并对 ePolicy Orchestrator 数据库中的所有终端创建客户端数据来源。如果 ePolicy Orchestrator 数据库中存在 256 个以上的终端，则系统会使用客户端创建多个数据来源。

McAfee 风险评估日期从 ePolicy Orchestrator 服务器中获得。您可以指定从其获取 ePolicy Orchestrator 数据的多个McAfee Risk Advisor 服务器。McAfee Risk Advisor 数据通过从 ePolicy Orchestrator SQL Server 数据库的数据库查询获取。数据库查询将产生 IP 比较信誉分数列表，并对较低和较高的信誉值提供固定值。所有 ePolicy Orchestrator和 McAfee Risk Advisor 列表合并，任何重复 IP 将获得高评分。这一包含较低和较高值的合并列表被发送到任意ACE 设备，以便对 SrcIP 和 DstIP 字段进行评分。

当您添加 ePolicy Orchestrator 数据来源并单击“确定”进行保存时，系统将询问您是否要使用此数据来源来配置 McAfeeRisk Advisor 数据。如果单击“是”，将会创建并部署一个数据扩充来源和两个 ACE 评分规则（如果适用）。若要查看这些内容，请转到“启用数据扩充”和“风险关联评分”页面。若要使用评分规则，您必须创建风险关联管理器（请参阅“添加风险关联管理器”）。

IBM Internet Security System SiteProtector接收器能够通过查询 SiteProtector 用于存储其事件的 Microsoft SQL Server 数据库从 Internet Security Systems (ISS)SiteProtector 服务器检索事件。不像接收器支持的某些其他类型的数据来源那样，从 SiteProtector 服务器检索事件使用“提取”模式而不是“推送”模式。这意味着接收器会定期联系 SiteProtector 数据库并要求自上次提取事件之后生成的任何新事件。每次从 SiteProtector服务器检索事件时，事件会被处理和存储在接收器的事件数据库中，可以随时由 ESM 进行检索。

有两种设备类型选项可用：“服务器”和“托管设备”。使用选择的服务器失败类型设置数据来源是从 SiteProtector 服务器收集事件的低要求。

在配置 SiteProtector 服务器数据来源之后，从 SiteProtector 收集的所有事件均会显示为属于该数据来源，将不论将事件报告给 SiteProtector 服务器的实际资产。若要根据将事件报告给 SiteProtector 的托管资产对事件进一步分类，您可以使用选择的“托管设备”设备类型设置其他 SiteProtector 数据来源。

页面底部的“高级”选项可让您在查看事件数据时定义用来启动特定 URL 的 URL。您还可以定义公用事件格式 (CEF) 事件转发所使用的供应商、产品和版本。这些设置是可选的。

对于查询 SiteProtector 数据库中事件的接收器，托管 SiteProtector 使用的数据库的 Microsoft SQL Server 安装必须接受从 TCP/IP 协议的连接。

请参阅您的 Microsoft SQL Server 文档，了解如何启用此协议以及定义这些连接所使用的端口（默认端口为 1433）。

如果接收器是首次连接到 SiteProtector 数据库，则系统将检索自当前时间之后的新事件。以后的连接要求自上次事件成功检索之后所出现的所有事件。

接收器从 SiteProtector 事件提取以下信息：

• 来源和目标 IP 地址 (IPv4) • 事件计数

• 来源和目标端口 • VLan

• 协议 • 严重性

• 事件时间 • 事件描述

设置检查点设置涵盖提供程序 1、检查点高可用性和标准的检查点环境的数据来源。您的第一步是添加父检查点数据来源（请参阅“添加数据来源”）。如果您的父数据来源未充当日志服务器并且您有专用的日志服务器，则您必须为日志服务器添加数据来源。也可以根据需要添加子数据来源。如果您处于高可用性的环境中，则必须为每个次要 SMS/CMA 添加子数据来源。




1 为您的 SMS/CMA 添加父数据来源，其中存储了 OPSEC 应用程序/证书，如果是在接收器 HA，则为您的主要SMS/CMA。

OPSEC 与 FIPS 不兼容。如果您需要遵守 FIPS 规则，则不要使用此功能（请参阅“附录 A”）。

2 单击“选项”。

3 在“高级设置”页面中，选择通信方法，然后键入此数据来源的“服务器实体识别名”。

4 单击两次“确定”。

5 如果需要，执行以下操作：

如果您收到此错误…… 执行以下操作……

“SIC Error for lea: Clientcould not choose anauthentication methodfor service lea” （SIC lea错误：客户端无法为服务lea 选择身份验证方法）

1 验证在您添加检查点数据来源时是否为“使用身份验证”和“使用加密”选择了正确的设置。

如果仅选择了“使用身份验证”，OPSEC 客户端则尝试与使用“sslca_clear”的日志服务器进行通信。如果选择了“使用身份验证”和“使用加密”，OPSEC 客户端则尝试与使用“sslca”的日志服务器进行通信。如果两者都没有选择，OPSEC 客户端则尝试与使用“无”的日志服务器进行通信。

2 验证您用来与检查点日志服务器进行通信的 OPSEC 应用程序是否在“ClientEntities”（客户端实体）部分选中了“LEA”（LEA）。

3 如果这些步骤均验证正确，则在您的检查点日志服务器安装中找到 sic_policy.conf文件。例如，在基于 Linux 的 R65 系统中，文件位于 /var/opt/CPshrd-R65/conf。

4 当您确定哪一通信方法（文件中的身份验证方法）可允许日志服务器的 LEA 通信方法时，在“高级设置”页面选择该通信方法为“通信方法”。

“SIC lea 错误：对等项发送了错误的识别名：<expected dn>”

• 通过在错误消息中输入表示“<expected dn>”的字符串，为“服务器实体识别名”文本框提供一个字符串。

备用方法是通过在 Smart Dashboard UI 中查找检查点日志服务器的网络对象来找到检查点日志服务器的识别名。

SMS/CMA 的识别名与 OPSEC 应用程序的识别名相似，仅使用 CN=cp_mgmt 替换第一个条目。例如，考虑 CN 的 OPSEC 应用程序识别名=mcafee_OPSEC,O=r75..n55nc3。SMS/CMA 识别名将为 CN=cp_mgmt、O=r75..n55nc3。日志服务器的识别名如下所示：CN=CPlogserver、O=r75..n55nc3。

6 为每个防火墙、日志服务器或由您设置的父数据来源托管的次要 SMS/CMA 添加子数据来源（请参阅“添加子数据来源”）。

所有防火墙/网关数据来源的设备类型为“安全设备”。“父报告控制台”默认为父数据来源。

McAfee 规则集该表列出 McAfee 规则集，以及外部数据来源 ID。

数据来源 ID 显示名称对应 RSID 规则范围

50201 防火墙 0 2,000,000–2,099,999

50202 自定义防火墙 0 2,200,000–2,299,999

50203 自定义特征码 0 5,000,000–5,999,999

50204 内部 0 3,000,000–3,999,999



数据来源 ID 显示名称对应 RSID 规则范围

50205 漏洞和缺陷 2 无

50206 成人内容 5 无

50207 聊天 8 无

50208 策略 11 无

50209 对等 14 无

50210 多媒体 17 无

50211 Alpha 25 无

50212 病毒 28 无

50213 周边安全应用程序 31 无

50214 网关 33 无

50215 恶意软件 35 无

50216 SCADA 40 无

50217 MCAFEESYSLOG 41 无

接收器资产来源资产是包含 IP 地址的网络中的任何设备。 “资产管理器”中的“资产”选项卡可让您创建资产、更改其标记、创建资产组、添加资产来源并将资产分配到资产组。也可以让您利用从其中一个 VA 供应商那了解到的资产。

“接收器属性”中的“资产来源”功能可让您从 “Active Directory”（如果您有）中检索数据。在完成此过程之后，您可以通过在“来源用户”和“目标用户”视图查询过滤器字段中选择检索的用户或组来过滤事件数据。这提高了您在提供合规性数据以符合某些要求（例如 PCI）方面的能力。ESM 仅能有一个资产来源。接收器可具有多个资产来源。

如果两个资产发现来源找到相同资产，具有高优先级的发现方法则会将发现的资产添加到表中。如果两个发现来源具有相同优先级，则发现资产的近一个发现来源优先于第一个发现来源。

另请参阅添加资产来源第 85 页

添加资产来源若要从“Active Directory”中检索数据，您必须配置接收器。


1 在系统导航树中，选择“接收器属性”，然后单击“资产来源”。

2 单击“添加”，然后填写所需的信息。

3 单击“确定”，然后在“资产来源”页面单击“写入”。

另请参阅接收器资产来源第 85 页

Enterprise Log Search (ELS) 设置Enterprise Log Search (ELS) 会在特定持续时间内保留不压缩的日志数据，能够让您加快从 ESM 信息显示板中搜索ELS 数据。

在设置 ELS 之前，识别以下信息：



• 存储设备 - 保留不压缩的数据需要额外的存储空间。与您的团队合作，确定适用于您的环境的存储要求，例如额外的硬盘驱动器或网络存储设备。

• 保留策略 - 确定您希望特定未压缩数据在 ELS 设备上保留多长时间。您多可以添加六项保留策略及以年（365天）、季度（90 天）或月（30 天）为单位的持续时间。

• 数据来源 - 识别哪些数据来源与 ELS 相关联。您可以将数据来源与 ELS 或 ELM 相关联，但不能与以上两者同时关联。

另请参阅配置 ELS 第 86 页搜索 ELS 数据第 87 页

配置 ELS要搜索 ELS 日志数据，请将 ELS 设备添加到控制台，设置 ELS 存储和保留策略，并将数据源与特定的保留策略关联。

开始之前设置和安装虚拟和物理设备。

任务1 单击，然后单击“配置”。

2 将 ELS 设备添加至控制台。

a 在操作工具栏上，单击，然后选择“McAfee Enterprise Log Search”。单击“下一步”。

b 输入唯一的“设备名称”，然后单击“下一步”。

c 输入目标 IP 地址或 URL、目标 SSH 端口号和设备的网络时间协议 (NTP) 设置。单击“下一步”。

d 输入该设备的密码，然后单击“下一步”。

3 设置存储。

保留未压缩的数据可加速 ELS 搜索功能。但是，它需要额外存储空间，例如硬盘或网络存储空间。

a 选择“ELS”，单击，然后单击“数据存储”。

b 如果使用 iSCSI、DAS、SAN 或虚拟本地驱动器，请在顶部网格中填入信息。

c 如果使用 SAN、虚拟本地驱动器、NFS、iSCSI 或 CIFS，请在下面的网格中单击“添加”。

d 输入正确的参数，然后单击“确定”。

4 添加保留策略（多添加六项）。

要搜索 ELS 日志数据，您必须至少有一项保留策略。系统会将创建的第一项保留策略设置为默认值。如果只有一项策略，您可以进行更改，但不能将其删除。当您创建第一项保留策略时，ELS 不能接受六个月之前的数据。

a 选择“ELS”，单击，然后单击“保留策略”。

b 单击“添加”。

c 指定保留策略的名称和持续时间，然后单击“确定”。

系统会以天为单位存储持续时间。您能够以年（365 天）、季度（90 天）或月（30 天）为单位设置持续时间。



5 将数据源与保留策略相关联。

您可以将数据源与 ELS 或 ELM 相关联，但不能与以上两者同时关联。

a 选择数据源（例如接收器），然后单击。

b 单击“数据来源”。

c 在“日志记录”列中，选择相关复选框以显示“日志数据选项”屏幕。

d 选择您想要与该数据来源关联的保留策略，然后单击“确定”。

另请参阅 Enterprise Log Search (ELS) 设置第 85 页搜索 ELS 数据第 87 页

搜索 ELS 数据从 ESM 信息显示板，快速搜索特定时间段内的未压缩日志数据。

开始之前配置 ELS。

任务• 在信息显示板中，单击并选择“ELS 搜索”。

• 在“过滤器”栏中，输入您想要寻找的信息。单击以开始搜索。

• 单击“搜索设置”以创建高级搜索。

• 单击“搜索历史记录”以查看与重新运行之前的搜索。

另请参阅 Enterprise Log Search (ELS) 设置第 85 页配置 ELS 第 86 页

Enterprise Log Manager (ELM) 设置ELM 支持存储、管理、访问和报告日志数据。ELM 收到的数据在包含存储设备的存储池中编组。保留时间与各个存储池相关，数据将在指定的时间段内保留在池中。政府、行业和企业规定对日志的保管时间要求各不相同。

您可以在 ELM 上设置搜索和完整性检查工作。各个作业均可访问存储的日志并检索或检查您在作业中定义的数据。然后可以查看结果并导出信息。

要配置 ELM，您必须了解以下信息：• 正在 ELM 上存储日志的来源

• 所需的存储池及其数据保留时间

• 存储数据所需的存储设备

通常情况下您了解在 ELM 上存储日志的来源以及所需的存储池。您不知道用于存储数据的必要存储设备。以下是消除不确定性的佳做法：

1 对存储要求进行保守评估。

9.0.0 及更高版本中的 ELM 存储池需要 10% 的分配空间来镜像内部整理自检。计算所需的空间时，请务必确保您将这 10% 的空间计算在内。



2 配置 ELM 存储设备以满足评估要求。

3 查看 ELM 上的短时间存储的日志。

4 使用 ELM 存储数据信息更改存储设备配置，以满足实际的数据存储需求。

准备在 ELM 上存储数据您必须要执行若干步骤才可以将 ELM 配置为存储数据。

步骤

操作说明

1 定义数据保留时间

根据 ELM 安装要求，定义所需的不同数据保留时间数量。常用数据保留时间包括：• SOX – 7 年 • Basel II – 7 年

• PCI – 1 年 • HIPAA – 6 或 7 年

• GLBA – 6 年 • NERC – 3 年

• EU DR Directive – 2 年 • FISMA – 3 年

2 定义日志数据来源

目标是定义存储在 ELM 上的日志的所有来源，并评估平均每天每个 ELM 生成的日志字节大小和日志数。这仅需进行评估即可。先评估不同类型来源每天平均日志字节大小和生成的日志数，然后评估各类来源数量，这样可能更容易些。下一步要求将各个来源与步骤 1 中定义的保留时间相关联。请在估计来源类型（例如 SOX 防火墙、PCI DEM）时考虑该因素。

3 定义存储池

根据 ELM 安装要求，将每个日志来源或来源与数据保留时间相关联，从而定义 ELM 安装所需的存储池设置。

4 评估存储池大小要求

从以下等式中选择一个等式估计各个存储池的存储要求：• 使用单个来源：

IRSGB = 0.1*(DRTD*SUM(DSAB*DSALPD))/(1024*1024*1024)

Where

IRSGB= 初所需的存储（以千兆字节表示）

DRTD = 数据保留时间（以天表示）

SUM() = 所有数据来源总数

DSAB = 每个日志的数据来源平均字节数

DSALPD = 每天的数据来源平均日志数

• 使用来源类型：IRSGB = 0.1*(DRTD*SUM(NDS*DSTAB*DSTALPD))/(1024*1024*1024)

Where

IRSGB= 初所需的存储（以千兆字节表示）


NDS = 某个数据来源类型的数据来源数量

SUM() = 所有数据来源类型总数

DSAB = 每个日志的数据来源类型平均字节数

DSALPD = 每天的数据来源类型平均日志数

5 创建初始存储设备

创建一个或多个 ELM 存储设备，以便有足够的空间来存储每个 IRSGB 数据（请参阅“添加存储设备”）。



步骤

操作说明

6 创建存储池

针对您在步骤 3 中定义的各个存储池，通过以下因素创建 ELM 存储池：• 步骤 1 中关联的保留时间

• 步骤 4 中关联的 IRSGB 值

• 步骤 5 中关联的存储设备（请参阅“添加存储池”）

7 开始记录数据

配置来源以将其日志发送到 ELM，并持续该操作 1 到 2 天。

8 完善对存储池大小要求的估计

使用以下等式完善步骤 6 中所创建存储池的存储要求评估。

RSGB = 1.1*DRTD*SPABRPD/(1024*1024*1024)

Where

RSGB= 所需的存储（以千兆字节表示）


SPABRPD = 统计报告中存储池的每日“平均字节率”

9 更改或创建存储设备

针对步骤 8 中的每个 RSGB 值，更改或创建 ELM 存储设备，以便有足够的空间来存储 RSGB 数据。

10 更改存储池

如果需要，请通过添加步骤 9 中创建的存储设备或增加现有的存储设备分配来更改步骤 6 中创建的每个存储池。

设置 ELM 存储ELM 必须具有至少一个存储设备的访问权限才可存储日志。

ELM 安装的存储要求是管理数据来源数量、其日志记录特性和数据保留时间要求的一项功能。存储要求随时间的变化而变化，这是因为在 ELM 安装的过程中可能发生任何情况。

有关评估和调整系统存储要求的详细信息，请参见“ELM 设置”。

ELM 存储术语

回顾与 ELM 存储有关的术语：

• 存储设备 — 可供 ELM 存取的数据存储设备。有些 ELM 模型可提供场内存储设备，有些可提供 SAN 连接功能，有些二者皆可提供。所有的 ELM 模型都可提供 NAS 连接功能。

• 存储分配 — 特定存储设备上的特定数据存储容量（例如 NAS 存储设备上为 1 TB）。

• 数据保留时间 — 存储日志所需的时间。

• 存储池 — 与数据保留时间（指定日志存储所需的大天数）相结合的一个或多个存储分配，可共同指定总存储量。

• 日志来源 — 存储 ELM 的任何日志来源。

ELM 存储设备类型

如果您要向 ELM 添加存储设备，则必须选择设备类型。您要添加或编辑设备，需要注意一些事项。



设备类型详细信息

NFS 若要编辑包含 ELM 管理数据库的存储设备的远程安装点，请使用“迁移数据库”选项将数据库移动到其他存储设备（请参见“迁移 ELM 数据库”）。然后便可以安全地更改远程安装点字段，并将数据库移回已更新的存储设备。

CIFS • 与版本高于 3.2 的 Samba 服务器同时使用 CIFS 共享类型可能导致数据丢失。

• 连接到 CIFS 共享时，请不要在密码中使用逗号。

• 如果您正使用 Windows 7 计算机作为 CIFS 共享，请参见“禁用 HomeGroup 文件共享”。

iSCSI • 连接到 iSCSI 共享时，请不要在密码中使用逗号。

• 尝试将多台设备附加到 IQN 可能导致数据丢失和其他配置问题。

SAN SAN 选项仅在 SAN 卡安装到 ELM 上且有可用的 SAN 卷时才可以使用。

虚拟本地该选项仅在已将虚拟本地设备添加至虚拟 ELM 时才可用。您必须要在将设备用于存储前对其进行格式化（请参阅“设置虚拟本地驱动器，以存储数据”）。

禁用 HomeGroup 文件共享Windows 7 要求您使用 HomeGroup 文件共享，可与其他 Windows 7 计算机共同使用，但不能与 Samba 共同使用。要使用 Windows 7 计算机作为 CIFS 共享，则必须禁用 HomeGroup 文件共享。


1 打开 Windows 7“控制面板”，然后选择“网络和共享中心”。

2 单击“更改高级共享设置”。

3 单击“主页或工作”配置文件，并确保其标记为当前配置文件。

4 打开网络发现、文件和打印机共享以及公用文件夹。

5 使用 CIFS 访问您希望共享的文件夹（首先尝试公用文件夹）并右键单击该文件夹。

6 选择“属性”，然后单击“共享”选项卡。

7 单击“高级共享”，然后选择“共享此文件夹”。

8 （可选）更改共享名称，然后单击“权限。”

确保您具备所需的权限集（“更改”中的注销记录 = 可写入）。如果您已启用密码受保护的共享，则需要对设置作出调整，以确保 Ubuntu 用户也具有相应权限。

添加存储设备以链接到存储池要将存储设备添加到存储位置列表，您必须定义其参数。

编辑存储设备时，您可以增加大小，但不能减少。如果设备正在存储数据，则无法删除该设备。


1 在系统导航树中选择“ELM 属性”，然后单击“存储池”。

2 单击上部表旁边的“添加”。



3 在“添加存储设备”页面填写所需的信息。

4 单击“确定”，以保存设置。

设备已添加到可用 ELM 存储设备列表。

您可以从“存储池”页面的表中编辑或删除存储设备。


选项定义

“设备类型” 选择存储设备类型。迁移 ELM 数据库要求至少存在 506 GB 可用磁盘空间。请参阅“设置ELM 存储”中的 “ELM 存储设备类型”，了解各个类型的详细信息。

“ 名称 ” 输入存储设备的名称。

“ 大大小” 选择您希望在此设备上分配的大存储空间。• 将远程存储设备添加至 ELM 时，“ 大大小”默认为 4 GB。存储空间的百分之一会保留

下来，以用于管理远程存储。

• 添加虚拟本地存储设备时，“ 大大小”默认为设备的总存储容量。系统会保存下 6 GB 存储空间，用于管理虚拟存储。您无法调整该字段。

“IP 地址”，“远程安装点”，“远程路径”

为 NFS 设备输入此信息。

“IP 地址”，“远程共享名称”，“路径”，“用户名”，“密码”

为 CIFS 设备输入此信息。

“iSCSI 设备” 选择您已添加的设备（请参阅“添加 iSCSI 设备”）。

“iSCSI IQN” 选择 IQN。

“SAN” 选择您已添加的 SAN 卷（请参阅“格式化 SAN 存储设备以存储 ELM 数据”）

“虚拟本地卷” 选择虚拟本地存储设备。该选项仅在设备类型为“虚拟本地”时可用。


选项定义

“ 数据存储设备 ” 选择要添加的设备。如果您要选择的设备不在列表之内，则必须要添加该列表（请参见“添加存储设备”）。

一台设备可同时分配给多个池。

“存储空间” 选择该设备的大存储空间用于存储数据。

10% 的存储空间将用于内部整理自检。如果您在存储空间字段选择 4GB，则实际可用于存储数据的空间为 3.6GB。

“ 镜像数据存储设备”

如果您希望此存储设备上的数据镜像到其他设备上，则请选择其他存储设备（请参见“添加镜像ELM 数据存储”）。

添加或编辑存储池存储池包含一个或多个存储分配和一个数据保留时间。要定义 ELM 日志的存储位置及其保留时间，请将其添加至ELM。





2 单击页面底部表旁边的“添加”或“编辑”，然后填写或更改所需的信息。


保存参数后，可对其进行编辑，然后可以在存储池以及为其分配的设备未存储数据的情况下删除存储池。


选项定义

“添加”存储设备添加要与存储池一起使用的存储设备用于数据保留。

“编辑”存储设备更改现有存储设备的设置。

“删除”存储设备从系统中删除存储设备。

“添加”存储池添加存储池，以便在指定的时间段内大限度地保存数据。

“编辑”存储池更改存储池名称或现有存储池的保留时间段。为定义的存储设备中的池添加空间。

“删除”存储池从系统中删除存储池。

“重建” 修复已与其中一个存储设备失去联系的存储池。此选项仅在镜像存储设备出现问题时可用。

“减小大小” 减小每个分配的空间大小。

“刷新” 更新表中信息。


选项定义

“存储池名称” 输入此池的名称。

“ 数据保留时间 ” 选择您希望存储此数据的时间。

“已设置连接的数据存储设备”

列出链接到此存储池的设备要添加设备，请单击“添加”。

使用网络协议（CIFS、NFS 和 iSCSI）的镜像分配要求特定配置以可靠运行，如位于同一交换机和具有较低的延迟。建议的网络规格包括：

• 总延迟（服务器和网络）— 10 ms

• 总通量（服务器和网络）— 20 Mb/sec

假设镜像 100% 可用性共享。

“已启用”列选择您希望启用的设备用于存储数据。镜像的存储设备在镜像过程完成前将处于禁用状态。

移动存储池您可以将存储池从一台设备移动到另一台设备。

开始之前设置您希望将存储池移动到其中的存储设备，使之成为当前保存存储池设备的镜像（请参见“添加镜像ELM 数据存储”）。




1 在系统导航树中，选择保存存储池的 ELM，然后单击“属性”图标。

2 单击“存储池”。

3 在“存储池”表中，单击池中所列的要删除的镜像设备。

4 单击“编辑”，然后从“数据存储设备”下拉列表中选择镜像存储池的设备删除。

该设备即可成为主要数据存储设备。

5 要镜像新的数据存储设备，请从“镜像数据存储设备”下拉列表选择一个设备，然后单击“确定”。

减小存储分配大小如果因向存储池分配空间造成存储设备已满，您可能需要减少各个分配的空间大小。这可能需要在此设备上为更多存储池分配空间。

如果减小分配空间大小会影响数据，则可将数据移动到池中的其他分配（如果空间可用）。如果空间不足，则原有的数据将删除。



2 在底部的表中，选择要减小空间的池，然后单击“减小大小”。

3 输入要减小的存储空间，然后单击“确定。”

镜像 ELM 数据存储您可以设置其他 ELM 存储设备以镜像主要设备中收集的数据。

不论何种原因导致主要设备发生故障，备用设备都将继续存储数据。如果主要设备恢复正常，则它将自动与备用设备同步，然后继续存储数据。如果主要设备出现永久性故障，则可以重新将备用设备指定为 ESM 上的主要设备，然后指定其他设备对其进行镜像操作。

无论哪一设备发生故障，系统导航树上的 ELM 设备旁边都将显示健康状态标记。

镜像存储池可能失去与存储设备之间的连接。失去连接的原因可能为：• 文件服务器或 ELM 与文件服务器之间的网络发生故障。

• 关闭文件服务器或网络以进行维护。

• 分配文件无意中删除。

如果镜像出现问题，存储设备将会在“存储池”表中显示警告图标。您可以使用“重建”功能来修复。

添加镜像 ELM 数据存储添加到可用设备列表中的任何存储设备如果具有所需的空间，则可用于镜像保存在 ELM 存储设备中的数据。

开始之前将您希望用于互相镜像的两台设备添加到 ESM 中。





2 单击底部表旁边的“添加”。

3 在“添加存储池”页面输入所需的信息，然后单击“添加”以选择存储设备和镜像设备。

一台设备可同时分配给多个池。

4 单击“确定”两次。

重建镜像存储池如果镜像存储池与其存储设备失去联系，则可以使用“重建”功能修复。



2 将鼠标悬停在镜像设备上将显示警告图标。

工具提示将通知您 ELM 分配正在重建，或者镜像设备需要重建。

3 要重建镜像设备，请单击设备，然后单击“重建”。

该过程完成后，系统将通知您分配重建成功。

禁用镜像设备要停止蒋某设备用作存储池镜像设备，则必须选择其他设备来替换它，或者选择“无”。


1 在系统导航树中，选择当前在该导航树中保存镜像存储池的 ELM，然后单击“属性” 图标。

2 单击“存储池”，然后在“存储池”表中选择镜像设备并单击“编辑”。

3 执行以下任一操作：• 如果“镜像数据存储设备”字段中选择的设备就是您要禁用的设备，请单击该字段中的下拉箭头并选择其他设备来

镜像数据存储设备，或者选择“无”。

• 如果“数据存储设备”字段中选择的设备就是您要禁用的设备，请单击该字段中的下拉箭头并选择其他设备作为数据存储设备。

4 单击“确定”保存更改。

如果该设备不再为镜像设备，仍会显示在“存储设备”表中。

设置外部数据存储可设置以下四种类型的外部存储来存储 ELM 数据：iSCSI、SAN、DAS 和虚拟本地。您将这些外部存储类型连接到ELM 之后，即可进行设置，以存储 ELM 中的数据。




1 在系统导航树中选择“ELM 属性”，然后单击“数据存储”。

系统会在适当的选项卡上返回所有可用的存储设备。

2 单击“iSCSI”、“SAN”、“DAS”或“虚拟本地”选项卡，然后完成以下要求的步骤。


添加 iSCSI 设备要针对 ELM 存储使用 iSCSI 设备，必须配置与设备之间的连接。



2 在“iSCSI”选项卡中单击“添加”。

3 输入所需的信息，然后单击“确定”。

如果连接成功，设备及其 IQN 将添加到“iSCSI 配置”列表以及“添加存储设备”页面的“设备类型”列表中。

一旦 IQN 开始存储 ELM 日志，将无法删除 iSCSI 目标。由于存在此限制，请确保以充足的空间设置 iSCSI 目标以进行 ELM 存储。

4 使用 IQN 进行 ELM 存储前，请先在列表中选择 IQN，然后单击“格式”。

5 要在格式化过程中检查其状态，请单击“检查状态”。

6 要发现或重新发现 IQN，请单击 iSCSI 设备，然后单击“发现”。

尝试将多个设备分配到 IQN 可能导致数据丢失。


选项定义

“ 添加 ” 添加连接到 iSCSI 设备所需的参数。

“删除” 删除所选的 iSCSI 连接。

“发现” 针对所选的 iSCSI 发现或者重新发现 IQN。

“检查状态” 格式化过程中检查 IQN 的状态。

“格式” 先格式化所选的 IQN，然后将其用于 ELM 存储。


选项定义

“ 名称 ” 输入 iSCSI 设备的名称。

“ IP 地址 ” 输入 iSCSI 设备的 IP 地址

“端口” 选择 iSCSI 设备的端口。



格式化 SAN 存储设备以存储 ELM 数据如果您的系统中有 SAN 卡，则可以使用该卡存储 ELM 数据。

开始之前在系统中安装 SAN 卡（请参阅 McAfee ESM 安装指南中的安装 qLogic 2460 或 2562 SAN 适配器，或者联系 McAfee 支持）。



2 单击 “SAN” 选项卡，然后检查经检测的 SAN 卷的状态。• “必要的格式化” — 该卷必须进行格式化，且不会显示在“添加存储设备”页面的可用卷列表中。

• “格式” — 该卷正在进行格式化，且不会显示在可用卷列表中。

• “就绪” — 该卷已进行格式化，且包含一个可识别的文件系统。这些卷可用于存储 ELM 数据。

3 如果您希望将数据存储到未经格式化的卷中，请单击该卷，然后单击“格式”。

如果您格式化卷，则所有存储数据都将删除。

4 要查看格式化是否完成，请单击“刷新”。

如果格式化已完成，则状态将更改为“就绪”。

5 要在页面底部查看卷的详细信息，请单击该卷。

现在您可以将格式化了的 SAN 卷格设置为存储设备，以进行 ELM 存储。

分配 DAS 设备以存储数据您可以分配可用的 DAS 设备以存储 ELM 数据。

开始之前设置 DAS 设备。


1 在系统导航树中，选择您要对其分配 DAS 设备的 ELM，然后单击“属性”图标。

在一体化设备中，要将 DAS 分配给 ESM，可以选择 ESM，然后单击“属性”图标。

2 单击“数据存储”，然后单击“DAS”选项卡。

“DAS”表列出了可用于存储的设备。

3 在表中单击尚未分配设备中的一个设备，以存储 ELM 或 ESM 数据。

4 单击“分配”，然后在警告页面单击“是”。

一旦分配了设备便无法更改。

ELM 将重新启动。



设置虚拟本地驱动器，以存储数据检测并格式化虚拟 ELM 上的虚拟存储设备。然后可将其用于数据库迁移和存储池中。

开始之前从虚拟环境中将虚拟本地存储设备添加至虚拟 ELM。若要添加存储，请参阅虚拟机环境的相关文档。

受支持的虚拟环境• VMware

• KVM

• Amazon Web Service

受支持的驱动器格式

• SCSI

• SATA

IDE 不受支持。


1 在系统导航树中，选择虚拟 ELM，再单击“属性”图标，然后单击“数据存储”。

系统返回所有可用存储设备时，会显示正在加载的图标。如果系统中存在冗余 ESM，则会将设备返回到“冗余”选项卡下。

根和引导分区不作为可行的存储选项。

2 单击“虚拟本地”选项卡，然后从可用虚拟设备列表中选择设备。

“虚拟本地”选项卡仅在系统检测到虚拟存储时可用。

3 如果“状态”列显示“需要格式化”，则请单击“格式化”将存在 ext4 文件格式的设备格式化。

该状态更改为“就绪”。

现在，您可以将该设备用于数据库迁移和存储池。

ELM 冗余通过在系统上向当前的独立 ELM 中添加备用 ELM，便可提供记录冗余。

要启用冗余，请定义两个 EML 上的 IP 地址和其他网络信息（请参阅“设置 ELM 冗余”）。备用 ELM 的存储设备必须具有足够整合空间，以与活动 ELM 上的存储相匹配。设置完毕后，这两个 ELM 上的配置即同步，并且备用 ELM 保持这两个设备之间的数据同步。

使用 ELM 冗余时您有几个操作要执行：切换、返回至服务、挂起、删除和查看状态。所有操作都可在 “ELM 属性” |“ELM 冗余” 页面上执行。

切换

如果主 ELM 关闭或需要替换，请选择“切换 ELM”。备用 ELM 则变为活动状态并且系统将所有记录设备与其关联。在切换过程中，将锁定日志记录和配置操作。



返回至服务

如果备用 ELM 关闭，当它恢复运行时您必须将其返回至服务。如果未检测到配置文件发生更改，则冗余过程会像之前一样继续。如果检测到文件中的差异，则未出现问题的存储池会继续维持冗余过程，但会返回错误状态，表示一个或多个池配置失效。您必须手动修复这些池。

如果已更换或重新配置备用 ELM，则系统会检测到并提示您重新锁定备用 ELM。随后，活动 ELM 会将所有配置文件同步到备用 ELM，冗余过程会像之前一样继续。

挂起

如果备用 ELM 关闭或因任何原因即将关闭，您可以挂起与备用 ELM 的通信。所有通信都会停止，并且会屏蔽针对冗余的错误通知。如果备用 ELM 恢复运行，请执行“返回至服务”过程。

在 ELM 上禁用冗余

您可以通过选择“删除”来禁用 ELM 冗余。活动 ELM 会保存冗余配置文件的副本。如果此备份文件在启用 ELM 冗余时被找到，系统会询问您是否要还原保存的配置文件。

查看状态

通过选择“状态”，您可以查看活动 ELM 与备用 ELM 之间的数据同步状态详细信息。

另请参阅设置 ELM 冗余第 98 页

设置 ELM 冗余如果您的系统上具有独立的 ELM 设备，则可以通过添加备用 ELM 来提供记录冗余。

开始之前您必须安装独立的 ELM（请参阅“McAfee Enterprise Security Manager 9.5.0 安装指南”）并将其添加到ESM 控制台（请参阅“将设备添加到 ESM 控制台”）。您还必须安装备用 ELM 但不将其添加到控制台。请确保备用 ELM 上没有数据。如果需要恢复出厂设置，请联系 McAfee 支持。


1 在系统导航树中，单击 ELM，然后单击“属性”图标。

2 在 “ELM 属性”页面中，单击 “ELM 冗余”，然后单击“启用”。

3 输入备用 ELM 的 IP 地址和密码，然后单击“确定”。

4 在 “ELM 属性”页面上，单击“存储池”，然后验证是否已选定“活动”选项卡。

5 向活动 ELM 中添加存储设备（请参阅“添加存储设备以链接到存储池”）。

6 单击“备用”选项卡，然后添加具有足够整合空间的存储设备，以与活动 ELM 上的存储相匹配。

7 向每个 ELM 中添加一个或多个存储池（请参阅“添加或编辑存储池”）。

两个 ELM 上的配置现在将同步，并且备用 ELM 保持这两个设备之间的数据同步。




选项定义

仅当 ELM 冗余未启用时可用。

“ 启用 ” 单击此选项，然后添加备用 ELM 数据以激活 ELM 冗余。

仅当 ELM 冗余启用时可用

“ 删除 ” 单击此选项可以在 ELM 上禁用冗余。

“切换 ELM” 单击此选项可以切换 ELM，以使备用 ELM 变为主 ELM。系统会将所有日志记录设备与其关联。在切换过程中，将锁定日志记录和配置操作。

“挂起” 单击此选项可以在备用 ELM 出现问题时挂起与备用 ELM 的通信。所有通信都会停止，并且会屏蔽针对冗余的错误通知。恢复备用 ELM 后，单击“返回至服务”。

“状态” 单击此选项您可以查看活动 ELM 与备用 ELM 之间的数据同步状态详细信息。

“返回至服务” 单击此选项可以将修复或替换的备份 ELM 返回至服务。如果系统使 ELM 恢复正常并且未检测到配置文件发生更改，则冗余过程会像之前一样继续。如果系统检测到差异，则未出现问题的存储池会继续维持冗余过程，并且系统会发出通知，表示一个或多个池配置失效。请手动修复这些池。如果更换或重新配置备用 ELM，则系统会检测到并提示您更新备用 ELM 的密钥。随后，活动 ELM 会将所有配置文件同步到备用 ELM，冗余过程会像之前一样继续。

另请参阅 ELM 冗余第 97 页

管理 ELM 压缩压缩 ELM 中数据以保存磁盘空间或实现每秒处理更多日志。

这三个选项为“低”（默认）、 “中”和“高”。该表显示有关各个级别的详细信息。

级别压缩率大压缩比例每秒钟处理的大日志数比例

“低” 14:1 72% 100%

“中” 17:1 87% 75%

“高” 20:1 100% 50%

实际压缩率大小取决于日志的内容。

• 如果您希望节省更多的磁盘空间，而不介意每秒钟能够处理多少日志，则选择高级别的压缩。

• 如果您更希望每秒钟内能够处理更多的日志而不介意所节省磁盘空间的大小，则选择低级别的压缩。

另请参阅设置 ELM 压缩第 99 页

设置 ELM 压缩选择适用于进入 ELM 中数据的压缩级别，以节省磁盘空间或处理更多日志。


1 在系统导航树中选择“ELM 属性”，然后单击 “ELM 配置” | “压缩”。

2 选择 ELM 压缩级别，然后单击“确定”。

级别更新后，系统将给出通知。




选项定义

“ ELM 压缩机别” 选择“低”，“中”或“高”。有关各项设置的详细信息，请参阅“设置 ELM 压缩”。

另请参阅管理 ELM 压缩第 99 页

备份和还原 ELM备份 ELM 设备的当前设置，以便在系统故障或数据丢失时将其还原。所有配置设置，包括 ELM 日志记录数据库都将保存。存储在 ELM 中的实际日志并未备份。建议您镜像在 ELM 上存储日志数据的设备，并镜像 ELM 管理数据库。镜像功能会提供实时的日志数据备份。


1 在系统导航树中选择“ELM 属性”。

2 确保已选择“ELM 信息”，然后单击“备份和还原”。



立即备份 ELM 提供所需信息，然后单击“立即备份。”

自动备份 ELM 设置选择频率并提供信息。

立即还原备份单击“立即还原备份”。从先前备份将 ELM 数据库还原为设置。


选项定义

“备份频率” 要自动备份设置，请选择此选项并输入频率。

“备份位置” 选择共享类型，然后为远程位置输入信息，此处该信息将得以保存。

“连接” 单击以测试连接。

“立即备份” 单击以立即备份数据。

“还原备份” 单击以从先前备份还原 ELM 数据库。ELM 数据存储未还原。

“还原 ELM” 还原管理数据库和 ELM 数据存储。

还原 ELM 管理数据库和日志数据要替换 ELM，请将管理数据库和日志数据还原到新的 ELM。要实现此操作，必须对数据库和日志数据进行镜像。

要将数据从原有的 ELM 还原到新的 ELM，请不要使用“添加设备”向导创建新的 ELM。


1 在系统导航树中，针对必须要替换的 ELM 选择“ELM 属性”。

警告页面将显示系统无法找到 ELM。

2 关闭警告页面，然后单击“连接”。

3 输入新 ELM 的 IP 地址，然后单击 “密钥管理” | “锁定设备”。

成功锁定新设备之后将发送通知。



4 设定与该设备相关联的密码并输入，然后单击“下一步”。

5 单击 “ELM 信息” | “备份和还原” | “还原 ELM”。

6 通过单击“同步 ELM”重新同步记录到 ELM 的各个设备，“同步 ELM”位于各个设备的“属性” | “配置” 页面。

管理数据库和 ELM 数据存储还原到新的 ELM 中。该过程可能会耗时数小时。

定义备用存储位置要在 ELM 之外的位置存储 ELM 管理数据库记录，必须定义备用的存储位置。您也可以选择其他设备来镜像存储的内容。


1 在系统导航树中选择“ELM 属性”，然后单击 “ELM 配置” | “迁移数据库”。

2 选择存储设备和镜像设备。



选项定义

千兆字节空间设置要为管理数据库分配的空间量。

“ 数据存储设备 ” 选择要存储管理数据库的位置。

如果您需要将设备添加到列表或编辑当前位于列表中的设备，请参见“添加存储设备”。

“ 镜像数据存储设备 ” 选择其他存储位置来镜像数据存储设备。

如果您从 9.0 之前的版本更新系统，则首次选择镜像任意现有设备时，该过程将会花费大量的时间。

另请参阅迁移 ELM 数据库第 102 页替换 ELM 已镜像的管理数据库第 102 页

查看 ELM 存储使用情况查看 ELM 存储的使用情况可帮您决定如何在设备上进行空间分配。


1 在系统导航树中选择“ELM 属性”，然后单击“ELM 管理”。

2 单击“查看使用情况”。

此时会打开“使用情况统计信息”页面，该页面将显示 ELM 上存储设备和池的统计信息。




迁移 ELM 数据库ELM 管理数据库可存储能够追踪发送给 ELM 的日志的记录。ELM 设备上用于存储管理数据库的磁盘空间大小取决于模型。

首次添加这些设备时，系统将会验证是否有足够的磁盘空间来存储这些记录。如果磁盘空间不足，系统将提示您定义备选的位置用于管理数据库存储。如果设备有充足的磁盘空间，但您希望将数据库保存到其他位置，则可以使用“ELM 属性”页面的“迁移数据库”来设置该位置。

您可随时使用“迁移数据库”。但是如果您在管理数据库中添加了记录之后迁移该数据库，则 ELM 会话将会暂停几小时，直至迁移完成。具体时间取决于所含记录的数量。建议您在初次设置 ELM 设备之后定义此备选位置。

另请参阅定义备用存储位置第 101 页替换 ELM 已镜像的管理数据库第 102 页

替换 ELM 已镜像的管理数据库如果已镜像的管理数据库存储设备出现问题，您可能需要替换它。


1 在系统导航树中，选择出现问题的包含管理数据库存储设备的 ELM 设备，然后单击“属性”图标。

2 单击“ELM 配置”，然后选择“迁移数据库”。

3 在“数据存储设备”字段中，选择“镜像数据存储设备”下拉列表中所列的设备。

4 在“镜像数据存储设备”字段选择新设备，或者选择“无”以停止镜像。

如果下拉列表中不存在您想选的设备，则首先将该设备添加到“存储设备”表中。

另请参阅迁移 ELM 数据库第 102 页定义备用存储位置第 101 页

检索 ELM 数据若要检索 ELM 中的数据，必须在“数据”页面创建搜索和完整性检查作业。

如果定义的文件在初始存储之后已被更改，则需要进行完整性作业检查。这可以提醒您不要未经许可对重要系统或内容文件进行更改。此检查结果将显示被更改的文件。如果所有文件均未更改，则会显示检查成功。

该系统限制为每次进行 50 个搜索和完整性作业。如果超过 50 个，则将会提示您无法进行搜索。如果系统中存在现有的搜索，则可以将这些搜索删除，以便执行新的搜索。如果您没有现有搜索，可让系统管理员删除其他用户启动的现有搜索或完整性作业，以便您可以进行搜索。

启动搜索后，它将在完成或达到所设置的限制前不间断运行，即使关闭“数据”页面也是如此。您可以返回到此屏幕来检查显示在“搜索结果”表中的状态。

另请参阅创建搜索作业第 103 页创建完整性检查作业第 103 页查看搜索或完整性检查的结果第 104 页使用正则表达式查询 ELM 第 105 页



创建搜索作业要针对与条件匹配的文件搜索 ELM，必须在“数据”页面定义搜索作业。此屏幕上的字段并非必填字段；但是定义的搜索越准确，就越有可能检索到您需要的数据。

任务1 在信息显示板中，单击并选择“ELM 搜索”。

2 在系统导航树中，选择“ELM 属性”，然后单击“数据”。

3 在“搜索日志和文件”选项卡中填入所需的信息，然后单击“搜索”。

另请参阅检索 ELM 数据第 102 页创建完整性检查作业第 103 页查看搜索或完整性检查的结果第 104 页使用正则表达式查询 ELM 第 105 页

创建完整性检查作业通过在“数据”页面创建完整性作业，可检查文件在初始存储之后是否发生更改。“完整性检查”选项卡中的字段均为选填字段；但是，搜索定义越准确，就越有可能在短的时间内验证所需数据的完整性。

任务1 在信息显示板中，单击并选择“ELM 搜索”。

2 在系统导航树中，选择“ELM 属性”，然后单击“数据”。

3 单击“完整性检查”选项卡，选择所需项，然后单击“搜索”。


选项定义

“日志”，“文件” 选择您要检查 ELM 日志还是 ELM 文件，或者两者均检查。

“时间范围” 选择要检查数据所在的时间范围。

“设备” 单击过滤器图标并选择要检查的设备。

“设备类型” 单击过滤器图标并选择要检查的设备类型。

“文件名” 如果您希望检查特定的文件，请输入文件名称。

“文件名不区分大小写”

如果您不希望文件名区分大小写，请选择此选项。

“限制搜索时间” 要限制搜索时间，请选择小时数。如果选择 0，则不限制搜索时间。

“ 大结果文件大小” 要限制结果文件大小，请选择大 MB。

打开字段请输入此作业的描述性名称。

“搜索” 单击开始该作业。

“搜索结果” 查看已完成作业列表。每次作业的状态都将会在“状态”列中表明。• “正在等待” — 该作业尚未开始。系统每次仅可处理 10 个作业，并且将按照接收的顺序

进行处理。

• “正在执行” — 该作业当前正在进行。

• “完成” — 该作业已完成。您可以查看结果或下载导出。

• “达到上限” — 已达到时间或大小上限。您可以查看结果，但这些结果不完整。

“查看” 查看已选作业的结果。




选项定义

“导出” 导出已选作业的结果。

如果您从 ESM 一次删除多个额外的 VM 驱动器，则所有的 ELM 搜索将会全部丢失。为避免丢失 ELM 搜索结果，请将其导出。

“删除” 标记要删除的所选作业。

“重新加载搜索” 再次执行搜索作业。

另请参阅检索 ELM 数据第 102 页创建搜索作业第 103 页查看搜索或完整性检查的结果第 104 页使用正则表达式查询 ELM 第 105 页

查看搜索或完整性检查的结果搜索或完整性检查作业完成后可以查看结果。

开始之前运行能够产生结果的搜索或完整性检查作业。

任务

1 在信息显示板中，单击并选择“ELM 搜索”。

2 单击“数据”，然后选择“搜索日志和文件”或“完整性检查”选项卡。

3 突出显示您要在“搜索结果”选项卡中查看的作业，然后单击“查看”。

“ELM 搜索结果”页面将显示该作业的结果。



选项定义

“参数” 查看用于在该页面上生成结果的参数。

“ 导出 ” 导出数据摘要。


“下载文件” 要保存特定文件的数据，请突出显示表中的文件，然后单击此选项。

“值” 查看列表中所选项目的值。

另请参阅检索 ELM 数据第 102 页创建搜索作业第 103 页创建完整性检查作业第 103 页使用正则表达式查询 ELM 第 105 页



使用正则表达式查询 ELMELM 使用 Bloom 索引优化查询。尽管大多数 Perl Compatible Regular Expression (PCRE) 可用于 ELM 搜索，但并不是每个 PCRE 都可经过优化以使用 Bloom。

Bloom 正则表达式优化器可执行预调整以提供佳搜索，但是记住一些诀窍使您可以获得更好的查询性能。• 您仅可使用正则表达式的必需部分进行 Bloom 过滤。Bloom 过滤器仅使用正则表达式中存在于每个匹配的字符串

中的子字符串。一种例外情况是，您可以使用一个级别深度的 OR 分组，例如 (seth|matt|scott|steve)。

• 您不能使用正则表达式中长度不到四个字符的必需部分。例如，seth.*grover 将 seth 和 grover 与 Bloom 配合使用，但是 tom.*wilson 仅使用 wilson，因为 tom 太短。

• 包含非常量子字符串或因太短而不能使用的子字符串的 OR 分组。例如，(start|\w\d+|ending) 无法使用，因为 OR列表中的中间条目不是可在 Bloom 中搜索的常量。例如，(seth|tom|steve) 无法使用，因为 tom 太短；但是 (seth|matt|steve) 可以使用。

The regex-to-bloom query is run by the optimizer process for the database. That optimizer deconstructs the regexand finds the mandatory constant substrings.

As an example, the original regular expression is:

\|\|(626|629|4725|4722)\|\|.*\|\|(bbphk)\|\|

Bloom 使用此表达式中的唯一部分是 bbphk。此更改可将搜索集从 100 多万个文件减少到 20,000 个。正则表达式可通过以下方式进一步进行优化：

(\|\|626\|\||\|\|629\|\||\|\|4725\|\||\|\|4722\|\|).*\|\|bbphk\|\|

在此示例中，\|\| 已从第一个组之前和之后的位置移至组中每个元素的前面和后面位置，这可实现以下两个功能：• 这允许包含竖线字符。

• 这使得第一个组中元素（先前因只有三个字符而被忽略）的长度超过四个字符，因此可以使用。

此外，在 bbphk 两旁的括号已被删除，因为已不再需要它们以及不需向 Bloom 过滤器指明这是新的子组。对正则表达式执行这些类型的手动调整可以有效减少搜索集，甚至可以将其进一步减少至大约 2,000 个文件。

另请参阅检索 ELM 数据第 102 页创建搜索作业第 103 页创建完整性检查作业第 103 页查看搜索或完整性检查的结果第 104 页

Advanced Correlation Engine (ACE) 设置McAfee Advanced Correlation Engine (ACE) 使用基于规则和风险的逻辑，对威胁事件进行实时确认和评分。

确定您重视的对象（用户或组、应用程序、特定服务器或子网）；如果资产受到威胁，ACE 会向您发出警报。审核跟踪和历史回放支持鉴证、合规和规则调整。

使用实时或历史模式配置 ACE：

• 实时模式 - 收集事件后即进行分析，以检测即时威胁和风险。

• 历史模式 - 重播通过两种关联引擎或其中之一收集的可用数据，以检测历史威胁和风险。当 ACE 发现新的零日攻击时，它会确定组织在过去是否面临该攻击的威胁，以便进行子零日威胁检测。

ACE 设备提供两个专用的关联引擎，补充了 ESM 的现有事件关联功能。为每个 ACE 设备配置各自的策略、连接、事件和日志检索设置及风险管理器。



• 风险关联 - 可使用无规则关联生成风险评分。基于规则的关联仅检测已知的威胁模式，要求持续的特征码调整和更新是有效的。无规则关联用一次性配置取代检测特征码：确认对您的业务很重要的因素（如特定服务或应用程序、一组用户或特定类型的数据）。然后，“风险关联”会跟踪与这些项目相关的所有活动，并根据实时活动生成有升有降的动态风险评分。当风险评分超过特定阈值时，ACE 会生成一个事件并提醒您威胁条件正在不断增多。或者，基于规则的传统关联引擎将该事件用作较大事件的条件。ACE 会保持对风险评分的完整审核跟踪，以便随着时间的推移对威胁条件进行全面分析和调查。

• 基于规则的关联 - 使用基于规则的传统事件关联检测威胁，以实时分析收集的信息。ACE 将所有日志、事件和网络流与上下文信息（如身份、角色、漏洞等）关联起来，以检测表明较大威胁的模式。Event Receiver 支持网络范围内基于规则的关联。ACE 通过关联更大量数据的专用处理资源来完善该功能，可以补充现有关联报告，也可以完全分载它们。

为每个 ACE 设备配置各自的策略、连接、事件和日志检索设置及风险管理器。

选择 ACE 数据类型ESM 收集事件和流数据。选择要发送到 ACE 的数据。默认情况下，仅为事件数据。


1 在系统导航树上，选择“ACE 属性”，然后单击“ACE 配置”。

2 单击“数据”，然后选择“事件数据”、“流数据”或二者都选。


添加关联管理器要使用规则或风险关联，必须添加规则或风险关联管理器。

开始之前ESM 上必须存在 ACE 设备（请参阅“将设备添加到 ESM 控制台”）。


1 在系统导航树上，选择“ACE 属性”。

2 单击“关联管理”，然后单击“添加”。

3 选择要创建的管理器类型，然后单击“确定”。

请参阅 “Advanced Correlation Engine (ACE) 设置”，了解有关管理器类型的信息。

4 输入要求的信息，然后单击“完成”。

添加风险关联管理器添加管理器，以帮助计算您指定字段的风险级别。




1 在系统导航树上，选择“ACE 属性”，然后单击“风险关联管理”。

2 单击“添加”，然后在各个选项卡上填写要求的信息。

3 单击“完成”，然后单击“写入”，将管理器写入到设备中。


选项定义

表查看 ACE 上的现有关联管理器。

“添加” 添加新的关联管理器。

“编辑” 编辑选择的关联管理器。

“删除” 删除选择的管理器。

“已启用” 启用选择的管理器。

“ 大字段组合数” 选择管理器所能具有的大字段组合数。该限制有助于在系统上处理时间。该数字以千为单位。

“写入” 将关联管理器写入到设备。


选项卡选项定义

“ 主 ” “名称” 为管理器键入名称。

“启用” 取消选择该选项，可禁用管理器。

“使用事件数据”，“使用流数据”

选择二者中的一个或两个，以指示您要使用的数据类型。

如果您选择“使用流数据”，则必须还要转至“ACE 属性” | “ACE 配置” | “数据”并选择“流数据”。

“日志记录”、“存储池”

选择“日志记录”，以在 ELM 上保存日志。选择您要将日志存储至其中的 ELM 存储池。

如果您尚未选择要存储数据的 ELM，则请参阅“设置默认日志记录池”。

“区域” 如果您要将数据分配到某区域，则请从下拉列表选择该区域（请参阅“区域管理”）。

“时间顺序容差” （仅限“规则关联”）选择规则关联允许事件处于混乱状态的持续时间。例如，如果设置为 60 分钟，则延迟 59 分钟的事件仍可使用。

“字段” “字段” 请选择该管理器用于关联事件的字段（每个管理器多 5 个）。

“百分比” 请选择您希望各个字段占用的百分比。这些百分比之和必须为 100%。

风险更新低于 100% 严重时，会根据您定义的以下条目报告关键性：FYI、次要、警告、主要和严重（请参阅“阈值”选项卡）。例如，如果在风险为 50% 严重时，您的 FYI 概念为严重值的 50%，则严重性实际为 20，而非 50。

“关联” 如果不希望将字段用于确定唯一性，则请选择该选项。由于必需的内存，所以不建议关联多个高基数字段。

生成的风险线数目取决于所有关联字段的唯一组合的数量。

“阈值” 顶部对各个关键性级别，设置触发事件时的评分阈值。





底部设置评分的衰减速率。默认设置为评分每在值区中停留 120 秒就衰减 10%，直到评分变为 5。然后系统会删除特定字段值的值区。

“ 过滤器” “逻辑 AND”，“逻辑 OR”

通过逻辑元素设置过滤器的架构（请参阅“逻辑元素”）。

“过滤器字段组件” 将“匹配组件”图标拖放到逻辑元素，然后完成“添加过滤器字段”页面。

若要在将组件添加至逻辑元素后编辑其条件，则请单击组件的“菜单”图标并选择“编辑”。然后对设置进行更改。

添加风险关联分数您必须添加条件语句，以向目标字段分配分数。




1 在系统导航树上，选择“ACE 属性”，然后单击“风险关联评分”。

2 单击“添加”，然后填写要求的信息。



选项定义

表查看现有风险关联评分。

“添加” 添加风险关联分数。

“编辑 ” 更改所选评分的设置。

“删除” 删除所选评分。

“已启用” 选择该选项，为选定的条件语句启用风险关联评分。该设置会反映在表的“已启用”列中。

“写入” 将新设置写入到设备。


选项定义

“已启用评分” 如果您要启用条件语句，请选择该选项。

“数据类型” 选择您想要对条件语句显示的数据类型。您可以选择事件或流，或二者都选。

“分数字段” 搜索该字段，以获得所需的分数。

“查找字段” 搜索与来源类型匹配的字段。

“来源类型” 选择用于对比的来源类型。如果选定的来源类型除了匹配值以外还包含分数值，则会应用该分数；您也可以通过选择“使用分数”列中的复选框提供手动输入的分数。

“值” 键入或选择比较值。该列提供的选项因上一列中选择的来源类型而异。

“使用分数” 选择该复选框，以使用手动输入的分数。

“分数” 要在所选“分数字段”中填入的分数。如果在网格中输入多个规则，则可在分数字段中应用混合分数。

“权重” 为条件语句的混合分数的行或来源类型赋予的权重。该值不得超过 100%。

“添加行”按钮单击该按钮，将新的条件行添加到总体条件语句中。

“权重总计” 权重列下各个行或来源类型的总计。

“当前风险评分范围” 根据条件行的结果为选作分数字段的字段赋予的分数范围。

使用历史关联您可以通过历史关联选项关联过去的事件。

发现新的漏洞时，请务必检查您的历史事件和日志，了解是否曾被该漏洞利用。使用 ACE 的简单网络重播功能，历史事件可通过“风险关联”无规则关联引擎和基于规则的标准事件关联引擎播放，以便您就今日威胁情况检查历史事件。以下情况下，可使用该方法：

• 触发某些事件时，您未设置关联，而且您会发现关联这些事件可能会展示有价值的信息。

• 您正在根据以往触发的事件设置新关联，且要测试新关联，以确保该关联能够达到预期效果。



使用历史关联时，请注意一下几点：

• 实时关联会中止，除非禁用历史关联。

• 风险分布会被事件累积歪曲。

• 将风险管理器移回实时风险关联时，必须要调整阈值。

若要设置和运行历史关联，必须执行以下步骤：

1 添加历史关联过滤器。

2 运行历史关联。

3 下载并查看已关联的历史事件。

另请参阅添加并运行历史关联第 110 页下载并查看历史关联事件第 111 页

添加并运行历史关联要与以前的事件建立关联，您必须要设置历史关联过滤器，然后运行关联。


1 在系统导航树上，选择“ACE 属性”，然后单击“历史”。

2 单击“添加”，填写要求的信息，然后单击“确定”。

3 选择“启用历史关联”，然后单击“应用”。

实时关联会中止，除非禁用历史关联。

4 选择要运行的过滤器，然后单击“立即运行”。

ESM 会查看事件，应用过滤器并将适用的事件打包。


选项定义

“启用历史关联” 如果要在 ACE 上启用历史关联，请选择该选项。

启用历史关联后，实时关联会中止。

表查看当前 ACE 上的过滤器。

“ 添加 ” 添加过滤器，以检索历史关联事件数据。

“编辑” 请更改所选过滤器的过滤器设置。

“删除” 删除过滤器。

“立即运行” 立即运行所选的过滤器。ESM 会查看事件，应用过滤器并将适用的事件打包。


选项定义

“ 名称 ” 为该过滤器键入名称。

“ 时间范围 ” 选择要与历史事件建立关联的时间范围。

剩余字段选择或键入作为过滤依据的内容。您单击的每个字段的提示会显示在页面底部。



另请参阅使用历史关联第 109 页

下载并查看历史关联事件一旦运行历史关联，则可以下载和查看其生成的事件。


1 在系统导航树上，选择“ACE 属性”，然后单击 “事件和日志” | “获取事件”。

运行历史关联产生的事件会被下载到 ESM。

2 关闭“ACE 属性”。

3 若要查看数据，请执行以下步骤：

a 在系统导航树上，选择您刚刚运行历史数据所针对的 ACE 设备。

b 在视图工具栏的时间段下拉列表上，选择您为设置运行指定的时间段。

视图窗格会显示查询结果。

另请参阅使用历史关联第 109 页

Application Data Monitor (ADM) 设置McAfee Application Data Monitor (ADM) 跟踪网络上敏感数据的所有使用情况，分析基础协议、会话完整性和应用程序内容。

当 ADM 检测到违规时，它将保存该应用程序会话的所有详细信息，用于事件响应和鉴证或合规审核要求。同时，通过ADM，可以看到伪装成合法应用程序的威胁。

ADM 可以检测到在电子邮件附件、即时消息、文件传输、HTTP POST 或其他应用程序内传送的敏感信息。通过定义您自己的敏感和保密信息字典来自定义 ADM 的检测功能。然后，ADM 可以检测这些敏感数据类型、向相应人员发出警报并记录违规来保持审核跟踪。

ADM 会监控、解码和检测以下应用程序协议中的异常事件：

• 文件传输：FTP、HTTP、SSL（仅设置和证书）

• 电子邮件：SMTP、POP3、NNTP、MAPI

• 社交：MSN、AIM/Oscar、Yahoo、Jabber、IRC

• 网页邮件：Hotmail、Hotmail DeltaSync、Yahoo mail、AOL Mail、Gmail

• P2P：Gnutella、bitTorrent

• Shell：SSH（仅检测）、Telnet

ADM 接受规则表达式，并根据监控的流量对其进行测试，针对每个触发的规则将记录插入数据库的事件表中。它可将触发规则的数据包存储在事件表的数据包字段中。对于每个触发的规则，它还会将应用程序级别元数据添加到数据库会话和数据库的查询表中。它可将协议堆栈的文本表示存储在查询表的数据包字段中。

ADM 可生成以下事件类型：



• 元数据 - ADM 针对每个网络事务生成一个元数据事件，其中包含详细信息，如地址、协议、文件类型、文件名称。应用程序将元数据事件放在查询表中，并通过会话表对这些事件进行分组。例如，如果一个 FTP 会话传输三个文件，ADM 会将这些文件组合在一起。

• 协议异常 - 协议异常会被硬编码至协议模块且包含事件，如传输控制协议 (TCP) 数据包太短，无法包含有效标题；邮件传输协议 (SMTP) 服务器返回无效响应代码。协议异常事件很少见，会放置在事件表中。

• 规则触发 - 规则表达式生成规则触发事件，检测 Internet 通信引擎 (ICE) 生成的元数据中的异常。这些事件可能包含异常，如在正常时间之外使用协议或 SMTP 服务器意外通过 FTP 进行通信。规则触发事件必须尽量少出现，且放置在事件表中。

事件表中的每条记录都对应一个检测到的协议异常或规则触发事件。事件记录通过 sessionid 与会话和查询表建立联系，而会话和查询表中提供有关触发事件的网络传输（元数据事件）的更多详细信息。每个事件还与数据包表建立联系，数据包表中提供触发事件的数据包的原始数据包数据。

会话表中的每条记录都针对一个相关网络传输的组（如同一会话上的 FTP 文件传输组）。会话记录通过 sessionid 与查询表建立联系，查询表中提供更多有关单个网络传输（元数据事件）的详细信息。此外，如果会话中的传输造成协议异常或触发规则，则说明与事件表存在联系。

查询表中的每条记录都针对一个元数据事件（网络上进行的内容传输）。查询记录通过 sessionid 与会话表建立联系。如果记录所代表的网络传输触发协议异常或规则，则说明网络传输与事件表存在联系。此外，网络传输还与使用文本字段的数据包表建立联系，此类数据包表中提供完全协议或内容堆栈的文本代表。

设置 ADM 时区ADM 设备设为 GMT，而 ADM 代码预期设备设置为您所在的时区。因此，规则会像您在 GMT 一样使用时间触发器，而非在您预期时间。

您可以将 ADM 设置为您预期的时区。然后在评估规则时，会考虑该情况。


1 在系统导航树上，选择“ADM 属性”，然后单击“ADM 配置”。

2 单击“时区”，然后选择您的时区。


在会话查看器上显示密码“会话查看器”可使您在会话中查看近 25,000 条 ADM 查询的详细信息。一些事件规则可能与密码相关。您可以选择是否要在“会话查看器”上显示密码。默认情况下，不会显示密码。


1 在系统导航树上，选择“ADM 属性”，然后单击“ADM 配置”。

“密码”选项表明日志记录已“关闭”。

2 单击“密码”，选择“启用密码日志记录”，然后单击“确定”。

系统执行命令并在完成时通知您。

“密码”选项现在表明日志记录已“打开”。



Application Data Monitor (ADM) 字典编写 ADM 规则时，可以使用字典，将捕获自网络的密钥转换为定义的值。或者，在显示密钥时列出没有默认为布尔真的值的密钥。

ADM 字典允许您快速指定文件的密钥，而无需为每个字编写单独的规则。例如，设置一条规则来选择包含特定字的电子邮件，将不文明的字汇集到字典中并导入该字典。您可以创建如下规则，以检查内容中包含字典中某个字的电子邮件：

protocol == email && naughtyWords[objcontent]

使用 ADM 规则编辑器编写规则时，您可以选择您希望规则参考的字典。

字典多支持数百万词条。

将字典添加至规则需要执行以下步骤：1 设置和保存列出密钥和值（如果需要）的字典。

2 管理 ESM 上的字典。

3 将字典分配至规则。

另请参阅设置 ADM 字典第 113 页管理 ADM 字典第 116 页引用 ADM 字典第 114 页ADM 字典示例第 115 页

设置 ADM 字典字典是纯文本文件，每行包含一个词条。分为单列和双列字典。双列包括密钥和值。

密钥可以是 IPv4、MAC、数字、正则表达式和字符串。值类型为布尔、IPv4、IPv6、MAC、数字和字符串。值为可选，且会在未显示值时默认设为布尔真。

单列或双列字典中的值必须使用以下支持的 ADM 类型之一：字符串、正则表达式、数字、IPv4、IPv6 或 MAC。ADM字典必须采用以下格式指南：

类型句法规则示例匹配的内容

字符串 • 字符串必须要使用双引号

• 对于字符串中的双引号，必须在每个引号前使用反斜杠字符

“Bad Content”

“He said, \”Bad Content\””

Bad Content

He said, “BadContent”

正则表达式

• 正则表达式要使用单斜杠

• 正则表达式中的斜杠和保留的正则表达式字符必须要使用反斜杠字符

/[Aa]pple/

/apple/i

/ [0-9]{1,3}\.[0-9]{1,3}\.[0-9]\.[0-9]/

/1\/2 of all/

Apple or apple

Apple or apple

IP 地址：

1.1.1.1

127.0.0.1

1/2 of all

数字 • 十进制值 (0-9)

• 十六进制值 (0x0-9a-f)

• 八进制值 (0-7)

十进制值

十六进制值

八进制值

123

0x12ab

0127



类型句法规则示例匹配的内容

布尔 • 可为真或假

• 所有小写

布尔文字真

假

IPv4 • 书写方式可以采用标准点分符号

• 书写方式可以采用 CIDR 符号

• 书写方式可以采用使用全面具的长格式

192.168.1.1

192.168.1.0/24

192.168.1.0/255.255.255.0

192.168.1.1

192.168.1.[0 – 255]

192.168.1.[0 – 255]

以下有关字典的各项为真：

• 字典中不许使用列表（括号中多个由逗号隔开的值）。

• 一列只可包含单个支持的 ADM 类型。这意味着单个 ADM 字典文件中不得混合和匹配不同类型（字符串、正则表达式、IPv4）。

• 其中可以包含评论。所有以井号 (#) 开头的行都可作为 ADM 字典中的评论。

• 名称只可以包含字母数字字符和下划线，且长度不得超过 20 个字符。

• 其中不支持列表。

• 在 ADM 8.5.0 之前的版本中，您必须使用自选的文本编辑器在 ESM 外部编辑或创建字典。这些字典可从 ESM 中导入或导出，这有助于修改或创建新的 ADM 字典。

另请参阅 Application Data Monitor (ADM) 字典第 113 页管理 ADM 字典第 116 页引用 ADM 字典第 114 页ADM 字典示例第 115 页

引用 ADM 字典如果将字典导入到 ESM，则可在编写规则时参考该字典。

开始之前将字典导入到 ESM。


1 在“策略编辑器”的“规则类型”窗格中，单击 “新建” | “ADM 规则”。

2 添加所需信息并将逻辑元素拖放到“表达式逻辑”区域。

3拖放逻辑元素上的“表达式组件”图标。

4 在“表达式组件”页面上，选择“字典”字段中的字典。

5 填写剩余字段，然后单击“确定”。

另请参阅 Application Data Monitor (ADM) 字典第 113 页设置 ADM 字典第 113 页管理 ADM 字典第 116 页ADM 字典示例第 115 页



ADM 字典示例ADM 引擎可将对象内容或任何其他度量或属性与单列字典匹配，以检验真或假（在字典中存在或不存在）。

表 3-61 单列字典示例

字典类型示例

带有常见垃圾字的字符串字典 “西力士”

“西力士”

“伟哥”

“伟哥”

“成人网站”

“成人网站”

“立即行动！不要迟疑！”

授权密钥字的正则表达式字典 /(password|passwd|pwd)[â-z0-9]{1,3}(admin|login|password|user)/i

/(customer|client)[â-z0-9]{1,3}account[â-z0-9]{1,3}number/i

/fund[â-z0-9]{1,3}transaction/i

/fund[â-z0-9]{1,3}transfer[â-z0-9]{1,3}[0-9,.]+/i

包含已知不良可执行文件的哈希值的字符串字典

“fec72ceae15b6f60cbf269f99b9888e9”

“fed472c13c1db095c4cb0fc54ed28485”

“feddedb607468465f9428a59eb5ee22a”

“ff3cb87742f9b56dfdb9a49b31c1743c”

“ff45e471aa68c9e2b6d62a82bbb6a82a”

“ff669082faf0b5b976cec8027833791c”

“ff7025e261bd09250346bc9efdfc6c7c”

重要资产的 IP 地址 192.168.1.12

192.168.2.0/24

192.168.3.0/255.255.255.0

192.168.4.32/27

192.168.5.144/255.255.255.240



表 3-62 双列字典示例

字典类型示例

带有常见垃圾字和类别的字符串字典

“西力士”“医药”


“伟哥”“医药”


“成人网站”“成人”


“立即行动！不要迟疑”“骗局”

授权密钥字和类别的正则表达式字典

/(password|passwd|pwd)[â-z0-9]{1,3}(admin|login|password|user)/i“credentials”

/(customer|client)[â-z0-9]{1,3}account[â-z0-9]{1,3}number/i“pii”

/fund[â-z0-9]{1,3}transaction/i“sox”

/fund[â-z0-9]{1,3}transfer[â-z0-9]{1,3}[0-9,.]+/i“sox”

包含已知不良可执行文件和类别的哈希值的字符串字典

“fec72ceae15b6f60cbf269f99b9888e9”“特洛伊木马”

“fed472c13c1db095c4cb0fc54ed28485”“恶意软件”

“feddedb607468465f9428a59eb5ee22a”“病毒”

“ff3cb87742f9b56dfdb9a49b31c1743c”“恶意软件”

“ff45e471aa68c9e2b6d62a82bbb6a82a”“广告软件”

“ff669082faf0b5b976cec8027833791c”“特洛伊木马”

“ff7025e261bd09250346bc9efdfc6c7c”“病毒”

重要资产和组的 IP 地址 192.168.1.12“关键资产”

192.168.2.0/24“LAN”

192.168.3.0/255.255.255.0“LAN”

192.168.4.32/27“DMZ”

192.168.5.144/255.255.255.240“关键资产”

另请参阅 Application Data Monitor (ADM) 字典第 113 页设置 ADM 字典第 113 页管理 ADM 字典第 116 页引用 ADM 字典第 114 页

管理 ADM 字典设置并保存新字典后，您必须将其导入至 ESM。您也可以导出、编辑和删除字典。


1 在“策略编辑器”上，单击“工具”，然后选择“ADM 字典管理器”。

“管理 ADM 字典”屏幕列出四个默认字典（botnet、foullanguage、icd9_desc 和 spamlist）以及所有导入到系统的字典。



2 执行任意可用操作，然后单击“关闭”。


选项定义

“ 导入 ” 单击以将 ADM 字典导入 ESM。

“ 导出 ” 单击以将所选的 ADM 字典导入本地文件。

“编辑” 单击以编辑所选的字典。

“删除” 删除所选的字典。

删除字典后，为部署包含参考此字典的规则的规则集而进行的尝试将会发生编译失败。如果此字典分配到规则中，则或者重写该规则从而不再参考该字典（请参见“参考字典”），或者停止删除操作。


选项定义

“ 搜索 ” 要搜索特定条目，请在字段中输入该条目，然后单击。

表查看现有条目。您可以添加新条目以及更改或删除现有条目。


选项定义

“ 字典 ” 浏览到字典文件并上载该文件。

“ 密钥类型 ” 选择字典中使用的密钥类型。

如果您在“密钥类型”字段和“值类型”字段中所选的内容与文件包含的内容有差异，那么将会通知您数据无效。

“值类型” 选择字典中使用的值类型。

另请参阅 Application Data Monitor (ADM) 字典第 113 页设置 ADM 字典第 113 页引用 ADM 字典第 114 页ADM 字典示例第 115 页

ADM 规则参考材料将 ADM 规则添加至“策略编辑器”时，您可以参考附录中的材料。

另请参阅 ADM 规则句法第 117 页ADM 规则条目类型第 120 页ADM 规则度量参考第 121 页特定于协议的属性第 123 页

ADM 规则句法ADM 规则与 C 表达式非常相似。

主要的区别是可使用更为广泛的文字集（数字、字符串、正则表达式、IP 地址、MAC 地址和布尔）。字符串条目可以与字符串和正则表达式文字进行比较，以测试其内容；也可以与数字进行比较，以测试其长度。数字、IP 地址和 MAC地址条目仅可以与同类型的文字值进行比较。布尔是唯一的例外情况，任何文字都可以作为布尔，以测试其存在与否。某些条目可以拥有多个值，例如针对 .zip 文件中的 PDF 文件会触发以下规则：type = = application/zip && type = =application/pdf。



表 3-66 运算符

运算符说明示例

&& 逻辑 AND protocol = = http && type = = image/gif

|| 逻辑 OR time.hour < 8 || time.hour > 18

^ ^ 逻辑 XOR email.from = = "[email protected]" ^^email.to = = "[email protected]"

! 一元非 ! (protocol = = http | | protocol = = ftp)

= = 等于 type = = application/pdf

! = 不等于 srcip ! = 192.168.0.0/16

> 大于 objectsize > 100M

> = 大于等于 time.weekday > = 1

< 小于 objectsize < 10K

< = 小于或等于 time.hour < = 6

表 3-67 文字

文字示例

数字 1234、0x1234、0777、16K、10M、2G

字符串 "a string"

正则表达式 /[A-Z] [a-z]+/

IPv4 1.2.3.4、192.168.0.0/16、192.168.1.0/255.255.255.0

MAC aa:bb:cc:dd:ee:ff

布尔真、假

表 3-68 类型运算符兼容性

类型运算符注释

数字 = =、! =、>、> =、<、< =

字符串 = =、! = 将字符串内容与字符串/正则表达式进行比较

字符串 >、> =、<、<= 比较字符串的长度

IPv4 = =、! =

MAC = =、! =

布尔 = =、! = 进行比较，确定真/假，还支持暗示为真的比较，如以下表达式测试是否发生email.bcc 条目：email.bcc

表 3-69 ADM 正则表达式语法

基础运算符

| 二选一 (or)

* 大于等于 0

+ 大于等于 1

? 0 或 1



表 3-69 ADM 正则表达式语法（续）

基础运算符

( ) 分组 (a | b)

{ } 重复范围 {x} or {,x} or {x,} or {x,y}

[ ] 范围 [0-9a-z] [abc]

[^ ] 专用范围 [^abc] [^0-9]

. 任何字符

\ 转义字符

转义

\d 数字 [0-9]

\D 非数字 [^0-9]

\e 转义 (0x1B)

\f 换页 (0x0C)

\n 换行 (0x0A)

\r 回车 (0x0D)

\s 空格

\S 非空格

\t 水平制表 (0x09)

\v 垂直制表 (0x0B)

\w 字组 [A-Za-z0-9_]

\W 非字组

\x00 十六进制表示法

\0000 八进制表示法

^ 行首

S 行尾

行首和行尾锚（^ 和 $）不适用于 objcontent。

POSIX 字符类

[:alunum:] 数字和字母

[:alpha:] 所有字母

[:ascii:] ASCII 字符

[:blank:] 空格和制表符

[:cntrl:] 控制字符



POSIX 字符类

[:digit:] 数字

[:graph:] 可见字符

[:lower:] 小写字母

[:print:] 可见字符和空格

[:punct:] 标点和符号

[:space:] 所有空格字符

[:upper:] 大写字母

[:word:] 字组字符

[:xdigit:] 十六进制数字

另请参阅 ADM 规则参考材料第 117 页ADM 规则条目类型第 120 页ADM 规则度量参考第 121 页特定于协议的属性第 123 页协议异常第 124 页

ADM 规则条目类型ADM 规则中的所有条目都有特定的类型。

各个条目为 IP 地址、MAC 地址、数字、字符串或布尔。另外，还有两种文字类型：正则表达式和列表。通常，特定类型的条目仅可以与相同类型的文字或文字列表（或列表的列表）进行比较。此规则存在三种例外情况：1 可使用数字文字与字符串条目进行比较，以测试其长度。如果密码少于八个字符，则会触发以下规则（密码为字符

串条目）：密码 < 8

2 可使用正则表达式与字符串条目进行比较。如果密码仅包含小写字母，则会触发以下规则：password == /^[a-z]+$/

3 所有条目均可通过布尔文字测试，以测试其是否发生。如果电子邮件内有 CC 地址，则会触发以下规则（email.cc是字符串条目）： email.cc == true

类型格式说明

IP 地址 • IP 地址文字采用标准的点分表示法，而不使用引号：192.168.1.1

• IP 地址中可包含采用标准 CIDR 表示法的掩码，但地址和掩码之间不得包含任何空格：192.168.1.0/24

• IP 地址中也可以包含长格式的掩码：192.168.1.0/255.255.255.0

Mac 地址

• 和 IP 地址一样，MAC 地址文字采用标准表示法，且不使用引号：aa:bb:cc:dd:ee:ff

数字 • ADM 规则中的所有数字都是 32 位整数。可以采用十进制：1234

• 可以采用十六进制：0xabcd

• 可以采用八进制：0777

• 这些数字可以后倍增单位 1024 (K)、1048576 (M) 或 1073741824 (G)： 10M



类型格式说明

字符串 • 字符串要使用双引号："this is a string"

• 字符串可以使用标准的 C 转义序列："\tThis is a \"string\" containing\x20escape sequences\n"

• 将条目与字符串做比较时，整个条目必须要与字符串匹配。如果电子邮件消息发件人地址为：[email protected]，则不会触发以下规则：mail.from == “@somewhere.com”

• 若要与条目中的一部分匹配，则应使用正则表达式文字。应尽可能使用字符串文字，因为字符串文字更为高效。

所有电子邮件地址和 URL 条目在匹配前都经过规范化，因此无需考虑在电子邮件地址中加评论之类的工作。

布尔 • 布尔文字为真和假。

正则表达式

• 与 Javascript 和 Perl 之类语言的表示法相同，正则表达式也在其前后使用斜杠：/[a-z]+/

• 正则表达式还可以后标准的修饰符标记，但当前认可的只有“i”（区分大小写）： /[a-z]+/i

• 正则表达式文字应使用 POSIX 扩展句法。Perl 扩展名适用于除内容条目外的所有条目，以后的版本可能会进行更改。

• 将条目与正则表达式进行比较时，正则表达式会与条目中的任意子字符串匹配，除非正则表达式中应用anchor 运算符。如果电子邮件中包含“[email protected]”地址，则会触发以下规则：email.from== /@somewhere.com/

列表 • 列表文字由方括号以及其中的一个或多个文字（由逗号隔开）组成：[1, 2, 3, 4, 5]

• 列表可包含各种类型的文字（包括其他列表）：[192.168.1.1, [10.0.0.0/8, 172.16.128.0/24]]

• 列表中的文字必须为同一类型，如果存在混合（如字符串和数字，字符串和正则表达式，IP 地址和 MAC地址），则无效。

• 如果列表中使用非“不等于”(!=) 的关系运算符，且条目与列表中的任意文字匹配，则表达式为真。如果来源 IP 地址与列表中的任意 IP 地址匹配，则会触发以下规则：srcip == [192.168.1.1, 192.168.1.2,192.168.1.3]

• 这等同于：srcip == 192.168.1.1 || srcip == 192.168.1.2 || srcip == 192.168.1.3

• 如果列表中使用“不等于”(!=) 运算符，且条目并与列表中的所有文字均不匹配，则表达式为真。如果来源IP 地址不是 192.168.1.1 和 192.168.1.2，则会触发以下规则：srcip != [192.168.1.1, 192.168.1.2]

• 这等同于：srcip != 192.168.1.1 && srcip != 192.168.1.2

• 虽然用处不大，但列表还可以与其他关系运算符共同使用。如果对象大小大于 100，或对象大小大于200，则会触发以下规则：objectsize > [100, 200]

• 这等同于：objectsize > 100 || objectsize > 200

另请参阅 ADM 规则参考材料第 117 页ADM 规则句法第 117 页ADM 规则度量参考第 121 页特定于协议的属性第 123 页协议异常第 124 页

ADM 规则度量参考此处为 ADM 规则表达式的度量参考列表，该列表在添加 ADM 规则时在“表达式组件”中提供。

对于通用属性和通用异常，您可以针对每项输入的参数类型值显示在度量参考后面的括号中。

通用属性



属性或项目说明

协议（数字）应用程序协议（HTTP、FTP、SMTP）

对象内容（字符串）对象的内容（文档中的文本、电子邮件消息、聊天消息）。二进制数据不可使用内容匹配。但是可以使用对象类型 (objtype) 检测二进制对象

对象类型（数字）根据 ADM 确定指定内容类型（Office 文档、消息、视频、音频、图像、存档、可执行文件）

对象大小（数字）对象的大小。数字后面可以添加数字倍增单位 (10K、10M、10G)

对象哈希（字符串）内容的哈希（当前为 MD5）

对象来源 IP 地址（数字）内容的来源 IP 地址。可将 IP 地址指定为 192.168.1.1、192.168.1.0/24、192.168.1.0/255.255.255.0

对象目标 IP 地址（数字）内容的目标 IP 地址。IP 地址可指定为 192.168.1.1、192.168.1.0/24、192.168.1.0/255.255.255.0

对象来源端口（数字）内容的来源 TCP/UDP 端口

对象目标端口（数字）内容的目标 TCP/UDP 端口

对象来源 IP v6 地址（数字）内容的来源 IPv6 地址

对象目标 IPv6 地址（数字）内容的目标 IPv6 地址

对象来源 MAC 地址（mac 名称）内容的来源 MAC 地址 (aa:bb:cc:dd:ee:ff)

对象目标 MAC 地址（mac 名称）内容的目标 MAC 地址 (aa:bb:cc:dd:ee:ff)

流来源 IP 地址 (IPv4) 流的来源 IP 地址。可将 IP 地址指定为 192.168.1.1、192.168.1.0/24、192.168.1.0/255.255.255.0

流目标 IP 地址 (IPv4) 流的目标 IP 地址。可将 IP 地址指定为 192.168.1.1、192.168.1.0/24、192.168.1.0/255.255.255.0

流来源端口（数字）流的来源 TCP/UDP 端口

流目标端口（数字）流的目标 TCP/UDP 端口

流来源 IPv6 地址（数字）流的来源 IPv6 地址

流目标 IPv6 地址（数字）流的目标 IPv6 地址

流来源 MAC 地址（mac 名称）流的来源 MAC 地址

流目标 MAC 地址（mac 名称）流的目标 MAC 地址

VLAN（数字）虚拟 LAN ID

星期（数字）星期。有效值为 1-7；1 代表星期一。

时（数字）时间设为 GMT。有效值为 0-23。

公开的内容类型（字符串）按照服务器指定的内容类型。理论上，对象类型 (objtype) 通常为实际类型，公开的内容类型 (content-type) 不可信，因为其类型可被服务器/应用程序假冒。

密码（字符串）应用程序通过密码进行身份验证。

URL（字符串）网站 URL。仅适用于 HTTP 协议。

文件名（字符串）正在传输的文件的名称。

显示名称（字符串）

主机名（字符串） DNS 查找中指定的主机名。

通用异常

• 用户注销（布尔）

• 授权错误（布尔）



• 授权成功（布尔）

• 授权失败（布尔）

另请参阅 ADM 规则参考材料第 117 页ADM 规则句法第 117 页ADM 规则条目类型第 120 页特定于协议的属性第 123 页协议异常第 124 页

特定于协议的属性除了提供对大多数协议来说很常见的属性外，ADM 还会提供特定于协议的属性，可与 ADM 规则同时使用。添加 ADM规则时，“表达式组件”页面所有特定于协议的属性也可用。

特定于协议的属性示例

这些属性适用于以下表：

* 仅限检测** 无解密，捕获 X.509 证书和加密数据*** 通过 RFC822 模块

表 3-70 文件传输协议模块

FTP HTTP SMB* SSL**

显示名称文件名

主机名

URL

显示名称

文件名

主机名

提交者

URL

所有 HTTP 标题

显示名称

文件名

主机名

显示名称

文件名

主机名

表 3-71 电子邮件协议模块

DeltaSync MAPI NNTP POP3 SMTP

密件抄送***

抄送***

显示名称

发件人***

主机名

主题***

收件人***

密件抄送

抄送

显示名称

发件人

主机名

主题

收件人

用户名

密件抄送***

抄送***

显示名称

发件人***

主机名

主题***

收件人***

密件抄送***

抄送***

显示名称

发件人***

主机名

主题***

收件人***

用户名

密件抄送***

抄送***

显示名称

发件人***

主机名

收件人***

主题***



表 3-72 网络邮件协议模块

AOL Gmail Hotmail Yahoo

附件名称

密件抄送***

抄送***

显示名称

文件名

主机名

发件人***

主题***

收件人***

附件名称

密件抄送***

抄送***

显示名称

文件名

主机名

发件人***

主题***

收件人***

附件名称

密件抄送***

抄送***

显示名称

文件名

主机名

发件人***

主题***

收件人***

附件名称

密件抄送***

抄送***

显示名称

文件名

主机名

发件人***

主题***

收件人***

另请参阅 ADM 规则参考材料第 117 页ADM 规则句法第 117 页ADM 规则条目类型第 120 页ADM 规则度量参考第 121 页协议异常第 124 页

协议异常除了常见属性和基于协议的属性外，ADM 还会检测到低级别的传输和应用程序协议中存在数以百计的异常。所有的协议异常属性都属于布尔型，添加 ADM 规则时在“表达式组件”页面中有效。

表 3-73 IP

术语说明

ip.too-small IP 数据包太小，无法添加有效标题。

ip.bad-offset IP 数据偏移超出了数据包的尾端。

ip.fragmented IP 数据包以片段形式显示。

ip.bad-checksum IP 数据包校验和与数据不匹配。

ip.bad-length IP 数据包 totlen 字段超出了数据包的尾端。

表 3-74 TCP

术语说明

tcp.too-small TCP 数据包太小，无法添加有效标题。

tcp.bad-offset TCP 数据包的数据偏移超出了数据包的尾端。

tcp.unexpected-fin TCP FIN 标记以非确定的状态设置。

tcp.unexpected-syn TCP SYN 标记以确定的状态设置。

tcp.duplicate-ack TCP 数据包 ACK 数据已设置为 ACK 形式。

tcp.segment-outsidewindow TCP 数据包在窗口（TCP 模块的小窗口而非实际的窗口）之外。

tcp.urgent-nonzero-withouturg- flag TCP 紧急字段不为零，但 URG 标记未设置。



表 3-75 DNS

术语说明

dns.too-small DNS 数据包太小，无法添加有效标题。

dns.question-name-past-end DNS 问题名称超出了数据包尾端。

dns.answer-name-past-end DNS 应答名称超出了数据包尾端。

dns.ipv4-address-length-wrong DNS 响应中的 IPv4 地址并非 4 个字节长度。

dns.answer-circular-reference DNS 应答包含循环引用。


(DEM) 设置McAfee Database Event Monitor (DEM) 将数据库活动整合到中心审核存储库中并提供此活动的规范化、关联、分析和报告。如果网络或数据库服务器活动与表示恶意数据访问的已知模式相匹配，DEM 会生成一则警报。另外，将记录所有事务，以供合规使用。

通过 DEM，您可以从提供分析和报告的同一界面对数据库监控规则进行管理、编辑和调整。您可以轻松地调整特定数据库监控配置文件（实施了哪些规则、记录了哪些事务），减少误报并提高整体安全性。

DEM 通过监控与入侵检测系统类似的网络数据包，非侵入性地审核您的用户及应用程序与数据库之间的交互。为了确保您可以通过网络监控所有数据库服务器的活动，请与网络、安全、合规以及数据库团队协调初始 DEM 部署。

您的网络团队使用交换机上的 SPAN 端口、网络分路器或集线器来复制数据库流量。此过程可让您侦听或监控数据库服务器中的流量并创建审核日志。

请访问 McAfee 网站获取有关受支持的数据库服务器平台和版本的信息。

操作系统数据库 DEM 装置

Windows（所有版本） Microsoft SQL Server¹ MSSQL 7、2000、2005、2008、2012

Windows、UNIX/Linux（所有版本） Oracle² Oracle 8.x、9.x、10 g、11 g (c)、11g R2³

Sybase 11.x、12.x、15.x

DB2 8.x、9.x、10.x

Informix（在 8.4.0 及更高版本中可用）

11.5

Windows、UNIX/Linux（所有版本） MySQL 是，4.x、5.x、6.x

PostgreSQL 7.4.x、8.4.x、9.0.x、9.1.x

Teradata 12.x、13.x、14.x

InterSystems 缓存 2011.1.x

UNIX/Linux（所有版本） Greenplum 8.2.15

Vertica 5.1.1-0

Mainframe DB2/zOS 所有版本



操作系统数据库 DEM 装置

AS400 DB2 所有版本

1 Microsoft SQL Server 的数据包解密支持在 8.3.0 及更高版本中可用。

2 Oracle 的数据包解密支持在 8.4.0 及更高版本中可用。

3 Oracle 11g 在 8.3.0 及更高版本中可用。

以下信息适用于这些服务器和版本：

• 支持 32 位和 64 位版本的操作系统和数据库平台。

• 仅在 Windows 32 位平台上支持 MySQL。

• MSSQL 和 Oracle 支持数据包解密。

更新 DEM 许可证DEM 随附有默认许可证。如果您更改 DEM 的功能，McAfee 会通过电子邮件向您发送新的许可证，您必须更新许可证。


1 在系统导航树中，选择“DEM 属性”，然后单击“DEM 配置”。

2 单击“许可证” | “更新许可证”，然后在字段中粘贴 McAfee 发送给您的信息。


系统将更新许可证，并在完成时向您发送通知。

4 向 DEM 推广策略。


选项定义

“更新许可证” 单击可更新 DEM 许可证

“更新许可证”页面复制 McAfee 发送给您的许可证，将其粘贴到此处，然后单击“确定”。

同步 DEM 配置文件当 DEM 配置文件与 DEM 设备不同步时，您必须将配置文件写入到 DEM。



2 单击“同步文件”。

系统将显示一则消息，说明同步的状态。

配置高级 DEM 设置这些高级设置可改变或提高 DEM 的性能。





2 如果遇到 DEM 中负载过重的问题，则单击“高级”，然后定义设置或取消选择其选项。



选项定义

根据需要定义这些设置。

“日志文件详细级别” 设置从 DEM 代理发送到 DEM 管理器的日志信息的详细级别。包括三种选项：“信息”、“警告”和“调试”。

如果选中“调试”，则信息非常详细且会消耗大量磁盘空间。

“代理注册表端口”和“代理服务端口”

更改默认代理注册表和服务端口。这些端口用来与代理进行通信。

“使用加密” 选择加密或不加密从 DEM 代理发送到 DEM 管理器的信息。此日志在接收时可进行解密。

“Kerberos 服务器 IP” 如果您想要使用 Windows Integrated Security 对数据库身份验证从 Kerberos 协议分析检索用户名，则输入 Kerberos 服务器 IP 地址。

可能会使用以下格式指定多个 IP、端口和 VLAN 设置：IP;PORT;VLAN;IP;PORT（例如10.0.0.1;88;11,10.0.0.2;88;12）。也支持使用这一相同格式的 IPv6。

“共享内存” 选择 DEM 用来处理数据库事件的缓冲区大小。增加缓冲区大小可提供更好的性能。

“事件存储库” 选择检索事件的位置。如果选择“文件”，则系统将读取本地 DEM 中的文件并解析这些事件。如果选择“EDB”，则系统会从数据库收集事件。


选项定义

如果遇到 DEM 中负载过重的问题，则取消选择其中任何选项。

“McAfee 防火墙数据包捕获” 为 DEM 解析数据库数据提供更快捷的方式。

“事务跟踪” 跟踪数据库事务并自动核对更改。取消选择该选项可提高 DEM 速度。

“用户身份跟踪” 一般用户名可用来访问数据库，当用户名未传送到数据库时，可使用此选项跟踪用户的身份。取消选择该选项可提高 DEM 速度。

“敏感数据掩码” 可通过将敏感信息替换为一般用户定义的字符串（名为掩码）来防止未经授权查看敏感数据。取消选择该选项可提高 DEM 速度。

“本地主机审核” 审核本地主机以跟踪数据库中未知访问路径并实时发送事件。取消选择该选项可提高 DEM 速度。

“查询解析” 可执行查询检查。取消选择该选项可提高 DEM 速度。

“首个结果行捕获” 当您在检索事件的数据包并且“选择语句”的严重性已设置为小于 95 时，此选项可允许您查看查询的第一个结果行。取消选择该选项可提高 DEM 速度。

“绑定变量支持” 一遍一遍地重复使用 Oracle 的绑定变量功能而不会增加在每次执行时重新解析命令的开支。

应用 DEM 配置设置对 DEM 配置设置所做的更改必须应用到 DEM。如果您忘记应用任何配置更改，“DEM 配置”中的“应用” 选项可让您对所有 DEM 配置设置执行此操作。






当配置设置写入到 DEM 时，系统会显示一则消息通知您。

定义 DEM 事件的操作DEM 中的“操作管理”设置可定义事件的操作，可用在 DEM 的过滤规则和数据访问策略中。您可以添加自定义操作并对默认和自定义操作设置“操作”。

DEM 附带有默认操作，您可以通过单击“操作管理”页面中的“编辑全局”进行查看，这些默认操作包括：

• “无” • “脚本”

• “忽略” • “重置”

• “丢弃”

如果您选择“脚本”作为操作，则需要使用别名 (SCRIPT ALIAS)，指向在关键事件发生时所必须执行的实际脚本(SCRIPT NAME)。该脚本将被传递两个环境变量，ALERT_EVENT 和 ALERT_REASON。ALERT_EVENT 包含一个以冒号分隔的度量列表。DEM 可提供一个示例 bash 脚本 /home/auditprobe/conf/sample/process_alerts.bash，以演示在脚本中如何捕获关键性操作。

在使用操作时，请牢记这点：• 操作会按优先级顺序列出。

• 事件不会采取诸如发送 SNMP 陷阱或页面等操作，除非您将此指定为警报操作。

• 当规则符合一个以上的警报级别时，只有高的警报级别才能进行操作。

• 事件被写入到事件文件而非操作中。唯一的例外是“丢弃”操作。

另请参阅添加 DEM 操作第 128 页编辑 DEM 自定义操作第 129 页设置 DEM 操作的操作第 129 页

添加 DEM 操作向 DEM 操作管理添加操作后，该操作将显示在“策略编辑器”内 DEM 规则的可用操作列表中。然后您可以选择它作为规则操作。


1 在系统导航树中，单击“策略编辑器”图标，然后单击 “工具” | “DEM 操作管理器”。

“DEM 操作管理”页面按照优先级顺序列出了现有的操作。

您无法更改默认操作的优先级顺序。

2 单击“添加”，然后输入此操作的名称和说明。

一旦添加自定义操作，将无法删除。




新操作添加到“DEM 操作管理”列表中。

自定义操作的默认操作为“无”。要更改这一设置，请参见“设置 DEM 操作的操作”。


选项定义

“ 操作名称 ” 输入此操作的名称。

“ 说明 ” （可选）输入此操作说明。

另请参阅定义 DEM 事件的操作第 128 页编辑 DEM 自定义操作第 129 页设置 DEM 操作的操作第 129 页

编辑 DEM 自定义操作在将操作添加到 DEM 操作管理列表之后，您可能需要编辑其名称或更改其优先级。


1 在系统导航树中，单击“策略编辑器”图标，然后单击“工具” | “DEM 操作管理器”。

2 单击您需要更改的自定义操作，并执行以下操作之一：• 若要更改优先级顺序，请单击向上或向下箭头，直至其位于正确位置。

• 若要更改名称或说明，请单击“编辑”。

3 单击“确定”以保存设置。

另请参阅定义 DEM 事件的操作第 128 页添加 DEM 操作第 128 页设置 DEM 操作的操作第 129 页

设置 DEM 操作的操作所有规则操作均有默认操作。当添加自定义 DEM 操作时，默认操作为“无”。您可以将任何操作的操作更改为“忽略”、“丢弃”、“脚本”或“重置”。


1 在系统导航树中，选择“DEM 属性”，然后单击“操作管理”。

2 突出显示要编辑的操作，然后单击“编辑”。

3 选择操作，然后单击“确定”。




选项定义

“操作” 选择在规则触发事件时您想要此操作执行的操作。选项包括：• “无” — 不执行任何操作。 • “脚本” — 执行您定义的脚本。

• “忽略” — 将事件保留在数据库中，但不显示在用户界面中。

• “重置” — 通过向客户端和服务器发送 TCPRST 数据包尝试断开数据库连接。

• “丢弃” — 事件不保留在数据库中，也不显示在用户界面中。

“脚本名称” 如果已选择了“脚本”作为操作，则要设置脚本名称。如果下拉列表中没有任何脚本，则单击“脚本名称”并在“脚本文件管理”页面中选择一个脚本文件。


选项定义

“ 添加 ” 单击以添加新操作。

添加自定义操作后您无法将其删除。

“ 编辑 ” 更改所选自定义操作的名称和说明。

“上移”和“下移”箭头更改自定义操作的顺序。

您无法更改默认操作的优先级顺序

另请参阅定义 DEM 事件的操作第 128 页添加 DEM 操作第 128 页编辑 DEM 自定义操作第 129 页



使用敏感数据掩码通过将敏感信息替换为名为掩码的一般字符串，敏感数据掩码可防止未经授权地查看敏感数据。当您将 DEM 设备添加到系统时，有三种标准的敏感数据掩码添加到 ESM 数据库，但是您也可以添加新掩码以及编辑或删除现有掩码。

以下是标准掩码：

• 敏感掩码名称：Credit Card Number Mask

表达式：((4\d{3})|(5[1-5]\d{2})|(6011))-?\d{4}-?\d{4}-?\d{4}|3[4,7]\d{13}

子字符串索引： \0

掩码模式：####-####-####-####

• 敏感掩码名称： Mask First 5 Chars of SSN

表达式：(\d\d\d-\d\d)-\d\d\d\d

子字符串索引：\1

掩码模式：###-##

• 敏感掩码名称：Mask User Password in SQL Stmt

表达式：create\s+user\s+(\w+)\s+identified\s+by\s+(\w+)


掩码模式： ********

另请参阅管理敏感数据掩码第 131 页

管理敏感数据掩码若要保护系统中输入的敏感信息，您可以添加敏感数据掩码，以及编辑或删除现有掩码。


1 在系统导航树中，选择“DEM 属性”，然后单击“敏感数据掩码”。

2 选择一个选项，然后输入所要求的信息。

3 单击“确定”，然后单击“写入”将设置添加到 DEM。


选项定义

“敏感掩码名称” 键入敏感数据掩码的名称。

“表达式” 键入一个符合与 Perl 兼容的正则表达式 (PCRE) 语法的 REGEX 表达式（有关示例，请参阅“使用敏感数据掩码”）。

“子字符串索引” 选择一个选项。

将根据表达式中使用的括号 () 数量添加选项。如果有一组括号，则选项为 \0 和 \1。如果选择\0，整个字符串将替换为掩码。如果选择 \1，则只有字符串替换为掩码。

“掩码模式” 键入必须出现在初始值位置的掩码模式。

另请参阅使用敏感数据掩码第 131 页



管理用户标识许多安全性是基于这样一个简单原理，用户之间必须进行标识和区分，不过一般用户名通常用于访问数据库。如果用户名存在于查询中的任意位置，标识符管理通过使用 REGEX 模式为获取真正的用户名提供了一种方法。

可轻松设置应用程序，以便充分利用这一安全功能。当您向系统添加 DEM 设备时，两个定义的标识符规则会添加到ESM 数据库。

• 标识符规则名称：从 SQL Stmt 获取用户名

表达式：select\s+username=(\w+)

应用程序：Oracle


• 标识符规则名称：从存储的流程获取用户名

表达式：sessionStart\s+@appname='(\w+)', @username='(\w+)',

应用程序：MSSQL


通过关联 DEM、应用程序、 Web 服务器、系统并标识和访问 ESM 中的管理日志，能够实现高级用户关联。

另请参阅添加用户标识符规则第 132 页

添加用户标识符规则要将数据库查询与单个用户相关联，您可以使用现有用户标识符规则或添加规则。


1 在系统导航树中，选择“DEM 属性”，然后单击“标识符管理”。

2 单击“添加”，然后输入请求的信息。

3 单击“确定”，然后单击“写入”将设置写入到 DEM。


选项定义

“标识符规则名称” 为此标识符规则键入名称。

“表达式” 键入符合 PCRE 语法的 REGEX 表达式（有关示例请参阅“管理用户标识”）。

REGEX 运算符可实施 PCRE 库以便使用与 Perl 5 相同的语义进行模式匹配。一般语法为：<"metric name"> REGEX <"pattern">。有关 PCRE 的信息，请参阅 http://www.pcre.org。。

“应用程序” 选择从中观测信息的应用程序（数据库类型）。

“子字符串索引” 选择子字符串。

将根据表达式中使用的括号 () 数量添加选项。如果有一组括号，则选项为 \0 和 \1。

另请参阅管理用户标识第 132 页



http://www.pcre.org

关于数据库服务器数据库服务器可监控数据库活动。如果数据库服务器中发现某一活动与表示恶意数据访问的已知模式相匹配，则会生成一则警报。每个 DEM 多可监控 255 个数据库服务器。

DEM 当前支持以下数据库服务器和版本。

OS 数据库 DEM 装置

Windows（所有版本） Microsoft SQL Server¹ MSSQL 7、2000、2005、2008、2012

Windows UNIX/Linux（所有版本） Oracle² Oracle 8.x、9.x、10g、11g³、11g R2

Sybase 11.x、12.x、15.x

DB2 8.x、9.x、10.x

Informix（请参阅注 4） 11.5

MySQL 是，4.x、5.x、6.x

PostgreSQL 7.4.x、8.4.x、9.0.x、9.1.x

Teradata 12.x、13.x、14.x

InterSystem 缓存 2011.1.x

UNIX/Linux（所有版本） Greenplum 8.2.15

Vertica 5.1.1-0

Mainframe DB2/zOS 所有版本

AS 400 DB2 所有版本

1 Microsoft SQL Server 的数据包解密支持在 8.3.0 及更高版本中可用。

2 Oracle 的数据包解密支持在 8.4.0 及更高版本中可用。

3 Oracle 11g 在 8.3.0 及更高版本中可用。

4 Informix 支持在 8.4.0 及更高版本中可用。

• 同时支持 32 位和 64 位版本的 OS 和数据库平台。

• 仅在 Windows 32 位平台上支持 MySQL。

• MSSQL 和 Oracle 支持数据包解密。

另请参阅管理数据库服务器第 133 页管理数据库发现通知第 135 页

管理数据库服务器“数据库服务器”页面是用来管理您的 DEM 设备中所有数据库服务器设置的起始点。


1 在系统导航树中，选择“DEM 属性”，然后单击“数据库服务器”。

2 选择任一个可用的选项。





选项定义

表查看 DEM 中数据库服务器的列表。

“添加” 添加新数据库服务器。

“添加代理” McAfee DEM 代理不再出售。如果您购买了 9.2 版本之前的 DEM 代理许可证并需要帮助，请致电McAfee 支持。

“编辑” 对选定数据库服务器进行更改。

“删除” 删除选定数据库服务器。

“复制” 创建选定数据库服务器的副本。

“写入” 将数据库服务器的设置应用到 DEM。

“启用” 当找到新数据库服务器时如果您要接收警报通知，则单击此选项。

“禁用” 如果您想要禁用通知，则单击此选项。


选项定义

“已启用” 如果您想要 DEM 为此数据库服务器处理数据，则选择此选项。如果禁用，配置设置则保存在ESM 中以供以后使用。

“存储池” 如果您要将接收到的数据发送到 ELM 设备，则单击并选择存储池。

“区域” 如果您的系统中定义了区域，请选择想要此数据库服务器分配到的区域。要将区域添加到系统中，请单击“区域”。

“数据库类型” 选择数据库的类型。剩余的字段将取决于您在该字段中作出的选择。

DEM 实施 PI JDBC 驱动程序连接到 PI 系统。PI SQL Data Access Server (DAS) 可作为 PIJDBC 驱动程序和 PI OLEDB 之间的网关。它可以提供到 PI JDBC 的安全网络通讯 (https) 并作为 PI OLEDB 消费者（客户端）执行查询。

“数据库服务器名称”

键入此数据库服务器的名称。

如果在“数据库类型”字段中选择 PIServer，则此字段为 “DAS 数据来源名称”，它是由 DataAccess Server (DAS) 网关访问的 PI 服务器的名称。该名称必须完全与 DAS 配置中指定的名称相符。如果 DAS 服务器与 PI 服务器安装在同一主机上，则可以与 DAS 主机名相同。

“设备 URL” 如果有一个设备 URL 可用，则键入 URL 地址，您可以在 URL 地址中查看数据库服务器信息。如果输入的 URL 地址包含第三方应用程序的地址，则通过单击变量图标将变量附加在 URL 地址之后。

“IP 地址” 在 IP 地址字段为此数据库服务器或 DAS 输入一个 IP 地址。此字段接受以 IPv4 点号表示法输入的单个 IP 地址。这些 IP 地址不接受掩码。

“优先级组” 将数据库服务器分配给优先级组。这可让您平衡由 DEM 处理的数据的负载。您可以在“数据库服务器”表中查看数据库服务器列表及其所属的优先级组。

“虚拟 LAN ID” 如果需要，键入虚拟 LAN ID。如果输入值“0”，则表示所有 VLAN。

“编码选项” 选择其中一个可用选项：无、UTF8 和 BIG5。




选项定义

“选择特殊选项” 选择以下其中一个选项（可用选项取决于所选的数据库类型）：• 当您在监控 Windows 平台上运行的 Oracle 服务器时，必须指定“端口重定向”。

• 如果数据库服务器使用命名管道 SMB 协议，则必须选择“服务器使用命名管道”。MSSQL的默认管道名称为 \\.\pipe\sql\query，默认端口为 445。

• 如果数据库服务器已启用 TCP 动态端口，则必须选择“动态端口”。在“端口”字段输入数据库服务器或 DAS 的端口号。该端口是数据库服务器侦听连接的服务端口。常用默认端口号为：Microsoft SQL Server (MSSQL) 为 1433、Oracle 为 1521、MySQL 为 3306、DataAccess Server (DAS) 为 5461 而 DB2/UDB 则为 50000。

“Kerberos 身份验证”

如果您想要 SQL 服务器执行 Kerberos 身份验证，则选择此选项。

“RSA 加密类型” 选择“无”或 “RSA”。

“RSA 加密级别” 根据您在强制加密中的选择，选择适当选项：如果“强制加密”为“否”，则选择“解密登录数据包”；如果“强制加密”为“是”，则选择“解密所有数据包”。

“RSA 密钥” 单击“浏览”并选择 “RSA 密钥”文件，或者从文件复制密钥并将其粘贴在 “RSA 密钥”字段。

ESM 控制台仅接受 .pem 文件格式且不包含密码的 RSA 证书。

“用户名” 键入 PI DAS 登录的用户名。由于已在 Windows 中安装 PI DAS，因此它使用 Windows 集成安全解决方案。用户名必须指定为 domain\login 格式。

“密码” 为 DAS 用户名键入密码。

“检索存档日志” 如果您想要 PI 服务器存档对所有点的变化轮询的数据库，则选择此选项。

“要监控的点” 输入以逗号分隔的点列表，以便仅监控这些点。

另请参阅关于数据库服务器第 133 页管理数据库发现通知第 135 页

管理数据库发现通知DEM 具有数据库发现功能，可提供未在监控范围内的数据库服务器的例外列表。这可让安全管理员发现添加到环境中的新数据库服务器和开启以从数据库访问数据的非法侦听程序端口。当启用此选项时，您会收到一则在“事件分析”视图中显示的警报通知。这样您便可以选择是否将服务器添加到系统中受监控的服务器中。


1 在系统导航树中，选择“DEM 属性”，然后单击“数据库服务器” | “启用”。

当启用此选项时您会收到通知。

2 单击“确定”关闭“DEM 属性”。

3 若要查看通知，请单击系统导航树中的 DEM 设备，然后选择“事件视图” | “事件分析”。

4若要将服务器添加到系统中，请选择“事件分析”视图，然后单击“菜单”图标并选择“添加服务器”。

另请参阅关于数据库服务器第 133 页管理数据库服务器第 133 页



分布式 ESM (DESM) 设置分布式 ESM (DESM) 可提供一种分布式体系结构，可让父级 ESM 连接并收集来自多达 100 台设备的数据。此外，您还可以对在设备 ESM 中生成并保留的数据进行无缝深入查询。

如果您使用管理员权限登录到 DESM，会出现通知，说明“此 ESM 已添加作为另一服务器上的分布式 ESM。正在等待批准连接。” 单击“批准层级 ESM”时，您可以选择父级 ESM 可以与 DESM 进行的通信类型。

更改子级 IP 地址后锁定分布式 ESM 时，必须保持端口 443 开放，以重新与 ESM 建立连接。

父级 ESM

父级设备可根据您定义的过滤器从设备提取数据。 DESM 必须批准父级 ESM，以允许其提取事件。父级设备可以设置过滤器、同步数据来源和推送其自定义类型。在获得批准之前，父级设备不能从 DESM 获取规则或事件。

父级 ESM 不会管理属于设备 ESM 的设备。父级 ESM 显示直接连接到的设备 ESM 的系统树。它不会显示设备的任何子级 ESM 或从中提取事件。所有 DESM 子级都将禁用工具栏。

父级不会管理存在于设备 ESM 上的数据。不过，ESM 数据中设备子集会根据您定义的过滤器被传输并存储在父级ESM 中。

添加 DESM 过滤器从设备 ESM 传输到父 DESM 的数据取决于用户定义的过滤器。当保存这些过滤器时，相当于在设备 ESM 中应用过滤器，因此可以生成相应的哈希或位集合。由于 DESM 功能的目的是允许您从设备 ESM 收集特定数据（而非所有数据），因此您必须为要从设备 ESM 检索的数据设置过滤器。


1 在系统导航树中，选择“DESM 属性”，然后单击“过滤器”。

2 输入所需数据，然后单击“确定”。

ePolicy Orchestrator 设置您可以将 ePolicy Orchestrator 设备添加到 ESM，其应用程序作为子级列在系统导航树上。进行身份验证后，您可以立即从 ESM 访问功能，并将 ePolicy Orchestrator 标记直接分配到来源或目标 IP 地址以及由警报生成的事件。

您必须将 ePolicy Orchestrator 与接收器相关联，因为事件从接收器中提取，而非 ePolicy Orchestrator。

您必须在主数据库和 ePolicy Orchestrator 数据库中具有读取权限，才能使用 ePolicy Orchestrator。

如果 McAfee ePO 设备具有 McAfee®

Threat Intelligence Exchange (TIE) 服务器，当您将 McAfee ePO 设备添加到ESM 时会自动添加此服务器（请参阅 “Threat Intelligence Exchange 集成”）。

启动 ePolicy Orchestrator如果 ESM 中有一个 ePolicy Orchestrator 设备或者数据来源，且 ePolicy Orchestrator IP 地址位于您的本地网络中，则可以从 ESM 中启动 ePolicy Orchestrator 界面。

开始之前向 ESM 添加 ePolicy Orchestrator 设备或数据来源。

ePolicy Orchestrator 4.6 及更高版本中可使用此功能。




1 在系统导航树中选择视图。

2 从条形图、列表、饼图、图表或表组价中选择能够返回来源 IP 或目标 IP 数据的结果。

3在组件菜单中，单击 “操作” | “启动 ePO”。• 如果系统中仅有一个 ePolicy Orchestrator 设备或数据来源，且在步骤 1 中选择了来源 IP 或目标 IP，则会启动

ePolicy Orchestrator。

• 如果系统中不止一个 ePolicy Orchestrator 设备或数据来源，请选择要访问的设备，此时会启动 ePolicyOrchestrator。

• 如果您在步骤 1 的表组件中选择了事件或流，请选择您是否要访问来源 IP 或目标 IP，然后启动 ePolicyOrchestrator。

McAfee ePO 设备身份验证在使用 McAfee ePO 标记或操作，或 McAfee Real Time for McAfee ePO 之前，需要进行身份验证。

有两种身份验证：• 单一全局帐户 — 如果您所在的组有权访问 McAfee ePO 设备，则输入全局凭据后，您就可以使用这些功能。

• 每个用户每台设备的独立帐户 — 您需要权限来查看设备树中的设备。

当您使用操作、标记或 McAfee Real Time for McAfee ePO 时，请使用选定的身份验证方法。如果找不到凭据，或凭据无效，系统会提示您输入有效的凭据。您必须保存此凭据，以供将来与此设备通信。

通过 McAfee Real Time for McAfee ePO 在后台运行报告、数据扩充和动态关注列表时使用原来提供的 McAfee ePO凭据。

设置独立帐户身份验证

默认设置是全局帐户身份验证。要设置独立帐户身份验证，必须执行以下两项操作。1 确认在将 McAfee ePO 设备添加到 ESM 或设置其连接设置时选择了“需要用户身份验证”（请参阅“将设备添加到

ESM 控制台”或“更改与 ESM 之间的连接” ）。

2 在“选项”页面上，输入您的凭据（请参阅“添加 McAfee ePO 身份验证凭据”）。

添加 McAfee ePO 身份验证凭据在使用 McAfee ePO 标记或操作，或 McAfee Real Time for McAfee ePO 之前，您必须先将身份验证凭据添加到ESM。

开始之前在 ESM 上安装 McAfee ePO 设备（请参阅“将设备添加到 ESM 控制台”）。

如果您没有设备的用户名和密码，请联系系统管理员。


1 在 ESM 控制台的系统导航栏中，单击“选项”，然后单击“ePO 凭据”。

2 单击设备，然后单击“编辑”。



3 提供用户名和密码，然后单击“测试连接”。


将 ePolicy Orchestrator 标记分配给 IP 地址“ePO 标记”选项卡中列出了可用的标记。您可以将标记分配给由警报生成的事件并查看警报是否有 ePolicyOrchestrator 标记。您也可以在此页面中选择一个或多个标记，并将它们应用到 IP 地址中。

要访问标记功能，您必须具备 ePolicy Orchestrator 上的“应用、排除和清除标记”以及“唤醒代理；查看代理活动日志”权限。


1 在系统导航树中选择“ePO 属性”，然后单击“标记”。

2 完成所需的信息，然后单击“分配”。

选择的标记将应用到 IP 地址中。


选项定义

标记表列出设备上可用的标记。

“要获得分配的 IP 地址...” 输入主机名或 IP 地址（支持以逗号分隔的列表），然后在“标记”列表中选择一个或多个标记。

要使用标记功能，您必须具备“应用、排除和清除标记”以及“唤醒代理；查看代理活动日志”的权限。

“唤醒客户端” 选择唤醒应用程序以立即应用标记。

“分配” 单击以将所选的标记应用到 IP 地址。

McAfee Risk Advisor 数据采集您可以指定多个 ePolicy Orchestrator 服务器，从中采集 McAfee Risk Advisor 数据。通过数据库查询从 ePolicyOrchestrator SQL 服务器数据库采集数据。

该数据库查询将会生成 IP 信誉分数列表，且将提供低信誉和高信誉值的固定值。所有 ePolicy Orchestrator 和 McAfeeRisk Advisor 列表以及全部获得高评分的复制 IP 都将合并。合并的列表，包括低值和高值，都将发送到 ACE 设备中，用以对 SrcIP 和 DstIP 字段进行评分。

添加 ePolicy Orchestrator 时将会询问您是否希望配置 McAfee Risk Advisor 数据。单击“是” 将会创建并推广一个数据浓缩来源和两个 ACE 评分规则 (如果适用)。要查看这些，请访问“数据浓缩”和“风险关联评分”页面。要使用这些评分规则，必须创建风险关联管理器。

启用 McAfee Risk Advisor 数据采集在 McAfee Risk Advisor 启用 ePolicy Orchestrator 数据采集后，将会生成评分列表并发送到任意 ACE 设备，用于对SrcIP 和 DstIP 字段进行评分。


1 在系统导航树中选择 “ePO 属性” | “设备管理”，然后单击“启用”。

启用采集后，系统将给出通知。





选项定义

“ 管理 ELM 日志 ” 针对所选的设备配置默认日志记录池（请参阅“设置默认日志记录池”）。只有您在 ESM 上有ELM 时，该选项才可用。

“ 区域 ” 将 McAfee ePO 分配到区域，或更改当前设置（请参阅“区域管理”）。

“手动刷新设备” 刷新 McAfee ePO 设备中的应用程序列表，并为各个应用程序构建客户端数据来源。

“上次刷新时间” 查看上次刷新应用程序的时间。

“启用 MRA” 启用 McAfee Risk Advisor 数据采集（请参见“ McAfee Risk Advisor 数据采集”）。

“优先级” 您可能设置了多个 McAfee ePO 设备、资产来源或漏洞评估设备来接收相同资产或威胁。如果确实如此，当相同信息由设备接收时，请选择来自此 McAfee ePO 设备的信息的优先级。例如，您的计算机正在由 ePO-1 和 VA-1 监控。ePO-1 收集来自您计算机的软件和硬件信息，而 VA-1 收集您计算机已安装 Windows 这一事实。设置 ePO-1 具有比 VA-1 更高的优先级，以便它收集的信息不会被 VA-1 收集的信息覆盖。

“计划应用程序刷新”

要自动刷新 ePolicy Orchestrator 设备中的应用程序的列表，请从下拉列表选择频率。

执行 McAfee Real Time for McAfee ePO 操作在问题结果上执行 McAfee Real Time for McAfee ePO 操作，此问题来自 ESM 和在视图上显示 IP 地址的组件。

开始之前设计和运行 McAfee Real Time for McAfee ePO 问题（请参阅“McAfee Real Time for McAfee ePO 信息显示板的 McAfee ePO 查询”）。


1在 ESM 控制台中，单击显示 McAfee Real Time for McAfee ePO 问题结果的视图组件上的菜单图标。

2 突出显示“操作”，然后单击“Real Time for ePO 操作”。

3 在“设备”选项卡上，选择要在其上执行该操作的 McAfee ePO 设备。

4 在“操作”选项卡上，单击选定设备的可用操作列表中的操作。

5 在“过滤器”选项卡上，指定一组要应用到问题的过滤器，然后单击“完成”。

McAfee ePO 信息显示板或组件中不提供过滤器。

Threat Intelligence Exchange 集成Threat Intelligence Exchange 可以验证这些文件所连端点上可执行程序的信誉。

当您将 McAfee ePO 设备添加到 ESM 时，系统会自动检测 Threat Intelligence Exchange 服务器是否连接到此设备。如果是，ESM 开始在 DXL 上侦听和记录事件。

当 ESM 连接到 DXL 时，您可能会遇到时间延迟。

如果检测到 Threat Intelligence Exchange 服务器，Threat Intelligence Exchange 关注列表、数据扩充和关联规则会自动添加并且 Threat Intelligence Exchange 警报会启用。您将收到可视通知，其中包括一个链接，指向所做更改的摘要。如果在设备添加到 Threat Intelligence Exchange 之后，McAfee ePO 服务器被添加到 ESM 服务器，您也会收到通知。



生成 Threat Intelligence Exchange 事件后，您即可查看其执行历史（请参阅“查看 Threat Intelligence Exchange 执行历史和设置操作”）并选择您想要对恶意数据执行的操作。

关联规则

针对 Threat Intelligence Exchange 数据优化了六个关联规则。这些规则生成您可搜索和分类的事件。• TIE - GTI 信誉已从良好更改为恶劣 • TIE - 在单个主机上找到多个恶意文件

• TIE - 在数量不断增加的主机上找到恶意文件(SHA-1)

• TIE - TIE 信誉已从良好更改为恶劣

• TIE - 在数量不断增加的主机上找到恶意文件名 • TIE - 在所有主机上找到的恶意文件数量增加

警报

ESM 有两个可能在检测到重要 Threat Intelligence Exchange 事件时触发的警报。

• “已超过 TIE 不良文件阈值”从关联规则“TIE - 在数量不断增加的主机上找到的恶意文件 (SHA-1)” 触发。

• “已执行 TIE 未知文件”从特定 TIE 事件触发并将信息添加到“TIE 数据来源 IP”关注列表。

关注列表

“TIE 数据来源 IP”关注列表保持已触发“已执行 TIE 未知文件”警报的系统列表。它是静态关注列表，没有到期日期。

Threat Intelligence Exchange 执行历史

您可以查看任何 Threat Intelligence Exchange 事件的执行历史（请参阅“查看 Threat Intelligence Exchange 执行历史和设置操作”），其中包括已尝试执行文件的 IP 地址列表。在此页面中，您可以选择一个项目并执行以下任意操作：• 创建关注列表。 • 将信息添加到黑名单。

• 将信息附加到关注列表。 • 将信息导出为 .csv 文件。

• 创建警报。

另请参阅查看 Threat Intelligence Exchange 执行历史和设置操作第 140 页

查看 Threat Intelligence Exchange 执行历史和设置操作Threat Intelligence Exchange 执行历史页面显示已执行与您所选事件关联的文件的系统列表。

开始之前ESM 上必须存在 ePolicy Orchestrator 设备及其附加的 Threat Intelligence Exchange 服务器。


1 在 ESM 控制台的系统导航树上，单击 ePolicy Orchestrator 设备。

2 在视图下拉列表中，选择 “事件视图” | “事件分析”，然后单击此事件。

3单击菜单图标，然后选择 “操作” | “TIE 执行历史”。

4 在“TIE 执行历史”页面中查看已执行 Threat Intelligence Exchange 文件的系统。



5 要将此数据添加到工作流，请单击系统，然后单击“菜单”下拉菜单，后选择一个选项以打开其 ESM 页面。

6 设置您选择的操作（请参阅在线帮助获取说明）。

另请参阅 Threat Intelligence Exchange 集成第 139 页

查询 McAfee ePO 设备来生成报告或视图您可以查询多个 McAfee ePO 设备来生成报告或视图，前提是这些设备与 McAfee Real Time for McAfee ePO 集成。

开始之前验证要查询的 McAfee ePO 设备是否与 McAfee Real Time for McAfee ePO 集成。


1 在系统导航树中，选择系统，再单击“属性”图标，然后单击“报告”。

2 单击“添加”，填写第 1 到 4 部分，然后单击第 5 部分中的“添加”。

3 在“报告布局”编辑器中，拖放“表”、“条形图”或“饼图”组件。

4 在“查询向导”上，选择下拉列表中的“Real Time for McAfee EPO”，然后选择查询的元素或问题。

5 单击“下一步”，再单击“设备”，然后选择要查询的 McAfee ePO 设备。

6 （可选）单击“过滤器”，添加查询的过滤器值，然后单击“确定”。

7 如果您在下拉列表中选择了“自定义 ePO 问题”，请单击“字段”，选择要包含在问题中的元素，然后单击“确定”。

8 单击“完成”关闭“查询向导”，在“属性”窗格中定义属性，然后保存报告。

查询 McAfee ePO 设备来进行数据扩充您可以查询多个 McAfee ePO 设备来进行数据扩充，前提是这些设备与 McAfee Real Time for McAfee ePO 集成。

开始之前验证要查询的 McAfee ePO 设备是否与 McAfee Real Time for McAfee ePO 集成。


1 在系统导航树中，选择系统，再单击“属性”图标，然后单击“数据扩充”。

2 单击“添加”，键入名称，然后在“主要”选项卡上进行选择。

3 在“来源”选项卡上，选择“类型”字段中的 McAfee Real Time for McAfee ePO，然后选择“设备”字段中的设备。

4 设置“查询”、“评分”和“目标”选项卡上的其余设置，然后单击“完成”。

查询 McAfee Real Time for McAfee ePO 信息显示板的 McAfee ePO 设备您可在 McAfee Real Time for McAfee ePO 信息显示板视图上运行多个 McAfee ePO 设备的查询。

开始之前验证要查询的 McAfee ePO 设备已与 McAfee Real Time for McAfee ePO 集成。




1 在系统导航树中，单击要查询的 McAfee ePO 设备。

2 在 ESM 控制台上，单击视图列表，然后选择 McAfee Real Time for McAfee ePO。

3 在“过滤器”窗格中选择过滤器：

a 在“元素”部分中，单击打开的字段并选择查询的元素。

b 在“过滤器”部分中，选择过滤器类型，然后在打开的字段中键入过滤器。

c 选择过滤操作，然后键入值。

4 单击“运行查询”图标。

McAfee Vulnerability Manager 设置可将 McAfee Vulnerability Manager 作为设备添加到 ESM，使您可以从 ESM 启动 McAfee Vulnerability Manager 上的扫描。如果您购买 McAfee Vulnerability Manager 设备并要从 ESM 运行该设备，则该功能很有帮助。

McAfee Vulnerability Manager 必须要与接收器建立联系，因为事件是从接收器提取，而非 McAfee VulnerabilityManager。

另请参阅获取 McAfee Vulnerability Manager 证书和密码第 142 页运行 McAfee Vulnerability Manager 扫描第 142 页建立 McAfee Vulnerability Manager 连接第 143 页

获取 McAfee Vulnerability Manager 证书和密码你必须获取 McAfee Vulnerability Manager 证书和密码，然后才可以建立 McAfee Vulnerability Manager 连接。该任务并非在 ESM 上执行。


1 在运行 Foundstone Certificate Manager 的服务器上，运行 Foundstone Certificate Manager.exe。

2 单击“Create SSL Certificates”（创建 SSL 证书）选项卡。

3 在“主机地址”字段，键入针对 McAfee Vulnerability Manager 托管 Web 界面的系统的主机名或 IP 地址，然后单击“解析。”

4 单击“Create Certificate using Common Name”（使用通用名称创建证书），以生成密码和 .zip 文件。

5 上载 .zip 文件并复制生成的密码。

另请参阅 McAfee Vulnerability Manager 设置第 142 页运行 McAfee Vulnerability Manager 扫描第 142 页建立 McAfee Vulnerability Manager 连接第 143 页

运行 McAfee Vulnerability Manager 扫描“扫描”页面显示 McAfee Vulnerability Manager 中正在运行或已运行的漏洞扫描，以及其状态。打开该页面时，API 会检查是否存在默认 Web 登录凭据。如果存在，则会根据这些凭据填充扫描列表，并每隔 60 秒更新一次。您也可以从该页面启动新扫描。




1 在系统导航树上，选择“MVM 属性”，然后单击“扫描”。

2 单击“新建扫描”并输入要求的信息。


完成扫描后，会将其添加至扫描列表。

另请参阅 McAfee Vulnerability Manager 设置第 142 页获取 McAfee Vulnerability Manager 证书和密码第 142 页建立 McAfee Vulnerability Manager 连接第 143 页

建立 McAfee Vulnerability Manager 连接您必须要建立与数据库的 McAfee Vulnerability Manager 连接，以便从 McAfee Vulnerability Manager 提取漏洞评估数据；还必须要建立与 Web 用户界面的连接，从而在 McAfee Vulnerability Manager 上执行扫描。

开始之前您必须获取 McAfee Vulnerability Manager 证书和密码

更改这些设置不会影响设备本身。而仅仅影响设备与 ESM 通信的方式。


1 在系统导航树上，选择“MVM 属性”，然后单击“连接”。

2 填写所需的信息，然后单击“确定”。

另请参阅 McAfee Vulnerability Manager 设置第 142 页获取 McAfee Vulnerability Manager 证书和密码第 142 页运行 McAfee Vulnerability Manager 扫描第 142 页

McAfee Network Security Manager 设置可将 McAfee Network Security Manager 作为设备添加至 ESM，使您可以从 ESM 中访问相关功能。如果您购买了一个设备且要从 ESM 访问该设备，则这会很有帮助。

将 McAfee Network Security Manager 设备添加至 ESM 时，设备上的传感器会作为系统导航树上设备的子级列出。设备必须要与接收器关联，因为事件是从接收器提取，而非 McAfee Network Security Manager。

另请参阅添加黑名单条目第 143 页添加或删除已删除的黑名单条目第 144 页NSM 设备上的第 7 层收集第 144 页

添加黑名单条目McAfee Network Security Manager 将黑名单应用到传感器。“黑名单”页面显示针对您选择的传感器定义的黑名单条目。您可以从该页面添加、编辑和删除黑名单条目。

必须是超级用户，才可以使用黑名单功能。




1 在系统导航树上，选择“NSM 属性”，单击“黑名单”，然后选择传感器。

2 若要将全局黑名单应用到该传感器，请选择“包括全局黑名单”。

全局黑名单项目即会被添加至列表中。如果存在重复的 IP 地址，则全局黑名单地址会覆盖 McAfee NetworkSecurity Manager 地址。

一旦选择该选项，则不会自动取消操作。请手动删除项目。

3 单击“添加”，填写要求的信息，然后单击“确定”。

条目会显示在黑名单中，直至到期。


选项定义

“ IP 地址 ” 请键入要列入黑名单的 IP 地址。

“ 持续时间 ” 选择要将该地址放于黑名单中的时长。

“说明” 键入该查询的说明。

另请参阅 McAfee Network Security Manager 设置第 143 页添加或删除已删除的黑名单条目第 144 页NSM 设备上的第 7 层收集第 144 页

添加或删除已删除的黑名单条目在 ESM 上启动且有效时长尚未到期，但在查询 McAfee Network Security Manager (Manager) 时返回的黑名单条目列表中未出现的任何条目都会显示为“已删除”状态，并带有标记图标。如果条目已被删除，而删除操作并非在 ESM 上启动，则会出现该状况。您可以将该条目重新添加至黑名单，或将其从黑名单中删除。


1 在系统导航树上，选择“NSM 属性”，然后单击“黑名单”。

2 选择黑名单条目列表上已删除的条目，然后单击“添加”或“删除”。


另请参阅 McAfee Network Security Manager 设置第 143 页添加黑名单条目第 143 页NSM 设备上的第 7 层收集第 144 页

NSM 设备上的第 7 层收集将 NSM 事件写入到数据库后，第 7 层数据被填充到 NSM 数据库中。它不会作为事件的一部分进入系统。若要从 NSM 中提取第 7 层信息，您可以延迟事件提取时间，使第 7 层数据包含进来。该延迟适用于所有 NSM 事件，而不仅仅是与第 7 层数据关联的事件。

您可以在执行与 NSM 相关的三个不同操作时设置该延迟：



• 将 McAfee NSM 设备添加至控制台

• 配置 NSM 设备

• 添加 NSM 数据来源

添加 McAfee NSM 设备

将 NSM 设备添加至 ESM 时（请参阅“将设备添加至 ESM 控制台”），请选择“启用第 7 层收集”并在“添加设备向导”的第四页上设置延迟。

配置 NSM 设备

将 NSM 设备添加至 ESM 控制台后，您可以配置设备的连接设置（请参阅“通过 ESM 更改连接”）。您可以选择“启用第 7 层收集”并在“连接”页面上设置延迟。

添加 NSM 数据来源

若要将 NSM 数据来源添加至接收器（请参阅“添加数据来源”），请选择“数据来源供应商”字段中的 McAfee 和“数据来源型号”字段中的“Network Security Manager - SQL Pull (ASP)”。您可以选择“启用第 7 层收集”并在“添加数据来源”页面上设置延迟。

另请参阅 McAfee Network Security Manager 设置第 143 页添加黑名单条目第 143 页添加或删除已删除的黑名单条目第 144 页

配置辅助服务辅助服务包括 Remedy 服务器、Network Time Protocol (NTP) 服务器和 DNS 服务器。将这些服务器配置为与 ESM通信。

目录常规系统信息配置补救服务器设置停止自动刷新 ESM 系统树定义消息设置在设备上设置 NTP 管理全局黑名单页面配置网络设置系统时间同步安装新证书配置配置文件 SNMP 配置

配置 ESM配置辅助服务 3


常规系统信息在“系统属性” | “系统信息” 页面上，您可以查看有关您的系统的常规信息和各种功能的状态。在“系统日志”页面，您可以查看系统或设备上发生的事件。

您可以在与 McAfee 支持谈论您的系统时参考该信息。您还会在设置功能（如事件或流累积），或检查规则更新或系统备份的状态时需要这些信息。

• “系统”、“客户 ID”、“硬件”和“序列号”提供有关系统及其当前状态的信息。

• “数据库状态”会显示数据库执行其他功能（如数据库重建或背景重建）的时间和这些功能的状态。“确定”状态表示数据库正在正常运行。

• “系统时钟”显示后一次打开或刷新“系统属性”的日期和时间。

• “规则更新”显示后一次规则更新的时间。

• 在 FIPS 模式中，“FIPS 自测”和“状态”显示后一次执行 FIPS 自测及其状态。

• “查看报告”会显示“设备类型数”和“事件时间”报告。


选项定义

“系统” 设备类型、软件版本和内部版本号以及计算机 ID 编号（分配到各个计算机的唯一编号）。

“客户 ID” 您设置 McAfee 永久凭据时收到的编号。

“硬件” 有关硬件和内存的信息。

“序列号 ” 该设备的生产商序列号。

“系统时钟 (GMT)” 后一次打开或刷新“系统属性”页面的日期和时间。如果您单击链接，则可对系统时钟和 NTP 设置进行更改。

“同步设备时钟” 将 ESM 时间和 NTP 服务器同步到设备。

“规则更新” 规则后一次更新的时间及其更新方式。如果您未设置永久凭据，它会显示许可证到期时间（请参阅“检查规则更新”或“获取规则下载凭据”）。

“数据库状态” 数据库的状态。如果正在执行数据库或背景重建之类的功能，则会显示功能的状态。“确定”状态表示正常运行。

“刷新系统信息” 刷新页面上显示的数据。

“设备摘要报告” 显示“设备类型数”和“事件时间”报告。您可将该数据导出为 .csv 文件。

配置补救服务器设置如果您安装有补救系统，则必须配置补救设置这样 ESM 才能与其进行通信。

开始之前设置您的补救系统。


1 在系统导航树中，选择“系统属性”，然后单击“自定义设置” | “补救”。

2 在“Remedy 配置”页面，输入补救系统的信息，然后单击“确定”。

当您选择“事件分析”视图中的“将事件发送至补救” 时，电子邮件将填充有您在此页面中输入的信息。

3 配置 ESM配置辅助服务



选项定义

“ 主机 ” 输入补救系统的主机。

“ 端口 ” 必要的话更改端口号。

“使用 TLS” 选择是否要使用 TLS 作为加密协议

“用户名” 如有需要，请输入 Remedy 系统的用户名。

“密码” 如有需要，请输入补救系统的密码。

“发件人地址” 输入补救消息发送者的电子邮件地址。

“收件人地址” 输入补救消息接收者的电子邮件地址。

停止自动刷新 ESM 系统树ESM 系统树每五分钟自动刷新一次。您可以根据需要停止自动刷新。

开始之前您必须具备“系统管理”权限，才可以更改该设置。

刷新期间，您无法在树上选择设备。如果您在 ESM 上拥有多个设备，则会影响访问设备的“属性”页面。


1 在系统树上，选择 ESM，然后单击“属性”图标。

2 单击“自定义设置”，然后取消选择“自动刷新系统树”。

您可以通过单击系统树操作工具栏上的“刷新设备”图标手动刷新系统树。

定义消息设置定义警报操作或设置报告提交方法时，您可以选择发送消息。但首先，您必须将 ESM 连接到邮件服务器并确定电子邮件、短信、SNMP 或 syslog 的消息收件人。

ESM 通过 SNMP v1 协议发送警报通知。 SNMP 将用户数据报协议 (UDP) 作为传输协议，在管理器和代理间传递数据。在 SNMP 设置中，代理（如 ESM）利用数据包（称为陷阱）将事件转发至 SNMP 服务器（称作网络管理站[NMS]）。网络中的其他代理可以通过与接收通知相同的方法接收事件报告。由于 SNMP 陷阱数据包的大小限制，ESM 以单个陷阱的形式发送各个报告行。

Syslog 也可以发送 ESM 生成的查询 CSV 报告。 Syslog 发送查询 CSV 报告时，每条 syslog 消息占用一行，各行查询结果的数据以逗号隔开。

另请参阅连接邮件服务器第 148 页管理收件人第 148 页管理电子邮件收件人组第 149 页创建警报消息模板第 226 页将关联警报设置为包含来源事件第 227 页管理警报收件人第 228 页



连接邮件服务器配置设置，从而连接到邮件服务器，这样，您便可以发送警报和报告消息。

开始之前您要确保拥有管理员权限，或属于具有用户管理权限的访问组。

有关产品功能、用途和佳做法的详细信息，请单击“?”或“帮助”。

任务

1 在系统导航树中，选择系统，然后单击“属性”图标。

2 单击“电子邮件设置”，并输入所需信息，以连接邮件服务器。

选项说明

“ 主机”和“端口” 输入邮件服务器的主机和端口。

“使用 TLS” 选择是否使用 TLS 加密协议。

“用户名”和“密码” 输入用户名和密码，以访问邮件服务器。

“标题” 为邮件服务器中发出的所有电子邮件消息键入通用标题，如 ESM IP 地址，以确定生成该消息的 ESM。

“发件人” 输入您的名字。

“配置收件人” 添加、编辑或删除收件人（请参阅管理警报收件人第 228 页）

3 发送测试电子邮件，以验证设置。

4 添加、编辑或删除收件人（请参阅管理警报收件人第 228 页）

5 单击“应用”或“确定”，保存设置。

另请参阅定义消息设置第 147 页管理收件人第 148 页管理电子邮件收件人组第 149 页

管理收件人警报和报告消息可通过多种格式发送，每种格式都有收件人列表，以供管理。可以对电子邮件地址分组，以便同时向多名收件人发送消息。


1 在系统导航树上，选择“系统属性”，然后单击“电子邮件设置”。

2 单击“配置收件人”，然后选择要将其添加至的选项卡。

3 单击“添加”，然后添加要求的信息。


收件人会被添加到 ESM，您可以在 ESM 中任意使用收件人的地方选择收件人。

另请参阅定义消息设置第 147 页连接邮件服务器第 148 页管理电子邮件收件人组第 149 页



管理电子邮件收件人组将电子邮件收件人分组，从而可以同时向多个收件人发送消息。

开始之前必须针对 ESM 中的用户定义收件人及其电子邮件地址（请参阅“添加用户”）。


1 在系统导航树上，单击系统，然后单击“属性”图标。

2 单击“电子邮件设置”，然后单击“配置收件人” | “电子邮件组”。

您会看到现有电子邮件收件人组列表以及所选组的成员。

3 单击“添加”、“编辑”或“删除”，以管理收件人组列表。

4 提供要求的信息，然后单击“确定”。

该组会被添加至“电子邮件组”页面的“电子邮件收件人组”部分。


选项定义

“电子邮件组名称” Type a name that describes the group.

“选择电子邮件地址” 从系统中所有收件人的列表，选择属于此组一部分的收件人。

另请参阅定义消息设置第 147 页连接邮件服务器第 148 页管理收件人第 148 页

在设备上设置 NTP使用网络时间协议 (NTP) 服务器将设备时间与 ESM 进行同步。





2 单击“配置” | “NTP”。



选项定义

“为时间同步使用NTP 服务器”

选择该选项，以使用 NTP 服务器（而非系统时钟）来同步设备的时间。

表查看默认的 NTP 服务器以及已添加到设备的任何 NTP 服务器。

“NTP 服务器列” 通过单击此列，您可为要添加到设备的 NTP 服务器添加 IP 地址。多可添加 10 个服务器。

IPS 类设备上的 NTP 服务器地址必须为 IP 地址。

“身份验证密钥”和“密钥 ID”列

为每个 NTP 服务器键入身份验证密钥和密钥 ID（如果不知道，请与您的网络管理员联系）。

“状态” 单击可查看列表中 NTP 服务器的状态。如果您对服务器列表进行了更改，则必须单击“确定”以保存更改并关闭页面，然后在单击“状态”之前再次打开页面。

任务• 查看 NTP 服务器的状态第 150 页

查看 ESM 上所有 NTP 服务器的状态。

另请参阅查看 NTP 服务器的状态第 150 页

查看 NTP 服务器的状态查看 ESM 上所有 NTP 服务器的状态。

开始之前将 NTP 服务器添加到 ESM 或设备（请参阅“系统时间同步”或“设置设备上的 NTP”）。


1 在系统导航树中，执行以下任一操作：• 选择“系统属性” | “系统信息”，然后单击“系统时钟”。

• 在系统导航树中，选择设备并单击“属性”图标，然后选择 “配置” | “NTP”。

2 单击“状态”，查看 NTP 服务器数据，然后单击“关闭”。




选项定义

“NTP 服务器”列列出 NTP 服务器的 IP 地址。地址之前可能会显示下列标记：• * – 当前正在调用的服务器 • x – 来源虚假标记

• + – 已选择，并已包含在终设置中 • 。– 已从候选列表末端选择

• # – 已选择，且距离超出大值 • - – 已被集群算法舍弃

• o – 已选择，并已使用每秒脉冲 (PPS)

“ 可访问的 ”列 “是”表示可访问该服务器；“否”表示无法访问。

“身份验证”列 “无”表示尚未提供任何凭据；“Bad”（不良）表示凭据有误；而“是”表示提供的凭据无误。

“条件”列该条件与 “NTP 服务器”列中的标记相对应。“候选”表示其为可能采用的选择，“sys.peer ”表示其为当前选择，而“拒绝”表示无法访问该服务器。如果所有服务器都被标记为“拒绝”，则有可能是正在重启 NTP 配置。

另请参阅在设备上设置 NTP 第 149 页

管理全局黑名单页面选择支持全局黑名单的网络设备。


选项定义

表查看 ESM 上的网络设备列表以及是否在各个设备上启用全局黑名单。

“ 已启用 ”列选择使用全局黑名单的设备。

配置网络设置通过添加 ESM 服务器网关和 DNS 服务器 IP 地址，定义代理服务器设置，设置 SSH 和添加静态路由配置 ESM 连接到网络的方式。


1 在系统导航树上，选择“系统属性”，然后单击“网络设置”。

2 请填写信息，以配置网络的连接。






“主” “接口 1”和“接口2”

选择“接口 1”和/或“接口 2”，然后单击“设置”。要一直启用至少一个接口。

Firefox 4 和 5 版本验证证书时无法删除地址中的“[ ]”，因此无法在尝试获得 IPv6 证书时解析 IPv6 地址。若要解决该问题，请为 /etc/hosts file (Linux) 或 C:\WINDOWS\system32\drivers\etc\hosts (Windows) 中的 IPv6 地址添加记录并使用主机名（而非IPv6 地址）导航至 ESM。

“启用 SSH”（在 FIPS 模式中不可用）

请选择该选项，以允许 SSH 连接。必须至少定义一个接口，以启用 SSH。

ESM 和设备使用 FIPS 兼容版本的 SSH。SSH 客户端（OpenSSH、Putty、dropbear、Cygwin ssh、WinSCP 和 TeraTerm）已经过测试并已知可运行。如果您使用 Putty，则兼容版本为 0.62，您可以通过以下地址下载该版本：http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html。

“SSH 端口” 输入允许访问通过的特定端口。

“管理 SSH 密钥 ” 请单击“SSH 密钥”。如果您已启用 SSH 连接，则所列出的计算机会进行通信。若要停止通信，则请从列表中删除计算机 ID。

“IPv6 设置” 请选择“手动”或“自动”启用 IPv6 模式。

• 如果设置为“关闭”，则会禁用 IPv6 模式。

• 如果您选择“自动”，则会禁用“主要”和“次要 IPv6”字段。每个主机都通过接收的用户广告内容决定其地址。它利用 IEEE EUI-64 标准定义地址的网络 ID 部分。

• 如果您选择“手动”，则会启用“主要”和“次要 IPv6”字段。请在这些字段中添加 IPv6地址。

“高级” 在 ESM 或其设备上设置 Internet 控制消息协议 (ICMP) 消息和智能平台管理接口 (IPMI)。

“ICMP 消息” 为 ICMP 选择以下任意选项：• “重定向” - ESM 忽略重定向消息。

• “目标不可访问” - 如果数据包并非因为拥挤无法提交到目标，则 ESM 会生成消息。

• “启用 PING” - ESM 会发送回显回复消息，以回应发送到 IPv6 多播/任意广播地址的回显请求消息。

“IPMI 设置” 如果您将 IPMI NIC 插入开关且需要通过 IPMI 卡远程管理 ESM 设备，则请添加 IPMI设置：• “启用 IPMI 设置” - 选择该选项可访问 IPMI 命令。

• “VLAN”、“IP 地址”、“网络掩码”、“网关” - 输入设置，以配置网络的 IPMI 端口。

“代理” 如果您的网络使用代理服务器，则请设置 ESM 的连接。

“IPv4”或“IPv6” 在设备上，如果您的接口使用 IPv6 地址，则可以选择 IPv6。如果没有，则会选择IPv4。

“IP 地址”、“端口”、“用户名”、“密码”

请输入连接到代理服务器所需的信息。

“基本身份验证” 请选择该选项，以实施基本身份验证检查。

“流量” 定义网络的大数据输出值和掩码，以控制发送出站流量的速率。

表查看您已设置的现有控制。

“网络”列根据您的定义，查看系统控制出站流量所在网络的地址。

“掩码”列（可选）查看网络地址的掩码。

“ 大吞吐量”列查看您对每个网络定义的大吞吐量。





“添加”、“编辑”、“删除”

管理您要控制的网络地址。

“静态路由”

“静态路由” 添加、编辑或删除静态路由。静态路由是指定的说明集，介绍如何连接到通过默认网关无法连接的主机或网络。添加静态路由后，更改会被推送到 ESM，并在单击“应用”后立即生效。一旦应用更改，ESM 会对自身重新初始化，造成丢失所有当前会话。


选项定义

“ IPv4 或 IPv6 ”（并非所有“代理”选项卡都提供）

如果您有使用 IPv6 地址的接口，则可选择 IPv6。如果没有，则会选择 IPv4。

“ IP 地址、端口、用户名、密码 ” 请输入连接到代理服务器所需的信息。


表 3-97 “网络”选项卡中的选项定义

选项定义

“绕过 NIC 配置” 设置绕过 NIC，这样设备可以通过所有流量，即便是恶意流量（请参阅“设置绕过 NIC”）。处于 IDS 模式下的设备没有绕过功能，因此其状态为“常规操作”。

“收集流” （可选）选择该选项，以收集进出设备的流量的流。

“ ELM EDS SFTP” 如果您具有“ELM SFTP 访问”用户权限，则可以查看并下载为设备存储的 ELM 日志文件。如果您具有“设备管理”权限，则可以在“ELM EDS SFTP”字段中更改访问这些文件的端口。请勿使用以下端口：1、22、111、161、695、1333、1334、10617 或 13666。

我们建议您在使用此功能时同时使用以下 FTP 客户端之一：WinSCP 5.11、Filezilla、CoreFTP LE 或 FireFTP。

“HOME_NET” 键入您的组织所拥有的 IP 地址，以便确定设备收集的通信流量的方向。

“接口” 选择要使用的接口并为 IPv4 或 IPv6 类型输入 IP 地址。如果您输入 IPv4 地址，则也要添加网络掩码地址。如果您输入 IPv6 地址，则要在该地址中包含网络掩码，否则将会收到错误。要允许从多个网络使用设备（仅限为 MGT 1 <主接口> 和 MGT 2 <第一个下拉接口>），请添加更多接口。

要激活 NIC 粘合，请在第一个字段中选择“管理”，然后键入与主 NIC（此对话框中的第一行）相同的 IP 地址和网络掩码。

“IPv6 模式” 选择是否启用 IPv6 模式。

• “关闭”：未启用 IPv6 模式。已禁用 IPv6 字段。

• “自动”：已启用 IPv6 模式。每个主机均通过接收的用户广告内容决定其地址。它使用 IEEEEUI-64 标准来定义该地址的网络 ID 部分。已禁用 IPv6 字段。

• “手动”：已启用 IPv6 模式。已启用 IPv6 字段。

“SSH 端口” 选择端口，通过该端口可允许在 ESM 和设备之间进行访问。




选项定义

“DHCP” 如果您不在云环境中工作，则选择启用 DHCP 服务。DHCP 可用于重置网络的 IP 地址。

使用冗余 ESM 或 ELM 时，如果冗余设备的 IP 地址更改，则冗余会停止工作。

“IPv4”、“网络掩码”、“IPv6”

键入 IPv4 的 IP 地址和网络掩码。

Firefox 4 和 5 版本验证证书时无法删除地址中的“[ ]”，因此无法在尝试获得 IPv6 证书时解析IPv6 地址。若要解决该问题，请为 /etc/hosts file (Linux) 或 C:\WINDOWS\system32\drivers\etc\hosts (Windows) 中的 IPv6 地址添加记录并使用主机名（而非 IPv6 地址）导航至 ESM。

“网关” 请输入与网络配置同时使用的网关。必须使用 IPv4 地址。

“DNS 服务器 1”和“2”

请至少指定一个 DNS 服务器。若不指定 DNS 服务器，则 ESM 无法检查 McAfee 服务器中的特征码和软件更新。如果未指定有效的 DNS 服务器，也无法使用电子邮件和 WHOIS 等功能。这些是 IPv4 和 IPv6 地址的 AND/OR 字段。您必须在接口 1 或 2 中定义 IPv6 地址，才可将其用作 DNS 服务器地址。

“配置 VLAN 和别名”

单击“高级”。• 如果您正使用 VLAN，请将其添加至 ESM。

• 如果网络设备有多个 IP 地址，则请添加别名。

表 3-99 接收器设备上“通信”选项卡的选项定义

选项定义

“SNMP 端口、Syslog 端口、sFlow 端口”

选择在接收器中对其打开防火墙的端口，这样它便能侦听入站协议数据来源信息。端口 0 表示关闭收集。

接收器执行 UDP 和 TCP syslog 收集。

“Syslog TLS 端口” 选择接收器上防火墙对其开放的端口，这样它便能侦听入站 TLS 协议数据来源信息。默认端口为 10514。端口 0 表示关闭 TLS 系统日志收集。当添加数据来源时，如果启用了此端口，则您可以指定仅想从数据来源接受系统日志 TLS。TLS 仅支持自签证书。

“MEF 端口” 选择在接收器中对其打开防火墙的端口，这样它便能侦听入站 MEF 协议数据来源信息。默认端口为 8081。端口 0 表示关闭 MEF 收集。

所有具有相同 IP 地址的 MEF 数据来源必须标记为加密或未加密。

“ IPFIX 端口” 选择在接收器中对其打开防火墙的端口，这样它便能侦听入站 IPFIX 协议数据来源信息。默认端口为 4739。端口 0 为默认值，表示关闭 IPFIX 收集。

“NetFlow 端口” 选择在接收器中对其打开防火墙的端口，这样它便能侦听入站 NetFlow 协议数据来源信息。此列表可包含以逗号分隔的多个端口。此字段中的空值表示关闭 NetFlow 收集。

“DHCP 地址” DHCP IP 地址的范围，可在此范围内从 DHCP 数据来源启用发送到 Event Receiver 的日志收集。DHCP 数据来源可以是支持的任何数据格式并通过 McAfee Labs Windows 事件收集器发送到接收器。

任务• 设置 ESM 或设备上的 IPMI 端口第 158 页

为 IPMI 端口配置网络以设置 ESM 或其设备上的 IPMI。• 在 ESM 上设置网络流量控制第 160 页

定义 ESM 的大数据输出值。• 设置 DHCP 第 163 页

动态主机配置协议 (DHCP) 在 IP 网络上用于动态地分布网络配置参数，如接口和服务的 IP 地址。• 在 VLAN 上设置 DHCP 第 163 页

动态主机配置协议 (DHCP) 在 IP 网络上用于动态地分布网络配置参数，如接口和服务的 IP 地址。



管理网络接口与设备间的通信可通过使用流量路径的公共和私有接口来进行。这意味着设备在网络中不可见，因为它不需要 IP 地址。

管理接口

此外，网络管理员可以使用 IP 地址配置管理接口以便在 ESM 和设备之间进行通信。以下设备功能需要使用管理接口：• 完全控制绕过网卡

• 使用 NTP 时间同步

• 设备生成的系统日志

• SNMP 通知

设备至少配备有一个管理接口，可为其提供 IP 地址。通过 IP 地址，ESM 可以直接访问设备而无需将通信定向至其他目标 IP 地址或主机名。

请勿将管理网络接口附加到某一公共网络，因为该接口对公共网络是可见的，因此可能会威胁其安全性。

ESM 接口绑定

ESM 检测到使用同一 IP 地址的两个管理接口时，会尝试自动启用绑定的 NIC 模式。启用绑定模式后，系统会为两个接口分配相同的 IP 和 MAC 地址。使用的绑定模式为模式 0（轮询机制），可提供容错。

要禁用 NIC 绑定，请更改其中一个接口的 IP 地址，使其不再与其他 IP 地址匹配。然后，系统会自动禁用绑定的 NIC模式。

另请参阅设置网络接口第 155 页添加 VLAN 和别名第 157 页添加静态路由第 158 页

设置网络接口接口设置决定了 ESM 如何连接到设备。必须为每一设备定义这些设置。



2 单击设备的“配置”选项，然后单击“接口”。

3 根据要求输入数据，然后单击“应用”。

所有更改都将推送到设备，并将立即生效。应用更改后，设备将重新初始化，这会导致所有当前会话丢失。

表 3-100 “网络”选项卡中的选项定义

选项定义

“绕过 NIC 配置” 设置绕过 NIC，这样设备可以通过所有流量，即便是恶意流量（请参阅“设置绕过 NIC”）。处于IDS 模式下的设备没有绕过功能，因此其状态为“常规操作”。

“收集流” （可选）选择该选项，以收集进出设备的流量的流。



表 3-100 “网络”选项卡中的选项定义（续）

选项定义

“ ELM EDS SFTP” 如果您具有“ELM SFTP 访问”用户权限，则可以查看并下载为设备存储的 ELM 日志文件。如果您具有“设备管理”权限，则可以在“ELM EDS SFTP”字段中更改访问这些文件的端口。请勿使用以下端口：1、22、111、161、695、1333、1334、10617 或 13666。

我们建议您在使用此功能时同时使用以下 FTP 客户端之一：WinSCP 5.11、Filezilla、CoreFTPLE 或 FireFTP。

“HOME_NET” 键入您的组织所拥有的 IP 地址，以便确定设备收集的通信流量的方向。

“接口” 选择要使用的接口并为 IPv4 或 IPv6 类型输入 IP 地址。如果您输入 IPv4 地址，则也要添加网络掩码地址。如果您输入 IPv6 地址，则要在该地址中包含网络掩码，否则将会收到错误。要允许从多个网络使用设备（仅限为 MGT 1 <主接口> 和 MGT 2 <第一个下拉接口>），请添加更多接口。

要激活 NIC 粘合，请在第一个字段中选择“管理”，然后键入与主 NIC（此对话框中的第一行）相同的 IP 地址和网络掩码。

“IPv6 模式” 选择是否启用 IPv6 模式。

• “关闭”：未启用 IPv6 模式。已禁用 IPv6 字段。

• “自动”：已启用 IPv6 模式。每个主机均通过接收的用户广告内容决定其地址。它使用 IEEEEUI-64 标准来定义该地址的网络 ID 部分。已禁用 IPv6 字段。

• “手动”：已启用 IPv6 模式。已启用 IPv6 字段。

“SSH 端口” 选择端口，通过该端口可允许在 ESM 和设备之间进行访问。


选项定义

“”“ICMP 消息” 为 ICMP 选择以下任一选项。

“重定向”— 如果选择该选项，则 ESM 会忽略重定向消息。“目标不可访问” - 如果选择该选项，且数据包并非因为拥挤而无法提交到目标时，ESM 会生成消息。

“启用 Ping” — 如果选择该选项，则 ESM 会发送回显回复消息，以回应发送到 IPv6 多播/任播地址的回显请求消息。

“IPMI 设置” 若要在将 IPMI NIC 插入交换机时通过 IPMI 卡远程管理 ESM 设备，则请添加 IPMI 设置。

• “启用 IPMI 设置” - 选择该选项可访问 IPMI 命令。

• “VLAN”、“IP 地址”、“网络掩码”、“网关” - 输入设置，以配置 IPMI 端口的网络。


选项定义

“添加别名” 请突出显示您要添加别名的 VLAN，然后单击该选项。如果选定 DHCP，则该选项不可用。

“ 添加 VLAN ” 若要将 VLAN 添加至接口，则请单击该选项。

“编辑” 请突出显示表上的别名和 VLAN，然后单击该选项，以更改其设置。

“ 删除” 请突出显示表上的别名和 VLAN，然后单击该选项，将其删除。



另请参阅管理网络接口第 155 页添加 VLAN 和别名第 157 页添加静态路由第 158 页

添加 VLAN 和别名将虚拟局域网 (VLAN) 和别名添加至 ACE 或 ELM 接口。如果您的网络设备拥有多个 IP 地址，则别名即为分配的 IP地址和您添加的网络掩码对。


1 在系统导航树上，选择设备，并单击“属性”图标，然后单击设备“配置”。

2 在“网络”选项卡的“接口”部分，单击“设置”，然后单击“高级”。

3 单击“添加 VLAN”，输入请求的信息，然后单击“确定”。

4 选择您要将该别名添加到的 VLAN，然后单击“添加别名”。

5 请输入请求的信息，然后单击“确定”。


选项定义

“ VLAN ” 查看使用该别名的 VLAN。该字段会预填写添加该别名的 VLAN 的数量。如果是“未标记”VLAN，则该数字为 0。

“ IP 版本 ” 选择 IP 地址使用 IPv4 或 IPv6 格式。

“IP 地址” 键入别名的 IP 地址。

“网络掩码” 如果使用 IPv4 格式，则请键入网络掩码。


选项定义

“ VLAN ” 针对 VLAN 键入数字。

“DHCP” 如果您不在云环境中工作，则选择启用 DHCP 服务。DHCP 可用于重置网络的 IP 地址。

使用冗余 ESM 或 ELM 时，如果冗余设备的 IP 地址更改，则冗余会停止工作。

“ IPv4 ”或“IPv6” 选择 IP 版本。默认情况下选择 IPv4。如果您在“网络设置”页面上将 IPv6 设置为“手动”或“自动”，则会启用“IPv6”单选按钮。如果 IP 地址使用 IPv6 格式，则请选择该选项。选择后，则会禁用“网络掩码”字段。

“IP 地址” 请键入 VLAN 的 IP 地址。

“网络掩码” 如果 IP 地址使用 IPv4 格式，则请添加网络掩码。

另请参阅管理网络接口第 155 页设置网络接口第 155 页添加静态路由第 158 页



添加静态路由静态路由是一组指令，指示如何连接到无法通过默认网关连接的主机或网络。



2 单击 “配置” | “接口”。

3 在“静态路由”表旁边，单击“添加”。

4 输入信息，然后单击“确定”。


选项定义

“静态路由”表查看系统上的静态路由。

“ 添加 ” 单击该选项，从而为静态路由添加信息。

“编辑” 单击该选项，以更改所选静态路由的设置。

“删除” 单击该选项，以删除所选静态路由。


选项定义

“IPv4” 或“ IPv6” 请选择此静态路由是否将会寻找 IPv4 或 IPv6 流量。

“网络”和“网关” 为此路由键入网络和网关 IP 地址。

“掩码” 选择掩码。

另请参阅管理网络接口第 155 页设置网络接口第 155 页添加 VLAN 和别名第 157 页

ESM 或设备上的 IPMI 端口设置您可以在 ESM 或其任何设备上设置 IPMI 端口。

这允许您执行以下数个操作：• 将 IPMI 网络接口控制器 (NIC) 插入交换机中，以

便此控制器可用于 IPMI 软件。• 访问启动和电源状态之类的 IPMI 命令。

• 访问基于 IPMI 且基于内核的虚拟计算机 (KVM)。 • 重置 IPMI 卡。

• 在升级到 ESM 9.4.0 后设置默认用户的 IPMI 密码。

• 执行热和冷重置。

设置 ESM 或设备上的 IPMI 端口为 IPMI 端口配置网络以设置 ESM 或其设备上的 IPMI。




1 在系统导航树中，选择系统或任何设备，然后单击“属性”图标。

2 访问“网络设置”“高级”选项卡。• 在 ESM 上，单击 “网络设置” | “高级”。

• 在设备上，单击设备的“配置”选项，然后单击 “接口” | “高级”

3 选择“启用 IPMI 设置”，然后键入 IPMI 的 VLAN、IP 地址、网络掩码和网关。

如果设备 BIOS 上的“启用 IPMI 设置”变灰，您需要更新系统 BIOS。设备的 SSH 并打开 /etc/areca/system_bios_update/Contents‑README.txt 文件。

4 单击“应用”或“确定”。

如果您正在升级设备，可能收到一则消息，告知您更改密码或重新锁定设备。如果您收到此消息，请更改系统密码或重新锁定设备，从而设置新密码来配置 IPMI。



“主” “接口 1”和“接口2”

选择“接口 1”和/或“接口 2”，然后单击“设置”。要一直启用至少一个接口。

Firefox 4 和 5 版本验证证书时无法删除地址中的“[ ]”，因此无法在尝试获得 IPv6 证书时解析 IPv6 地址。若要解决该问题，请为 /etc/hosts file (Linux) 或 C:\WINDOWS\system32\drivers\etc\hosts (Windows) 中的 IPv6 地址添加记录并使用主机名（而非IPv6 地址）导航至 ESM。

“启用 SSH”（在 FIPS 模式中不可用）

请选择该选项，以允许 SSH 连接。必须至少定义一个接口，以启用 SSH。

ESM 和设备使用 FIPS 兼容版本的 SSH。SSH 客户端（OpenSSH、Putty、dropbear、Cygwin ssh、WinSCP 和 TeraTerm）已经过测试并已知可运行。如果您使用 Putty，则兼容版本为 0.62，您可以通过以下地址下载该版本：http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html。

“SSH 端口” 输入允许访问通过的特定端口。

“管理 SSH 密钥 ” 请单击“SSH 密钥”。如果您已启用 SSH 连接，则所列出的计算机会进行通信。若要停止通信，则请从列表中删除计算机 ID。

“IPv6 设置” 请选择“手动”或“自动”启用 IPv6 模式。

• 如果设置为“关闭”，则会禁用 IPv6 模式。

• 如果您选择“自动”，则会禁用“主要”和“次要 IPv6”字段。每个主机都通过接收的用户广告内容决定其地址。它利用 IEEE EUI-64 标准定义地址的网络 ID 部分。

• 如果您选择“手动”，则会启用“主要”和“次要 IPv6”字段。请在这些字段中添加 IPv6 地址。

“高级” 在 ESM 或其设备上设置 Internet 控制消息协议 (ICMP) 消息和智能平台管理接口 (IPMI)。

“ICMP 消息” 为 ICMP 选择以下任意选项：• “重定向” - ESM 忽略重定向消息。

• “目标不可访问” - 如果数据包并非因为拥挤无法提交到目标，则 ESM 会生成消息。

• “启用 PING” - ESM 会发送回显回复消息，以回应发送到 IPv6 多播/任意广播地址的回显请求消息。





“IPMI 设置” 如果您将 IPMI NIC 插入开关且需要通过 IPMI 卡远程管理 ESM 设备，则请添加 IPMI 设置：• “启用 IPMI 设置” - 选择该选项可访问 IPMI 命令。

• “VLAN”、“IP 地址”、“网络掩码”、“网关” - 输入设置，以配置网络的 IPMI 端口。

“代理” 如果您的网络使用代理服务器，则请设置 ESM 的连接。

“IPv4”或“IPv6” 在设备上，如果您的接口使用 IPv6 地址，则可以选择 IPv6。如果没有，则会选择IPv4。

“IP 地址”、“端口”、“用户名”、“密码”

请输入连接到代理服务器所需的信息。


“流量” 定义网络的大数据输出值和掩码，以控制发送出站流量的速率。

表查看您已设置的现有控制。

“网络”列根据您的定义，查看系统控制出站流量所在网络的地址。

“掩码”列（可选）查看网络地址的掩码。

“ 大吞吐量”列查看您对每个网络定义的大吞吐量。

“添加”、“编辑”、“删除”

管理您要控制的网络地址。

“静态路由”

“静态路由” 添加、编辑或删除静态路由。静态路由是指定的说明集，介绍如何连接到通过默认网关无法连接的主机或网络。添加静态路由后，更改会被推送到 ESM，并在单击“应用”后立即生效。一旦应用更改，ESM 会对自身重新初始化，造成丢失所有当前会话。

在 ESM 上设置网络流量控制定义 ESM 的大数据输出值。

当您的带宽存在限制，需要控制每个 ESM 可以发送的数据量时，此功能很有帮助。选项包括 Kbps、Mbps 和 Gbps。

配置此功能时请小心谨慎，因为限制流量可能导致数据丢失。



2 单击“网络设置”，然后单击“流量”选项卡。

表将列出现有的控制。

3 要为设备添加控制，请单击“添加”，输入网络地址和掩码，设置速率，然后单击“确定”。

如果将掩码设置为零 (0)，则将控制发送的所有数据。


您指定的网络地址的出站流量速度会被控制。




选项定义

“网络”列根据您的定义，显示系统控制出站流量所在网络的地址。

“掩码”列显示网络地址的掩码。

“ 大吞吐量”列显示您对每个网络定义的大吞吐量。

“添加”、“编辑”、“删除” 管理您要控制的网络地址。


选项定义




另请参阅

添加吞吐量速率页面第 161 页

添加吞吐量速率页面定义网络的大数据输出值和掩码，以控制发送出站流量的速率。


选项定义




另请参阅在设备上设置网络流量控制第 34 页在 ESM 上设置网络流量控制第 160 页

使用主机名设备的主机名通常比 IP 地址作用更大。您可以管理主机名，使其与对应 IP 地址关联。

在“主机”页面上，您可以添加、编辑、删除、查找、更新和导入主机名，也可以设置自动了解主机名的到期时间。

查看事件数据时，您可以通过单击视图组件底部的“显示主机名”图标显示事件中与 IP 地址关联的主机名。

如果现有事件未被标记主机名，则系统会搜索 ESM 上的主机表并使用主机名标记 IP 地址。如果主机表上未列出 IP地址，则系统会执行域名系统 (DNS) 查找，以查找主机名。然后，搜索结果会显示在视图中并添加到主机表中。

在主机表上，该数据被标记为“自动了解”并会在“系统属性” | “主机”页面的主机表下方“条目于以下时间后过期”字段中指定的时间后过期。如果数据已过期，则在您下次选择视图中的“显示主机名”时会执行其他 DNS 查找。

主机表会列出自动了解和添加的主机名及其 IP 地址。您可以通过逐个输入 IP 地址和主机名，或导入 IP 地址和主机名的制表符分隔列表将信息手动添加到主机表（请参阅“导入主机名列表”）。您通过该方法输入的数据越多，DNS 查找耗时越少。如果您手动输入主机名，则该主机名不会过期，但您可以对其进行编辑和删除。

另请参阅管理主机名第 162 页导入主机名列表第 162 页



管理主机名请执行所有必要操作，以管理“主机”页面上的主机名，如添加、编辑、导入、删除或查找。您还可以设置自动习得主机的到期时间。


1 在系统导航树上，选择“系统属性”，然后单击“主机”。

2 请选择选项，并输入所需信息。



选项定义

“添加” 添加主机名，或主机名及其 IP 地址。已将它添加到“主机”表中。

“编辑” 更改与 IP 地址相关联的主机名。

“ 删除” 从表中删除所选的条目。

“查找” 查找某 IP 地址的主机名。针对内部网络设置信息时，这将很有用。查找结束后，结果将显示在表中。

“更新主机” 更新表以显示对列表和过期的条目所做出的任何更改。

“导入” 导入 IP 地址和主机名列表，以制表符分隔（请参阅“导入主机名列表”）。

“条目于以下时间后过期”

设置您希望自动获得的主机名在表中保留的时间。如果您不希望它们过期，请在所有字段中选择 (0)。


选项定义

“ 主机名 ” 输入主机名。主机名多不能超过 100 个字符。

“IP 地址” 以有效的 IPv4 或 IPv6 符号输入 IP 地址。其中不能包含掩码。

另请参阅使用主机名第 161 页导入主机名列表第 162 页

导入主机名列表将包含 IP 地址及其对应主机名的文本文件导入到主机表中。

开始之前请创建 IP 地址和主机名文件，以制表符分隔。

文件中的每条记录必须要列在单独的行中，IP 地址在前且使用 IPv4 或 IPv6 表示法。例如：

102.54.94.97 rhino.acme.com

08c8:e6ff:0100::02ff x.acme.com




1 在系统导航树上，选择“系统属性”，然后单击“主机” | “导入”。

2 请浏览至文本文件，然后单击“上传”。如果文件包含的 IP 地址当前在主机表上，但使用其他主机名，则“副本”页面会列出作为副本的记录。• 若要将表上的主机名更改为文本文件中的主机名，则请在“使用”列选择该主机名，然后单击“确定”。

• 若要保留现有主机数据，则切勿选择该复选框，然后单击“确定”。

新的主机数据被添加至表中。该数据的“自动了解”列会显示“否”，因为数据是手动输入的，因此不会过期。

另请参阅使用主机名第 161 页管理主机名第 162 页

设置 DHCP动态主机配置协议 (DHCP) 在 IP 网络上用于动态地分布网络配置参数，如接口和服务的 IP 地址。

当您将 ESM 设置为在云环境中部署时，DHCP 会自动启用并分配一个 IP 地址。如果不是在云环境中，您可以在ESM、非 HA 接收器、ACE 和 ELM 上启用和禁用 DHCP 服务，前提是您具有设备管理权限。如果您需要为您的网络重置 IP 地址，这将非常有用。

启用 DHCP 时，别名会被禁用。


1 在系统导航树中，选择系统或设备，然后单击“属性”图标。

2 执行以下任一操作：• 对于 ESM，单击“网络设置”，然后单击“主”选项卡。

• 对于设备，单击设备的“配置”选项，单击“接口”，然后单击“网络”选项卡。

3 单击“接口 1”字段的“设置”，然后选择“DHCP”。

对于不是接收器的设备，您会收到一则通知，说明更改需要重启 ESM 服务器。


在 VLAN 上设置 DHCP动态主机配置协议 (DHCP) 在 IP 网络上用于动态地分布网络配置参数，如接口和服务的 IP 地址。

当您将 ESM 设置为在云环境中部署时，DHCP 会自动启用并分配一个 IP 地址。如果不是在云环境中，您可以在VLAN、ESM、非 HA 接收器、ACE 和 ELM 上启用和禁用 DHCP 服务，前提是您具有设备管理权限。如果您需要为您的网络重置 IP 地址，这将非常有用。




1 在系统导航树中，选择系统或设备，然后单击“属性”图标。

2 执行以下任一操作：• 对于 ESM，单击“网络设置”，然后单击“主”选项卡。

• 对于设备，单击设备的“配置”选项，单击“接口”，然后单击“网络”选项卡。

3 单击“接口 1”字段的“设置”，然后单击“高级”。

4 单击“添加 VLAN”，键入“VLAN”，然后选择“DHCP”。

5 单击“确定”返回“网络设置”页面，然后单击“应用”。

对于不是接收器的设备，您会收到一则通知，说明更改需要重启 ESM 服务器。

系统时间同步由于 ESM 及其设备生成的活动标有时间，则请务必同步 ESM 和设备，从而为收集的数据维持恒定的参照系。您可以设置 ESM 系统时间，或选择将 ESM 和设备同步到 NTP 服务器。

另请参阅设置系统时间第 164 页同步设备时钟第 165 页

设置系统时间

开始之前如果要将 NTP 服务器添加至 ESM，则请设置 NTP 服务器并获取授权密钥和密钥 ID。


1 在系统导航树上，选择“系统属性”，并确保已选中“系统信息”。

2 请单击“系统时钟 (GMT)”，定义设置，然后单击“确定”。

ADM 或 DBM 设备上的 NTP 服务器地址必须为 IP 地址。

服务器信息会保存到配置文件中。然后您可以再次访问 NTP 服务器列表，并检查其状态。


选项定义

“设置 ESM 系统时间(GMT) 为”

如果您未使用 NTP 服务器同步系统时间，则请确保该日期和时间已设置为 GMT。

“为时间同步使用 NTP服务器”

选择该选项，从而使用 NTP 服务器同步设备的时间，而无需使用系统时钟。

“NTP 服务器”列通过单击该列，添加 NTP 服务器的 IP 地址。您可以添加多达 10 个服务器。

ADM 或 DBM 设备上的 NTP 服务器地址必须为 IP 地址。




选项定义

“身份验证密钥”和“密钥ID”列

请键入各个 NTP 服务器的身份验证密钥和密钥 ID（如果您不认识网络管理员，则请联系他们）。

“状态” 单击该选项，以查看列表上 NTP 服务器的状态。如果您对服务器列表进行更改，则必须单击“确定”保存更改并关闭页面，然后重新打开页面并单击“状态”。

另请参阅系统时间同步第 164 页

同步设备时钟您可以将设备时钟同 ESM 时钟同步，这样，各种系统生成的数据会反映相同的时间设置。


1 在系统导航树上，选择“系统属性”或设备“属性”，然后单击“同步设备时钟”字段中的“同步”。

如果同步过程完成，或出现问题，则您会得到通知。

2 请单击“刷新”，以更新“系统信息”或设备“信息”页面上的数据。

另请参阅系统时间同步第 164 页

安装新证书ESM 随附适用于 esm.mcafee.local 的默认自签证书。大多数网络浏览器会显示警报，通知证书的可靠性无法验证。获得您将用于 ESM 的 SSL 密钥证书对后必须安装。



2 在“密钥管理”选项卡中，单击“证书”。

3 进行相应的选择，然后单击“关闭。”

选项定义

“上载证书” 如果有证书、密钥和可选的链式文件，请逐一安装。系统会提示您先上载 .crt 文件，再上载 .key 文件，后上载链式文件。

“自签证书” 生成自签名的安全证书，并为 ESM 安装。单击“生成”，然后在“管理证书”页面输入信息。单击“确定”，然后单击“生成”。

“签名的证书请求” 生成证书请求，将该请求发送到认证中心进行签名。• 单击“生成”，并在“管理证书”页面输入相关信息，然后单击“确定”。

• 下载包含 .crt 和 .key 文件的 .zip 文件。

• 提取 .crt 文件，然后将其发送到认证中心。

“重新生成默认McAfee 证书”

重新生成原始证书。



配置配置文件为基于 syslog 的流量定义配置文件，从而无需每次都输入详细信息即可执行共享公共信息的设置。您还可以添加远程命令配置文件（URL 或脚本），然后在视图或警报上使用此文件。


1 在系统导航树上，选择“系统属性”，然后单击“配置文件管理”。

2 若要添加配置文件，请单击“系统配置文件”选项卡中的“添加”，然后填入配置文件数据。

3 要添加远程命令，请单击“远程命令”选项卡，然后填入所需的信息。



选项定义

“ 系统配置文件 ”表查看系统上当前的配置文件。

“添加” 添加配置文件。

“ 编辑” 更改选择的配置文件。

“ 删除” 删除选择的配置文件。


选项定义

“身份验证密码” 如果您选择“安全级别”字段中的“authNoPriv”或“authPriv”，则该字段会处于活动状态。请在“身份验证协议”字段中输入选择的身份验证协议的密码。

“身份验证协议” 如果您选择“安全级别”字段中的“authNoPriv”或“authPriv”，则该字段会处于活动状态。请选择该来源的协议类型：“MD5”或“SHA1”。 “SHA1”和“SHA”采用相同的协议类型。

“社区名称” 键入 SNMP 陷阱的社区字符串。

“压缩” 对于远程共享 SCP，请选择是否要使用压缩。

“加密” 对于远程共享 FTP，请选择是否要使用加密。

“引擎 ID” 输入陷阱发送者的 SNMPv3 引擎 ID。非必填字段。

“事件日志” 默认的 WMI 事件日志为 SYSTEM、APPLICATION 和 SECURITY，但其他日志也支持。输入其他名称时，请记住这些名称区分大小写，由逗号隔开且不应包含空格。您必须要有权限才可以读取日志。如果您是管理员，则仅可以提取安全日志。如果设置无误，您无需管理员权限也可提取 WMI 数据来源日志。

“工具” 选择将事件转发消息发送至的工具。

“时间间隔” 选择接收器检查 WMI 供应商是否提供新事件的间隔（单位为分钟）。

“IP 地址” “SNMP 陷阱”：键入发送陷阱信息的 eEye 服务器的 IP 地址。“事件转发”：键入事件将被转发至的 IP 地址。

“密码” 用以连接至 WMI 供应商的密码。

“隐私协议” 如果您选择 SNMP“安全级别”字段中的“authPriv”，则该字段会处于活动状态。请选择“DES”或“AES”。在 FIPS 模式中，“AES”是唯一的可用选项。

“配置文件代理” 选择该配置文件的代理。剩余的字段将取决于您在该字段中作出的选择。

“ 配置文件名称 ” 键入该配置文件的说明性名称。

“配置文件类型” 选择配置文件类型。该页面上剩余的字段取决于您在该字段中作出的选择。大多数字段名称具备说明性。




选项定义

“端口” 如果默认设置有误，则请更改连接端口。

“协议” 选择传输协议。

“远程 IP 地址、远程安装点和远程路径”

如果您选择“CIFS”或“NFS”作为配置文件代理，则请针对存储设备键入该信息。

“安全级别” 请选择该 SNMPv3 配置文件的安全级别。

• “noAuthNoPriv” — 没有身份验证协议和隐私协议

• “authNoPriv” — 有身份验证协议，但没有隐私协议

• “authPriv” — 身份验证和隐私协议二者都有

“身份验证”和“隐私”字段会根据您选择的安全级别变为活动状态。

“发送数据包” 若要发送事件数据包，则请选择该选项。

“严重性” 选择正被转发的信息的严重性。

“用户名” 用以连接至 WMI 供应商的用户名。对于域用户，请输入用户名作为域\用户。


选项定义

“ 远程命令 ”表查看系统上当前的远程命令。

“ 添加 ” 添加新的远程命令。

“ 编辑” 更改选择的远程命令。

“ 删除” 删除选择的远程命令。


选项定义

“名称” 键入该远程命令配置文件的名称。

“描述” 说明该命令的作用。

“类型” 选择该远程命令的类型。

“时区” 选择要使用的时区。

“日期格式” 选择日期格式。

“主机”、“端口”、“用户名”、“密码”

针对 SSH 连接键入相关信息。

“命令字符串” 针对 SSH 连接键入命令字符串。要在命令字符串中插入变量，请单击“插入变量”图标并选择变量。

SNMP 配置配置 ESM 使用的设置，以从 ESM 和各个设备发送链接启动和链接关闭并冷启动和热启动陷阱。检索管理信息基(MIB)-II 系统和接口表并允许通过 SNMP 浏览发现 ESM。

SNMPv3 可通过 NoAuthNoPriv、AuthNoPriv 和 AuthPriv 选项得到支持，可使用 MD5 或安全哈希算法 (SHA) 进行身份验证；还可以使用数据加密标准 (DES) 或高级加密标准 (AES) 进行加密。 MD5 和 DES 在 FIPS 合规模式中不可用。

可对 ESM 提出 SNMP 请求，以获得 ESM 和接收器的运行状况信息。 SNMPv3 陷阱可被发送至 ESM，以将其添加到一个或多个托管设备的黑名单中。也可对所有 McAfee 装置进行配置，以将链接陷阱和启动陷阱发送至您选择的目标（请参阅 “SNMP 和 McAfee MIB”）。



另请参阅配置 SNMP 设置第 168 页针对电源故障通知设置 SNMP 陷阱第 170 页SNMP 和 McAfee MIB 第 171 页从 ESM 中提取 MIB 第 174 页

配置 SNMP 设置对入站和出站 SNMP 通信定义 ESM 使用的设置。仅用户名不含空格的用户才可使用 SNMP 查询。




1 在系统导航树中，选择“系统属性”，然后单击“SNMP 配置”。

2 在“SNMP 请求”和“SNMP 陷阱”中输入所需的信息。




“SNMP 请求” “请求端口” 选择流量通过的端口。

“ 接受 ” 选择要接受的陷阱类型。

“允许 SNMPv1/2c” 选择该选项，以允许 SNMP 版本 1 和版本 2 流量并键入社区类型。

“允许 SNMPv3” 选择该选项可允许 SNMP 版本 3 流量和选择安全级别、身份验证协议以及隐私协议。

“受信任的 IP 地址 ” 查看 ESM 认为可信任或允许的 IP 地址。您可以添加新的地址并编辑或删除现有地址。IP 地址可表示掩码。

“查看设备 ID ” 查看发送 SNMP 请求时可使用的设备 ID 列表。

“查看 MIB ” 查看 McAfee MIB，它可以定义各个对象的对象标识符 (OID) 或有趣的特征。

“SNMP 陷阱” “陷阱端口” 在“SNMP 陷阱”选项卡上，设置冷/热陷阱流量以及黑名单条目和链接开启/关闭流量通过的端口。

“链接开启/关闭陷阱” 如果希望发送链接开启和链接关闭陷阱，则请选择该选项。如果选择该功能且正在使用多个接口，则系统会在接口关闭和恢复时通知您。

自动允许冷/热陷阱流量。只要重新启动 SNMP 服务，就会生成冷启动陷阱。更改 SNMP 配置、修改用户或组、用户使用远程身份验证登录、ESM 重新启动、cpservice 重新启动之后以及其他情况下，SNMP 服务会重新启动。重新启动系统时会生成热启动陷阱。

“数据库开启/关闭陷阱”

如果希望在数据库（cpservice、IPSDBServer）开启或关闭时发送 SNMP陷阱，则请选择该选项。

“安全性日志故障陷阱” 如果希望在日志未写入日志表时发送 SNMP 陷阱，则请选择该选项。

“常规硬件故障” 选择该选项可在任一 ESM 电源出现故障时收到通知（常规硬件或DAS）。这有助于避免系统因电源故障关闭。

“目标” 选择要将通知发送至的系统的配置文件名称。该表显示系统上的所有可用SNMP 陷阱配置文件。若要编辑该列表，请单击“编辑配置文件”，然后添加、编辑或删除“配置文件管理器”列表中的配置文件。


“SNMP 请求” “请求端口” 选择流量通过的端口。

“接受” 选择该选项，以接受设备健康请求。

“允许 SNMPv1” 选择该选项，允许 SNMP 版本 1 和版本 2 流量并设置社区字符串。

“允许 SNMPv3” 选择该选项可允许 SNMP 版本 3 流量和选择安全级别、身份验证协议以及隐私协议。

“受信任的 IP 地址” 查看设备允许或认为可信任的 IP 地址。您可以添加新的地址并编辑或删除现有地址。 IP 地址可包含掩码。

必须存在受信任的 IP 地址。




“查看 MIB” 查看 McAfee MIB，它用来定义每个有关对象或特征的对象标识符 (OID)。

“SNMP 陷阱” “陷阱端口” 设置冷/热陷阱流量、黑名单条目和链接开启/关闭流量通过的端口。

“链接开启/关闭陷阱”

选择该选项，以发送链接开启和关闭陷阱。如果选择此功能且正在使用多个接口，则系统会通知您接口关闭的时间和恢复运行的时间。

自动允许冷/热陷阱流量。进行强制关闭或强制重置时会生成冷启动陷阱。重新启动系统时会生成热启动陷阱。

“数据库开启/关闭陷阱”

选择该选项，从而在数据库（cpservice、IPSDBServer）开启或关闭时发送SNMP 陷阱。

“安全性日志故障陷阱”

选择该选项，从而在日志未写入日志表时发送 SNMP 陷阱。

“目标” 选择您想要通知发送到的系统的配置文件名称。该表可显示系统中所有可用的 SNMP 陷阱配置文件。若要编辑该列表，请单击“编辑配置文件”，然后添加、编辑或删除“配置文件管理器”列表中的配置文件。

另请参阅 SNMP 配置第 167 页针对电源故障通知设置 SNMP 陷阱第 170 页SNMP 和 McAfee MIB 第 171 页从 ESM 中提取 MIB 第 174 页

针对电源故障通知设置 SNMP 陷阱选择 SNMP 陷阱，以通知您硬件和 DAS 电源出现故障并避免系统因电源故障而关闭。

开始之前• 您要确保拥有管理员权限，或属于具有警报管理权限的访问组。

• 准备 SNMP 陷阱接收器（如果您尚无 SNMP 陷阱接收器则为必需操作）。


任务1 在系统导航树中，选择系统，然后单击“属性”图标。

2 单击“SNMP 配置”，然后单击“SNMP 陷阱”选项卡。

3 在“陷阱端口”中，键入 162，然后选择“常规硬件故障”并单击“编辑配置文件”。

4 单击“添加”，然后输入如下请求的信息：• “配置文件类型” — 选择“SNMP 陷阱”。

• “IP 地址” — 键入您要向其中发送陷阱的地址。

• “端口” — 键入 162。

• “社区名称” — 键入 Public（公共）。

请记住您在“端口”和“社区名称”字段中输入的内容。



5 单击“确定”，然后单击“配置文件管理器”页面上的“关闭”。

配置文件被添加至“目标”表中。

6 在“使用”列中选择配置文件，然后单击“确定”。

当电源发生故障时，系统将发送一个 SNMP 陷阱，并且系统导航树上设备的旁边会显示健康状态标记。

另请参阅 SNMP 配置第 167 页配置 SNMP 设置第 168 页SNMP 和 McAfee MIB 第 171 页从 ESM 中提取 MIB 第 174 页

SNMP 和 McAfee MIB可以通过 SNMP 访问 McAfee 产品线的若干方面。McAfee MIB 为每个感兴趣的对象或特性定义对象标识符 (OID)。

MIB 为以下相关项定义对象组：

• 警报 — ESM 可以通过“事件转发”生成并发送警报陷阱。接收器可以通过配置 McAfee SNMP 数据来源接收警报陷阱。

• 流 — 接收器可以通过配置 McAfee SNMP 数据来源接收流陷阱。

• ESM 健康请求 — ESM 可以接收并响应自身及所托管设备的健康请求。

• 列入黑名单 — ESM 可以接收为黑名单和隔离列表定义条目的陷阱，然后应用于其管理的设备。

McAfee MIB 还为包含以下项的值定义文本约定（枚举类型）：• 收到警报时执行的操作

• 流方向和状态

• 数据来源类型

• 黑名单操作

McAfee MIB 在句法上符合管理信息的 SNMPv2 结构 (SMI)。使用 SNMP 的 McAfee 产品可以配置为通过 SNMPv1、SNMPv2c 和 SNMPv3 运行，包括身份验证和访问控制。健康请求通过 SNMP GET 操作生成。 SNMP 管理器应用程序使用 SNMP GET 操作从由 SNMP 代理（此情况下为ESM）维护的托管对象中检索值。应用程序通常通过提供 ESM 和 OID 的主机名（存在 OID 特定实例）来执行SNMP GET 请求。

ESM 通过将健康请求结果填充到 OID 绑定来进行响应。

下表显示了 ESM 和接收器 OID 的含义。

表 3-119 ESM 健康

请求和响应 OID 单位响应值含义

1.3.6.1.4.1.23128.1.3.1.1 百分比 4 百分比组合瞬时 CPU 负载

1.3.6.1.4.1.23128.1.3.1.2 MB 3518 总 RAM

1.3.6.1.4.1.23128.1.3.1.3 MB 25 可用的 RAM

1.3.6.1.4.1.23128.1.3.1.4 MB 1468006 为 ESM 数据库划分的总 HDD 空间

1.3.6.1.4.1.23128.1.3.1.5 MB 1363148 ESM 数据库可用的剩余 HDD 空间

1.3.6.1.4.1.23128.1.3.1.6 自 1970-1-1 00:00:0.0 (GMT) 以来的秒数

1283888714 ESM 上的当前系统时间



表 3-119 ESM 健康（续）


1.3.6.1.4.1.23128.1.3.1.7 8.4.2 ESM 版本和内部版本戳

1.3.6.1.4.1.23128.1.3.1.8 4EEE:6669 ESM 的计算机 ID

1.3.6.1.4.1.23128.1.3.1.9 ESM ESM 型号

表 3-120 接收器健康


1.3.6.1.4.1.23128.1.3.3.1.x 接收器接收器名称

1.3.6.1.4.1.23128.1.3.3.2 .x 2689599744 接收器的 ESM 唯一标识符

1.3.6.1.4.1.23128.1.3.3.3.x 1 表示与接收器之间的通信可用 (1) 或不可用 (0)

1.3.6.1.4.1.23128.1.3.3.4.x 确定表示接收器的状态

1.3.6.1.4.1.23128.1.3.3.5.x 百分比 2 百分比组合瞬时 CPU 负载

1.3.6.1.4.1.23128.1.3.3.6.x MB 7155 总 RAM

1.3.6.1.4.1.23128.1.3.3.7.x MB 5619 可用的 RAM

1.3.6.1.4.1.23128.1.3.3.8.x MB 498688 为接收器数据库划分的总 HDD 空间

1.3.6.1.4.1.23128.1.3.3.9.x MB 472064 接收器数据库可用的剩余 HDD 空间

1.3.6.1.4.1.23128.1.3.3.10.x 自 1970-1-100:00:0.0 (GMT) 以来的秒数

1283889234 接收器上的当前系统时间

1.3.6.1.4.1.23128.1.3.3.11.x 7.1.3 20070518091421a 接收器版本和 buildstamp

1.3.6.1.4.1.23128.1.3.3.12.x 5EEE:CCC6 接收器的计算机 ID

1.3.6.1.4.1.23128.1.3.3.13.x 接收器接收器型号

1.3.6.1.4.1.23128.1.3.3.14.x 每分钟的警报数 1 近 10 分钟的警报率（每分钟）

1.3.6.1.4.1.23128.1.3.3.15.x 每分钟的流数 2 近 10 分钟的流率（每分钟）

x = 设备 ID。若要访问设备 ID 列表，请转至“系统属性 | SNMP 配置”，然后单击“查看设备 ID”。

事件、流和黑名单条目通过 SNMP 陷阱或通知请求发送。由配置为用于进行事件转发的 ESM 发送的警报陷阱可能如下所示：

OID 值含义

1.3.6.1.4.1.23128.1.1.1 780 ESM 警报 ID

1.3.6.1.4.1.23128.1.1.2 6136598 设备警报 ID

1.3.6.1.4.1.23128.1.1.4 2 设备 ID

1.3.6.1.4.1.23128.1.1.5 10.0.0.69 来源 IP 地址

1.3.6.1.4.1.23128.1.1.6 27078 来源端口



OID 值含义

1.3.6.1.4.1.23128.1.1.7 AB:CD:EF:01:23:45 来源 MAC

1.3.6.1.4.1.23128.1.1.8 10.0.0.68 目标 IP 地址

1.3.6.1.4.1.23128.1.1.9 37258 目标端口

1.3.6.1.4.1.23128.1.1.10 01:23:45:AB:CD:EF 目标 MAC

1.3.6.1.4.1.23128.1.1.11 17 协议

1.3.6.1.4.1.23128.1.1.12 0 VLAN

1.3.6.1.4.1.23128.1.1.13 1 个流向

1.3.6.1.4.1.23128.1.1.14 20 事件计数

1.3.6.1.4.1.23128.1.1.15 1201791100 首次

1.3.6.1.4.1.23128.1.1.16 1201794638 后一次

1.3.6.1.4.1.23128.1.1.17 288448 上次（微秒）

1.3.6.1.4.1.23128.1.1.18 2000002 特征码 ID

1.3.6.1.4.1.23128.1.1.19 异常入站级别也来越高特征码说明

1.3.6.1.4.1.23128.1.1.20 5 已采取的操作

1.3.6.1.4.1.23128.1.1.21 1 严重性

1.3.6.1.4.1.23128.1.1.22 201 数据来源类型或结果

1.3.6.1.4.1.23128.1.1.23 0 规范化特征码 ID

1.3.6.1.4.1.23128.1.1.24 0:0:0:0:0:0:0:0 IPv6 来源 IP 地址

1.3.6.1.4.1.23128.1.1.25 0:0:0:0:0:0:0:0 IPv6 目标 IP 地址

1.3.6.1.4.1.23128.1.1.26 应用程序

1.3.6.1.4.1.23128.1.1.27 域

1.3.6.1.4.1.23128.1.1.28 主机

1.3.6.1.4.1.23128.1.1.29 用户（来源）

1.3.6.1.4.1.23128.1.1.30 用户（目标）

1.3.6.1.4.1.23128.1.1.31 命令

1.3.6.1.4.1.23128.1.1.32 对象

1.3.6.1.4.1.23128.1.1.33 序列号

1.3.6.1.4.1.23128.1.1.34 表示是否在受信任的环境中生成

1.3.6.1.4.1.23128.1.1.35 生成该警报的会话 ID

数字的含义如下：

• 1.3.6.1.4.1.23128 — McAfee IANA 分配的企业编号

• 后一个数字 (1–35) — 用于报告警报的各种特性



有关 McAfee MIB 定义的完整详细信息，请访问 https://x.x.x.x/BrowseReference/NITROSECURITY-BASE-MIB.txt，其中 x.x.x.x 为 ESM 的 IP 地址。

另请参阅 SNMP 配置第 167 页配置 SNMP 设置第 168 页针对电源故障通知设置 SNMP 陷阱第 170 页从 ESM 中提取 MIB 第 174 页

从 ESM 中提取 MIB查看对象和通知，以便与 ESM 建立连接。

MIB 中定义的对象和通知用以发送请求：

• 至 ESM，以请求 ESM 本身或接收器设备的健康状态信息

• 至设备，以请求其自身健康状态信息。



2 单击“SNMP 配置”，然后单击“查看 MIB”。

打开基本 MIB 定义的列表。

另请参阅 SNMP 配置第 167 页配置 SNMP 设置第 168 页针对电源故障通知设置 SNMP 陷阱第 170 页SNMP 和 McAfee MIB 第 171 页

管理数据库管理 ESM 数据库，以便在设置系统功能时提供信息和设置。。

您可以执行以下操作：

• 管理数据库索引设置。

• 为事件和流配置数据保留策略和空间分配。

• 查看和打印事件的数据库内存使用情况相关信息。

如果您的 VM 中有四个以上的 CPU，则可以将额外的存储空间用于系统存储、数据存储和高性能存储。

如果您一次删除了 ESM VM 中的多个驱动器，则所有先前的 ELM 搜索都将丢失。要避免丢失，请导出 ELM 搜索结果，然后删除驱动器。

设置数据库存档ESM 将数据划分为多个分区。当分区达到其大大小限制时，将变为非活动分区并被删除。您可以为非活动分区配置存储位置，这样便不会被删除。

要防止在存档冗余 ESM 时发生潜在的数据丢失，我们建议您先设置 ESM 冗余，然后再设置存档。在冗余 ESM 上设置存档时，请不要使用主要 ESM 使用的同一存档路径。

3 配置 ESM管理数据库



1 在系统导航树中，选择“系统属性”，然后单击“数据库” | “存档”。

2 填写字段，这些字段根据您选择类型的不同而有所变化。

3 单击“确定”保存设置。

分区变为非作用中状态时，会将其复制到该位置。


选项定义

“ 已启用 ” 选择激活不活动分区存档。

“ 类型 ” 选择存储类型。您可以选择 CIFS、NFS 和 iSCSI，如果您安装了 SAN 卡，还可以选择SAN。

与版本高于 3.2 的 Samba 服务器同时使用 CIFS 共享类型可能导致数据丢失。

“大小” 选择您希望在此设备上分配的大存储空间。

“SAN 卷” 选择 SAN 类型后，再选择 SAN 卷。已列出所有用于存储数据的卷。

“编辑” 您可以格式化其他卷，并将它们添加到 SAN 卷列表中。

“远程 IP 地址、远程安装点和远程路径”

如果选择了 CIFS 或 NFS，请在每个字段中输入存储设备的信息。

为冗余 ESM 设置存档时，请确保远程路径不同于主要 ESM 上的存档设置。

“用户名，密码” 如果选择了 CIFS，则必须输入存储设备的用户名和密码。

连接到 CIFS 共享时，不要在密码中使用逗号。

“iSCSI 设备”和“iSCSIIQN”

选择 iSCSI 存储设备和 iSCSI 限定名称 (IQN)。

尝试将多台设备附加到一个 IQN 可能导致数据丢失和其他配置问题。

如果已经设置了与 iSCSI SAN 的连接中 iSCSI SAN 之间的连接并且具有一体化的 ESM/接收器/ELM 设备，则这些字段会列出此设备及其 iSCSI 限定名称 (IQN)。如果您有专用的 ESM和 ELM 设备，请配置与 iSCSI 设备之间的连接。


“数据分配” 调整“事件”、“流”和“日志”字段中可以保存到该设备中的事件、流和日志记录数量。

“事件分区”、“流分区”或“日志分区”选项卡

在“活动”列中进行选择后，可以重新激活 100 个分区。

设置 ESM 数据存储如果您将 Internet 小型计算机系统接口 (iSCSI)、存储区域网络 (SAN) 或直接连接的存储 (DAS) 设备连接到 ESM，则可以对其进行设置，用于数据存储。

配置 ESM管理数据库 3



1 在系统导航树中，选择“系统属性”，然后单击“数据库” | “存档”。

2 单击数据存储设备选项卡，选择操作，然后填写所要求的信息。

可用的选项卡取决于连接到 ESM 的存储类型。

3 单击“取消”可关闭页面。


选项定义

“ 名称 ” 输入 iSCSI 设备的名称。

“ IP 地址 ” 输入 iSCSI 设备的 IP 地址

“端口” 选择 iSCSI 设备的端口。

设置 ESM VM 数据存储如果 ESM VM 有四个以上 CPU，则 “VM 数据”选项在“数据库”页面中可用，让您能够将可用的额外存储用于 VM 系统存储、数据存储和高性能存储。

“数据分配”页面中的每个下拉列表均包含 VM 上装载的可用存储驱动器。


1 在系统导航树中，选择“系统属性”，然后单击“数据库” | “VM 数据”。

2 在每个字段中，选择您想要将数据存储在其中的驱动器。每个驱动器仅能选择一次。


增加可用累加器索引的数量基于 ESM 中已启用的标准索引的数量，您只能向累加器字段中添加五个索引。如果需要 5 个以上的索引，可以禁用当前不用的标准索引，例如 sessionid、src/dst mac、src/dst 端口、src/dst 区域、src/dst 地理位置，多可禁用 42 个。


ESM 使用标准索引来生成查询、报告、警报和视图。如果您禁用了任何索引，然后尝试生成使用它们的查询、报告、警报或视图，系统会通知您因禁用索引而无法处理。您不会得知是哪个索引正在影响该进程。鉴于这种限制，除非确定是绝对必要的情况，否则请勿禁用标准索引。

1 在系统导航树中，选择“系统属性”，然后单击“数据库”。

2 单击“设置”，然后单击“累加器索引”选项卡。

3 在下拉列表中，单击“标准索引”，然后选择“显示标准索引”。

标准索引将列在“已启用”区域。

4 单击要禁用的标准索引，然后单击箭头将它们移动到“可用”区域。

页面右上角“剩余”语句中的数量将会随着您禁用标准索引而增加。

现在，您即可为所选的累加器字段启用五个以上累加器索引（请参阅“管理累加器索引”）。



设置数据保留限制如果您有正在向系统发送历史数据的配置，则可以选择想要保留事件和流的时长以及限制插入的历史数据的数量。


1 在系统导航树中，选择“系统属性”，然后单击“数据库” | “数据保留”。

2 如果想要限制历史数据，请选择要将事件和流保留多久。



选项定义

“ 保留允许的所有数据 ” 选择保留系统允许的事件或流的大数量。

“ 保存过去的数据 ” 选择是否要在指定的时间范围内保留事件和流。

“限制插入” 选择是否要限制历史数据，以及“请勿插入早于以下时间的数据”字段中哪些数据可以插入。

定义数据分配限制系统维护的事件和流记录大数为固定值。数据分配可让您设置为每个数据分配的空间以及要搜索的记录数量，以便优化查询。


1 在系统导航树中，选择“系统属性”，然后单击“数据库” | “数据分配”。

2 单击数轴上的标记，并将其拖至所需数字，或者单击“事件”和“流”字段中的箭头。



选项定义

顶部滑块表示必须要分配给事件和流的总空间大小。

底部滑块设置进行查询后搜索的事件和流记录的数量。

如果没有 SSD 设备，该滑块不会显示。

管理数据库索引设置配置选项以便为数据库中数据的某些字段添加索引。未进行索引的数据仍将存储，但是在大部分查询结果中不会显示。


1 在系统导航树中，选择“系统属性”，然后单击“数据库” | “设置”。

2 若要更改“事件”和“流”列中的当前设置，请单击您要更改的项目，并从下拉列表中选择一个新设置。

配置 ESM管理数据库 3


3 如果在“端口”列中选择“自定义”，系统将打开“端口值”屏幕，这样您便能选择或添加新的端口值。



选项定义

表查看 ESM 及其设备的索引设置。

“ Mac 地址 ”列选择当前设置，然后从选项中选择一个选项。如果设备的设置为“继承”，则该设备将使用系统设置。

“ 端口 ”列单击当前设置，并从选项中选择一个选项。如果选择了“自定义”，则会打开“端口值”页面，以便从中选择或添加端口值。


选项定义

“ 添加值 ” 将所选的值添加到“当前值”字段中。

“新建” 通过输入端口名称及其值添加新的端口值。它已添加到列表中，可用于随后的操作。

“编辑” 更改自定义端口的名称或值。

“删除” 从端口列表中删除自定义端口。

“当前值” 键入或突显端口值，单击“添加值”后便可输入端口值。

管理累加器索引如果您有自定义字段可从来源提取数字数据，累加器索引可执行此数据一段时间内的总和或平均值。您可以将多个事件累加在一起并计算其平均值或生成一个趋势值。

开始之前设置累加器索引自定义类型（请参阅“创建自定义类型”）。


1 在系统导航树中，选择“系统属性”，然后单击“数据库”。

2 单击“设置”，然后单击“累加器索引”选项卡。

3 选择索引，然后单击“确定”。

现在，您可以设置累积器查询来显示结果。


选项定义

下拉列表选择要向其中添加索引的累加器字段。如果需要 5 个以上的索引，请选择“标准索引”。

“显示标准索引” 选择此选项以查看“已启用”和“可用”列表中的标准索引。

“可用”列表如果已选择累加器字段，请选择要启用的索引，然后单击箭头将它们移至“已启用”列表。通过页面右上角的“剩余”语句，您可了解还能为此字段选择多少其他索引。

“已启用”列表查看已启用的索引。如果已选择“显示标准索引”，将会列出标准索引。要删除某个索引，请选择该索引，然后单击箭头，将其移回“可用”列表。如果删除标准索引，可添加到累加器字段中的累加器索引数目将会增加。




选项定义

“从此时起转发” 选择是否要将这些索引用于此时起转发生成的数据

“重建过去的数据” 选择是否要将这些索引用于过去的数据，然后选择起始日期。如果选择执行此操作，则需要重建包含数据的分区。

查看数据库内存使用率查看并打印有关数据库内存如何被使用的表和详细信息。


1 在系统导航树中，选择“系统属性”，然后单击“数据库” | “内存使用率”。

“事件”和“流”表列出了数据库的内存使用率。

2 若要打印报告，请单击“打印”图标。


选项定义

“ 事件 ”表按照索引名称查看事件的内存使用情况。

“ 流 ”表按照索引名称查看流的内存使用情况。

打印内存利用率报告。

使用用户和组必须将用户和组添加到系统中，他们才能访问 ESM 及其设备、策略和关联的权限。

处于 FIPS 模式下时，ESM 有四个可能的用户角色：“用户”、“高级用户”、“密钥和证书管理员”和“审核管理员”。不处于FIPS 模式下时，有两种类型的用户帐户：“系统管理员”和“一般用户”。

“用户和组”页面分为两个部分：

• “用户” — 用户的名称、每位用户当前打开的会话数，以及用户所属的组。

• “组” — 组的名称以及分配给每个组的权限的说明。

您可以通过单击“用户名”、“会话”或“组名称”来对表进行排序。

组权限

在设置组时，您便会设置组成员的权限。

如果在“添加组”的“权限”页面上选择“限制此组的访问”（“系统属性” | “添加组”），则对这些功能的访问受限。

• 操作工具栏 - 用户无法访问设备管理、多设备管理或事件流查看器。

• “警报” — 组中的用户无权访问警报管理收件人、文件或模板。他们无法创建、编辑、删除、启用或禁用警报。

• “资产管理器”和“策略编辑器” — 用户无法访问这两项功能。

• “案例管理” — 用户可以访问除“组织”之外的全部功能。

• “ELM” — 用户可执行增强的 ELM 搜索，但无法保存 ELM 搜索，也无法访问 ELM 设备属性。

配置 ESM使用用户和组 3


• “过滤器” — 用户无法访问“字符串规范化”、“Active Directory”、“资产”、“资产组”或“标记”过滤器选项卡。

• “报告” — 用户只能运行通过电子邮件发送结果的报告。

• “系统属性” — 用户只能访问“报告”和“关注列表”。

• “关注列表” — 用户无法添加动态关注列表。

• “区域” — 用户只能查看区域列表中自己有权访问的区域。

添加用户如果您具有“用户管理”权限，您可以向系统添加用户以便他们可以访问 ESM 及其设备、策略和关联的权限。添加后，可以编辑或删除用户设置。


1 在系统导航树中，选择“系统属性” | “用户和组”.

2 输入密码，然后单击“确定”。

3 在“用户”部分中，单击“添加”，然后填写所需的信息。

4 单击“确定”，然后再次键入您的密码。

将用户添加到系统中，并授予其所属组的权限。用户名会显示在“用户和组”页面的“用户”部分。每个用户名旁边会显示

一个图标，指明该帐户是否已启用。如果用户具有管理员权限，则其名称旁边会显示一个不同的图标。


选项定义

“用户名” 输入用户名。如果您正在使用 CAC 设置，则用户名为用户的 10 位 EDI-PI。

“用户别名” （可选）若要用户名不可见，可以输入别名。如果正在使用 CAC 设置，则可为用户的名称。

“密码” 单击“设置密码”，输入帐户的唯一密码并确认，然后单击“确定”。

“角色”（仅FIPS 模式）

选择该用户的角色。选项包括：• “用户” — 不得将这些用户添加到包含“超级用户”权限的组。

• “高级用户”— 这些用户被视为所有统一功能批准产品列表 (UCAPL) 用途的系统管理员，但他们未必拥有系统管理员的所有权限。用户必须拥有该角色，才会被分配到包含以下任意权限的组：• 系统管理 • 添加/删除策略

• 用户管理 • 自定义规则和变量

• 策略管理 • 全局黑名单

• “密钥和证书管理员” — 必须拥有该角色才可以执行任意密钥管理功能。拥有该角色的用户无法被添加到包含“超级用户”权限的组。

• “审核管理员” — 必须拥有该角色才可以配置日志。拥有该角色的用户无法被添加到包含“超级用户”权限的组。

“管理员权限”（非 FIPS 模式）

若要使用户拥有管理员权限，则请选择该选项。系统管理员可以通过创建访问组并将用户分配给这些组来向一般用户授予权限。系统管理员是唯一一个能够访问系统中所有区域（包括用户和组区域）的用户。

“禁用帐户” 若要阻止用户访问其在 ESM 上的帐户，则请选择该选项（请参阅“禁用或重新启用用户帐户”）。

3 配置 ESM使用用户和组



选项定义

“电子邮件地址”

添加用户的电子邮件地址，该操作为可选操作，除非用户要接收报告或警报通知。• 如果电子邮件地址已在系统上，则从“电子邮件地址”下拉列表中选择该电子邮件地址。

• 如果地址不在系统上，则请单击“电子邮件地址”并将地址添加至系统。

“移动短信” 添加用户短信（文本）地址。• 如果短信编号已在系统上，请从“移动短信”下拉列表中选择该短信编号。

• 如果地址不在系统上，则请单击“移动短信”并将地址添加到系统。

“用户是以下的成员”

选择该用户应属于的组。


选项定义

“用户”表列出有权访问 ESM 的用户。

“ 组”表列出 ESM 上设置的组。

“添加”、“编辑”和“删除” • 在“用户”表的右侧，添加新用户或编辑或删除现有用户。

删除用户前，请确保该用户未被设为警报的受理人。

• 在“组”表的右侧添加新组，并向组分配用户和权限。

选择用户设置“用户设置”页面提供了选项用于更改若干默认设置。您可以更改时区、日期格式、密码、默认显示和控制台语言。您也可以选择是否显示禁用的数据来源、“警报”选项卡和“案例”选项卡。


1 在 ESM 控制台的系统导航栏中单击“选项”。

2 确认是否选择“用户设置”。

3 根据需要更改设置，然后单击“确定”。

根据您的设置，控制台外观将会发生相应更改。


选项定义

“ 请选择时区和日期格式 ”

在第一个下拉列表中更改时区，在第二个下拉列表中更改日期格式。

所有视图、查询和设置都将显示与此时区相关的事件、流和日志数据，并以此日期格式表示，除非另有说明。如果您更改了此时区，则可能生成错误数据。因此建议您始终设置为GMT。

“ 更改密码 ” 在“更改用户名和密码”页面，更改用于访问 ESM 控制台的用户名和密码。如果您不希望您的名字显示在控制台导航栏中，请在“别名”字段输入其他用户名。

“ 默认显示” 选择您希望在系统启动时默认显示的系统导航树显示类型。

“语言” 选择控制台语言。




选项定义

“显示系统树中被禁用的数据来源”

如果您希望禁用的数据来源显示在系统导航树中，请选择此选项。它们将通过此图标显示。

“显示警报面板” 如果您希望“警报”窗格显示在控制台中，请选择此选项。

“ 显示案例管理面板” 如果您希望“案例”窗格显示在控制台中，请选择此选项。

设置安全使用登录安全设置标准登录设置，配置访问控制列表 (ACL) 并定义通用访问卡 (CAC) 设置。您还可以启用远程认证拨号用户服务 (RADIUS)、Active Directory 和轻量目录访问协议 (LDAP) 身份验证（仅在您有系统管理员权限时提供）。

关键功能McAfee 系列解决方案在网络上很难查找，攻击则更加难以实现。默认情况下，设备没有 IP 堆栈，因此无法直接处理数据包。

通过 McAfee 安全加密管理 (SEM) 技术可以实现与设备进行通信。 SEM 是一种带内高级加密标准 (AES) 加密通道，可以降低回放或中间人类型攻击的风险。

设备仅在由获得授权的 ESM 通过 SEM 通道处理时进行通信。其本身未启动通信。系统还会通过符合 FIPS 的加密连接发送 ESM 和 ESM 控制台之间的通信。

ESM 检索经身份验证和加密的特征码，软件从加密通信机制中的 McAfee 中心服务器更新。基于硬件和软件的机制建立后可确保设备仅通过合理授权的 ESM 进行管理。

定义标准登录设置通过定义以下内容可调整标准登录过程的设置：指定时间段内进行登录尝试的次数、系统处于非活动状态的时长、密码设置和是否显示后登录用户的 ID。




1 在系统导航树上，请选择“系统属性”，然后单击“登录安全”。

2 设置“标准”选项卡上的选项。

3 单击“确定”或“应用”。


选项定义

“ 允许的失败的登录尝试次数 ”

指定一个会话中允许的连续登录失败的次数。如果在指定的时间内超过了次数，则帐户将被锁定，系统管理员必须使用“用户和组”来解锁。如果值设置为 0，则表示不限制登录次数。

主帐户无法锁定。

“ 失败的登录尝试时间范围 ”

定义连续失败登录尝试次数的时间范围。范围为 0 到 1440 分钟。该字段可与“允许的失败登录尝试次数”同时使用。如果在指定的时间范围内达到允许的失败尝试次数，则目标帐户将锁定。它将在您于“失败的登录锁定时间”字段设定的时间范围内保持锁定状态，也可以请求系统管理员解锁。

“失败的登录锁定时间”

指定登录失败导致帐户自动锁定的情况下帐户锁定的时间。大值为 1440 分钟；如果设置为0 分钟，则表示不会自动锁定。超出该时间，帐户将自动解锁。这不会影响手动锁定的帐户。管理员可随时为帐户解锁。

“UI 超时值 ” 指定当前会话强制显示到登录屏幕之前，在不进行活动的情况下必须要通过的时间。例如，如果将值设置为 30 分钟，则 30 分钟的不活动时间结束后，应用程序将会自动启动登录屏幕，迫使您先重新登录再恢复活动。如果值为 0，则表示没有限制。

“在以下时间之后自动锁定不活动的帐户”

如果在指定的天数内未活动，则将 ESM 设置为锁定不具备管理员权限的帐户。大值为 365天；小值为 0，表示禁用该功能。帐户将一直保持锁定状态，直至管理员对帐户解锁。

“一个用户的活动会”

设置一个用户一次可拥有的活动会话数。大值为 10；0 表示不限数量。

“登录时显示上一个用户 ID ”

选择是否希望用户名字段显示上次登录成功的用户。

“ACL 设置” 选择是否要设置 IP 地址列表，以允许或阻止有关 IP 访问您的系统。

定义登录密码设置有数个设置可用来定义系统登录密码。

开始之前您必须具有系统管理员权限。



2 单击“密码”选项卡，做出选择，然后单击“应用”或“确定”。




选项定义

“需要高级密码” 选择是否要让系统要求所有密码符合以下字符和长度要求。至少：• 15 个字符长 • 2 个小写字母

• 2 个数字 • 2 个大写字母

• 2 个标点符号或其他符号 • 不能包含 4 个或以上连续重复的字符

如果密码不符合这些要求，则不接受。

“密码过期” 指定必须更改登录密码的频率。范围为 0 到 365 天。如果选择 0，则密码不会过期。

“在密码过期之前通知”

选择在密码过期之前提醒用户更改密码的天数。大值为 30；小值为 1。

“密码到期宽限期”

选择在用户密码过期后用户仍然可以登录的时间期限。超过宽限期后，帐户将被锁定，必须由管理员解锁。

“宽限期登录次数”

选择用户在密码过期后在您指定的时间段内可以登录的次数。超过宽限期登录次数后，帐户将被锁定，必须由管理员解锁。

“密码历史记录计数”

指定是否在系统上存储个人使用过的密码历史记录，以及为每个用户存储的密码数量。范围为0 到 100 个密码。如果设为 0，则不存储历史记录。如有历史记录，用户更改密码时将检查历史记录。如果密码不是唯一的，将会返回错误且不更新该密码。如果密码是唯一的，将会更改密码并添加新的历史记录条目。如果达到存储限制，则会删除旧的密码。

“限制密码更改的间隔时间”

限制用户更改密码的频率。例如，如果选择 12，则用户不能在 12 小时内更改密码超过一次。

配置 RADIUS 身份验证设置配置 ESM，以对 RADIUS 服务器的用户进行身份验证。



2 选择“RADIUS”选项卡，然后填写主要服务器的字段。次要服务器为可选字段。

3 单击“确定”或“应用”。

如果启用服务器，RADIUS 服务器会对除系统管理员外的所有用户进行身份验证。如果禁用身份验证，则设置为进行RADIUS 身份验证的用户将无法访问 ESM。


选项定义

“已启用” 选择启用 RADIUS 身份验证。启用后，所有用户（系统管理员除外）都将通过RADIUS 服务器进行身份验证。如果禁用身份验证，则针对 RADIUS 身份验证设置的用户无法访问系统。

“主要”和“次要服务器 IP 地址” 输入 RADIUS 服务器的 IP 地址。不需要次要服务器 IP 地址、服务器端口和共享密钥。

“主要”和“次要服务器端口” 输入 RADIUS 服务器端口。

“主要”和“次要共享密钥” 输入 RADIUS 服务器的共享密钥（类似于密码）。

建立访问控制列表建立可以访问或禁止访问您的 ESM 的 IP 地址列表。





2 单击“ACL 设置”，然后将 IP 地址添加至列表。

3 单击“确定”，以保存设置并关闭“访问控制列表”。

您可以编辑或删除 ACL 列表中的 IP 地址。


选项定义

“ 允许这些地址 ” 如要您要允许这些 IP 地址访问您的系统，则请选择该选项。

“ 拒绝这些地址 ” 如果您要阻止这些 IP 地址访问您的 ESM，则请选择该选项。

“IP 地址/掩码 ”表查看已添加至列表的 IP 地址。

“添加” 若要将 IP 地址或掩码添加到列表，则请单击该选项。

“编辑” 若要更改列表中突出显示的 IP 地址，则请单击该选项。

“删除” 若要删除列表中突出显示的 IP 地址，则请单击该选项。

CAC 设置您可以通过浏览器提供 CAC 凭据进行身份验证，以访问 ESM；而无需输入用户名和密码。

CAC 包含可以识别用户身份的客户端证书，与服务器证书识别网站的方式相似。如果您启用 CAC 功能，则我们认为您熟悉基于 CAC 的身份验证。您了解哪些浏览器支持该功能且熟悉 CAC 相关的电子数据交换个人标识符 (EDI-PI)。

偶尔会吊销证书。证书吊销列表 (CRL) 方法可以使系统了解这些吊销。您可以手动上载包含 CRL 文件的 .zip 文件。

ActivClient 是 Windows 上唯一受支持的 CAC 中间件。若要从 Windows 通过 Internet Explorer 使用 ESM 中的 CAC身份验证，则必须在客户端计算机上安装 ActivClient。安装 ActivClient 后，会将其用于管理 CAC 凭据，而非Windows 中的本地智能卡管理器。如果客户端访问启用 CAC 的网站，则说明很可能已经安装 ActivClient。有关设置ActivClient 和何处下载该软件的说明，可从 http://militarycac.com/activclient.htm 或您组织的内部网中获得。

通过 CAC 验证确保应用程序可靠性时，系统的安全则依赖于证书颁发机构 (CA) 的安全性。如果 CA 出现问题，则启用CAC 的登录也存在问题。

另请参阅配置 CAC 登录第 185 页

配置 CAC 登录若要设置 CAC 登录，必须上传 CA 根证书，启用 CAC 登录功能并通过将用户名设置为持卡人完全限定的可分辨名称(FQDN) 来启用 CAC 用户。完成后，持卡人即可使用启用 CAC 的浏览器访问 ESM，而不会被提示输入用户名和密码。

ESM 支持 Gemalto 和 Oberthur ID One 读卡器。如果您需要读卡器方面的帮助，请致电技术支持。


1 请上传 CA 根证书。

a 在您计算机的控制面板上，单击“Internet 选项” | “内容” | “证书” | “受信任的根证书颁发机构”。

b 选择您当前的根 CA，然后单击“导出”。



c 在“证书导出向导”上，单击“下一步”，然后选择“Base-64 编码的 X.509”并单击“下一步”。

d 请输入您正导出的文件的位置和名称，单击“下一步”，然后单击“完成”。

e 在 ESM 控制台的系统导航树上，请访问“系统属性”，单击“登录安全”，然后选择“CAC”选项卡。

f 单击“上传”，然后浏览至您导出的文件并将其上传至 ESM。

2 在“登录安全性” | “CAC”选项卡上，输入信息并做出要求的选择，然后单击“确定”。

3 启用各个 CAC 用户。

a 在“系统属性”上，单击“用户和组”，然后输入系统密码。

b 在“用户”表中，突出显示用户名，然后单击“编辑”。

c 使用 FQDN 替代“用户名”字段中的名称。

d （可选）请在“用户别名”字段中输入用户名，然后单击“确定”。


选项定义

“CAC 模式当前已设置为”

选择通用访问卡 (CAC) 模式。选项包括：• “关闭” — 此为默认设置。CAC 登录已关闭，用户必须通过 ESM 登录提示登录。

• “可选” — CAC 身份验证可用，但如果用户不提供证书，则会显示 CAC 模式关闭情况下出现的 ESM 登录提示。

• “必需” — 仅启用了 CAC 的登录可访问系统。不会显示登录提示。如果选择此选项，请在“必要的模式安全 PIN (IPv4)” 中输入安全 PIN。该 PIN 就是在出现以下情况时您在LCD 面板中所输入的 PIN：即所有用户都无法访问系统，您需要将 CAC 模式切换到“可选”的情况。该 PIN 必须以 IPv4 格式 (10.0.0.0) 表示，因为它是由 LCD 面板进行识别。

证书和认证中心过期，因此“必要”模式很可能将所有用户拦截在 ESM 外。故障自动保护按钮位于 ESM 前面的 LCD 面板中，可将 CAC 模式切换回“可选”状态。

“ 证书凭据” 上载 CA 根证书链，以便 ESM 对它们进行访问。您可以查看证书文件或者将它下载到指定的位置。

“证书吊销列表” 上载已被吊销的证书列表，或将它们下载到指定的位置。

“设置检索计划” 设置自动检索计划，并输入 URL 地址和 ESM 针对吊销文件更新进行轮寻的频率。

另请参阅 CAC 设置第 185 页

配置 Active Directory 身份验证设置您可以配置 ESM 以向“Active Directory”验证用户身份。启用后，除系统管理员外的所有用户均进行“Active Directory”身份验证。如果禁用身份验证，已设置为执行“Active Directory”身份验证的用户则无法访问系统。

开始之前• 设置可通过 ESM 访问的“Active Directory”。

• 创建一个组（请参阅“设置用户组”）并使用与具有 ESM 访问权限的“Active Directory”组相同的名称。例如，如果您将组命名为“McAfee Users”，则必须转至“系统属性” | “用户和组”并添加名称为“McAfeeUsers”的组。




1 在系统导航树上，选择“系统属性”，然后单击“登录安全”。

2 单击“Active Directory”选项卡，然后选择“启用 Active Directory 身份验证”。

3 单击“添加”，然后添加设置连接请求的信息。

4 单击“Active Directory 连接”页面上的“确定”。


选项定义

“启用 Active Directory 身份验证”.

选择是否在您的 Active Directory 中启用用户身份验证。如果取消身份验证，则针对 Active Directory 身份验证设置的用户无法访问系统。

“ 添加 ” 单击以设置与 Active Directory 之间的连接。

“ 编辑” 对列表中所选的域进行更改。

“ 删除 ” 删除列表中所选的域。


选项定义

“ 用作默认值 ” 选择是否要将此域用作默认域。

“ 域名 ” 输入域名。

登录到系统后，您可以将该域名用作用户名。如果通过用户名登录，则将使用指定为默认域的域。

“添加”按钮添加用于 Active Directory 的 IP 地址。• “管理服务器” — 选择其是否为管理服务器的地址。如果不是，取消选择。

您输入的其中一个地址必须能够识别运行了管理员服务器的主机。

• “IP 地址” — 针对 Active Directory 键入 IP 地址“”。

• “端口”和“LDAP 端口” — 必要的话，更改默认端口。

• “使用 TLS” — 选择该选项针对数据使用 TLS 加密协议。

“编辑”按钮更改现有 IP 地址设置。

“删除 ”按钮删除现有的 IP 地址。

设置 McAfee ePO 的用户凭据您可以通过设置用户凭据限制对 McAfee ePO 设备的访问。

开始之前McAfee ePO 设备不得设置为需要进行全局用户身份验证（请参阅“设置全局用户身份验证”）。




1 在 ESM 控制台的系统导航栏中，单击“选项”，然后选择“ePO 凭据”。

2 单击设备，然后单击“编辑”。

如果设备的状态列表示“不需要”，则该设备设置为进行全局用户身份验证。您可以更改设备在“连接”页面上的状态（请参阅“更改与 ESM 的连接”）。

3 键入用户名和密码，测试连接，然后单击“确定”。

若要访问此设备，用户需要您添加的用户名和密码。


选项定义

表查看 ESM 上的 McAfee ePO 设备。如果“状态”列显示“不需要”，则会针对全局用户身份验证设置设备。如果显示“没有凭据”，则会设置设备，以要求进行单个用户身份验证。

要更改用户身份验证设置，请转至 McAfee ePO 设备的“属性”对话框，单击“连接”并更改“要求用户身份验证”字段中的设置。

“编辑” 单击可添加或更改个人访问选定 McAfee ePO 设备所需的凭据。键入用户名和密码，然后单击“测试连接”。

“删除” 单击可删除所选设备的凭据。系统将要求您确认。

禁用或重新启用用户如果用户超过了“登录安全”中设置的某时段内所允许的失败登录尝试次数，可使用此功能重新启用该帐户。如果您需要临时或永久阻止用户访问但不从系统中删除用户，那么也可以使用此功能来实现。


1 在系统导航树中，选择“系统属性” | “用户和组”。

2 在“用户”表中，突出显示用户名，然后单击“编辑”。

3 选择或取消选择“禁用帐户”，然后单击“确定”。

“用户和组”中用户名旁边的图标反映了帐户的状态。

对 LDAP 服务器的用户进行身份验证您可以配置 ESM，从而对 LDAP 服务器的用户进行身份验证。



2 单击“LDAP”选项卡。

3 填写字段，然后单击“应用”或“确定”。

如果启用该功能，所有用户（系统管理员除外）都要通过 LDAP 服务器进行身份验证。如果禁用身份验证，设置为进行 LDAP 身份验证的用户将无法访问系统。




选项定义

“ 启用 ” 如果您希望所有用户（系统管理员除外）通过 LDAP 服务器进行身份验证，请选择“启用”。如果禁用身份验证，则针对 LDAP 身份验证设置的用户无法访问系统。

“ IP 地址 ” 输入 LDAP 服务器的 IP 地址。

“端口” 必要的话，更改服务器的端口。

“使用 TLS”或“使用SSL”

如果您要对数据使用加密协议，则请选择该选项。

“基本域名” 键入要针对凭据检查的域。

“组属性” 存储用户的组信息的属性。通常，无需更改该字段。

“组过滤器” 用于收集组信息的过滤器。您可以将特定组包含在搜索结果中，也可将其排除。

“用户过滤器” 用于收集用户信息的过滤器。您可以将特定用户包含在搜索结果中，也可将其排除。

设置用户组“组”由继承了其设置的用户组成。如果您具备“用户管理”权限，则可以添加组并为其分配设备、策略和权限。


1 在系统导航树上，单击“系统属性” | “用户和组”，然后键入您的密码。

2 在“组”表的右侧，单击“添加”，然后填写各个选项卡要求的信息。

3 单击“确定”，然后再次键入您的密码。

组即被添加到“用户和组”页面上的“组”表中。


选项定义

“ 名称和描述 ” 输入该组的名称和描述。

“ 用户 ” 选择属于该组的用户。

“权限” 选择该组相关联的权限。突出显示权限时，可以在“描述”框中查看描述。

“设备” 选择用户可以访问的设备。如果您选择所有设备，则用户还可以访问添加到系统的新设备。

“策略” 选择用户可以使用和修改的策略。

“IP 地址过滤器” 要限制用户，使其仅可以访问特定 IP 地址的报告或警报数据，请单击“添加”并输入地址。

“区域” 选择用户可以访问和修改的区域。

“事件转发” 选择用户可以访问和修改的事件转发目标。这样便可定义用户可从中转发事件的设备；如果该组还有事件转发权限，则还可以定义过滤器，以指定转发事件的类型。若将事件转发目标添加至特定用户，则会将其添加到该用户所属的所有组（只要组有事件转发权限）。

如果事件转发目标不属于访问组，则可以访问所有设备。

“组时间限制” 添加日期和时间限制，以限制组对 ESM 的访问。

“报告” 选择该组中用户可以查看和修改的用户。组必须要有“报告”权限。

“视图” 选择该组中用户能够查看和修改的视图。您也可以与其他用户和组共享可见性。




选项定义

“关注列表” 选择该组中用户能够查看和修改的关注列表。您也可以与其他用户和组共享可见性。

“过滤器” 选择该组中的用户可以查看和/或修改的过滤器集。


选项定义

表列出添加到系统中的所有用户。选择要列入该组的用户。

“全选” 选择所有用户。然后可以取消选择不属于该组的用户。

“全都不选” 取消选择所有用户。然后可以选择要列入该组的用户。


选项定义

“限制该组的访问权限” 限制该组的权限。

“权限”列表列出 ESM 上提供的所有权限。逐个选择或取消选择，或单击“全选”或“全都不选”。

如果您具备“用户管理”权限，则可以解锁或更改标准用户（而非管理员）的权限。

“ 描述 ” 显示所选权限的描述。


选项定义

（仅视图）“从父级文件夹继承权限”

您必须具有“主”或“管理”权限，才能启用或禁用此选项。

默认会选中该选项。如果不想从父级继承权限，请取消选中此选项。“组”和“用户”选项卡将变为活动状态。

（仅报告和关注列表）“继承修改设置”

您必须具有“主”或“管理”权限，才能启用或禁用此选项。

默认会选中该选项。用户将继承“修改”权限。如果要更改默认设置，请取消选中此选项。

“组”选项卡根据您所属于的组，列出您拥有其访问权限的所有组。指出必须对您所选项目具有访问权限的组。您可以选择“只读”或“修改”，或两者都不选。如果一个都没选择，则该组具有拒绝访问权限。如果您选择“修改”，“只读”也会被自动选中。称为“默认”的伪组会针对“主”或“管理”用户显示。将来创建的组会获得此权限。

“用户”选项卡根据您所属于的组，列出您拥有其访问权限的所有用户。指出必须对您所选项目具有访问权限的用户。您可以选择“只读”或“修改”，或两者都不选。如果一个都没选择，则该用户具有拒绝访问权限。如果您选择“修改”，“只读”也会被自动选中。

用户权限优先于组权限。例如，如果用户只被授予资源的“读取”权限，但是组被授予“修改”权限，则用户只能“读取”选定的项目。

您可以将用户添加到列表或删除用户。

1 单击“添加”，再单击用户，然后单击“确定”。

2 对于每个用户，选择“读取”或“修改”，然后单击“确定”。

如果用户不在列表中，系统会使用该用户的组权限。如果用户在列表中但是未选中“读取”或“修改”，则该用户具有该资源的明确拒绝访问权限。




选项定义

策略列表列出 ESM 上的策略。选择该组可以访问的策略。

“ 全选 ” 选择所有策略。

“全都不选” 取消选择所有策略。


选项定义

“列表 ” 查看列表上的 IP 地址。

“ 添加 ” 单击该选项，将 IP 地址添加至列表。

“编辑” 修改选择的 IP 地址。

“删除” 从列表中删除选择的地址。


选项定义

区域列表列出已添加至 ESM 的区域。选择该组可以访问的区域。

“ 全选 ” 选择列表上的所有区域。

“全都不选” 取消对列表上所有区域的选择。


选项定义

事件转发目标列表列出添加到 ESM 的目标。选择该组可以访问的目标。

如果目标不属于访问组，则其必定拥有所有设备的访问权限。

“ 全选 ” 选择列表上的所有目标。

“全都不选” 取消对列表上所有目标的选择。


选项定义

“ 启用限制 ” 选择该选项，以激活该组的限制。

“时区 ” 选择该组所在时区。

“Start time and End time” （开始时间和结束时间）

选择组访问开始和结束的时间。如果组的访问在选择的日期拥有 24 小时访问权限，则请在两个字段中都选择 00:00。

“星期” 选择组成员在一周中的哪些天可以访问 ESM。


选项定义

“名称”列在 ESM 中列出报告。

“读取”列选择该组应能够读取的报告。如果选择“修改”，则也会选中“读取”。

“修改”列选择该组应能够修改的报告。

“共享” 单击可选择要共享所选报告可见性的其他组或用户。




选项定义

“名称”列列出 ESM 上的所有视图。

“读取”列选择该组应该能读取的视图。

“修改”列选择该组应该能修改的视图。

“共享” 单击可选择其他组或用户以共享选定项的可见性。


选项定义

“名称”列列出 ESM 上的所有关注列表。

“读取”列选择该组应该能读取的关注列表。如果选择“修改”，则也会选中“读取”。

“修改”列选择该组应该能修改的关注列表。

“共享” 单击可选择其他组或用户以共享选定项的可见性。

添加具有访问限制的组若要限制特定用户访问 ESM 上的功能，请创建包含这些用户的组。此选项限制这些用户访问警报、案例管理、ELM、报告、关注列表、资产管理、策略编辑器、区域、系统属性、过滤器和操作工具栏（请参阅使用用户和组）。所有其他功能都被禁用。



2 单击“用户和组”，然后键入系统密码。

3 执行以下任一操作：• 如果已经设置组，请在“组”表格中选择该组，然后单击“编辑”。

• 如果正在添加组，请单击“组”表格旁的“添加”，输入名称和说明，然后选择用户。

4 单击“权限”，然后选择“限制此组的访问”。

大多数权限都被禁用。

5 从剩余权限列表中，选择要为该组指定的权限。

6 单击每个选项卡并定义该组的其他设置。

备份和还原系统设置自动或手动保存当前系统配置设置，这样在出现系统故障或数据丢失时便可以还原这些设置。您也可以设置并将当前设置保存至冗余 ESM。

标准备份可保存所有配置设置，包括策略、SSH、网络和 SNMP 文件的设置。添加 ESM 设备后，会启用“备份和还原”，以每 7 天进行一次备份。

您可以备份系统接收到的事件、流和日志。事件、流或日志数据的第一次备份仅保存从当天开始的数据。后续备份则保存自上次备份后生成的数据。

3 配置 ESM备份和还原系统设置


要还原系统，请选择 ESM 中的备份文件、一台本地计算机或一个远程位置，将您的设置和数据恢复到先前状态。执行此功能时，创建备份后对设置所做的所有更改都将丢失。例如，如果您在执行每日备份，并且想要还原前三天的数据，则选择前三个备份文件。三个备份文件中的事件、流和日志将被添加到 ESM 当前的事件、流和日志中。所有设置都将被新备份中包含的设置所覆盖。

另请参阅备份 ESM 设置和系统数据第 193 页还原 ESM 设置第 194 页还原备份的配置文件第 195 页使用 ESM 上的备份文件第 195 页管理文件维护第 195 页

备份 ESM 设置和系统数据启动任意软件升级前，请备份和保存 ESM 配置文件。

添加 ESM 设备后，会启用“备份和还原”，以每七天进行一次备份。您可以禁用该选项或更改默认设置。请参阅知识库文章 McAfee [ESM] 设备备份流程，了解详细信息。

我们建议您“完整备份”所有设备，然后再开始升级。完整备份包含：• ESM、ERC、DEM、ADM 和 ACE 设备的设置。

ELM 完整备份仅包括配置设置。必须单独备份这些数据库设置，以免丢失到您的本地共享、远程共享和 SAN 的所有数据库连接。

• 停止 CPService，然后停止 DBServer 并创建以下文件夹中内容的副本：/usr/local/ess/data/、/etc/NitroGuard 和远程共享中的其他文件夹。

如果在升级过程中发生任何问题，您可以：• 重新安装软件到现有版本。

• 重新安装备份文件。

• 再次尝试升级到下一版本。

备份仅与 ESM 设备的当前版本兼容。您无法安装升级后的 ESM 设备前一版本的备份。


1 在系统导航树中，选择“系统属性”，然后单击“ESM 管理” | “维护” | “备份”。

2 定义备份设置。

3 单击“确定”以关闭“备份和还原”页面。


选项定义

“ 备份频率 ” 将新的 ESM 设备添加至系统时，将启用“备份和还原”功能来每七天执行一次备份。您可以更改频率或禁用备份。

“ 备份数据 ” 选择要在备份中添加的内容。

配置 ESM备份和还原系统设置 3


https://kc.mcafee.com/resources/sites/MCAFEE/content/live/CORP_KNOWLEDGEBASE/80000/KB80012/en_US/Backup%20process%20for%20McAfee%20devices.pdf


选项定义

“备份位置” 选择保存备份的位置：• “ESM” — 它保存在 ESM 中，可通过“文件维护”页面访问。

• “远程位置”— 它保存在活动的字段内定义的位置中。如果要手动保存 ESM 副本和所有系统数据，必须选择该选项。

如果要备份到 CIFS 共享，请在远程路径字段中使用斜线 (/)。

“ 立即备份” 手动备份 ESM 设置和事件、流及日志（如果已选）。成功完成备份后，单击“关闭”。

“立即完整备份”

手动保存设备设置和系统数据副本。这无法保存到 ESM，因此必须在“备份位置”字段中选择“远程位置”，并输入位置信息。

我们强烈建议您在更新任何重要版本之前进行完整备份，以避免数据丢失。

使用通用 Internet 文件系统 (CIFS) 共享类型和高于版本 3.2 的 Samba 服务器会导致数据丢失。

另请参阅备份和还原系统设置第 192 页还原 ESM 设置第 194 页还原备份的配置文件第 195 页使用 ESM 上的备份文件第 195 页管理文件维护第 195 页

还原 ESM 设置如果出现系统故障或数据丢失，您可以选择备份文件，从而将系统还原到之前的状态。

任务

如果数据库包含的记录已达数目上限且正还原的记录在 ESM 上当前数据范围之外，则不会还原记录。要保存并访问范围外的数据，您必须要设置非活动分区存档。


1 在系统导航树中，选择“系统属性”，然后单击“ESM 管理” | “维护” | “还原备份”。

2 请选择要执行的还原类型。

3 请选择要还原的文件，或输入远程位置的信息，然后单击“确定”。

还原备份耗时较长，具体取决于还原文件的大小。 ESM 在全部还原完成前一直处于离线状态。在此期间，ESM 会每隔 5 分钟尝试重新连接一次。流程完成时，会显示“登录”页面。

另请参阅备份和还原系统设置第 192 页备份 ESM 设置和系统数据第 193 页还原备份的配置文件第 195 页使用 ESM 上的备份文件第 195 页管理文件维护第 195 页

3 配置 ESM备份和还原系统设置


还原备份的配置文件您可以还原 ESM 上备份的每个设备的 SSH、网络、SNMP 和其他配置文件。

开始之前备份 ESM 上的配置文件（请参阅“备份 ESM 设置和系统数据”）。


1 在系统导航树中，单击设备，然后单击“属性”图标。

2 单击设备的“配置”选项，单击“还原配置”，然后在确认页面上单击“是”。

另请参阅备份和还原系统设置第 192 页备份 ESM 设置和系统数据第 193 页还原 ESM 设置第 194 页使用 ESM 上的备份文件第 195 页管理文件维护第 195 页

使用 ESM 上的备份文件可对保存到 ESM 的备份文件进行下载、删除和查看操作。另外，您还可以上载文件，将其添加到备份文件列表中。


1 在系统导航树上，请选择“系统属性”，然后单击“文件维护”。

2 在“选择类型”下拉列表中，请选择“备份文件”。

3 请选择要执行的操作。


另请参阅备份和还原系统设置第 192 页备份 ESM 设置和系统数据第 193 页还原 ESM 设置第 194 页还原备份的配置文件第 195 页管理文件维护第 195 页

管理文件维护ESM 可存储备份、软件更新、警报日志和报告日志文件。您可下载、上载和删除每个列表中的文件。


1 在系统导航树上，请选择“系统属性”，然后单击“文件维护”。

2 在“选择文件类型”字段中，请选择“备份文件”、“软件更新文件”、“警报日志文件”或“报告文件”。

配置 ESM备份和还原系统设置 3


3 请选择文件，然后单击其中一个选项。



选项定义

“选择文件类型” 选择要进行管理的文件类型。

“ 下载 ” 将所选的文件保存到不在 ESM 上的某个位置中。

“ 上载 ” 将文件添加到 ESM 中。

“删除” 删除所选的文件，使之不再显示在 ESM 中。

“刷新” 刷新文件列表以显示新更改。

“详细信息”（仅适用于备份文件）查看所选备份的详细信息。

“设置”（仅适用于备份文件）访问“备份和还原”页面。

另请参阅备份和还原系统设置第 192 页备份 ESM 设置和系统数据第 193 页还原 ESM 设置第 194 页还原备份的配置文件第 195 页使用 ESM 上的备份文件第 195 页

冗余 ESM冗余 ESM 功能可使您将当前 ESM 设置保存到可转换为主要 ESM 的冗余 ESM，以防出现系统故障或数据丢失。该功能仅提供给拥有系统管理员权限的用户。

若要设置冗余，请添加冗余设备，以接收主要设备的设置和数据，然后定义主要设备的设置，以向冗余设备发送备份设置和数据。主要 ESM 的配置和策略数据每隔五分钟会自动与冗余 ESM 同步。

ESMREC 组合设备上不提供 ESM 冗余功能。

另请参阅设置 ESM 冗余第 196 页删除冗余 ESM 第 197 页

设置 ESM 冗余要将系统设置保存到冗余 ESM 上，您必须要设置各个 ESM，使其可以相互通信。系统设置每五分钟同步一次。如果设置主要 ESM 来同步数据表格，则会执行此操作。

开始之前设置主要和冗余 ESM。

3 配置 ESM冗余 ESM



1 在主要 ESM 和各个冗余 ESM 上启用 SSH。

a 在系统导航树上，访问“系统属性”，然后单击“网络设置”。

b 确保已选择“启用 SSH”，然后单击“确定”。

2 由于存档依赖于 ESM，因此如果您需要存档冗余 ESM 的事件、流量和记录，就要在冗余 ESM 上设置存档。

a 在系统导航树中，选择“系统属性”，然后单击“数据库” | “存档”。

b 填写字段，这些字段根据您选择类型的不同而有所变化。

确保冗余 ESM 上的存档数据保存在主要 ESM 以外的其他位置。

c 单击“确定”保存设置。

冗余 ESM 会在添加后如同主要 ESM 一样存档相关数据。

3 注销冗余 ESM。

4 登录到主要 ESM。

5 访问“系统属性”，然后单击“ESM 管理” | “冗余”。

6 要让主要 ESM 将查询发送至冗余 ESM，请选择“共享查询”。

7 要同步数据表格，请选择“计划同步”，然后在“同步时间”字段中选择您希望同步操作发生的时间。

8 在“SSH 端口”字段中，选择设备通信使用的 SSH 端口。

9 将冗余 ESM 的信息添加到主要 ESM。

多可添加五个冗余 ESM。

a 单击“添加”，然后键入冗余 ESM 的名称。

b 键入冗余 ESM 的 IP 地址、用户名称和密码，然后单击 “下一步”。

主要 ESM 会尝试与冗余 ESM 通信。

c 当您收到通知，告知您设备已成功锁定时，单击“完成”。

d 为您想要添加至此主要 ESM 的所有冗余 ESM 重复执行以上步骤。


主要和冗余 ESM 会开始同步。

另请参阅冗余 ESM 第 196 页删除冗余 ESM 第 197 页

删除冗余 ESM您可以从与主 ESM 通信的冗余 ESM 列表中删除 ESM。

配置 ESM冗余 ESM 3



1 在系统导航树中，选择“系统属性”，然后单击“ESM 管理” | “冗余”。

2 在冗余 ESM 的表格中，验证要删除的 ESM 的状态是“冗余完成”还是“失去通信”

如果状态为“正在同步”，请不要尝试删除冗余 ESM。

3 选择 ESM，然后单击“删除”。

冗余 ESM 会从列表中删除，并且无法再从主 ESM 中接收备份数据。列表中的其他 ESM 会继续与主 ESM 同步。

另请参阅冗余 ESM 第 196 页设置 ESM 冗余第 196 页删除冗余 ESM 第 197 页

禁用共享查询该共享查询功能可以降低冗余系统中主 ESM 的负载。

这是通过在查询指定的日期范围表示冗余 ESM 中存在查询数据时在冗余 ESM 上运行查询实现的。

该功能可以有效利用冗余 ESM 提供的资源。启用“共享查询”后，如果请求的数据超过 30 天或查询已开始超过 12 小时，则会将查询发送到冗余 ESM。这些查询的结果始终会被发送回主要 ESM。

默认情况下，“共享查询”是被启用的。如果您的冗余 ESM 为更早的型号，查询的处理时间可能会更长。如果您需要加快查询的处理速度，可以禁用该功能。


1 在系统导航树中，选择 ESM，然后单击“属性”图标。

2 单击“ESM 管理” | “冗余”。

3 在“冗余配置”页面上，取消选择“共享查询”，然后单击“确定”。

此时会执行 CPService 重启。

将冗余 ESM 更改为主要 ESM如果您有 ESM 冗余，则可以将冗余 ESM 更改为主要 ESM。如果主要 ESM 发生故障或因任何原因需要被取消激活，此操作将是必要的。


1 在冗余 ESM 系统导航树中，选择系统，然后单击“属性”图标。

2 单击“ESM 管理” | “冗余”，然后单击“故障转移”。

当设备已成功切换并要重新初始化时，您会收到通知。

3 收到提示时，请键入要更改为主要 ESM 的冗余 ESM 的密码。

3 配置 ESM冗余 ESM


管理 ESM您可以执行若干操作来为 ESM 管理软件、日志、证书、功能文件和通信密钥。

选项卡

选项定义

“配置”

“管理日志” 配置记录到事件日志中的事件类型。

“ESM 层级” 配置使用按等级划分的 ESM 设备时的数据选项。

“混淆” 定义全局设置以在事件转发中发送或发送到父级 ESM 的所有警报记录上屏蔽选定数据。

“日志记录” 将内部事件发送到 ELM 进行存储。该数据可用于审核。

“系统语言” 选择记录事件所用的系统语言，例如健康监视器和设备日志。

“名称映射” 取消选择端口和协议，即可让其显示原始编号而不是名称。例如，如果取消选择“来源端口”或“目标端口”，则 http:80 会显示为 80。如果选择了协议，原始编号 17 将显示为 udp。

“本地网络” 添加您本地网络中包含的 IP 地址或子网列表。

“冗余” 设置一个或多个冗余 ESM，用于备份主要 ESM 上的所有数据（请参阅“冗余 ESM”）。

“密钥管理”

“证书” 安装新的安全套字层 (SSL) 证书。

“重新生成 SSH” 重新生成专用或公用 SSH 密钥对，用以与所有设备通信。

“导出所有密钥” 导出系统中所有设备的通信密钥，而不用逐一导出。

“还原所有密钥” 为全部或所选的设备还原通信密钥，其可通过“导出所有密钥”功能导出。

“维护”

“更新 ESM” 从 ESM 规则中更新 McAfee 软件，并更新服务器或 McAfee 安全工程师。

“ESM 数据” 下载包含有关 ESM 状态信息的 .tgz 文件。该状态可帮助 McAfee 支持进行故障排除和解决问题。

“任务管理器” 根据需要，查看在 ESM 上运行的查询并停止这些查询。

“关机” 关闭 ESM。屏幕将显示信息警告您此操作将导致所有用户中断与 ESM 的通信。

“重新启动” 停止并重新启动 ESM。屏幕将显示信息警告您此操作将导致所有用户中断与 ESM 的通信。

“获取功能” 如果您已购买其他功能，则可以通过下载加密文件在 ESM 上启用这些功能，加密文件中包含有关 ESM 所支持功能的信息。

“设置功能” 安装您通过“获取功能”下载的文件。

“连接” 致电 McAfee 支持寻求帮助时，请向其授予您系统的访问权限。

该选项与 FIPS 不兼容，并且在 FIPS 模式下操作时不可用。

“查看统计信息” 访问任何 ESM 设备的以下信息：• 内存和交换空间利用率统计信息。 • 输入/输出和传输速率统计信息。

• CPU 利用率。 • 队列长度和负载均值。

• 系统切换活动。

管理日志ESM 上生成了不同类型的事件。您可以在事件日志中选择您想要的事件类型。

配置 ESM管理 ESM 3




2 单击“管理日志”，然后选择要记录的事件类型。


选项卡

选项说明

“配置”选项卡

“管理日志” 配置记录到事件日志中的事件类型。

“ESM 层级” 配置使用按等级划分的 ESM 设备时的数据选项。

“混淆” 屏蔽在事件转发中发送或发送到父级 ESM 的所有警报记录的选定字段。

“日志记录” 将内部事件发送到 ELM 进行存储。该数据可用于审核。

“系统语言” 选择事件记录（如状况监视器日志和设备日志）所用的系统语言。

“名称映射” 取消选择端口和协议，即可让其显示原始编号而不是名称。例如，如果取消选择“来源端口”或“目标端口”，则 http:80 会显示为 80。如果选择了“协议”，原始编号 17 将显示为 udp。

“本地网络” 添加您本地网络中包含的 IP 地址或子网列表。

“冗余” 设置一个或多个冗余 ESM，用于备份主要 ESM 上的所有数据（请参阅“冗余ESM”）。

“密钥管理”选项卡

“证书” 安装新的 SSL 证书。

“重新生成 SSH” 重新生成专用或公用 SSH 密钥对，用以与所有设备通信。密钥重新生成后将代替 ESM所托管的全部设备上原有的密钥对。

“导出所有密钥” 导出系统中所有设备的通信密钥，无需逐一导出。

“还原所有密钥” 为全部或所选的设备还原通信密钥，其可通过“导出所有密钥”功能导出。

“维护” “更新 ESM” 从 ESM 规则中更新 McAfee 软件，并更新服务器或 McAfee 安全工程师。

“ESM 数据” 下载包含有关 ESM 状态信息的 .tgz 文件。该状态可帮助 McAfee 支持进行故障排除和解决问题。

“任务管理器” 查看并管理 ESM 上运行的查询。

“关机” 关闭 ESM。屏幕将显示信息警告您此操作将导致所有用户中断与 ESM 的通信。

“重新启动” 启动 ESM。屏幕将显示信息警告您此操作将导致所有用户中断与 ESM 的通信。

“获取功能” 若要启用新购买的 ESM 功能，首先要下载包含当前受支持 ESM 功能相关信息的加密文件。

“设置功能” 安装您通过“获取功能”下载的文件。

“连接”或“断开连接”

联系 McAfee 以获得支持时，授予其技术支持访问权限。

该选项不与 FIPS 兼容，因此在 FIPS 模式下操作时，该选项不可用。

3 配置 ESM管理 ESM


选项卡

选项说明

“查看统计信息” 访问任何 ESM 设备的以下信息：• 内存和交换空间利用率统计信息。 • 输入/输出和传输速率统计信息。

• CPU 利用率。 • 队列长度和负载均值。

• 系统切换活动。

“备份” 立即备份 ESM 设置或设置自动备份。备份还原操作可在 ESM 上执行，也可在远程位置执行。您还可以将系统设置还原为之前备份。

“还原备份” 立即备份事件、流和日志或设置自动备份。您还可以还原指定日期范围的事件、流和设备日志。


选项定义

“ 指定事件日志类型 ” 进行选择或取消选择操作，以指定您希望此 ESM 收集的事件日志类型。单击事件日志类型后会显示相应的说明。

屏蔽 IP 地址您可以选择在事件转发时发送或发送至父级 ESM 的事件记录上屏蔽特定数据。


1 在系统导航树上，选择“系统属性”，然后单击 “ESM 管理” | “ESM 层级”。

2 为要屏蔽其数据的 ESM 选择“混淆”。

此时将打开“混淆字段选择”页面。

3 选择要屏蔽的字段。


设置完成后，如果父级 ESM 要求从子级 ESM 获取数据包，则您选择的数据将被屏蔽。


选项定义

“ 指定事件日志类型 ” 进行选择或取消选择操作，以指定您希望此 ESM 收集的事件日志类型。单击事件日志类型后会显示相应的说明。


选项定义

“可供混淆”列表列出可以隐藏的字段。此列表包括可能包含敏感数据或所有自定义类型的字段。要定位列表中的某个字段，请在搜索字段中键入名称。

“选定字段”列表列出了当前隐藏的字段。

箭头将选定字段从一个列表移至另一个列表。

“配置全局混淆设置”链接单击可添加或更改系统的混淆设置。




选项定义

“种子值” 要确保每次都以同样的方式执行混淆，请在“种子值”字段输入种子，或单击“生成”来生成随机种子。要混淆多个 ESM 之间的 IP 地址并保持值同步，这将会很有用。

“包括本地网络” 选择可隐藏本地网络内外的 IP 地址。这可扩展到 IPv4 和 IPv6 地址等 IP 自定义类型。

“修改本地网络设置” 单击可编辑本地网络上的 IP 地址。


选项定义

本地网络字段输入您本地网络中包含的 IP 地址或子网列表，并以逗号分隔。该字段多允许输入 2,000 个字符。如果您的本地网络长度超出此限制，您可使用无类别域际路由 (CIDR) 表示法将多个子网合并为一个较短的本地网络。

设置 ESM 日志记录如果系统中存在 ELM 设备，则可以设置 ESM，以便生成的内部事件数据发送到 ELM 设备。要完成这一操作，必须配置默认日志记录池。

开始之前将 ELM 设备添加到系统。



2 在“配置”选项卡中单击“日志记录”。

3 选择所需项，然后单击“确定”。


选项定义

“ 日志配置 ”页面选择“日志记录”。

“设备 - ELM 关联”页面如果未将 ELM 与该 ESM 相关联，则系统会询问您是否要进行该操作。单击“是”。

“ 选择要进行记录的 ELM”页面如果系统中有多个 ELM 设备，则选择要存储数据的 ELM。该 ESM 始终会登录到所选的 ELM 中。

“选择 ELM IP 地址”页面选择 ESM 与 ELM 进行通信所用的 IP 地址。ELM 与设备成功关联后，系统将向您发出通知。

“无 ELM 池”页面如果未对 ELM 配置存储池，则会通知您启用日志记录之前需要将存储池添加到ELM 中。

“ELM 日志记录选项”页面选择必须要记录数据的存储池。

导出和还原通信密钥在系统中将所有设备的通信密钥导出到一个文件夹中。导出通信密钥后便可在需要时将它们还原。

• 在系统导航树中选择 “系统属性” | “ESM 管理”，然后单击“密钥管理”选项卡。

3 配置 ESM管理 ESM



导出所有通信密钥 1 单击“导出所有密钥”。

2 为密钥文件设置密码，然后单击“确定”。

3 选择要保存文件的位置，然后单击“保存”。

还原所有通信密钥 1 单击“还原所有密钥”。

2 导出密钥时，找到您设置的文件，然后单击“开放”。

3 单击“上载”，然后输入设置的密码。

4 选择需要还原的设备，然后单击“确定”。

重新生成 SSH 密钥重新生成专用或公用 SSH 密钥对，用以与所有设备通信。



2 在“密钥管理”选项卡上单击“重新生成 SSH”。

此时会提示您新的密钥将取代原有的密钥。

3 单击“是”。

密钥重新生成后将代替 ESM 所托管的全部设备上原有的密钥对。

查询任务管理器如果您具有管理员或主用户权限，则可以访问“任务管理器”，它显示 ESM 上正在运行的查询列表。您可以在此处关闭影响系统性能的特定查询。长期运行的查询更有可能影响性能。

此功能用于解决 ESM 运行时问题，而不是关闭查询。请在 McAfee 支持的帮助下使用此功能。

任务管理器包括以下特性：• 您可以关闭报告、视图、关注列表、执行和导出、警报以及系统上的外部 API 查询。无法关闭系统查询。

• 当您单击查询时，详细信息会显示在“查询详细信息”区域。

• 默认情况下，该列表每五秒钟自动刷新一次。如果您选择查询并且列表自动刷新，它将保持选中并且详细信息会更新。查询完成后，它将不再显示在列表中。

• 如果您不希望列表自动刷新，则取消选中“自动刷新列表”。

• 若要查看尚未核实的系统任务，请取消选中“隐藏系统任务”。

• 可以对表中的列进行排序。

• 您可以选择和复制“查询详细信息”区域中的数据。

• 如果查询可以关闭，则后一列中有删除图标。单击该图标后，会出现对话框请求确认。

管理在 ESM 上运行的查询“任务管理器”显示在 ESM 上运行的查询列表。您可以查看这些查询的状态并删除任何影响系统性能的查询。





2 单击“ESM 管理”，再单击“维护”选项卡，然后单击“任务管理器”。

3 查阅正在运行的查询列表并执行操作。


选项定义

表查看 ESM 上运行的查询列表。表中的列可以排序。

“查询详细信息” 查看表中所选任务的详细信息。您可以选择并复制此文本。

“隐藏系统任务” 取消选择可查看尚未识别的系统任务。

“自动刷新列表” 如果不希望列表每 5 秒自动刷新一次，则取消选择。如果选择某个查询且列表自动刷新，则会选中此项并更新详细信息。如果查询完成，则不会再显示在列表中。

单击以去除该任务。

更新主要或冗余的 ESM如果要更新主要或冗余的 ESM，必须遵循指定的步骤，以防丢失事件、流和日志数据。


1 禁用事件、流和日志的集合。

a 在系统导航树中选择“系统信息”，然后单击“事件、流和日志”。

b 取消选择“自动检查每项”。

2 更新主要的 ESM。

3 更新冗余的 ESM。

4 再次选择“自动检查时间间隔”来启用事件、流和日志的集合。

如果更新失败，请参阅“更新至版本 9.3”。

使用全局黑名单黑名单是一种阻止流量的方法，可以在流量流经网络设备时将其阻止，避免深度数据包检测引擎对其进行分析。

您可以使用网络设备“黑名单”选项为 ESM 上的单个网络设备设置黑名单。通过“全局黑名单”，您可以设置应用到由ESM 托管的所有网络设备的黑名单。该功能仅允许永久黑名单条目。要设置临时条目，您必须使用网络设备“黑名单”选项。

每个网络设备都可以使用全局黑名单。该功能在所有设备上为禁用状态，除非您将其启用。

3 配置 ESM使用全局黑名单


“全局黑名单编辑器”页面包含三个选项卡：

• “已阻止的来源” — 与穿过设备的流量的来源 IP 地址匹配。

• “已阻止的目标” — 与穿过设备的流量的 IP 地址匹配。

• “排除项”— 提供豁免权，以防被自动添加到其中一个黑名单。可以将关键 IP 地址（例如，DNS 和其他服务器或系统管理员的工作站）添加到排除项中。这可以确保无论可能生成何种事件都不会自动将其列入黑名单。

可对“已阻止的来源”和“已阻止的目标”中的条目进行配置，以将黑名单的影响缩小到特定目标端口。

添加条目时：• 如果更改 IP 地址或端口，“添加”则会被启用。

• 可将“已阻止的来源”和“已阻止的目标”列表中的条目配置到所有端口或特定端口上的黑名单。

• 必须使用设置为任意值 (0) 的端口配置使用 IP 地址掩码范围的条目，且时长必须为永久。

• 虽然这些列表需要使用 IP 地址格式，但可通过某些工具为这些地址赋予意义。在“IP 地址”字段键入 IP 地址或主机名后，该控件旁边的按钮会根据输入的值显示“解析”或“查找”。如果显示“解析”，则单击该按钮会解析输入的主机名，然后使用解析的信息填充“IP 地址”字段并将主机名移至“说明”字段。否则，单击“查找”会执行 IP 地址查找并使用查找的结果填充“说明”字段。

某些网站拥有多个 IP 地址，或 IP 地址经常变化。请勿使用该工具阻止某些网站。

另请参阅设置全局黑名单第 205 页

设置全局黑名单请设置所有所选设备共有的全局黑名单，这样，您便无须在多个设备上输入相同信息。


1 在系统导航树上，请选择“系统属性”，然后单击“全局黑名单”。

2 请选择“已阻止的来源”、“已阻止的目标”或“排除项”选项卡，然后管理黑名单条目。

配置 ESM使用全局黑名单 3


3 请选择必须使用全局黑名单的设备。



选项定义

“ 已阻止的来源 ”选项卡

管理要拦截的来源 IP 地址。

“ 已阻止的目标 ”选项卡

管理要拦截的目标 IP 地址。

“排除项”选项卡管理不会被自动加入黑名单的 IP 地址（如 DNS 和其他服务器或系统管理员的工作站）。

“IP 地址” 将条目添加到列表时，请输入 IP 地址。

“查找” 单击以查看所输入 IP 地址的说明。

“添加” 输入 IP 地址后，单击以将其添加到列表中。

“端口” 要减小黑名单对特定目标端口的影响，请输入端口号。默认设置为 (0)，表示允许通过任何端口。

“修改” 更改现有黑名单条目的说明，然后单击此选项。

“说明” （可选）输入 IP 地址说明，或单击“查找”以查找说明。要更改现有地址的说明，请输入更改，然后单击“修改”。

“管理” 单击以打开 ESM 上的网络设备列表，然后选择应使用全局黑名单的设备。

“写入”图标准备好将新条目保存到 ESM 后单击。如果您在写入更改前退出黑名单页面，则不会保存更改。

“读取”图标单击以更新拦截的来源、拦截的目标和排除项。

“删除”图标单击以从黑名单中删除所选的条目。状态字段将更改为“在下一次写入时删除”。

“查看事件”图标单击以从具有攻击性的 IP 地址中生成事件报告。该报告将以视图形式显示在控制台中。


选项定义

表查看 ESM 上的网络设备列表以及是否在各个设备上启用全局黑名单。

“ 已启用 ”列选择使用全局黑名单的设备。

另请参阅使用全局黑名单第 204 页

数据扩充您可以通过原始事件中没有的上下文（如电子邮件地址、电话号码或主机位置信息）来扩充上游数据来源发送的事件。该扩充的数据成为所解析事件的一部分并像原始字段一样与事件一起存储。

通过定义如何连接到数据库并访问该数据库内的一个或两个表列，可以设置数据扩充来源。然后定义接收数据的设备以及如何扩充该数据，包括事件和流。

您也可以编辑或删除数据扩充来源，以及在“数据扩充”页面上运行查询。

不会扩充 ESM 中触发的事件。数据获取在 ESM，而非设备中进行。

连接至 Hadoop HBase 中关系数据来源的连接器，使用来源中的“密钥-值”对进行扩充。可以定期将 HBase 中的身份映射提取到接收器中，以扩充事件。

3 配置 ESM数据扩充


另请参阅添加数据浓缩来源第 207 页添加 Hadoop HBase 数据扩充来源第 210 页设置 McAfee Real Time for McAfee ePO™ 数据扩充第 209 页添加 Hadoop Pig 数据扩充来源第 211 页为用户名添加 Active Directory 数据扩充第 211 页

添加数据浓缩来源添加数据扩充来源并定义接收数据的设备。


1 在系统导航树中，选择“系统属性”，然后单击“数据浓缩” | “添加”。

“数据浓缩向导”中的选项卡和字段根据您选择的浓缩类型的不同而有所变化。

2 在每个选项卡中，填写字段，然后单击“下一步”。

3 单击“完成”，然后单击“写入”。

4 选择您要将数据扩充规则写入到的设备，然后单击“确定”。


选项定义

“ 添加 ” 添加新数据浓缩来源。

“编辑” 对现有来源进行更改。

“删除” 删除现有来源。

“立即运行” 针对所选的数据浓缩来源运行查询。

“已启用” 编辑或禁用所选的数据浓缩来源。

“写入” 添加或编辑来源时，单击以将设置写入“目标”选项卡中所选的设备。



“主要”“”选项卡

“名称” 键入来源名称。

“启用” 选择是否启用此来源。

“查找类型” 选择要使用的数据类型，以便进行查找。

“扩充类型” 选择要扩充的数据类型。

“提取频率” 选择执行该数据扩充来源的频率。

配置 ESM数据扩充 3




“来源”选项卡

• CIFS、NFS、FTP、SFTP 和 SCP 来源类型仅可以使用外部文件进行扩充。其他来源类型需要您针对数据库或正则表达式编写查询。

• 您针对数据扩充提取的文件必须使用以下格式：LookupValue=EnrichmentValue。

• 每个条目必须位于单独的行。

• 对于单个列扩充，仅需要查找值条目。

• 对于两列扩充，必须使用等号 (=) 将查找值和扩充值分隔开。

例如，将 IP 地址用于主机名的文件可能如下所示：

10.5.2.3=New York

10.5.2.4=Houston

“类型” 来源的数据库驱动程序类型。

“身份验证” 选择“基础”时，如果需要您登录，则为您在该网站的用户名和密码。默认设置为“无”。

“数据库名称” 数据库的名称。

“主机” 运行数据库的计算机名称。

“忽略无效证书” 如果您尝试搜索的网站为 https URL，则选择该选项，以忽略无效 SSL 证书。

“IP 地址” 数据库的 IP 地址。

“作业跟踪程序主机”

Apache Hadoop 作业跟踪程序主机地址或 IP 地址。不需要；如果为空，系统使用节点名称主机。

“作业跟踪程序端口”

作业跟踪程序主机侦听的端口。不需要；如果为空，系统使用节点名称主机。

“方法” 如果选择“POST”，则可能需要提供公告内容或参数，从而导航至包含您要从中进行搜索的内容的网页。默认设置为“GET”。

“安装点” 文件的目录。

“节点名称主机” Apache Hadoop 节点名称主机地址或 IP 地址。不包括协议。

“节点名称端口” 节点名称主机侦听的端口。不需要；如果为空，系统使用节点名称主机。

“密码” 访问数据库所需的密码。

“路径” 数据库路径。如果选择了“类型”字段中的“FTP”，则路径将与主目录相关联。要指定 FTP 服务器的绝对路径，请在路径起始位置额外插入正斜杠 (/)。例如，//var/local/path。

“端口” 数据库的端口。

“共享名称” 文件的目录。

“用户名” 可以访问数据库的用户名称。针对 LDAP，输入不带空格的完全限定域名。例如，uid=bob,ou=Users,dc=example,dc=com 或[email protected]。

“解析”选项卡

“原始数据” 将 HTTP/HTTPS 选作来源类型时，查看“来源”选项卡上“URL”字段中输入的 URL的前 200 行 HTML 来源代码。它只是网站的预览，但足够您写入正则表达式进行匹配。数据扩充来源的“立即运行”或计划更新包括正则表达式搜索中的所有匹配项。该功能支持 RE2 语法正则表达式，如 (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})。

“要跳过的标题行” 通常，Internet 站点都有标题代码，不会引起您的搜索兴趣。指定要跳过站点的前多少行，从而避免搜索标题数据。

“新建行分隔符” 键入站点中使用何种分隔符分隔您感兴趣的值。默认情况下，该字段使用 \n，表示新建一行作为分隔符。其他常用的分隔符为逗号。





“忽略表达式” 键入正则表达式，从正则表达式搜索结果中删除所有不需要的值。

“正则表达式” （必填）键入用以查找匹配项的逻辑并从站点提取值。常见的使用情况是创建表达式，将其与已知恶意 IP 地址列表或站点上列出的

MD5 总计匹配。

如果您已在正则表达式中提供两个匹配组，则可将每个正则表达式匹配项的结果映射到“查找值”或“扩充值”。

“查找值”或要在您要添加更多值的 ESM 中收集的事件中查找的值。该值映射到“目标”选项卡上的“查找字段”。

“扩充值” 扩充或插入到来源事件的值，该来源事件与查找值匹配。该值映射到“目标”选项卡上的“扩充字段”。

“查询”选项卡

针对 Hadoop HBase (REST)、Hive、LDAP、MSSQL、MySQL、Oracle、PIG 或 McAfee Real Timefor McAfee ePO 类型设置查询。

“评分”选项卡

设置在单个列查询中返回的各个值的分数。选择要进行评分的来源和目标字段，然后单击“运行查询”。

“值” 显示返回的值。

“分数” 显示用于设置该值的风险分数的步进器。根据需要进行更改，然后单击“更新列表”。

“目标”选项卡

查看设备以及针对由此数据扩充来源填充的设备进行字段映射的规则。

“添加” 选择设备和规则。

“编辑” 更改设备或规则设置。

“删除” 删除设备和规则设置。


选项定义

“ 查找字段 ” 选择要按照其进行查找的字段。

“浓缩字段” 选择要浓缩的字段。

“使用静态值” 选择是否要使用静态值。

“浓缩值” 选择“使用静态值”后，必须输入浓缩值。

“修改严重性” 选择是否要使用严重性作为浓缩字段，然后选择增加或减少的百分比。

另请参阅数据扩充第 206 页添加 Hadoop HBase 数据扩充来源第 210 页设置 McAfee Real Time for McAfee ePO™ 数据扩充第 209 页添加 Hadoop Pig 数据扩充来源第 211 页为用户名添加 Active Directory 数据扩充第 211 页

设置 McAfee Real Time for McAfee ePO™ 数据扩充在“数据扩充向导”中选择 McAfee Real Time for McAfee ePO 来源后，您可以测试查询并选择“查找”和“扩充”列





2 单击“数据扩充”，然后单击“添加”，并填写完成“主”选项卡中的信息。

3 在“来源”选项卡的“类型”字段中，选择 “Real Time for ePO”，然后选择设备并单击“查询”选项卡。

4 添加所需的信息，然后单击“测试”。

如果查询未生成所需的信息，请调整设置。

另请参阅数据扩充第 206 页添加数据浓缩来源第 207 页添加 Hadoop HBase 数据扩充来源第 210 页添加 Hadoop Pig 数据扩充来源第 211 页为用户名添加 Active Directory 数据扩充第 211 页

添加 Hadoop HBase 数据扩充来源通过接收器提取 HBase 身份映射，以便通过将 Hadoop HBase 添加为数据扩充来源扩充事件。


1 在系统导航树中，选择“系统属性”，然后单击“数据扩充”。

2 在“数据扩充向导”中，填写“主”选项卡中的字段，然后单击“来源”选项卡。

3 在“类型”字段中，选择 “Hadoop HBase (REST)”，然后键入主机名、端口和表名称。

4 在“查询”选项卡上，填写查找列和查询信息：

a 将“查找列”设置为 columnFamily:columnName 格式。

b 使用扫描程序过滤器填充查询，其中的值采用 Base64 编码。例如：

<Scanner batch="1024"><filter>{"type": "SingleColumnValueFilter","op": "EQUAL","family": " ZW1wbG95ZWVJbmZv","qualifier": "dXNlcm5hbWU=","latestVersion": true,"comparator": {"type": "BinaryComparator","value": "c2NhcGVnb2F0"}}</filter></Scanner>

5 在“评分”和“目标”选项卡中填写信息。



另请参阅数据扩充第 206 页添加数据浓缩来源第 207 页添加 Hadoop HBase 数据扩充来源第 210 页设置 McAfee Real Time for McAfee ePO™ 数据扩充第 209 页添加 Hadoop Pig 数据扩充来源第 211 页为用户名添加 Active Directory 数据扩充第 211 页

添加 Hadoop Pig 数据扩充来源您可以利用 Apache Pig 查询结果来扩充 Hadoop Pig 事件。


1 在系统导航树上，选择“系统属性”。

2 单击“数据扩充”，然后单击“添加”。

3 填写“主”选项卡中的字段，然后单击“来源”选项卡。在“类型”字段中，选择“Hadoop Pig”并填写：Namenode 主机、Namenode 端口、Jobtracker 主机和 Jobtracker 端口。

Jobtracker 信息不是必需的。如果 Jobtracker 信息为空，则默认使用 NodeName 主机和端口。

4 在“查询”选项卡上，选择“基本”模式并填写以下信息：a 在“类型”中，选择“文本文件”并在“来源” 字段中输入文件路径（例如，/user/default/file.csv）。或者，选择 “Hive

数据库”并输入 HCatalog 表（例如，sample_07）。

b 在“列”中，指明如何扩充列数据。

例如，如果文本文件包含由 SSN、姓名、性别、地址和电话号码列组成的员工信息，则在“列”字段中输入以下文本：emp_Name:2, emp_phone:5。对于 Hive 数据库，使用 HCatalog 表中的列名称。

c 在“过滤器”中，您可以使用任何 Apache Pig 内置表达式来过滤数据。请参阅 Apache Pig 文档。

d 如果您已定义上述列值，则可以对这些列数据进行分组和合计。来源和列信息是必需的。其他字段可以为空。使用合计功能要求您指定组。

5 在“查询”选项卡上，选择“高级”模式并输入 Apache Pig 脚本。

6 在“评分”选项卡上，为每个从单列查询返回的值设置分数。

7 在“目标”选项卡上，选择您希望将扩充应用到的设备。

另请参阅数据扩充第 206 页添加数据浓缩来源第 207 页设置 McAfee Real Time for McAfee ePO™ 数据扩充第 209 页添加 Hadoop HBase 数据扩充来源第 210 页为用户名添加 Active Directory 数据扩充第 211 页

为用户名添加 Active Directory 数据扩充您可以利用 Microsoft Active Directory 以通过完整的用户显示名称来填充 Windows 事件。

开始之前确认您具有系统管理权限。




任务1 在系统导航树上，选择“系统属性”。


3 在“主”选项卡上，输入描述性的“扩充名称”，格式为 Full_Name_From_User_ID。

4 将“查找类型”和“扩充类型”都设置为“字符串”。

5 将“提取频率”设置为“每日”，除非 Active Directory 更新频率更高。

6 单击“下一步”或“来源”选项卡。

a 在“类型”字段中选择“LDAP”。

b 填写 IP 地址、用户名和密码。

7 单击“下一步”或“查询”选项卡。

a 在“查找属性”字段中，输入 sAMAccountName。

b 在“扩充属性”字段中，输入 displayName。

c 在“查询”中，输入 (objectClass=person) 以返回 Active Directory 中归类为人员的所有对象的列表。

d 测试查询，之后多返回五个值，无论实际上有多少条目。

8 单击“下一步”或“目标”选项卡。

a 单击“添加”。

b 选择 Microsoft Windows 数据来源。

c 在“查找字段”中，选择“来源用户”字段。

该字段是事件中存在的值，用作查询的索引。

d 选择“扩充字段”，其中扩充值的写入格式为用户_昵称或联系人_姓名。

9 单击“完成”以保存。

10 将扩充设置写入到设备之后，单击“立即运行”以从数据来源检索扩充值，直到出现“每日触发时间”值。

“全名”会被写入“Contact_name”字段中。

另请参阅数据扩充第 206 页添加数据浓缩来源第 207 页设置 McAfee Real Time for McAfee ePO™ 数据扩充第 209 页添加 Hadoop HBase 数据扩充来源第 210 页添加 Hadoop Pig 数据扩充来源第 211 页



4 使用信息显示板视图

通过可视的交互 ESM 信息显示板视图，您可以轻松监控组织的威胁。 ESM 信息显示板包含多个视图和交互选项卡，使您能够在视图之间快速移动。您可以使用预定义视图，也可以通过小组件和过滤器构建自己的独特视图。

目录信息显示板构建基块预定义的（默认）视图打开信息显示板视图添加自定义信息显示板视图绑定信息显示板小组件过滤信息显示板视图对通知做出响应调查开放案例

信息显示板构建基块了解组成信息显示板视图的内容后，您可以构建互动视图，以调查独特于您组织的潜在威胁。

信息显示板是可视化工具，可用于以表格的形式显示数据，从而帮助您快速查看可能的威胁。

4


请使用预定义视图或您自己的自定义视图填充 ESM 信息显示板工作区。

使用选项卡在视图之间快速导航。使用选项卡探索跨多个视图的潜在威胁，同时仍保留在单个选项卡中启动调查的历史记录上下文。

使用过滤器功能区，以通过实时功能查找您正在查询结果中查找的内容。您构建过滤器查询时，请自动填写返回结果。

构建多个信息显示板视图，以透视、探索、调查和响应潜在威胁。

通过可视化的交互小组件快速表示和深入查询特定数据。

调查开放案例而不离开信息显示板，以使您快速访问关键案例详细信息。

对未确认、触发的警报和系统通知做出响应。

预定义的（默认）视图“默认视图”列表会向您提供 McAfee ESM 随附信息显示板视图的访问权限。

信息显示板上的“添加视图”菜单包含以下类型的默认视图：• “资产、威胁和风险”视图总结资产、威胁和风险数

据及其可能对您的系统造成的影响。• “事件视图”会对选定设备相关联事件生成的信息分

类。

• “信息显示板视图”提供系统特定方面的概述。 • “流视图”会对各个流（或连接）相关的信息分类。

• “设备”视图显示选定设备的状态。

打开信息显示板视图您可以一次性打开、导入或导出多个信息显示板视图。您还可以复制预定义的（默认）视图或创建自定义视图，以满足组织的需要。

开始之前请验证是否拥有管理员权限，或属于具有视图管理权限的访问组。

任务1 在信息显示板上，单击“添加视图”并单击以下选项之一旁边的滑出式箭头。

• 要打开现有视图，请单击“打开视图”。

• 要将 Flash 视图转换为 HTML 信息显示板视图，请单击“导入 Flash 视图”。

• 要创建 HTML 视图，请单击“新建视图”。添加小组件并保存视图。

2 请保存您的视图。

4 使用信息显示板视图预定义的（默认）视图


添加自定义信息显示板视图添加并安排能够显示特定信息并与之交互的小组件，以创建独特的信息显示板视图。


任务1 在信息显示板上，单击“添加视图”。

2 要创建 HTML 视图，请单击“新建视图”。

3 单击 “编辑”。

4 单击“添加小组件”并执行以下操作：• 为您的小组件赋予标题。

• 从可用选项中，选择查询来源，以预填充查询字段、过滤器和排序值。您可以使用默认设置，也可以更改该值。

您选择的查询来源决定您可以针对小组件选择的可视化选项。

• 选择小组件的可视化选项。可能的选项包括：表、柱状图、饼状图、测量图和交互式圆环图。

• 选择是否将小组件绑定到另一个小组件上。

5 单击“创建”。小组件显示在信息显示板上后，您可以更改其大小和位置。

6 要在小组件显示在信息显示板视图中后对其进行更改，请单击。子菜单上的选项取决于小组件及其对应的数

据。选项可能包括： “设置”、 “可视化”、“详细信息、操作、深度查询、过滤依据”和“删除”。

7 单击“保存”。

绑定信息显示板小组件绑定信息显示板小组件会在这些小组件之间建立数据链接。然后，当您更改父级小组件中的数据时，绑定的小组件中的数据也会更改，创造出交互视图。例如，如果您将小组件绑定到来源 IP 地址，然后选择父级小组件中的特定 IP 地址，则绑定的小组件会根据该 IP 地址过滤其数据。在父级小组件中更改选择会刷新子级小组件中的数据。


任务1 通过您要绑定的小组件打开或创建信息显示板视图。

您仅可以将小组件绑定到一个数据字段中。

2 要编辑信息显示板视图，请单击 “编辑”。

3 在您要绑定的小组件上，单击。然后选择 “设置”。

4 在“小组件配置”窗格中，打开“绑定”并选择您要进行过滤的（或要链接到的）小组件。

使用信息显示板视图添加自定义信息显示板视图 4



此时绑定的小组件上会显示图标。将鼠标悬停在图标上方，此时会显示该小组件绑定哪些数据。

6 再次单击“保存”，以保存您对信息显示板视图的更改并退出“编辑”模式。

另请参阅使用查询向导第 289 页管理查询第 290 页比较值第 291 页比较图形值第 292 页为视图和报告设置堆叠分布第 292 页

过滤信息显示板视图过滤信息显示板视图，以便专注于视图中特定详细信息。

开始之前请验证您所属的访问组是否具备视图管理或视图数据权限。

任务1 打开您要过滤的信息显示板视图。

2 要过滤该视图，请执行以下操作之一：• 单击“过滤器”栏并添加相关的字段和值。

您仅可以在“过滤器”栏中使用 AND 运算符。

• 接受过滤器中的默认等于 (=) 运算符。

• 要将运算符更改为不等于 (!=)，请单击等于号 (=)。

• 要从过滤器中移除字段，请单击该字段上的。

• 要通过 AND 和 OR 运算符构建复杂的过滤器，请单击“高级搜索”。

• 要对视图应用预定义的过滤器集，请单击信息显示板右上角的“过滤器集”下拉箭头。• 从列表中选择预定义的过滤器集。

• 要创建过滤器集，请单击“管理过滤器集”。

有关如何创建过滤器集的详细信息，请单击“管理过滤器集”窗口上的。

3 要过滤该视图，请单击。

该视图会刷新，以仅显示与您输入的值匹配的记录。

对通知做出响应在信息显示板中对触发的警报做出响应。您还可以查看系统通知。

开始之前请验证是否拥有管理员权限，或属于具有警报管理权限的访问组。

4 使用信息显示板视图过滤信息显示板视图


任务1 要在信息显示板上显示触发的警报和系统通知，请单击。

2 通过以下一种方式对触发的警报做出响应：• 通过选择合适的警报并单击确认已触发的警报。

系统会从“通知”面板中删除确认的警报。您仍可以在“触发的警报”视图上查看警报。

• 通过选择合适的警报并单击删除警报。

• 通过过滤器栏过滤警报。然后要刷新视图，请单击。

• 通过单击分配警报。然后选择合适的警报并单击“受理人”，以选择特定人员对警报做出响应。

• 通过单击为警报创建案例。然后选择合适的警报并单击“创建案例”。

• 通过单击合适的警报编辑触发的警报设置。单击，以更改设置。

• 通过单击查看有关触发的警报的详细信息。然后执行以下操作之一：• 要查看哪个事件触发了警报，请单击“触发事件”选项卡。要查看说明，请双击事件。

• 要查看哪个条件触发了警报，请单击“条件”选项卡。

• 要查看因触发的警报造成哪些操作，请单击“操作”选项卡。

调查开放案例在信息显示板中，您可以跟踪与开放案例相关的工作。

开始之前请验证是否拥有管理员权限，或属于具有案例管理权限的访问组。

任务1 要查看信息显示板中的开放案例，请单击并选择“调查面板”。

开放案例摘要会显示在信息显示板的左侧。

2 使用下拉箭头扩展您要调查的案例。执行以下任一操作：• 要更改信息显示板中的案例详细信息（严重性、受理人、值或注释），请单击“编辑”。作出更改并单击“保存”。

• 要查看案例详细信息，请单击“在案例管理中查看”。

3 请关闭“调查面板”。

使用信息显示板视图调查开放案例 4


4 使用信息显示板视图调查开放案例


5 管理 Cyber Threat

McAfee ESM 允许您从远程来源检索入侵指标 (IOC) 并快速访问您环境中的相关 IOC 活动。通过 Cyber Threat 管理，您可以设置生成关注列表、警报和报告的自动源，使您能够看到可操作的数据。例如，您可以设置自动将可疑 IP 地址添加到关注列表的源，以监视将来的流量。此源可以生成和发送表明过去活动的报告。使用“事件工作流视图 > Cyber Threat 指标”视图来快速深入查看您环境中的特定事件和活动。

目录设置 Cyber Threat 管理设置域的网络威胁源查看 Cyber Threat 源结果支持的指示器类型手动上传 IOC STIX XML 文件时出错

设置 Cyber Threat 管理设置源以从远程来源中检索攻击指示器 (IOC)，即 STIX 格式化的 XML。然后，您可以使用这些源生成关注列表、警报和报告，使用户可以访问您的环境中相关的 IOC 活动。

开始之前验证您是否具有以下权限：• Cyber Threat 管理 - 使用户可以设置 Cyber Threat 源。

• Cyber Threat 用户 - 使用户可以根据源查看生成的数据。


1 在系统导航树上，单击“系统属性”。

2 单击“Cyber Threat 源”，然后单击“添加”。

3 在“主”选项卡上，输入源名称。

4 在“来源”选项卡上，选择来源数据类型及其连接凭据。单击“连接”，以测试连接。

受支持的来源包括 McAfee Advanced Threat Defense 和 MITRE Threat Information Exchange (TAXII)。

5 在“频率”选项卡上，确定源提取 IOC 文件的频率（提取频率）。可用的提取频率包括：每 x 分钟、每天、每小时、每周或每月。指定每天的触发时间。

6 在“关注列表”选项卡上，选择 IOC 文件中要附加到现有关注列表的属性或字段。您可以为任意受支持的属性或字段添加关注列表。

如果您需要的关注列表尚不存在，则请单击“创建新关注列表”。

5


7 在“回索”选项卡上，确定要分析的事件（默认）和流、要分析的匹配数据以及要根据此源分析多久之前的数据。

a 选择分析事件、流或二者都有。

b 表示分析多久之前（以天为单位）的事件和流。

c 指定回索发现数据匹配时 ESM 采取的操作。

d 对于警报，请选择受理人和严重性。

8 返回到“主”选项卡，然后选择“已启用”以激活该源。

9 单击“完成”。

该过程成功完成后，您会收到通知。

新的文件和指示器验证已添加到手动上传来源类型。如果您在选择此来源类型时收到错误，请参阅“手动上传 IOC STIXXML 文件时出错”进行故障排除。

另请参阅查看 Cyber Threat 源结果第 220 页支持的指示器类型第 221 页手动上传 IOC STIX XML 文件时出错第 222 页

设置域的网络威胁源要启用域源，您必须具备两个关注列表来存放 IP 地址和域数据。


1 在 ESM 系统导航树中，选择“系统属性” | “网络威胁源” | “添加”，然后创建源（请参阅“设置网络威胁管理”）。

2 在“关注列表”选项卡上，单击“创建新关注列表”并添加两个关注列表（请参阅“添加关注列表”）：• “名称”：CyberThreatIP，“类型”：“IP 地址”

• “名称”：CyberThreatDomain，“类型”：“Web_Domain”

3 在“指示器类型”字段中，选择“IPv4”，然后在“关注列表”字段中选择 CyberThreatIP。

4 在下一个“指示器类型”字段中，选择“完全限定域名”，然后在“关注列表”字段中选择 CyberThreatDomain。

5 完成网络威胁源设置，然后单击“完成”。

查看 Cyber Threat 源结果从您组织 Cyber Threat 源确定的外部数据源查看损害指标 (IOC)。针对各个指标来源快速深入查询到威胁详细信息、文件说明和相应的事件。

开始之前验证您是否具备“Cyber Threat 用户”权限，该权限可使您查看您组织 Cyber Threat 源的结果。

5 管理 Cyber Threat设置域的网络威胁源


任务

1 在信息显示板中，单击并选择“网络威胁指示器”。

2 在 ESM 控制台上，单击视图列表，然后选择“事件工作流视图” | “网络威胁指示器”。

3 在时间范围列表中，选择视图的时间段。

4 根据源名称或受支持的 IOC 数据类型进行过滤。

5 执行任意标准视图操作，包括：

• 创建或附加到关注列表。

• 创建警报。

• 执行远程命令。

• 创建案例。

• 浏览或上次浏览。

• 将指标导出为 CSV 或 HTML 文件。

6 通过“说明、详细信息、来源事件”和“来源流”选项卡深入查询到威胁详细信息

另请参阅设置 Cyber Threat 管理第 219 页支持的指示器类型第 221 页手动上传 IOC STIX XML 文件时出错第 222 页

支持的指示器类型添加手动上传网络威胁源时，ESM 会将 Structured Threat Information Expression (STIX) 文件发送到要处理的攻击指示器 (IOC) 引擎。如果文件不包含针对 ESM 标准化的指示器，您会收到错误消息。

表 5-1 针对 ESM 标准化的指示器类型

指示器类型关注列表类型

电子邮件地址收件人、发件人、密件抄送、抄送、邮件_ID、收件人_ID

文件名、文件路径文件_路径、文件名、目标_文件名、目标_目录、目录

（流）IPv4、IPv6 IP 地址、来源 IP、目标 IP

（流）MAC 地址 MAC 地址、来源 MAC、目标 MAC

完全限定域名、主机名、域名主机、目标_主机名、外部_主机名、域、Web_域

IPv4、IPv6 IP 地址、来源 IP、目标 IP、攻击者_IP、网格_主_IP、设备_IP、受害者_IP

MAC 地址 MAC 地址、来源 MAC、目标 MAC

MD5 哈希值文件_哈希、父_文件_哈希

SHA1 哈希值 SHA1

主题主题

URL URL

用户名来源用户、目标用户、用户_昵称

Windows 注册表项注册表_项、注册表.项（注册表子类型）

Windows 注册表值注册表_值、注册表.值（注册表子类型）

管理 Cyber Threat支持的指示器类型 5


另请参阅设置 Cyber Threat 管理第 219 页查看 Cyber Threat 源结果第 220 页手动上传 IOC STIX XML 文件时出错第 222 页

手动上传 IOC STIX XML 文件时出错添加手动上传网络威胁源时，ESM 会将 Structured Threat Information Expression (STIX) 文件发送到要处理的攻击指示器 (IOC) 引擎。

如果出现上传问题，您会收到以下错误之一。

表 5-2 网络威胁手动上传错误

错误说明故障排除

ER328 - STIX 格式无效

文件格式不正确。 • 确保上传的文件为 STIX 文件。该引擎支持 STIX 版本 1.1。

• 阅读 STIX 文档以确认架构是否有效。• Open Standards for Information Society (OASIS) – 负责 STIX 标准的组

织 (https://www.oasis-open.org/)。

• STIX Project – 包含各种 STIX 数据模型、架构和 xsd 文档 (https://stixproject.github.io/)。

ER329 - 找不到支持的 IOC

上传的 STIX 文件不包含针对 ESM标准化的指示器。

如果需要处理特定指示器，请联系 McAfee 支持以便针对 ESM 进行标准化。有关 ESM 支持的指示器类型的列表，请参阅“支持的指示器类型”。

另请参阅设置 Cyber Threat 管理第 219 页查看 Cyber Threat 源结果第 220 页支持的指示器类型第 221 页

5 管理 Cyber Threat手动上传 IOC STIX XML 文件时出错


https://www.oasis-open.org/

https://stixproject.github.io/

https://stixproject.github.io/

6 使用内容包

出现特定威胁状况时，请立即做出响应，从规则服务器导入并安装相关内容包。内容包包含使用案例驱动的关联规则、警报、视图、报告、变量和关注列表，以指明特定恶意软件或威胁活动。通过内容包，您可以快速对威胁做出响应，不用浪费时间来从头创建工具。

导入内容包McAfee 创建用例驱动的内容包，包括关联规则、警报、视图、报告、变量或关注列表，以解决特定恶意软件活动。

开始之前验证您是否具有以下权限：• 系统管理

• 用户管理


1 检查服务器是否有新规则更新。

在线用户自动接收可用内容包作为规则更新的一部分。脱机用户必须从规则托管站点手动下载和导入单个内容包。

2 在系统导航树中单击系统属性。

3 单击“内容包”。

4 要导入和安装新的内容包，请单击“浏览”。

检查规则更新会自动下载任何新的或更新的内容包。

a 单击“导入”并浏览至要导入的内容包文件。

b 单击“上传”。

有一则消息表明导入的状态。

c 单击内容包，以查看此包中所包含内容的详细信息。

d 选择需要的包，然后选择安装该内容包。

5 要更新或卸载现有内容包，请检查需要的包并单击“更新”或“卸载”。

更新现有内容包时，请小心谨慎。如果之前已自定义任何内容包元素，则更新操作可能会覆盖这些自定义元素。

6 要卸载现有内容包，请检查需要的包并单击“卸载”。

6


6 使用内容包导入内容包


7 警报工作流

熟悉警报工作流。单击相关任务链接，了解详细的逐步操作信息。

目录准备构建警报构建警报监控并响应警报调整警报

准备构建警报可以构建和回应警报前，请确保您的 ESM 环境包含以下构建块：警报消息模板、消息收件人组、邮件服务器连接、警报音频文件、警报报告队列以及信息显示板上的可视警报选项卡。

开始之前若要在信息显示板上查看触发的警报，请参阅选择用户设置第 181 页。

请浏览以下任务，了解如何准备警报环境。

任务• 设置警报消息第 225 页

配置 ESM，通过电子邮件、短信服务 (SMS)、Simple Network Management Protocol (SNMP)、或syslog 发送触发的警报消息。

• 管理警报音频文件第 229 页上传和下载音频文件以与警报搭配使用。

设置警报消息配置 ESM，通过电子邮件、短信服务 (SMS)、Simple Network Management Protocol (SNMP)、或 syslog 发送触发的警报消息。

开始之前您要确保拥有管理员权限，或属于具有警报管理权限的访问组。

7


任务• 创建警报消息模板第 226 页

为电子邮件、短信服务 (SMS)、Simple Network Management Protocol (SNMP)、或 syslog 创建警报消息模板。然后，您可以将模板与特定警报操作和消息收件人关联。

• 将关联警报设置为包含来源事件第 227 页若要在警报结果中包含来源事件信息，请设置将关联事件作为匹配项的“内部事件匹配”或“字段匹配”警报。

• 管理警报收件人第 228 页确定警报消息收件人并配置这些警报消息的发送方式 – 使用电子邮件、短信服务 (SMS)、Simple NetworkManagement Protocol (SNMP) 或 syslog。

创建警报消息模板为电子邮件、短信服务 (SMS)、Simple Network Management Protocol (SNMP)、或 syslog 创建警报消息模板。然后，您可以将模板与特定警报操作和消息收件人关联。




2 单击“警报”。

3 单击“设置”选项卡，然后单击“模板”。• 若要创建自定义模板，请单击“添加”。

• 若要更改自定义模板，请选择该模板并单击“编辑”。

您无法编辑预定义的模板。

• 若要删除自定义模板，请选择该模板并单击“删除”。

您无法删除预定义的模板。

• 若要复制现有模板，请选择该模板并单击“复制”。使用新名称保存复制的模板。

• 若要为所有警报消息设置默认模板，请选择该模板并单击“设置为默认值”。

4 在“模板管理”页面上，添加或更改以下信息。

选项说明

“类型” 选择此模板是用于电子邮件消息还是短信消息。

运营商会将短信消息以电子邮件的形式发送到手机上并转换为短信。短信消息上限为 140 个字符。

“名称” 输入此模板的名称。

“说明” 键入该模板所含内容的说明。

“设置为默认值”

发送消息时将当前模板作为默认模板。

7 警报工作流准备构建警报


选项说明

“主题” 对于电子邮件模板，请选择邮件主题。单击“插入字段”图标，然后选择要包含在邮件主题行中的信息。

“消息正文”

选择要包含在消息正文中的字段。

对于 syslog 消息模板，请将邮件正文限制在 950 个字节之内。ESM 无法发送任何超过 950 个字节的syslog 消息。

• 如果不希望字段默认添加到消息中，请将其删除。

• 将光标放在正文中要插入数据字段的位置。单击“主题”字段上方的“插入字段”图标。然后选择您希望该字段显示的信息类型。

• 如果选择“重复块”，ESM 会添加循环显示记录所需的句法。在 [$REPEAT_START] 和[$REPEAT_END] 标记之间插入要针对每个记录添加的字段。然后 ESM 会将该信息包含到多达 10条记录的消息中。

• 将关联警报设置为包含来源事件第 227 页若要在将关联事件作为匹配 () 的警报中包含来源事件，请单击“插入字段”图标并选择“来源事件块”。

选择“内部事件匹配”或“字段匹配”作为警报类型时，ESM 会在电子邮件中包含事件字段数据。对于接收器（而非 ESM）上运行的数据来源驱动的警报，请选择“字段匹配”。对于 ESM 上运行且在每次警报频率到期时强制运行查询的警报，请选择“内部事件匹配”。

另请参阅定义消息设置第 147 页将关联警报设置为包含来源事件第 227 页管理警报收件人第 228 页

将关联警报设置为包含来源事件若要在警报结果中包含来源事件信息，请设置将关联事件作为匹配项的“内部事件匹配”或“字段匹配”警报。





3 单击“设置”选项卡，然后单击“模板”。

4 在“模板管理”页面上，单击“添加”，然后输入所需信息。

5 在“消息正文”部分中，将光标放在要插入标记的位置，然后单击“插入字段”图标并选择“Source Event Block”（来源事件块）。

6 将光标放在标记内，再次单击“插入字段”图标，然后选择要在关联警报触发时包含的信息。

以下示例展示了当插入表示事件来源 IP 地址、目标 IP 地址和严重性的字段时，警报消息模板的呈现形式：

警报：[$Alarm Name]受理人：[$Alarm Assignee]触发日期：[$Trigger Date] 摘要：[$Alarm Summary] [$REPEAT_START] 关联 SigID：[$Signature ID] 上次关联时

警报工作流准备构建警报 7


间：[$Last Time] [$SOURCE_EVENTS_START] 来源事件详细信息：上次：[$Last Time] SigID：[$Signature ID] 规则消息：[$Rule Message] 严重性：[$Average Severity] 来源用户：[$%UserIDSrc] 来源 IP：[$Source IP] 来源端口：[$Source Port] 目标用户：[$%UserIDDst] 目标 IP：[$Destination IP] 目标端口：[$Destination Port] 主机：[$%HostID]命令：[$%CommandID] 应用程序：[$%AppID] 数据包：[$Packet Data] [$SOURCE_EVENTS_END][$REPEAT_END]

如果关联的事件未触发警报，则消息不包含数据。

另请参阅定义消息设置第 147 页创建警报消息模板第 226 页管理警报收件人第 228 页

管理警报收件人确定警报消息收件人并配置这些警报消息的发送方式 – 使用电子邮件、短信服务 (SMS)、Simple NetworkManagement Protocol (SNMP) 或 syslog。


• 验证您要使用的配置文件是否存在。请参阅 SNMP 配置第 167 页和配置配置文件第 166 页。




3 单击“设置”选项卡，然后单击“收件人”。• 单击“电子邮件”可查看或更新各个收件人的电子邮件地址。

• 单击“用户”可查看用户名和电子邮件地址。

• 单击“短信”可查看或更新短信收件人及其地址。

• 单击“SNMP”可查看或更新以下 SNMP 信息：

选项说明

“配置文件” 从下拉列表中选择现有 SNMP 收件人配置文件。若要添加配置文件，请单击“配置文件”。

“特定陷阱类型”

选择特定陷阱类型。常规陷阱类型通常设置为 6，特定于企业。

“企业 OID” 为要发送的陷阱输入完整的企业对象标识符 (OID)。包括从 1 开始的所有企业编号（包括企业中的任何子树）。

“内容” “包括信息数据绑定” — 该陷阱包含变量绑定信息，包括处理的报告的行号、识别陷阱来源的字符串、生成陷阱的通知名称以及发送陷阱的 ESM ID。“仅包括报告数据” — 陷阱中不包括其他变量绑定。

7 警报工作流准备构建警报


选项说明

“格式” 报告生成的每个 SNMP 陷阱都包含该报告中的一行数据。• “照原样发送每个报告行” — 报告行的数据会照原样通过单个变量绑定发送。该系统通过将企业

OID、特定陷阱类型和以数字 1 开始的自动递增编号连接，构建数据绑定 OID。

• “解析结果并使用这些绑定 OID” — 系统会解析报告行并通过单独数据绑定发送各个字段。

“绑定 OID列表”

“解析结果并使用这些绑定 OID” — 指定自定义数据绑定 OID。• 如果您选择此选项，则请单击“添加”，然后输入绑定 OID 值。

• 如果未针对报告中的所有数据字段指定变量 OID，则 ESM 从列表中指定的上一个 OID 开始递增。

4 单击“Syslog”，以查看或更新以下 syslog 信息：

选项说明

“主机 IP”和“端口” 输入每个收件人的主机 IP 地址和端口。

“工具”和“严重性” 选择工具和消息的严重性。

另请参阅定义消息设置第 147 页创建警报消息模板第 226 页将关联警报设置为包含来源事件第 227 页

管理警报音频文件上传和下载音频文件以与警报搭配使用。




2 单击“设置”选项卡，然后单击“音频”。

3 下载、上传、删除或播放音频文件，然后单击“关闭”。

ESM 包含三个预安装的声音文件。您可以上传自定义音频文件。

构建警报警报可以推动对特定威胁事件采取措施。构建太多或太少会频繁触发的警报会产生干扰。好的方法是构建可上报对组织非常重要的事件的警报。

通过 McAfee ESM 构建警报可以：启用预构建警报，复制现有警报并作出更改，或创建特定于组织的警报。

请阅读以下任务，了解更多有关如何构建警报的信息。

警报工作流构建警报 7


任务• 启用或禁用警报监控第 230 页

针对整个系统或单个警报打开或关闭警报监控。默认情况下，ESM 警报监控处于打开（启用）状态。• 复制警报第 230 页

复制现有警报并以其他名称保存，以使用现有警报作为新警报的模板。• 创建警报第 231 页

创建警报，使其在符合您定义的条件时触发。

启用或禁用警报监控针对整个系统或单个警报打开或关闭警报监控。默认情况下，ESM 警报监控处于打开（启用）状态。


如果您禁用系统的警报监控功能，则 ESM 不会生成警报。




3 若要禁用或启用整个系统的警报监控功能，则请单击“设置”选项卡，然后单击“禁用”或“启用”。

4 若要禁用或启用单个警报，请单击“警报”选项卡。 “状态”列会指示警报处于已启用还是已禁用状态。• 若要启用（打开）特定警报，请突出显示该警报并选择“已启用”。

• 若要禁用（关闭）特定警报，请突出显示该警报并取消选择“已启用”。 ESM 不再生成该警报。


另请参阅复制警报第 230 页创建警报第 231 页

复制警报复制现有警报并以其他名称保存，以使用现有警报作为新警报的模板。





7 警报工作流构建警报


3 选择启用的警报，然后单击“复制”。

“警报名称”页面显示当前警报的名称加上 _copy。

您仅可以复制启用的警报。无法复制被禁用的警报。

4 更改名称，然后单击“确定”。

5 若要对警报设置进行更改，请选择复制的警报并单击“编辑”。

6 根据需要更改设置。

另请参阅启用或禁用警报监控第 230 页创建警报第 231 页

创建警报创建警报，使其在符合您定义的条件时触发。




2 单击“警报”，然后单击“添加”。

3 单击“摘要”选项卡，以定义常规警报设置。• 为警报命名。

• 在“受理人”列表中，选择将该警报分配到的个人或组。该列表包括具备“警报管理”权限的所有用户和组。

• 在“严重性”中，在警报日志中选择警报的优先级（高：66-100，中：33-65，低：1-32）。

• 选择“已启用”开启该警报；取消选择该框则关闭该警报。

4 在“条件”选项卡上，确定哪些条件会触发警报。

条件说明

“检查率” 选择系统检查该条件的频率。

“偏差” 指定百分比阈值来检查基线以上的偏差，指定其他百分比来检查基线以下的偏差。• “查询” — 选择要查询的数据类型。

• “过滤器”图标 — 选择针对此警报过滤数据的值。

• “时间范围” — 选择是否查询编号字段中选择的前一时间段。

• “触发值” — 选择 ESM 触发警报前基线上下偏差的范围。



条件说明

“事件发生率”

• “事件计数” — 输入 ESM 触发警报前必须发生的事件数。

• “过滤器”图标 — 选择过滤数据的值。

• “时间范围” — 选择 ESM 触发警报前该数量所选择事件必须发生的时间间隔。

• “偏移” — 选择偏移时长，避免警报中因累积出现末尾激增的情况。例如，如果 ESM 每 5 分钟提取一次事件，则后 1 分钟检索的事件包含累积的事件。对时间段进行该数量的偏移，使后一分钟不包含在数据测量中。否则，ESM 会将累积数据中的值包括到事件计数中，造成误报。

“字段匹配”

1 拖放“AND”或“OR”图标，以设置警报条件的逻辑。

2 将“匹配组件”图标拖放到逻辑元素上，然后完成“添加过滤器字段”页面。

3 通过设置“ 大条件触发频率”，限制您接收的通知数量。每次触发仅包含与触发条件匹配的第一个来源事件，而不包含在触发频率时间段内发生的事件。与触发条件匹配的新事件在大触发频率时间段内不会导致警报再次触发。例如，如果您将频率设置为 10 分钟而一条警报在 10 分钟内触发了 5次，则 ESM 会发送一条通知，其中包含 5 条警报。

如果您将时间间隔设置为零，则匹配条件的每个事件都会触发警报。对于高频率的警报，如果将时间间隔设置为零，则会造成许多警报。

“健康监视器状态”

选择设备状态更改类型。例如，如果只选择了“严重”，则发生“警告”级别的健康监视器状态更改时不会向您发出通知。

“内部事件匹配”

• “在值不匹配时触发” — 选择在值不与设置匹配时触发警报。

• “使用关注列表” — 如果关注列表包含该警报的值，则请选择该选项。

包含逗号的值必须在关注列表或引号中。

• “字段”— 选择该警报监控的数据类型。

针对生成健康监视器事件时触发的警报。

• “值” — 在“字段”中键入所选类型的特定值（限制在 1,000 个字符内）。例如，对于“来源 IP”，请输入触发该警报的实际来源 IP 地址。

“ 大条件触发频率”

选择每个条件之间允许的时间量，避免出现通知泛滥的情况。

“阈值” 仅事件增量条件类型 — 选择触发警报前允许分析的事件的大增量。

“类型” 选择警报类型，以决定必须要填写的字段。

5 在“设备选项卡”上，选择该警报监控的设备。

6 在“操作”选项卡上，确定触发警报时采取的措施。

操作说明

“记录事件” 在 ESM 上创建事件。

“自动确认警报”

警报触发后，立即对其进行自动确认。因此，警报并不显示在“警报”窗格中，但会被添加到“触发的警报”视图中。

“可视警报” 在控制台的右下方生成警报通知。要添加音频通知，请单击“配置 --> 播放声音”，然后选择音频文件。

7 警报工作流构建警报


操作说明

“创建案例” 针对选定的人或组创建案例。单击“配置”，以确定案例所有者并选择要在案例摘要中包含的字段。

如果您计划升级警报，请勿创建案例。

“更新关注列表”

通过基于警报触发事件（多 10 个）所含信息添加或删除值来更改关注列表。单击“配置”，然后选择要将触发事件中的哪些字段附加到所选关注列表，或从中删除哪些字段。如果这些设置更改了关注列表，则“触发的警报”视图上的“操作”选项卡会显示该更改。

该操作要求将“内部事件匹配”作为条件类型。

“发送消息” 向选定的收件人发送电子邮件或短信消息。• 单击“添加收件人”，然后选择消息收件人。

• 单击“配置”选择模板（针对电子邮件、短信、SNMP 或 syslog 消息），以及消息使用的时区和日期格式。

如果发送短信消息时警报名称中使用以下字符，则有可能出现问题：逗号 (,)、引号 (")、括号 ( )、斜杠或反斜杠 (/ \)、分号 (;)、问号 (?)、@ 符号、方括号 ([ ])、大于号和小于号 (< >) 和等于号(=)。

“生成报告” 生成报告、视图或查询。单击“配置”，然后从“报告配置”页面上选择报告，或单击“添加”设计新的报告。

如果您想要以电子邮件附件的形式发送报告，则请向邮件管理员确认附件的大大小。电子邮件附件太大会影响报告的正常发送。

“执行远程命令”

除 McAfee 上的 ESM 设备，您可以在接受 SSH 连接的任意设备上执行远程命令。单击“配置”，为SSH 连接选择命令类型和配置文件；时区和日期格式；主机、端口、用户名密码和命令字符串。

如果警报条件为“内部事件匹配”，那么您可以跟踪特定事件。单击“插入变量”图标并选择变量。

“发送进行修补”

每触发一次警报多可以发送 10 个事件进行补救。单击“配置”设置与补救通信所需的信息：“发件人”和“收件人”数据、前、关键字和用户 ID (EUID)。将事件发送进行修补时，ESM 将“事件发送至修补”添加至“触发的警报”视图上的“操作”选项卡。该操作要求将“内部事件匹配”作为条件类型。

“使用 ePO分配标记”

将 McAfee ePolicy Orchestrator 标记应用到触发该警报的 IP 地址。单击“配置”并选择以下信息：• “选择 ePO 设备” — 用于标记的设备

• “名称” — 您要应用的标记（列表中仅显示选定设备上可用的标记）。

• “选择字段” — 作为标记基础的字段。

• “唤醒客户端” — 立即应用标记。


“Real Timefor ePO 操作”

在选定的 McAfee Real Time for McAfee ePO 设备上执行 McAfee ePO 中的操作。

该选项要求使用 McAfee Real Time for McAfee ePO 插件（2.0.0.235 或更高版本）且 McAfee ePO服务器将该设备作为其端点之一。



操作说明

“列入黑名单”

触发警报后，选择将哪些 IP 地址列入黑名单。单击“配置”并选择以下信息：• “字段” — 选择要列入黑名单的 IP 地址类型。“IP 地址”将来源和目标 IP 地址都列入黑名单。

• “设备” — 选择您要将其 IP 地址列入黑名单的设备。“全局”会将设备添加到“全局黑名单”。

• “持续时间” — 选择将 IP 地址列入黑名单的时长。


“自定义警报摘要”

自定义“字段匹配”或“内部事件匹配”警报的摘要中包含的字段。

7 在“升级”选项卡上，确定警报在特定时间内未被确认后的升级方式。

升级说明

“在以下时间之后提升” 输入警报未被确认多久后升级。

“升级的受理人” 选择接收升级通知的个人或组。

“升级的严重性” 选择警报升级后的严重性。

“记录事件” 选择是否将该升级记录为事件。

“可视警报” 选择是否使用可视警报进行通知。单击“播放声音”，然后选择文件（如果您希望可视通知中附加声音）。

“发送消息” 选择是否向受理人发送消息。单击“添加收件人”，选择消息类型，然后选择收件人。

“生成报告” 选择是否生成报告。单击“配置”，选择该报告。

“执行远程命令” 选择是否在接收 SSH 连接的任意设备上执行脚本。单击“配置”，然后填入主机、端口、用户名、密码和命令字符串。

另请参阅启用或禁用警报监控第 230 页复制警报第 230 页

监控并响应警报通过信息显示板视图、警报详细信息、过滤器和报告查看、确认并删除触发的警报。.

请浏览以下任务，了解如何监控和响应触发的警报。

• 查看触发的警报 — 信息显示板上的“警报”日志窗格根据严重性列出警报的总数。

符号严重性范围

高 66-100

中 33-65

低 1–32

• 确认触发的警报 — 系统会将其从“警报”窗格中删除。经确认的警报会保留在触发的警报视图中。

• 删除触发的警报 — 系统会将其从“警报”窗格和“触发的警报”视图中删除。

如果您使用可视警报且不关闭、确认、删除触发的警报，则可视警报会在 30 秒后关闭。音频警报会一直播放，直到您关闭、确认或删除触发的警报，或单击音频图标停止该警报。

7 警报工作流监控并响应警报


任务• 查看和管理触发的警报第 235 页

查看并响应尚未删除的触发的警报。• 管理警报报告队列第 236 页

如果警报的操作生成报告，您可以查看生成的报告队列并取消其中一个或多个。

查看和管理触发的警报查看并响应尚未删除的触发的警报。

开始之前• 请验证是否拥有管理员权限，或属于具有警报管理权限的访问组。

• 向管理员验证您的控制台是否设置为显示“警报”日志窗格。

任务1 从以下 ESM 位置之一访问触发的警报：

• 在信息显示板上，单击。

• 要在控制台上查看“警报”窗格，请单击并选择“警报”。

• 触发警报时，会打开弹出式警报。



确认警报 • 若要确认某个警报，请选中要确认的触发的警报第一列中的复选框。

• 要确认多个警报，请突出显示这些项目，然后单击。

系统会从“警报”窗格中删除确认的警报，但这些警报仍会保留在“触发的警报”视图中。

删除警报 • 选择您要删除的已触发警报，然后单击。

过滤警报 • 在“过滤器”窗格中输入要用作过滤条件的信息，然后单击。

更改警报的受理人

1 要显示警报详细信息，请单击。

2 选择警报，然后单击“受理人”并选择新的受理人。

为警报创建案例 1 要显示警报详细信息，请单击。

2 选择警报，然后单击“创建案例”并选择所需的项目。

警报工作流监控并响应警报 7



查看警报的详细信息

1 要显示警报详细信息，请单击。

2 选择警报，然后执行以下操作之一：• 要查看触发选定警报的事件，请单击“触发事件”选项卡。要查看说明，请双击事件。

如果单个事件不满足警报条件，则可能不显示“触发事件”选项卡。

• 单击“条件”选项卡以查看触发事件的条件。

• 单击“操作”选项卡以查看警报所引发的操作以及分配给事件的 ePolicy Orchestrator 标记。

编辑触发的警报设置

1单击触发的警报，然后单击。选择“编辑警报”。

2 在“警报设置”页面，作出更改，然后单击“完成”。

另请参阅管理警报报告队列第 236 页

管理警报报告队列如果警报的操作生成报告，您可以查看生成的报告队列并取消其中一个或多个。





3 单击“设置”选项卡。

4 若要查看等待运行的警报报告，请单击“查看”。 ESM 多可同时运行 5 个报告。• 查看警报生成的报告。

• 若要停止运行特定报告，请选择该报告并单击“取消”。剩余的报告会在队列中上移。

该列表包含所有等待在 ESM 上运行的报告，如果您是管理员或主用户，可以对任一报告执行取消操作。

7 警报工作流监控并响应警报


5 单击“文件”，选择是否下载、上传、删除或刷新列表上的任意报告。



选项定义

表查看 ESM 生成且正在等待运行的报告。

“ 取消 ” 单击以阻止运行所选的报告。所选的报告被取消，队列中后面报告的位置上移。


选项定义

表查看生成的报告文件列表。

“ 下载 ” 将所选的报告保存到其他位置。

“上载” 将报告添加到列表中。

“删除” 从列表中删除报告。

“刷新” 刷新列表，以反映所作的任何更改。

另请参阅查看和管理触发的警报第 235 页查看报告页面第 237 页

查看报告页面查看生成的报告队列和当前正在运行或等待运行的报告队列。


选项定义

表查看 ESM 生成且正在等待运行的报告。

“ 取消 ” 单击以阻止运行所选的报告。所选的报告被取消，队列中后面报告的位置上移。

另请参阅管理警报报告队列第 236 页

调整警报您需要采用适合您组织的方式，对警报做出优化和调整。请阅读以下任务，了解更多有关如何调整警报的信息。这些任务将介绍如何创建特定类型的警报。

警报工作流调整警报 7


任务

• 创建 UCAPL 警报第 238 页创建符合统一功能批准产品列表 (UCAPL) 要求的警报。

• 添加健康监视器事件警报第 239 页根据健康监视器事件创建警报，然后生成“健康监视器事件摘要”报告。

• 添加字段匹配警报第 244 页“字段匹配”警报会匹配事件的多个字段，并且在设备接收和解析事件后触发。

• 自定义已触发警报和案例的摘要第 246 页选择要在“字段匹配”或“内部事件匹配”警报的警报摘要和案例摘要中包含的数据。

• 将警报添加至规则第 247 页若要在特定规则生成事件时收到通知，可以将警报添加到响应规则。

• 创建 SNMP 陷阱作为警报操作第 247 页发送 SNMP 陷阱作为警报操作。

• 添加电源故障通知警报第 248 页添加警报以便在任一 ESM 电源发生故障时通知您。

• 管理不同步的数据源第 248 页设置警报，从而在不同步数据来源生成事件时提醒您，以便您查看数据来源列表，编辑设置并导出列表。

创建 UCAPL 警报创建符合统一功能批准产品列表 (UCAPL) 要求的警报。

开始之前

• 您要确保拥有管理员权限，或属于具有警报管理权限的访问组。

• 检查步骤，以创建警报第 231 页


任务

• 设置适用的警报类型：

警报类型说明

已达到失败登录的可调整阈值

当同一用户的失败登录次数达到可调整阈值时，则会触发警报。1 创建“内部事件匹配”警报，根据“特征码 ID”匹配。

2 输入值 306-36。

已达到无活动的阈值

当用户帐户由于达到无活动阈值而被锁定时，则会触发警报。1 创建“内部事件匹配”警报，根据“特征码 ID”匹配。

2 输入值 306-35。

已达到允许并行会话的阈值

如果用户在达到允许的并行会话阈值后仍尝试登录系统，则会触发警报。1 创建“内部事件匹配”警报，根据“特征码 ID”匹配。

2 输入值 306-37。

系统文件完整性检查失败

系统文件完整性检查失败时，则会触发警报。1 创建“内部事件匹配”警报，根据“特征码 ID”匹配。

2 输入值 306-50085。

7 警报工作流调整警报


警报类型说明

证书即将到期通用访问卡 (CAC) 或 Web 服务器证书即将过期时，则会触发警报。1 创建“内部事件匹配”警报，根据“特征码 ID”匹配。

2 输入值 306-50081、306-50082、306-50083、306-50084。

证书过期前 60 天会触发一次警报，随后每周都会触发一次。您无法更改天数。

系统状态未经批准时发送 SNMP陷阱

配置 SNMP 陷阱，从而在检测到系统不在批准或安全状态下运行时警报将陷阱发送至 NMS。1 请创建匹配任何条件的警报，然后转至

“操作”选项卡并选择“发送消息”。4 在“类型”字段中选择“SNMP 模板”并输

入消息的文本，然后单击“确定”。

2 单击“添加收件人” | “SNMP”并选择收件人，然后单击“确定”。

5 在“模板管理”页面，请选择新模板，然后单击“确定”。

3 在“发送消息”字段中，单击“配置”，再单击“模板”，然后单击“添加”。

6 请完成剩余的警报设置。

系统状态未经批准时发送 Syslog消息

配置 syslog 消息，从而在检测到系统不在批准或安全状态下运行时警报将 syslog 消息发送至NMS。1 创建匹配任何条件的警报，然后转至

“操作”选项卡并选择“发送消息”。4 在“类型”字段中选择“Syslog 模板”并输

入消息的文本，然后单击“确定”。

2 单击“添加收件人” | “Syslog”并选择收件人，然后单击“确定”。

5 在“模板管理”页面，请选择新模板，然后单击“确定”。

3 在“发送消息”字段中，单击“配置”，然后单击“模板”，并单击“添加”。

6 请完成剩余的警报设置。

安全日志未能记录必要的事件

配置 SNMP 陷阱，从而在安全日志未能记录必要的事件时警报在 30 秒内通知相应的网络操作中心 (NOC)。1 请转至“系统属性” | “SNMP 配置” | “SNMP 陷阱”或“设备属性” | “设备配置” | “SNMP”。

2 选择安全日志失败陷阱，然后配置将陷阱发送到的一个或多个配置文件，并单击“应用”。

ESM 将 SNMP 陷阱发送至 SNMP 配置文件收件人，并附有消息未能写入到安全日志。

审核功能启动或关闭

配置 SNMP 陷阱，从在审核功能（如数据库、cpservice、IPSDBServer）启动或关闭时发送该警报通知，访问“SNMP 陷阱”或“SNMP 设置”并选择“数据库开启/关闭陷阱”。配置要将陷阱发送到的一个或多个配置文件，并单击“应用”。

每个管理角色都存在会话

每个定义的管理角色都存在管理会话时，则会触发警报。1 创建“内部事件匹配”警报，根据“特征码 ID”匹配。

2 输入值，审核管理员为 306–38；加密管理员为 306–39；超级用户为 306–40。您也可以设置单独警报。

添加健康监视器事件警报根据健康监视器事件创建警报，然后生成“健康监视器事件摘要”报告。


• 检查可用的健康监视器特征码 ID 第 240 页。

• 检查创建警报第 231 页的步骤。




1 若要在生成健康监视器事件前设置警报，请执行以下操作：

a 通过“内部事件匹配”类型设置警报“条件”。

b 在“字段”行上，选择“特征码 ID”。

c 在“值”字段中，输入健康监视器规则的特征码 ID。

d 填写警报的剩余设置。

2 如果存在健康监视器事件，则请按以下步骤设置警报：

a 在系统导航树上，单击系统的基础设备，然后选择显示健康监视器事件（“事件分析”或“默认摘要”）的视图。

b单击事件，然后单击“菜单”图标。

c 选择 “操作” | “从以下位置创建新警报”，然后单击“特征码 ID”。

d 填写警报的剩余设置。

另请参阅健康监视器特征码 ID 第 240 页

健康监视器特征码 ID使用这些规则可创建警报，从而在生成健康监视器规则事件时发出通知。此列表描述健康监视器规则及其特征码 ID、类型、设备和严重性。

规则名称特征码 ID 说明类型设备严重性

已创建或删除物理网络接口连接

306-50080 已通过 SSH 会话更改网络接口设置。软件监视器 ESM 中

出现 RAID 错误 306-50054 出现 RAID 错误。硬件监视器全部高

帐户因处于不活动状态而被禁用

306-35 用户帐户因处于不活动状态而被禁用。

软件监视器 ESM 中

帐户因登录失败次数达到上限而被禁用

306-36 用户帐户因登录失败次数达到上限而被禁用。

软件监视器 ESM 高

添加/编辑远程命令 306-60 已添加或删除警报远程命令。软件监视器 ESM 低

高级 Syslog 解析器收集器状态更改警报

306-50029 ASP 解析器已停止或已启动。软件监视器接收器中

ADM Distiller 过程 306-50066 ADM PDF/DOC 文本提取引擎已停止或已启动。

软件监视器 ADM 中

批准的配置不匹配 146-7 已批准网络发现设备更改。软件监视器 ESM 低

存档配置更改 306-3 ESM 存档设置已更改。软件监视器 ESM 低

存档处理状态更改警报 306-50051 接收器存档过程已停止或已启动。软件监视器 ADM/REC/DBM

中

易发生事件的资产 146-10、306-10

已创建漏洞事件。软件监视器 ESM 低

审核管理员用户登录 306-38 UCAPL 事件，审核管理员登录。软件监视器 ESM 低

备份配置更改 306-1 已更改 ESM 备份配置设置。软件监视器 ESM 低

已执行备份 306-2 已在系统上执行备份。软件监视器 ESM 低

Blue Martini 解析器警报 306-50071 Blue Martini 解析器已停止或已启动。软件监视器接收器中

绕过 NIC 状态警报 306-50001 NIC 已进入或退出绕过状态。软件监视器 IPA/ADM 中




CAC 证书已到期 306-50082 ESM CAC 证书已到期。软件监视器 ESM 高

CAC 证书很快会到期 306-50081 ESM CAC 证书很快会到期。软件监视器 ESM 中

案例已更改 306-70 案例已更改。软件监视器 ESM 低

已添加/修改/删除案例状态 306-73 已更改案例状态。软件监视器 ESM 低

通信通道状态更改警报 306-50013 控制通道已停止或已启动。软件监视器全部中

配置捕获失败（设备错误） 146-4 网络发现设备错误。软件监视器 ESM 低

配置捕获失败（设备无法访问）

146-3 网络发现设备无法访问。软件监视器 ESM 低

已捕获配置 146-5 已成功检查网络发现配置。软件监视器 ESM 低

配置策略故障 146-8 未在系统中使用。软件监视器 ESM 低

配置策略通过 146-9 未在系统中使用。软件监视器 ESM 低

数据分配配置更改 306-7 ESM 数据分配设置已更改。软件监视器 ESM 高

数据分区可用磁盘空间警报 306-50005 每个分区的可用空间都不足（例如，hada_hd 有 10% 可用空间）。

软件监视器全部中

数据保留配置更改 306-6 ESM 数据保留配置已更改。软件监视器 ESM 高

数据库检测服务状态警报 306-50036 DBM 自动检测服务已停止或已启动。软件监视器全部中

深度数据包检测程序状态更改警报

306-50008 ADM 上的深度数据包检测引擎已停止或已启动。


删除远程命令 306-61 已删除警报远程命令。软件监视器 ESM 低

已删除事件 306-74 用户已删除 ESM 事件。软件监视器 ESM 低

已删除流 306-75 用户已删除 ESM 流。软件监视器 ESM 低

设备添加 306-18 已将新设备添加到系统。软件监视器 ESM 低

设备删除 306-19 已从系统中删除现有设备。软件监视器 ESM 低

设备可能关闭 146-2 网络发现事件指出某个设备可能已中断连接。

软件监视器 ESM 低

设备无法访问 146-1 添加到 ESM 的网络发现设备无法访问。


磁盘驱动器故障警报 306-50018 检查并验证所有硬盘的完整性（内置或 DAS）。

硬件监视器全部高

ELM 存档过程状态更改警报 306-50045 ELM 压缩引擎已停止或已启动。软件监视器 ADM/REC/DBM

中

ELM EDS FTP 306-50074 ELM SFTP 程序已停止或已启动。软件监视器 ELM 中

ELM 文件处理 306-50065 ELM 重新插入引擎已停止或已启动。如果日志因任意原因失败，它会再次尝试插入。如果重新插入过程失败，此规则会触发警报。

软件监视器 ELM 中

ELM 安装点状态更改警报 306-50053 ELM 远程存储（CIFS、NFS、ISCSI、SAN）已停止或已启动。


ELM 查询引擎状态更改警报 306-50046 ELM 作业过程（ELM 作业，如 ELM查询和插入）已停止或已启动。


ELM 冗余存储 306-50063 ELM 镜像已停止或已启动。软件监视器 ELM 中

ELM 系统数据库错误 306-50044 ELM 数据库已停止或已启动。软件监视器 ELM 高




电子邮件收集器状态更改警报 306-50040 Cisco MARS 收集器已停止或已启动。

软件监视器接收器中

已应用 ePO 标记 306-28 已应用 McAfee ePO 标记。软件监视器 ESM 低

与 ELM 通信时出错 306-50047 与 ELM 通信失败。软件监视器 ADM/REC/DBM

高

SSH 通信中出现错误 306-50077 设备问题，如版本差异、密钥更改。软件监视器全部高

ESM 重新启动 306-32 ESM 已重新启动。软件监视器 ESM 中

ESM 关闭 306-33 ESM 关闭。软件监视器 ESM 中

eStreamer 收集器警报 306-50070 eStreamer 收集器已停止或已启动。软件监视器接收器中

eStreamer 收集器状态更改警报

306-50041 eStreamer 收集器已停止或已启动。软件监视器接收器中

执行远程命令 306-62 已执行警报远程命令。软件监视器 ESM 低

因达到大并行会话数而无法登录

306-37 用户因达到大并行会话数而无法登录。

软件监视器 ESM 高

无法格式化 SAN 设备 306-50057 无法格式化 ELM 上的 SAN；用户必须重试。

硬件监视器 ESM 高

用户无法登录 306-31 用户无法登录。软件监视器 ESM 中

文件收集器状态更改警报 306-50049 Mountcollector 程序已停止或已启动。软件监视器接收器中

已删除文件 306-50 可以添加或删除的任意文件软件监视器 ESM 低

过滤器处理状态更改警报 306-50050 设备上的过滤器程序已停止或已启动（过滤器规则）。


防火墙警报累积器状态更改警报

306-50009 ADM 上的防火墙累积器已停止或已启动。

软件监视器 ADM 中

获取 VA 数据失败 306-52 ESM 无法获取 VA 数据。软件监视器 ESM 中

获取 VA 数据成功 306-51 ESM 已获取 VA 数据。软件监视器 ESM 低

健康监视器内部警报 306-50027 健康监视器过程已停止或已启动。软件监视器全部中

HTTP 收集器状态更改警报 306-50039 HTTP 收集器已停止或已启动。软件监视器接收器中

索引配置更改 306-8 ESM 索引设置已更改。软件监视器 ESM 中

无效的 SSH 密钥 306-50075 与 ELM 通信时设备出现问题，如版本差异、密钥更改。

软件监视器全部高

IPFIX 收集器状态更改警报 306-50055 IPFIX（流）收集器已停止或已启动。软件监视器接收器中

密钥和证书管理员用户登录 306-39 UCAPL 事件，加密管理员登录。软件监视器 ESM 低

日志分区可用磁盘空间警报 306-50004 日志分区 (/var) 可用空间不足。软件监视器全部中

McAfee EDB 数据库服务器状态更改警报

306-50010 数据库已停止或已启动。软件监视器全部中

McAfee ePO 收集器警报 306-50069 McAfee ePO 收集器已停止或已启动。


McAfee 事件格式状态更改警报

306-50031 McAfee 事件格式收集器已停止或已启动。


McAfee SIEM 设备通信故障 306-26 ESM 无法与其他设备通信。软件监视器 ESM 高

Microsoft Forefront ThreatManagement Gateway 警报

306-50068 Forefront Threat ManagementGateway 收集器已停止或已启动。


MS-SQL 检索程序状态更改警报

306-50035 Microsoft SQL 收集器已停止或已启动（Microsoft SQL 的任何数据来源）。





多事件日志警报 306-50062 jEMAIL 收集器已停止或已启动。软件监视器接收器中

MVM 扫描已启动 306-27 MVM 扫描已启动。软件监视器 ESM 低

NetFlow 收集器状态更改警报 306-50024 NetFlow（流）收集器已停止或已启动。


新用户帐户 306-13 已将新用户添加到系统。软件监视器 ESM 低

NFS/CIFS 收集器状态更改警报

306-50048 NFS 或 CIFS 的远程安装已停止或已启动。


NitroFlow 收集器状态更改警报

306-50026 NitroFlow（设备上的流）已停止或已启动。


未发现 SSH 密钥 306-50076 与 ELM 通信时设备出现问题，如版本差异、密钥更改。


NSM 添加/编辑黑名单 306-29 已添加或编辑 NSM 黑名单条目。软件监视器 ESM 低

NSM 删除黑名单 306-30 已删除 NSM 黑名单条目。软件监视器 ESM 低

OPSEC 检索程序状态更改警报

306-50028 OPSEC (Check Point) 收集器已停止或已启动。


OPSEC 检索程序状态更改警报

306-50034 OPSEC (Check Point) 收集器已停止或已启动。


Oracle IDM 收集器警报 306-50072 Oracle IDM 收集器已停止或已启动。软件监视器接收器中

过度订购警报 306-50012 ADM 已进入或已退出过度订购模式。软件监视器 ADM 中

插件收集器/解析器警报 306-50073 插件收集器/解析器已停止或已启动。软件监视器接收器中

策略添加 306-15 已将策略添加到系统。软件监视器 ESM 低

策略删除 306-17 已从系统中删除策略。软件监视器 ESM 低

策略更改 306-16 已在系统中更改策略。软件监视器 ESM 低

以前的配置不匹配 146-6 网络发现设备配置已更改。软件监视器 ESM 低

接收器 HA 306-50058 所有 HA 过程都已停止或已启动（Corosync、HA 控制脚本）。


接收器 HA Opsec 配置 306-50059 未使用。软件监视器接收器低

冗余 ESM 不同步 306-76 冗余 ESM 不同步。软件监视器 ESM 高

远程 NFS 安装点状态更改警报

306-50020 NFS ELM 安装已停止或已启动。软件监视器 ELM 中

远程共享/安装点可用磁盘空间警报

306-50021 远程安装点可用磁盘空间不足。软件监视器 ESM 中

远程 SMB/CIFS 共享状态更改警报

306-50019 远程 SMB/CIFS 安装点已停止或已启动。


风险关联状态更改警报 306-50061 风险关联引擎已停止或已启动。软件监视器 ACE 中

根分区可用磁盘空间警报 307-50002 根分区的可用空间不足。软件监视器全部中

规则添加 306-20 已将规则添加到系统，如 ASP、过滤器或关联。


规则删除 306-22 已从系统中删除规则。软件监视器 ESM 低

规则更改 306-21 已在系统中更改规则。软件监视器 ESM 低

规则更新失败 306-9 ESM 规则更新失败。软件监视器 ESM 中

SDEE 检索程序状态更改警报 306-50033 SDEE 收集器已停止或已启动。软件监视器接收器中

sFlow 收集器状态更改警报 306-50025 sFlow（流）收集器已停止或已启动。软件监视器接收器中




SNMP 收集器状态更改警报 306-50023 SNMP 收集器已停止或已启动。软件监视器接收器中

SQL 收集器状态更改警报 306-50038 SQL 收集器（旧 NFX）已停止或已启动。


Symantec AV 收集器状态更改警报

306-50056 Symantec AV 收集器已停止或已启动。


Syslog 收集器状态更改警报 306-50037 Syslog 收集器已停止或已启动。软件监视器接收器中

系统管理员用户登录 306-40 系统管理员已登录系统。软件监视器 ESM 低

系统完整性检查失败 306-50085 在系统上运行的非 ISO 外来程序或过程被标记。


系统日志记录器状态更改警报 306-50014 系统日志记录过程已停止或已启动。软件监视器全部中

任务（查询）已关闭 306-54 任务管理器任务已关闭。软件监视器 ESM 低

临时分区可用磁盘空间警报 306-50003 临时 (/tmp) 分区的可用磁盘空间不足。


文本日志解析器状态更改警报 306-50052 文本解析器过程已停止或已启动。软件监视器接收器中

用户帐户更改 306-14 用户帐户已更改。软件监视器 ESM 低

用户设备登录失败 306-50079 SSH 用户无法登录。软件监视器 ESM 低

用户设备登录 306-50017 未在系统中使用。软件监视器 ESM 低

用户设备注销 306-50078 SSH 用户已注销。软件监视器 ESM 低

用户登录 306-11 用户已登录系统。软件监视器 ESM 低

用户注销 306-12 用户已从系统注销。软件监视器 ESM 低

VA 数据引擎状态警报 306-50043 VA (vaded.pl) 引擎已停止或已启动。软件监视器接收器中

变量添加 306-23 已添加策略变量。软件监视器 ESM 低

变量删除 306-25 已删除策略变量。软件监视器 ESM 低

变量更改 306-24 策略变量已更改。软件监视器 ESM 低

网站服务器证书已到期。 306-50084 ESM 网站服务器证书已到期。软件监视器 ESM 高

网站服务器证书很快会到期 306-50083 ESM 网站服务器证书很快会到期。软件监视器 ESM 中

Websense 收集器警报 306-50067 Websense 收集器已停止或已启动。软件监视器接收器中

WMI 事件日志收集器状态更改警报

306-50030 WMI 收集器已停止或已启动。软件监视器接收器中

另请参阅添加健康监视器事件警报第 239 页

添加字段匹配警报“字段匹配”警报会匹配事件的多个字段，并且在设备接收和解析事件后触发。


• 检查如何使用逻辑元素。






3 单击“添加”，键入警报名称并选择受理人，然后单击“条件”选项卡。

4 在“类型”字段中，选择“字段匹配”，然后设置警报条件。

a 拖放“AND”或“OR”，以设置警报条件的逻辑。

b 将“匹配组件”图标拖放到逻辑元素上，然后完成“添加过滤器字段”页面。

c 在“ 大条件触发频率”字段中，选择每个条件之间允许的时间量，以防止出现大量通知。每次触发仅包含与触发条件匹配的第一个来源事件，而不包含在触发频率时间段内发生的事件。与触发条件匹配的新事件在大触发频率时间段内不会导致警报再次触发。

如果您将时间间隔设置为零，则匹配条件的每个事件都会触发警报。对于高频率的警报，如果将时间间隔设置为零，则会造成许多警报。

5 单击“下一步”并针对此警报选择要监视的设备。此警报类型支持接收器、本地接收器-Enterprise Log Manager(ELM)、接收器/ELM 组合、ACE 和 Application Data Monitor (ADM)。

6 单击“操作”和“升级”选项卡，以定义设置。


此警报会写入到设备。

如果此警报无法写入到设备，系统导航树中的设备旁会显示不同步标记。单击该标记，然后单击“同步警报”。


选项定义

单选按钮更改逻辑元素类型。如果您的规则或组件具有若干层的逻辑元素并随后意识到逻辑图开始部分的一个元素为不同元素，那么它将很有用。

“ 条件 ” 选择必须满足具有多个条件的 “SET” 的条件数。

“顺序” 选择您是否希望 AND 或 SET 逻辑元素条件按照“关联逻辑”字段中安排的顺序发生，以便触发规则。

“阈值” 设置这些条件需要触发规则的次数。

“时间窗口” 设置阈值需要发生的时间限制以便触发规则。

另请参阅自定义已触发警报和案例的摘要第 246 页逻辑元素第 246 页



逻辑元素添加 Application Data Monitor (ADM)、数据库和关联规则或组件时，请利用“表达式逻辑”或“关联逻辑”构建规则框架。

元素说明

AND 与计算机语言中的逻辑运算符功能相同。该逻辑元素下的每一项均为真，该条件才为真。如果您希望该逻辑元素下的所有条件都满足才出发规则，请使用该选项。

OR 与计算机语言中的逻辑运算符功能相同。只要该元素下的一个条件为真，该条件即为真。如果只需满足一个条件，请在触发规则前使用该元素。

SET 对于关联规则或组件，SET 允许您定义条件并选择必须要有多少个条件为真才会触发规则。例如，如果集包含三个条件且必须满足其中两个条件才会触发规则，则集应为“2 个，共 3 个”。

以上元素中每一个都有菜单，每个菜单至少包含两个以下选项：• “编辑” — 您可以编辑默认设置（请参阅“编辑逻辑元素默认设置”）。

• “删除逻辑元素” — 您可以删除选择的逻辑元素。如果该元素包含任何子级，这些子级不会被删除并会被移至层级中的上一层。

该情况不适用于根元素（层级中的第一层）。如果删除根元素，则所有子级也随之删除。

• “删除逻辑元素和所有子级” — 您可以删除选择的元素以及层级中的所有子级。

设置规则的逻辑时，必须添加组件，以定义规则的条件。对于关联规则，您还可以添加参数，以便在执行规则或组件时控制其行为。

另请参阅添加字段匹配警报第 244 页编辑逻辑元素第 336 页

自定义已触发警报和案例的摘要选择要在“字段匹配”或“内部事件匹配”警报的警报摘要和案例摘要中包含的数据。




2 单击“警报”，然后单击“添加”。

3 在“条件”选项卡上，选择“字段匹配”或“内部事件匹配”类型。

4 单击“操作”选项卡，再单击“为以下对象创建案例”，单击变量图标，然后选择要在案例摘要中包含的字段。

5 单击“自定义触发的警报摘要”，单击变量图标，然后选择要在触发的警报摘要中包含的字段。

6 键入创建警报所需的信息，然后单击“完成”。

另请参阅添加字段匹配警报第 244 页



将警报添加至规则若要在特定规则生成事件时收到通知，可以将警报添加到响应规则。



任务1 在系统导航树上，单击操作工具栏上的“策略编辑器”图标。

2 在“规则类型”窗格中选择规则类型。

3 在规则显示区域选择一个或多个规则。

4 单击“警报”图标。

5 创建警报。

创建 SNMP 陷阱作为警报操作发送 SNMP 陷阱作为警报操作。


• 准备 SNMP 陷阱接收器（仅在您没有 SNMP 陷阱接收器时需要）。


任务1 创建 SNMP 配置文件以告知 ESM 将 SNMP 陷阱发送至何处。

a 在系统导航树中，选择系统，然后单击“属性”图标。

b 单击“配置文件管理”，然后在“配置文件类型”字段中选择“SNMP 陷阱”。

c 填写其余字段，然后单击“应用”。

2 在 ESM 上配置 SNMP。

a 在“系统属性”上，单击“SNMP 配置”，然后单击“SNMP 陷阱”选项卡。

b 依次选择端口、要发送的陷阱类型以及在步骤 1 中添加的配置文件。

c 单击“应用”。

3 定义将“SNMP 陷阱”作为操作的警报。

a 在“系统属性”上，单击“警报”，然后单击“添加”。

b 填写“摘要”、“条件”和“设备”选项卡上所需的信息，选择“内部事件匹配”作为条件类型，然后单击“操作”选项卡。

c 选择“发送消息”，然后单击“配置”以选择或创建 SNMP 消息的模板。

d 在“SNMP”字段中选择“基本 SNMP 模板”，或单击“模板”并选择现有模板，或单击“添加”定义新模板。

e 返回“警报设置”页面，然后继续进行警报设置。



添加电源故障通知警报添加警报以便在任一 ESM 电源发生故障时通知您。


• 针对电源故障通知设置 SNMP 陷阱第 170 页




3 单击“添加”，在“摘要”选项卡上输入请求的数据，然后单击“条件”选项卡。

4 在“类型”字段中，选择“内部事件匹配”。

5 在“字段”字段中，选择“特征码 ID”，然后在“值”字段中键入 306-50086。

6 根据各个选项卡的需要，输入其余信息，然后单击“完成”。

发生电源故障时，将触发一个警报。

管理不同步的数据源设置警报，从而在不同步数据来源生成事件时提醒您，以便您查看数据来源列表，编辑设置并导出列表。


该诊断工具可以确定数据来源是否在收集过去或未来的事件，如果是，则会在接收器上显示红色标记。



2 设置警报，从而在与 ESM 失去同步的数据源生成的事件进入接收器时收到通知。

a 单击 “警报” | “添加”，键入“摘要”选项卡上要求的信息，然后单击“条件”选项卡。

b 选择“类型”字段中的“事件增量”，选择 ESM 应该检查不同步数据源的频率并选择触发警报必须达到的时间差。

c 填写其余选项卡中的信息。

3 查看、编辑或导出不同步的数据来源。

a 在系统导航树中，单击接收器，然后单击“属性”图标。

b 单击“接收器管理”，然后单击“时间增量”。

另请参阅不同步的数据源第 249 页



不同步的数据源由于多个可能的设置，数据源上的时间会与 ESM 失去同步。当不同步的数据源生成事件时，系统导航树上的接收器旁边会显示红色标记。

您可以设置警报，从而在发生该情况时收到通知。然后您可以访问“时间增量”页面，管理不同步的数据源（参阅“管理不同步的数据源”）。

不同步的事件可以是旧事件，也可以是未来事件。

造成数据来源与 ESM 失去同步的原因有多种。1 ESM 时区设置有误（参阅“选择用户设置”）。 4 您故意这样设置系统。

2 添加数据源时时区设置有误（参阅“添加数据源”）。

5 系统未连接到 Internet。

3 系统运行时间较长，时间出现偏差。 6 事件进入接收器时失去同步。


选项定义

表列出数据源、IP 地址或主机名、数据源类型和事件的时间增量。

“编辑” 打开所选数据源的“编辑数据源”页面。您可以更改时区设置，这样数据源便会以正确的时间生成事件。

“导出” 在表中导出列表。

“刷新” 更新表中的信息，以反映新更改。

“时间间隔” 决定在数据库中分析数据的间隔时长。

另请参阅管理不同步的数据源第 248 页



8 使用事件

ESM 使您可以确定、收集、处理、关联和存储几十亿事件和流，保证所有信息可供查询、取证、规则验证和合规检查。

目录事件、流和日志管理报告 contains 和 regex 过滤器的描述使用 ESM 视图自定义类型过滤器 McAfee® Active Response 搜索

事件、流和日志事件、流和日志记录设备中发生的不同类型的活动。

事件是由系统上的规则引起且由设备记录的活动。流是对 IP 间连接的记录，且至少其中一个 IP 位于您的HOME_NET 上。日志是对您系统上的设备发生的事件的记录。事件和流都有来源和目标 IP 地址、端口、介质访问控制 (MAC) 地址、协议和首末次。但是，事件和流还有多处区别：

• 由于流不表示异常和恶意流量，因此流比事件更常见。

• 与事件不同，流并不与规则特征码 (SigID) 相关联。

• 流与事件操作（如警报、植入和拒绝）并无关联。

• 某些数据是流特有的，包括来源和目标字节，以及来源和目标数据包。来源字节数和数据包表示由流来源传输的字节和数据包数量。目标字节数和数据包表示由流目标传输的字节和数据包数量。

• 流有方向：入站流定义是起源于 HOME_NET 外部的流。出站流则为起源于 HOME_NET 内部的流。

系统生成的事件和流可在视图中查看，而这些视图可在视图列表中选中。 “系统日志”或“设备日志”可从系统或各个设备的“属性”页面中访问，其中会列出日志。

另请参阅设置事件、流和日志下载第 251 页限制数据的收集时间第 252 页定义不活动阈值设置第 253 页获取事件和流第 254 页检查事件、流和日志第 254 页定义地理位置和 ASN 设置第 255 页

设置事件、流和日志下载手动检查事件、流和日志，或者将设备设置为自动检查事件、流和日志。

8




2 单击“事件、流和日志”、“事件和日志”或“日志”。

3 设置下载，然后单击“应用”。


选项定义

“ 自动更新规则 ” 如果 ESM 从规则服务器自动下载规则，并且如果您想要下载的规则部署到此设备，则选择此选项。

“ 自动下载... ” 如果您想要 ESM 自动检查事件、流或日志，则选择此选项。

“获取...” 如果您想要 ESM 立即检查事件、流或日志，则选择此选项。若要查看这些作业的状态，请参阅“获取事件和流”。

“定义每日数据提取时间范围”

选择该选项，以计划 ESM 每天从各个设备提取数据的时间范围并从各个设备发送数据至ELM（参阅“限制数据的收集时间”）。

配置此功能时请小心谨慎，因为安排事件、流和日志收集可能导致数据丢失。

“生成漏洞事件” 选择该选项，从而将匹配漏洞评估来源数据的事件添加到系统（请参阅“使用漏洞评估”）并使其成为漏洞事件并在本地 ESM 生成警报。 “策略编辑器”中的策略属性对其中每个事件都是相同的，并且无法更改（例如，严重性始终为 100）。

“ 后一个事件 ”或“流下载过程”

查看后一次从设备检索事件或流的时间、其过程是否成功以及检索的事件或流的数量。

“上一下载事件”、“字符串”或“流记录”

查看后一次检索事件、字符串或流记录的日期和时间。更改此值可允许您设置要检索事件、字符串或流的日期和时间。例如，如果您在“上一下载事件记录”字段输入 2016 年 11 月13 日上午 10:30:00，单击“应用”，然后单击“获取事件”，则 ESM 将检索自该时间以来此设备上的事件。

“数据库设置” 单击该选项可在 ESM 上管理数据库索引设置。

“不活动设置” 为 ESM 托管的每个设备查看和更改不活动阈值设置（请参阅“定义不活动阈值设置”）。

“地理位置” 设置 ESM 以记录每个设备的地理位置和 ASN 数据（请参阅“定义地理位置和 ASN 设置”）。

另请参阅事件、流和日志第 251 页限制数据的收集时间第 252 页定义不活动阈值设置第 253 页获取事件和流第 254 页检查事件、流和日志第 254 页定义地理位置和 ASN 设置第 255 页

限制数据的收集时间您可以指定每日时间范围，以限制 ESM 从每个设备提取数据的时间以及从每个设备向 ELM 发送数据的时间。

您可以使用此功能来避免在高峰时间使用网络，从而将带宽留给其他应用程序使用。这的确会延迟向 ESM 和 ELM 交付数据，因此要确定这种延迟在您的环境下是否可以接受。

任务


8 使用事件事件、流和日志




2 选择以下选项之一：

• “事件、流和日志”

• “事件和日志”

• “日志”

3 选择“定义每日数据提取时间范围”，然后设置时间范围的开始时间和结束时间。

在您定义的时间范围内，ESM 将从设备中收集数据，而设备会将数据发送到 ELM 以供日志记录。在 ELM 上进行此设置时，便定义了 ESM 从 ELM 收集数据的时间以及 ESM 将数据发送到 ELM 以进行日志记录的时间。

另请参阅事件、流和日志第 251 页设置事件、流和日志下载第 251 页定义不活动阈值设置第 253 页获取事件和流第 254 页检查事件、流和日志第 254 页定义地理位置和 ASN 设置第 255 页

定义不活动阈值设置设置设备的不活动阈值时，系统会通知您指定时间段中何时未生成事件和流。如果达到阈值，则会在系统导航树的设备节点旁边会显示黄色的健康状态标记。


1 在系统导航树上，选择“系统属性”，确保选择“系统信息”，然后单击“事件、流和日志”。

2 请单击“不活动设置”。

3 突出显示设备，然后单击“编辑”。

4 请更改设置，然后单击“确定”。


选项定义

“ 设备”列列出系统中的所有设备。

“ 阈值”列显示每台设备的阈值。

“ 继承”列显示子设备是否继承了其父设备的设置。选择或取消选择更改设置。

“ 编辑” 打开“编辑不活动的阈值”页面以更改阈值设置。

另请参阅事件、流和日志第 251 页设置事件、流和日志下载第 251 页限制数据的收集时间第 252 页获取事件和流第 254 页检查事件、流和日志第 254 页定义地理位置和 ASN 设置第 255 页

使用事件事件、流和日志 8


获取事件和流请针对您在系统导航树上选择的设备检索事件和流。


1 在系统导航树上，选择系统、组或设备，然后单击操作工具栏上的“获取事件和流”图标。

2 在顶部表中，请选择要检索的事件和流，然后单击“开始”。

检索的状态会反映在“状态”列中。底部表显示您在顶部表突出显示的设备的更多详细信息。

3 下载完成后，请选择用以显示这些事件和流的视图，然后单击视图工具栏上的“刷新当前视图”图标。


选项定义

小化“获取事件和流”页面，并让其继续以检索事件或流。

顶部表格

“设备名称”列根据您在系统导航树中的选择，查看您可以为之检索事件或流的设备。您可以从中选择一个或多个设备，从而在底部表格中查看详细信息。

“ 事件”列选择您要为之检索事件的设备。

“流”列选择您要为之检索流的设备。

“状态”列开始检索后，查看检索状态。该列会列出设备上执行的插入作业数和获取作业数，以及打开该窗口时运行的后一个获取作业。该页面每两秒钟刷新一次。

“开始” 单击该选项开始检索。必须至少选择一个复选框，才可以激活该选项。

“取消” 一旦该过程开始，将其取消。完成当前操作后，该过程会停止。

底部表格

“设备名称”列查看顶部表格中选择的设备名称。

“操作”列查看当前在该设备上执行的操作。

“开始时间”列查看作业的创建时间，该时间未必是开始在 ESM 上处理该作业的时间。

“状态”列查看该作业的状态。

“刷新” 更新表格。该表每五秒钟自动刷新一次。

另请参阅事件、流和日志第 251 页设置事件、流和日志下载第 251 页限制数据的收集时间第 252 页定义不活动阈值设置第 253 页检查事件、流和日志第 254 页定义地理位置和 ASN 设置第 255 页

检查事件、流和日志您可以对 ESM 进行设置，以自动检查事件、流和日志，或手动进行检查。进行检查的频率取决于您的系统的活动级别和您要接收状态更新的频率。您也可以指定应该针对哪些设备检查各个类型的信息，并设置 ESM 托管设备的不活动阈值设置。




1 在系统导航树上，请选择“系统属性”，然后单击“事件、流和日志”。

2 对事件、流和日志检索进行选择和更改。



选项定义

“ 自动检查每项 ” 选择是否希望系统自动检查事件、流和日志。设置自动检查的频率。

“ 立即检查 ” 立即检查事件、流和日志。

“显示设备” 显示每台设备中事件、流和日志的自动下载设置。

“不活动设置” 如果设备未在某段时间内生成事件或流，且您希望收到通知，请选择此选项并突出显示该设备，然后单击“编辑。”


选项定义

“ 设备名称 ”列列出系统中的所有设备

“ 事件 ”列选择要自动下载事件的设备。

“流”列选择要自动下载流的设备。

“日志”列选择要自动下载日志的设备。

另请参阅事件、流和日志第 251 页设置事件、流和日志下载第 251 页限制数据的收集时间第 252 页定义不活动阈值设置第 253 页获取事件和流第 254 页定义地理位置和 ASN 设置第 255 页

定义地理位置和 ASN 设置地理位置可提供连接到 Internet 的计算机的地理位置。自治系统编号 (ASN) 是一个分配给自治系统的编号，能够唯一地标识 Internet 中的每个网络。

这两种数据类型能够帮助您识别威胁的实际位置。可为事件收集来源和目标地理位置数据。



2 单击“事件、流和日志”或“事件和日志”，然后单击“地理位置”。

3 进行选择，生成所需信息，然后单击“确定”。

您可以使用此信息过滤事件数据。




选项定义

“收集地理位置数据” 如要为事件或流收集地理位置数据，请选择此选项。

“ 来源数据 ”、“目标数据” 如果您单击了“收集地理位置数据”，请选择是要收集来源数据、目标数据还是同时收集两种数据。

“收集 ASN 数据” 如要为事件或流收集 ASN 数据，请选择此选项。

“来源数据”、“目标数据” 如果您单击了“收集 ASN 数据”，请选择是要收集来源数据、目标数据还是同时收集两种数据。

“关闭” 如果您想要为事件或流停止收集地理位置或 ASN 数据，请选择此选项。

“刷新” 单击此选项可返回到当前的设备设置。

另请参阅事件、流和日志第 251 页设置事件、流和日志下载第 251 页限制数据的收集时间第 252 页定义不活动阈值设置第 253 页获取事件和流第 254 页检查事件、流和日志第 254 页

累积事件或流事件或流可能会生成数千次。您可以使用可指示其出现次数的计数将其作为单个事件或流进行查看，而非在数千个相同事件中进行筛选。

通过使用累积可更有效地使用设备和 ESM 上的磁盘空间，因为它无需存储每个数据包。此功能仅适用于已在“策略编辑器”中启用累积的规则。

来源 IP 地址和目标 IP 地址

来源 IP 和目标 IP 地址“尚未设置”值或累积值显示为“::”，而不是在所有结果集中显示为“0.0.0.0”。例如：

• ::ffff:10.0.12.7 插入为 0:0:0:0:0:FFFF:A00:C07（A00:C07 为 10.0.12.7）。

• ::0000:10.0.12.7 将为 10.0.12.7。

累积的事件和流

累积的事件和流使用第一个、后一个和总计字段来指示累积的持续时间和数量。

例如，如果相同事件在午后的首个十分钟内出现 30 次，“首次”字段包含时间 12:00（事件的第一个实例的时间），“后一次”字段包含时间 12:10（事件后一个实例的时间）以及“总计”字段包含值 30。

您可以将设备作为整体更改其默认事件或流累积设置。对于事件，您可以针对单个规则将例外添加到设备的设置中。

累积会根据事件、流和日志检索设置对记录进行检索。如果将其设置为自动检索，设备将压缩记录，直到 ESM 第一次提取该记录。如果将其设置为手动检索，记录将压缩多 24 个小时，或者直至手动提取新记录，不论哪条记录首先出现。如果压缩时间达到 24 小时的限制，系统将提取新记录，并且开始对该新纪录进行压缩。


选项定义

“ 自动更新规则 ” 如果 ESM 从规则服务器自动下载规则，并且如果您想要下载的规则部署到此设备，则选择此选项。

“ 自动下载... ” 如果您想要 ESM 自动检查事件、流或日志，则选择此选项。




选项定义

“获取...” 如果您想要 ESM 立即检查事件、流或日志，则选择此选项。若要查看这些作业的状态，请参阅“获取事件和流”。

“定义每日数据提取时间范围”

选择该选项，以计划 ESM 每天从各个设备提取数据的时间范围并从各个设备发送数据至 ELM（参阅“限制数据的收集时间”）。


“生成漏洞事件” 选择该选项，从而将匹配漏洞评估来源数据的事件添加到系统（请参阅“使用漏洞评估”）并使其成为漏洞事件并在本地 ESM 生成警报。 “策略编辑器”中的策略属性对其中每个事件都是相同的，并且无法更改（例如，严重性始终为 100）。

“ 后一个事件 ”或“流下载过程”

查看后一次从设备检索事件或流的时间、其过程是否成功以及检索的事件或流的数量。

“上一下载事件”、“字符串”或“流记录”

查看后一次检索事件、字符串或流记录的日期和时间。更改此值可允许您设置要检索事件、字符串或流的日期和时间。例如，如果您在“上一下载事件记录”字段输入 2016 年 11 月 13 日上午 10:30:00，单击“应用”，然后单击“获取事件”，则 ESM 将检索自该时间以来此设备上的事件。

“数据库设置” 单击该选项可在 ESM 上管理数据库索引设置。

“不活动设置” 为 ESM 托管的每个设备查看和更改不活动阈值设置（请参阅“定义不活动阈值设置”）。

“地理位置” 设置 ESM 以记录每个设备的地理位置和 ASN 数据（请参阅“定义地理位置和 ASN 设置”）。

另请参阅更改事件或流累积设置第 257 页添加事件累积设置的例外第 258 页管理事件累积异常第 259 页

更改事件或流累积设置默认情况下将启用事件累积和流累积，并将其设置为“中高”。您可以根据需要更改设置。每个设置的性能会在“累积”页面进行说明。

开始之前您必须具有“策略管理员”和“设备管理”或者“策略管理员”和“自定义规则”权限才可更改这些设置。

事件累积仅对 ADM 和接收器设备可用，流累积对接收器设备可用。





2 单击“事件累积”或“流累积”。



选项定义

“刷新” 单击此选项可阅读该设备上当前的累积设置。然后它会使用累积速率。

滑块刻度单击指示箭头并将其拖动到设置。级别 2 和 3 的描述发生变化，以反映您选择的设置。

滑块刻度上的“自定义”设置设置级别 2 和级别 3 的值。

“应用” 使用此屏幕中的所有设置更新设备。

“查看”（仅限事件）打开“事件累积异常”页面（请参阅“为事件累积设置添加异常”）。

“端口”（仅限流）配置需要维护的流端口累积值（请参阅“配置流端口累积值”）。

另请参阅累积事件或流第 256 页添加事件累积设置的例外第 258 页管理事件累积异常第 259 页

添加事件累积设置的例外累积设置适用于设备产生的所有事件。如果常规设置不适用于某个规则所产生的事件，则您可以为该规则创建例外。


1 在视图窗格上，选择您要为其添加例外的规则所产生的事件。

2单击“菜单”图标，然后选择“修改累积设置”。

3 从“字段 2” 和“字段 3” 下拉列表中选择要累积的字段类型。

您在“字段 2” 和“字段 3” 中选择的字段必须为不同的类型，否则会出错。当您选择这些字段类型时，每个累积级别的说明将会发生变化以反映您所做的选择。每个级别的时间限制取决于您为设备定义的事件累积设置。

4 单击“确定”以保存您的设置，然后单击“是”以继续。

5 如果您不希望将更改推广到设备，请取消选择它们。

6 单击“确定”以将更改推广到选定的设备。

将更改推广到设备时，“状态”列会显示更新的状态。




选项定义

“编辑” 单击此选项可对选定例外进行更改。

“删除” 删除选定例外。

“部署” 部署对设备的更改。


选项定义

“设备”列查看系统上的设备。

附加列选择要将更改部署到其中的设备。

“状态”列查看每台设备的部署状态。

另请参阅累积事件或流第 256 页更改事件或流累积设置第 257 页管理事件累积异常第 259 页

管理事件累积异常您可以查看已添加到系统的事件累积异常列表。您也可以编辑或删除异常。



2 单击“事件累积”，然后单击屏幕底部的“查看”。

3 根据需要进行修改，然后单击“关闭”。

另请参阅累积事件或流第 256 页更改事件或流累积设置第 257 页添加事件累积设置的例外第 258 页

设置事件转发事件转发可使您使用系统日志或 SNMP（如果已启用）将事件从 ESM 发送到其他设备或工具。您必须定义目标，也可以选择是否要添加数据包并混淆 IP 数据。您可以添加过滤器，以便在事件数据转发前进行筛选。

此操作并非替代日志管理，因为它不是您的环境中每台设备完整的数字签名日志集。

另请参阅事件转发代理第 262 页发送和转发采用标准事件格式的事件第 265 页配置事件转发第 260 页添加事件转发目标第 260 页启用或禁用事件转发第 262 页修改所有事件转发目标的设置第 263 页添加事件转发过滤器第 263 页编辑事件转发过滤器设置第 264 页



配置事件转发您可以设置事件转发目标，以将事件数据转发到系统日志或 SNMP 服务器。

正在使用的事件转发目标数量以及 ESM 正在检索的事件效率和数量可能影响整个 ESM 性能。


1 在系统导航树中选择“系统属性”，然后单击“事件转发”。

2 在“事件转发目标”页面选择“添加”、“编辑”或 “删除”。

3 如果您选择添加或编辑目标，请定义设置。



选项定义

“ 事件转发目标 ” 查看已添加到系统中的目标。

“添加” 向系统中添加目标。

“编辑” 更改所选目标的设置。

“删除” 从系统中删除目标。

“设置” 指定适用于所有事件转发目标的设置。

另请参阅设置事件转发第 259 页事件转发代理第 262 页发送和转发采用标准事件格式的事件第 265 页添加事件转发目标第 260 页启用或禁用事件转发第 262 页修改所有事件转发目标的设置第 263 页添加事件转发过滤器第 263 页编辑事件转发过滤器设置第 264 页

添加事件转发目标将事件转发目标添加到 ESM 中以将事件数据转发到系统日志或 SNMP 服务器中。





2 单击“添加”，然后填入所需信息。



选项定义

“ 名称 ” 输入该目标的名称。

“ 已启用 ” 选择启用到该目标的事件转发。

“使用系统配置文件”

选择是否要使用现有的配置文件，然后从下拉列表中选择配置文件，或单击“使用系统配置文件”来添加新的配置文件。

“格式” 从下拉列表中选择格式。有关详细的代理程序列表以及数据包所含的信息，请参见“事件转发代理程序”。

“ 目标 IP 地址” 输入系统日志的目标 IP 地址。

“目标端口” 选择系统日志从中进行侦听的目标端口。

“协议” 在 UDP 或 TCP 传输协议之间进行选择。UDP 协议是标准系统日志的基础。通过 TCP 系统日志发送的数据包严格按照其 UDP 副本（包括工具、严重性和消息）进行格式化，但附加到消息末尾的换行字符（ASCII 字符代码 10）除外。

TCP 协议与无连接协议 UDP 不同，它必须在 ESM 与侦听转发事件的服务器之间建立连接。如果无法建立连接或连接断开，ESM 将跟踪上次成功转发的事件，并尝试在几分钟内重新建立连接。重新建立连接后，ESM 将从中断的位置继续转发事件。

如果选择 UDP，则无法在“模式”字段中选择 SSH 或 TLS。

“ 工具” 选择系统日志数据包的工具。

“严重性” 选择系统日志数据包的严重性。

“时间格式 ” 选择系统日志事件转发标题的时间格式。如果选择了“传统”，则格式将转变为 9.3.0 之前版本的时间格式 (GMT)。如果选择了“标准”，则可以选择时区。

“时区” 如果选择了“标准”，则发送事件转发日志时需要选择时区。

“混淆数据” 选择该选项可屏蔽转发到此目标的数据中包含的所选数据。要选择数据，请单击“配置”。

“发送数据包” 如果将策略设置为复制数据包，则选择此选项可转发数据包信息。如果数据包可用，则该信息将包含在 Base 64 编码中 syslog 消息的结尾处。

“事件过滤器” 单击以将过滤器应用到转发到系统日志的事件数据中。

“模式” 选择消息的安全模式。如果选择了 SSH,，请填写其他信息。如果选择使用 TCP（协议）的syslog，则选择该选项可通过 SSH 或 TLS 建立 TCP 连接。由于 syslog 是未加密的协议，因此使用 SSH 或 TLS 可阻止其他方检查事件转发消息。如果使用 FIPS 模式，则可以使用 TLS 转发日志数据。

“本地中继端口” 输入端口用于 SSH 连接的 ESM。

“远程 SSH 端口”

输入在 SSH 连接的另一端侦听的 SSH 服务器所在的端口。

“SSH 用户名” 输入 SSH 用户名，以建立 SSH 连接。

“SSH DSA 密钥”

键入公共 DSA 身份验证密钥，用以进行 SSH 身份验证。该字段的内容添加到运行 SSH 服务器的计算机的 authorized_keys 文件或等效文件中。



另请参阅设置事件转发第 259 页事件转发代理第 262 页发送和转发采用标准事件格式的事件第 265 页配置事件转发第 260 页启用或禁用事件转发第 262 页修改所有事件转发目标的设置第 263 页添加事件转发过滤器第 263 页编辑事件转发过滤器设置第 264 页

事件转发代理这些是事件转发代理以及转发时数据包中所含的信息。您在“添加事件转发目标”页面的“格式”字段中选择代理。

代理内容

系统日志（审核日志）

时间（系统纪元以来的秒数）、状态标记、用户名、日志类别名称（8.2.0 中不存在，8.3.0 及更高版本较多)、设备组名称、设备名称、日志消息。

系统日志（公用事件格式）

当前数据和时间、ESM IP、CEF 版本 0、供应商 = McAfee、产品 = /etc/ESM Nitro/ipsmodel 中的 McAfee模型、版本 = /etc/buildstamp 中的 ESM 版本、特征码 id、特征码消息、严重性（0 到 10）、名称/值对、deviceTranslatedAddress

Syslog（标准事件格式）

<#>YYYY-MM-DDTHH:MM:SS.S [IP 地址] McAfee_SIEM：{ "source": { "id": 144120685667549200, "name": "McAfee Email Gateway (ASP)", "subnet": "::ffff:10.75.126.2/128" }, "fields": { "packet": { "encoding": "BASE64" } }, "data": { "unique_id": 1, "alert_id": 1,"thirdpartytype": 49, "sig": { "id": 5000012, "name": "Random String Custom Type" }, "norm_sig": { "id":1343225856, "name": "Misc Application Event" }, "action": "5", "src_ip": "65.254.48.200", "dst_ip":"0.0.0.0", "src_port": 38129, "dst_port": 0, "protocol": "n/a", "src_mac": "00:00:00:00:00:00", "dst_mac":"00:00:00:00:00:00", "src_asn_geo": 1423146310554370000, "firsttime": "2014-05-09T20:43:30Z","lasttime": "2014-05-09T20:43:30Z", "writetime": "2014-05-09T20:44:01Z", "src_guid": "", "dst_guid": "","total_severity": 25, "severity": 25, "eventcount": 1, "flow": "0", "vlan": "0", "sequence": 0, "trusted": 2,"session_id": 0, "compression_level": 10, "reviewed": 0, "a1_ran_string_CF1": "This is data for custom field1", "packet":"PDE0PjA5MDUyMDE0IDIwOjE4OjQ0fDIxfDY1LjI1NC40OC4yMDAtMzgxMjl8MXwxMDJ8U3BhbSBNZXNzYWdlIHR5cGU6IFRydXN0ZWRTb3VyY2UgU2lnbmF0dXJlIENvbmZpZGVuY2UgPSBISUdILiBDb25uZWN0aW9uOiA2NS4yNTQuNDguMjAwLTM4MTI5KElQLVBvcnQpfFRoaXMgaXMgZGF0YSBm b3IgY3VzdG9tIGZpZWxkIDF8W10A"

另请参阅设置事件转发第 259 页发送和转发采用标准事件格式的事件第 265 页配置事件转发第 260 页添加事件转发目标第 260 页启用或禁用事件转发第 262 页修改所有事件转发目标的设置第 263 页添加事件转发过滤器第 263 页编辑事件转发过滤器设置第 264 页

启用或禁用事件转发在 ESM 上启用或禁用事件转发。





2 单击“设置”，然后选择或取消选择“事件转发已启用”。


另请参阅设置事件转发第 259 页事件转发代理第 262 页发送和转发采用标准事件格式的事件第 265 页配置事件转发第 260 页添加事件转发目标第 260 页修改所有事件转发目标的设置第 263 页添加事件转发过滤器第 263 页编辑事件转发过滤器设置第 264 页

修改所有事件转发目标的设置同时更改全部现有事件转发目标的某些设置。



2 单击“设置”，然后设置选项。


另请参阅设置事件转发第 259 页事件转发代理第 262 页发送和转发采用标准事件格式的事件第 265 页配置事件转发第 260 页添加事件转发目标第 260 页启用或禁用事件转发第 262 页添加事件转发过滤器第 263 页编辑事件转发过滤器设置第 264 页

添加事件转发过滤器将过滤器设置为限制时间数据转发到 ESM 上的系统日志或 SNMP 服务器。





2 单击“添加”，然后单击“事件过滤器”。

3 填写过滤器字段，然后单击“确定”。


选项定义

“ 设备 ” 单击过滤器图标，选择要用来过滤的设备，然后单击“确定”。

“ 目标 IP ” 输入单个目标 IP 地址 (161.122.15.13) 或 IP 地址范围 (192.168.0.0/16) 以进行过滤。

“目标端口” 输入过滤器端口；允许使用其中一个。

“协议” 输入过滤器协议；允许使用其中一个。

“来源 IP” 输入单个来源 IP 地址或 IP 地址范围以进行过滤。

“设备类型” 单击过滤器图标，选择设备类型（多 10 个），然后单击“确定”。

“规范化的 ID” 选择规范化的 ID 用以过滤（请参见“什么是规范化的 ID”）。

“严重性” 要按照事件严重性过滤，请选择“大于或等于”以及严重性代码（0 到 100 之间）。

另请参阅设置事件转发第 259 页事件转发代理第 262 页发送和转发采用标准事件格式的事件第 265 页配置事件转发第 260 页添加事件转发目标第 260 页启用或禁用事件转发第 262 页修改所有事件转发目标的设置第 263 页编辑事件转发过滤器设置第 264 页

编辑事件转发过滤器设置保存事件后，更改事件转发的过滤器设置。

开始之前编辑设备过滤器时，您必须有权访问过滤器中的所有设备。要启用对设备的访问权限，请参阅“设置用户组”。



2 单击“编辑”，然后单击“事件过滤器”。

3 进行更改，然后单击“确定”。



另请参阅设置事件转发第 259 页事件转发代理第 262 页发送和转发采用标准事件格式的事件第 265 页配置事件转发第 260 页添加事件转发目标第 260 页启用或禁用事件转发第 262 页修改所有事件转发目标的设置第 263 页添加事件转发过滤器第 263 页

发送和转发采用标准事件格式的事件标准事件格式 (SEF) 是一种基于 Java Script Object Notation (JSON) 的事件格式，表示通用的事件数据。

SEF 格式可将 ESM 的事件转发到不同 ESM 中的接收器，也能从 ESM 转发到第三方。在创建数据来源时，您也可以通过选择 SEF 作为数据格式，利用它将第三方的事件发送至接收器。

在利用 SEF 设置从 ESM 到 ESM 的事件转发时，您需要执行四个步骤：

1 导出数据来源、自定义类型、正在转发事件的 ESM 中的自定义规则。

— 要导出数据来源，请遵循“将数据来源移动到其他系统”中的说明。

— 要导出自定义类型，请打开“系统属性”，单击“自定义类型”，然后单击“导出”。

— 要导出自定义规则，请遵循“导出规则”中的说明。

2 在具有要转发到其中的接收器的 ESM 中，导入您刚导出的数据来源、自定义类型和自定义规则。

— 要导入数据来源，请遵循“将数据来源移动到其他系统”中的说明。

— 要导入自定义类型，请打开“系统属性”，单击“自定义类型”，然后单击“导入”。

— 要导入自定义规则，请遵循“导出规则”中的说明。

3 在将接收其他 ESM 的事件的 ESM 中，添加 ESM 数据来源。

— 在系统导航树中，选择将要数据来源添加到的接收器设备，然后单击“添加数据来源”图标。

— 在“添加数据来源”页面的“数据来源供应商”字段中选择 “McAfee”，然后在“数据来源型号”字段中选择 “EnterpriseSecurity Manager (SEF)”。

— 填写所需信息，然后单击“确定”。

4 在发送 ESM 中添加事件转发目标。

— 单击系统导航树中的系统，然后单击“属性”图标。

— 单击“事件转发”，然后单击“添加”。

— 在“添加事件转发目标”页面的“格式”字段中选择 “syslog（标准事件格式）”，然后利用您要转发到的 ESM 的信息填写剩余字段，并单击“确定”。

另请参阅设置事件转发第 259 页事件转发代理第 262 页配置事件转发第 260 页添加事件转发目标第 260 页启用或禁用事件转发第 262 页修改所有事件转发目标的设置第 263 页添加事件转发过滤器第 263 页编辑事件转发过滤器设置第 264 页



管理报告报告显示 ESM 中管理的事件和流中的数据。您可以设计您自己的报告或者运行其中一个预定义的报告，并以 PDF、HTML 或 CSV 格式发送。

预先定义的报告。

预先定义的报告划分为以下这些类别：• 合规性 • McAfee Database Activity Monitoring (DAM)

• 执行 • McAfee DEM

• McAfee ADM • McAfee Event Reporter

它们根据事件生成数据。

用户定义的报告

当创建报告时，您可以通过选择方向、大小、字体、边距以及页眉和页脚在“报告布局”编辑器中设计布局。您还可以包含组件，将其设置为根据所需显示数据。

所有布局均会保存，并且可用于多个报告中。当添加报告时，您可以选择设计新布局、按照这种方式使用现有布局，或者将现有布局用作一个模板并编辑其功能。您也可以在报告布局不再需要时将其删除。

另请参阅为季度报告设置开始月份第 266 页添加报告第 267 页添加报告布局第 268 页在 PDF 和报告中包含图像第 271 页添加报告条件第 271 页在报告中显示主机名第 272 页

为季度报告设置开始月份如果您以季度为基础运行报告，则必须定义第 1 季度的第一个月份。定义第一个月份并将其存储在系统表中之后，报告便以该开始日期为基础按季度运行。


1 在 ESM 控制台中，选择“系统属性”，然后单击“自定义设置”。

2 在“指定应使用的月份”字段中，选择月份。

3 单击“应用”保存这些设置。

另请参阅管理报告第 266 页添加报告第 267 页添加报告布局第 268 页在 PDF 和报告中包含图像第 271 页添加报告条件第 271 页在报告中显示主机名第 272 页

8 使用事件管理报告


添加报告添加报告并定期运行，时间间隔由您定义；也可以在手动选择它们时运行。您可以选择现有报告布局，也可以使用“报告布局”编辑器创建布局。

任务1 在信息显示板中，单击并选择“报告”。

2 单击“添加”，然后定义“添加报告”页面中的设置。


报告将被添加到“报告”页面上的表中，并按照“条件”字段中的定义运行。


选项定义

“ 报告 ”表查看 ESM 上当前设置的端口。

“ 添加” 定义新报告的设置并将其添加至 ESM。

“ 编辑” 更改现有报告上的设置。

“ 删除” 删除 ESM 中的现有报告。

“ 立即运行” 立即运行所选报告。

“共享” 与您选择的组或用户共享选定的报告。

“导入” 导入之前导出的报告。

“导出” 导出报告。

“ 已启用” 启用表中所选报告。

“ 启用”或“禁用”按钮启用或禁用报告功能。该功能被禁用时，列表上所有报告都不会生成文件。

“条件 ” 管理报告可用的条件类型。

“ 收件人” 管理 ESM 上定义的收件人。

“ 查看” 查看当前队列中等待运行的报告，可根据需要取消运行。

“文件 ” 管理生成的报告文件。


选项定义

“ 报告名称 ” 键入报告的名称。

“说明 ” 键入报告生成的信息的说明。

“条件” 从选项列表中选择何时运行该报告。若要向选项列表中添加条件，请单击“编辑条件”。

“ 时区” 选择必须要使用的时区，以运行查询。

“ 日期格式” 选择日期要使用的格式。

“格式 ” 选择生成的报告采用的格式。• 如果正在设计新报告，则有 PDF 或 HTML 可供选择。

• 如果要在报告中包含视图，则请选择“查看 PDF”。

• 如果要生成查询结果的 CSV 文件，则请选择“查询 CSV”。

“电子邮件发送到用户或组”

若要将报告发送至用户或组，则请选择该选项，然后单击“添加收件人”选择收件人。如果报告格式为“报告 HTML”或“查询 CSV”，则请选择将报告作为电子邮件附件还是电子邮件内联。

使用事件管理报告 8



选项定义

“文件保存到 ESM ” 若要将报告保存到 ESM 上的文件，则请选择该选项。“前 ”显示文件名称的默认前，您可对其进行更改。生成文件后，请单击“报告”页面上的“文件”，以查看报告。

“文件保存到远程位置 ”

若要将报告保存到远程位置，则请选择该选项。从下拉列表中选择位置。如果未列出，则请单击“管理位置...” 然后添加远程位置配置文件。

“选择现有布局或创建新布局”

如果您选择 PDF 或 HTML 格式，则请选择现有布局或创建新布局。您也可以管理布局。• “选择现有布局” — 在列表中找到布局，然后单击该布局。

• “添加” — 单击该选项，打开“报告布局”编辑器并创建新布局。

• “编辑” — 对现有布局进行更改。

• “添加文件夹” — 添加文件夹，以便组织您的布局。然后，您可以将新布局添加至文件夹，将现有布局拖放至文件夹，或添加子文件夹。

• “导入” — 若要导入布局，请单击并浏览至要导入的文件。

如果您导入的布局包含当前 ESM 上已存在的图像，则会打开“导入报告布局”，通知您出现冲突并向您提供以下选择：

• “保持本地 ”— 保留 ESM 上的图像，并删除报告布局中的图像。ESM 上的图像可用于此布局。

• “替换本地” — 使用报告布局中的图像替换 ESM 上的图像。任何使用您当前正从 ESM 删除的图像的布局都会使用通过布局导入的图像。

• “重命名” — 自动重命名报告布局中的图像。导入布局时，图像会使用新名称。

• “导出” — 单击该选项，导出布局。

• “在报告中包含过滤器摘要” — 选择该选项，从而包含针对该报告定义的全局和单个组件过滤器。使用的过滤器会列在报告的底部。如果您要了解针对报告中数据定义的限制，这将很有帮助。

“选择视图” 如果您选择使用“查看 PDF”格式，则请从下拉列表中选择要包含到报告中的视图。

“选择自定义查询” 如果您选择“查询 CSV”，则请选择预定义查询。

“Enter values tofilter” （输入要过滤的值）

选择要应用到该报告中所有组件的过滤器（请参阅““查询过滤器”页面”）。您可以在这些字段中使用 contains 和 regex 过滤器（请参阅 “contains 和 regex 过滤器的描述”）。

另请参阅管理报告第 266 页为季度报告设置开始月份第 266 页添加报告布局第 268 页在 PDF 和报告中包含图像第 271 页添加报告条件第 271 页在报告中显示主机名第 272 页

添加报告布局如果预先定义的报告布局不符合您的需要，则设计其布局。




1 在系统导航树上，选择“系统属性”，然后单击“报告”。

2 单击“添加”打开“添加报告”页面，然后填写第 1、2 和 3 部分。

3 在第 4 部分，选择“报告 PDF”或“报告 HTML”。

4 在第 5 部分，单击“添加”打开“报告布局”编辑器。

5 设置布局以显示报告生成的数据。

布局被保存，并可供其他报告使用或者用作可进行编辑的模板。


选项定义

来回滑动指示符，以调整编辑器页面的大小。

“ ” 选择编辑器页面的宽度，使之与页面的宽度相符。

“文档属性” 定义布局的基本格式设置。• “名称”和“说明” — 键入布局的名称，及其功能的说明。名称为必填字

段。

• “方向” — 选择页面为纵向或横向，以打印报告。

• “大小” — 报告页面的默认大小为 8.5 x 11。若要更改大小，请在下拉列表中选择正确的大小。编辑器页面会反映做出的更改。

• “默认字体” — 选择报告中文本使用的字体、大小和颜色。如果做出更改，则编辑器上的文本会反映出所做更改。您也可以选择文本是否为粗体、斜体、下划线、居中或左对齐。

• “边距” — 选择报告各边缘的边距。

• “页眉和页脚” — 选择是否要在报告上使用页眉和页脚。

“标题属性” 单击编辑页面上的标题区域，然后在“标题属性”部分执行以下操作：• “报告名称字体” — 选择标题中布局名称使用的字体。

• “附带的项目” — 选择要在标题中包含的项目。如果更改这些项目的字体，则请转至“文档属性”。

• “徽标” — 选择是否在标题中添加徽标。如果要添加，则请选择要放在标题的右侧还是左侧，并单击“文件”字段中的链接，以选择图像。

“页脚属性” 单击编辑页面的页脚区域。在“页脚属性”部分，选择要包含的项目。

“保存” 单击该选项，保存布局。如果您忽略必须要定义的设置，系统会给您通知。

“另存为” 将布局保存为新的文件名称。

“复制” 若要复制布局中所选组件，则请单击该选项。显示所复制组件类型的剪贴板图标会被添加到左侧。然后，您可按以下两种方式中的一种粘贴组件：• 将图标拖放至要将组件添加到的位置。

• 在布局中突出显示组件，并单击“粘贴”。复制的组件会被添加到您突出显示的组件下面。




选项定义

组件属性拖放编辑器页面上的“文本”、“图像”、“表”、“条形图”、“饼图”或“分布图”组件，并定义其设置（如下所示）：• “查询向导” — 定义您选择的组件的查询。

• “字体” — 设置字体、大小和颜色；是否使用粗体、斜体或下划线；使用左对齐、居中还是右对齐。

• “图像” — 选择“图像选择器”页面上的图像。

• “缩写词” — 根据需要更改缩写词，设置标题字体并选择对齐方式。

• “查询” — 根据需要更改查询，并选择要在表上显示的大结果数目。如果您希望报告对来源和目标 IP 地址使用 DNS 解析，请在“表”、“条形图”或“饼图”组件中选择“将 IP 解析为主机名”。

• “表标题” — 设置表的标题行的字体。

• “表” — 设置表中数据的字体。

• “边框” — 选择是否要在文本框、图像或表的周围使用边框；如果使用，请确定宽度和颜色。

• “替代行颜色” — 如果要使表的替代行使用不同颜色，则请选择要使用的两种颜色。

• “列” — 设置表中各列的列名称和格式。

• “小计配置” — 选择是否要在表上显示小计。

• “其他” — 在饼状图上，选择是否要显示标签和图标。

• 若要调整组件的大小，请单击编辑器页面上的组件，单击表示边框的黄色方块，然后拖动方块，调整边框大小。

“分页符” 拖放至要插入分页符的位置。加粗的黑线表示分页符所在的位置。

另请参阅管理报告第 266 页为季度报告设置开始月份第 266 页添加报告第 267 页在 PDF 和报告中包含图像第 271 页添加报告条件第 271 页在报告中显示主机名第 272 页

向报告中添加图像组件选择要添加到报告正文作为组件的图像。

开始之前请确保已将图像文件添加到 ESM 或位于可从 ESM 访问的位置。




1 在系统导航树上，选择“系统属性” | “报告” | “添加”，然后完成第 1-4 章节。

2 第 5 章节中，单击“添加”，以设计新的报告布局或选择现有布局并单击“编辑”。

3在“报告布局”页面上，将“图像”图标拖放到布局正文部分。

4 在“图像选择器”页面，单击“添加”，以上传新的图像并选择该图像，或从列表中选择图像。

5 单击“确定”，以将图像添加到报告布局中。

在 PDF 和报告中包含图像您可以设置 ESM，这样导出的 PDF 和打印的报告便包含“登录”屏幕中显示的图像。

开始之前将图像添加至“自定义设置”页面中。


1 在系统导航树中，选择“系统属性”，然后单击“自定义设置”。

2 选择“从视图或打印的报告中包含导出的 PDF 格式的图像”。



选项定义

“图像选择器”表查看 ESM 上的图像。选择一个图像，然后单击“确定”。

“ 添加 ” 将新图像添加至 ESM。

“重命名” 更改当前 ESM 上的图像的名称。列表上各个图像的名称必须唯一。

“删除” 删除 ESM 中的图像。

另请参阅管理报告第 266 页为季度报告设置开始月份第 266 页添加报告第 267 页添加报告布局第 268 页添加报告条件第 271 页在报告中显示主机名第 272 页

添加报告条件添加条件以便使其在设置报告时可用。




1 在系统导航树上，选择“系统属性”，然后单击“报告”。

2 单击“条件”，然后输入请求的信息。

3 单击“确定”以保存设置。

当您选择报告的条件时，此选项将显示在可用条件的列表中。


选项定义

“ 条件 ”表查看现有条件。

“ 添加 ” 指定新条件的设置。

“编辑” 更改现有条件的设置。

“删除” 删除现有条件。


选项定义

“ 名称 ” 键入该条件的名称。

“ 类型 ” 选择触发条件的频率。

“注释” 键入注释，说明该条件的用途。

“属性” 定义触发时间的详细信息。选项根据您选择的类型而定。

另请参阅管理报告第 266 页为季度报告设置开始月份第 266 页添加报告第 267 页添加报告布局第 268 页在 PDF 和报告中包含图像第 271 页在报告中显示主机名第 272 页

在报告中显示主机名您可以将报告配置为在报告上使用 DNS 解析来源和目标 IP 地址。



2 单击“报告”，然后单击“添加”并在第 1 – 4 部分填写所需信息。

3 在第 5 部分中，单击“添加”，然后拖放“表”、“条形图”或“饼图”组件并完成“查询向导”。

4 在“报告布局”编辑器上“属性”窗格的“查询”部分中，选择“将 IP 解析为主机名”。

除了显示在报告中外，您还可以在“主机”表格上查看 DNS 查询结果（“系统属性” | “主机”）。



另请参阅管理报告第 266 页为季度报告设置开始月份第 266 页添加报告第 267 页添加报告布局第 268 页在 PDF 和报告中包含图像第 271 页添加报告条件第 271 页

contains 和 regex 过滤器的描述contains 和 regex 过滤器为您提供针对索引字符串数据和非索引字符串数据的通配符功能。这些过滤器有语法要求。

这些命令可用于允许文本或字符串数据的任何字段。大多数文本字段都是用过滤器字段名称旁的不区分大小写图标表示。其他允许 contains 的字段则没有此图标。若需完整的字段列表，请参阅“支持 contains 功能的字段”部分。

语法和示例

contains 的基本语法是 contains(somevalue)，而 regex 的基本语法是 regex(someregularexpression)。

若希望不区分大小写，请单击图标或包括 /i 正则表达式表示法，如 regex(/somevalue/i)。搜索会返回包含somevalue 的任何值，不区分大小写。

NOT 和 OR 图标会应用到 regex 和 contains 值。如果您希望在结果中显示不包含某值的值，请输入该值并单击NOT 图标。如果您希望在结果中显示包含两个值之一的值，请输入这两个值并单击 OR 图标。

示例 #1 – 简单搜索

索引的字段： contains(stra)、regex(stra)

非索引字段： stra

结果：返回包含 stra 的所有字符串，如 administrator、gmestrad 或 straub。

示例 #2 - OR 搜索

索引的字段： contains(admin,NGCP)、regex((admin|NGCP))

非索引字段： admin,NGCP

结果：返回字段内包含 admin 或 NGCP 的所有字符串。正则表达式 OR 需要另外添加一组括号才起作用。

示例 #3 – 搜索字符串（如服务帐号）中的特殊字符

美元符号：

索引的字段： contains($)、regex(\x24) 或 regex(\$)

非索引字段： $

结果：上述两种情况都会返回字段内包含 $ 的所有字符串。请访问 http://www.ascii.cl，获取字符的 HEX 值列表。

采用正则表达式时，如果在不转义的情况下使用 $，返回的结果为空。更好的搜索方法是 PCRE 转义序列。

百分比符号：

使用事件contains 和 regex 过滤器的描述 8


索引的字段： contains(%)、regex(\x25) 或 regex(\%)

非索引字段： %

反斜线符号：

索引的字段： contains(\)、regex(\x5c) 或 regex(\\)

非索引字段： \

双重反斜线符号

索引的字段： contains(\\)、regex(\x5c\x5c) 或 regex(\\\)

非索引字段： \\

在某些情况下，如果不将 HEX 值或斜线与正则表达式一起使用，您可能会收到“无效正则表达式 (ER5-0015)” 错误。

示例 #4 – 使用 * 通配符进行搜索

索引的字段： contains (ad*)

非索引字段： ad*

结果：返回以 ad 开头的所有字符串，如 administrator 和 address。

示例 #5 – 使用正则表达式进行搜索

这些域都来自 Microsoft DNS 事件。

regex(nitroguard\x28[3-4]\x29[com|info}+)

(3)www(10)nitroguard(3)com(0)

(3)www(10)nitroguard(4)info(0)

(3)www(10)nitroguard(3)gov(0)

(3)www(10)nitroguard(3)edu(0)

(3)www(10)nitroguard(7)oddball(0)

结果：此正则表达式选出特定字符串。在本例中，选择的是 nitroguard、3 位或 4 位的主域以及 com 或 info。该正则表达式匹配前两个表达式，但不会匹配其他表达式。这些示例显示如何将正则表达式与该功能配合使用。您的表达式将大不一样。

注意事项

• 使用 regex 时，若值所含的字符数少于三个，则会导致更高的系统开销和更慢的查询速度。建议所有查询都要包含三个以上字符。

• 此过滤器无法在关联规则或警报中使用。唯一的例外是它可以在具有名称/值自定义类型的关联规则中使用。

• 将 contains 或 regex 与 NOT 一起使用会导致更高的系统开销和更慢的查询速度。

布隆过滤器描述

有关布隆过滤器的信息，请参阅 http://en.wikipedia.org/wiki/Bloom_filter。

8 使用事件contains 和 regex 过滤器的描述


http://en.wikipedia.org/wiki/Bloom_filter

支持 contains 和 regex 功能的字段

Access_Resource（访问资源） File_Operation_Succeeded（文件操作已成功）

Referer

Application（应用程序） File_Path（文件路径） Registry_Key（注册密钥）

Application_Protocol（应用程序协议）

File_Type（文件类型） Registry_Value（注册值）

Area（区域） Filename（文件名） Request_Type（请求类型）

Authoritative_Answer（权威答案） Forwarding_Status（转发状态） Response_Code（响应代码）

Bcc（密件抄送） From（发件人） Return_Code（返回代码）

Caller_Process（呼叫者过程） From_Address（发件人地址） RTMP_Application（RTMP 应用程序）

Catalog_Name（类别名称） FTP_Command（FTP 命令） Sensor_Name（传感器名称）

Category（类别） Host（主机） Sensor_Type（传感器类型）

Cc（抄送） HTTP_Req_Cookie（HTTP 请求Cookie）

Sensor_UUID（传感器 UUID）

Client_Version（客户端版本） HTTP_Req_Host（HTTP 请求主机） Session_Status（会话状态）

Command（命令） HTTP_Req_Method（HTTP 请求方法） Signature ID（特征码 ID）

Contact_Name（联系人名称） HTTP_Req_Referer（HTTP 请求Referer）

Signature_Name（特征码名称）

Contact_Nickname（联系人别名） HTTP_Req_URL（HTTP 请求 URL） SNMP_Error_Code（SNMP 错误代码）

Cookie HTTP_User_Agent（HTTP 用户代理） SNMP_Item（SNMP 项目）

Creator_Name（创建者姓名） Incomtin_ID SNMP_Item_Type（SNMP 项目类型）

Database_ID（数据库 ID） Interface（接口） SNMP_Operation（SNMP 操作）

Database_Name（数据库名称） Interface_Dest（接口目标） SNMP_Version（SNMP 版本）

Datacenter_ID（数据中心 ID） Job_Name（作业名称） Source User（来源用户）

Datacenter_Name（数据中心名称）

Job_Type（作业类型） Source_Context（来源上下文）

DB2_Plan_Name（DB2 计划名称） Language（语言） Source_Logon_ID（来源登录 ID）

Delivery_ID（发送 ID） Local_User_Name（本地用户名） Source_Network（来源网络）

Description（说明） Logical_Unit_Name（逻辑单位名称） Source_UserID（来源用户 ID）

Destination User（目标用户） Logon_Type（登录类型） Source_Zone（来源区域）

Destination_Directory（目标目录） LPAR_DB2_Subsystem（LPAR DB2 子系统）

SQL_Command（SQL 命令）

Destination_Filename（目标文件名）

Mail_ID（邮件 ID） SQL_Statement（SQL 语句）

Destination_Hostname（目标主机名）

Mailbox（邮箱） Step_Count（步骤数）

Destination_Logo_ID（目标徽标ID）

Mainframe_Job_Name（主机作业名称）

Step_Name（步骤名称）

Destination_Network（目标网络） Malware_Insp_Action（恶意软件检测操作）

Subject（主题）

Destination_UserID（目标用户ID）

Malware_Insp_Result（恶意软件检测结果）

SWF_URL（SWF URL）

Destination_Zone（目标区域） Management_Server（管理服务器） Table_Name（表名称）

使用事件contains 和 regex 过滤器的描述 8


Detection_Method（检测方法） Message_ID（消息 ID） Target_Class（目标级别）

Device_Action（设备操作） Message_Text（消息文本） Target_Context（目标上下文）

Direction（方向） Method（方法） Target_Process_Name（目标过程名称）

Directory（目录） NTP_Client_Mode（NTP 客户端模式） TC_URL（TC URL）

DNS_Class（DNS 级别） NTP_Opcode（NTP 操作码） Threat_Category（威胁类别）

DNS_Name（DNS 名称） NTP_Request（NTP 请求） Threat_Handled（威胁已处理）

DNS_Type（DNS 类型） NTP_Server_Mode（NTP 服务器模式） Threat_Name（威胁名称）

Domain（域） Object（对象） To（收件人）

Event_Class（事件级别） Object_Type（对象类型） To_Address（收件人地址）

External_Application（外部应用程序）

Operating_System（操作系统） URL

External_DB2_Server（外部 DB2服务器）

Policy_Name（策略名称） URL_Category（URL 类别）

External_Hostname（外部主机名） Privileged_User（有权限的用户） User_Agent（用户代理）

External_SessionID（外部会话ID）

Process_Name（过程名称） User_Nickname（用户别名）

Facility（工具） Query_Response（查询响应） Version（版本）

File_Operation（文件操作） Reason（原因） Virtual_Machine_ID（虚拟计算机ID）

Virtual_Machine_Name（虚拟计算机名称）

这些自定义类型可使用 contains 和 regex：

视图• 字符串

• 随机字符串

• 名称/值

• 哈希字符串

案例管理• 注释

• 摘要

• 历史记录

使用 ESM 视图ESM 检索设备记录的事件、流、资产和漏洞相关信息。这些信息将被关联并插入到 McAfee Security EventAggregation and Correlation (MSEAC) 引擎中。

目录管理视图查看会话详细信息过滤视图监视列表流视图 “增强的 ELM 搜索”视图查看组件使用查询向导

8 使用事件使用 ESM 视图


管理视图管理视图会为您提供一次性复制、导入或导出多个视图的快捷途径。您可以选择要在视图列表中包含的视图并为特定用户或组分配权限，以访问单个视图。


1 在 ESM 控制台上，单击“管理视图”图标。

2 执行任意可用选项，然后单击“确定”。


选项定义

表在视图列表中选择要显示的视图。如果选择文件夹，该文件夹中的所有子文件夹和视图都将被选中。如果文件夹的复选框为黑色，表明其中的子文件夹和视图有一部分已被选中。

“ 添加文件夹 ” 创建自定义文件夹以整理您的视图。添加自定义文件夹后，您可以将视图拖放到其中。

“重命名” 重命名选定的文件夹或视图。您无法重命名只读视图。

“删除” 删除选定的自定义文件夹或视图。您无法删除只读视图。

“复制” 复制视图并将其添加到视图列表中。复制视图后，您可以将其拖放到其他文件夹中。

“共享” 选择有权访问和修改选定视图的用户或组。

“导入” 将视图文件导入 ESM。

“导出” 导出自定义视图的文件，这样您便可以与其他 ESM 共享该文件或保留该文件作为备份。请注意，您无法导出只读视图。

“将其作为我的默认视图”

选择要用作视图窗格中的默认视图的特定视图。为此，请单击相应的视图并选择此选项。

查看会话详细信息您可以通过会话 ID 查看事件的详细信息并将其保存到“会话查看器”上的 csv 文件。

若要具备会话 ID，事件必须位于会话中。会话是来源和目标进行连接产生的。设备或 ESM 内部的事件不具备会话ID。


1 在视图下拉列表上，选择您需要查看的会话所在的视图。

2 选择事件，并单击组件标题栏上的菜单图标，然后选择 “事件深度查询” | “事件”。

3 单击事件，再单击“高级详细信息”选项卡，然后单击“会话 ID”字段旁边的“查看会话数据”图标。

此时会打开“会话查看器”，显示会话的详细信息。

过滤视图在 ESM 主控制台上的过滤器窗格中，您可以设置对视图应用的过滤器。对视图应用的任意过滤器均会传递到下一个打开的视图。

第一次登录到 ESM 时，默认过滤器窗格包括“来源用户”、“目标用户”、“来源 IP”和“目标 IP” 过滤器字段。您可以添加和删除过滤器字段、保存过滤器集、更改默认集、管理所有过滤器和启动字符串规范化管理器。

当过滤器应用到视图时，视图窗格的右上角会出现橙色的漏斗图标以作提醒。如果您单击该橙色图标，则会清除所有过滤器并重新运行查询。

使用事件使用 ESM 视图 8


用逗号分隔的过滤器值（如变量、全局过滤器、局部过滤器、规范化字符串或报告过滤器）若非关注列表的一部分，则必须要使用引号。如果值为 Smith,John，那么您必须键入 "Smith,John"。如果值中已有引号，那么您必须再次使用引号。如果值为 Smith,"Boy"John，那么您必须输入"Smith,""Boy""John"。

您可以使用 contains 和 regex 过滤器（请参阅 “contains 和 regex 过滤器的描述”）。

另请参阅过滤视图第 278 页添加 UCF 和 Windows 事件 ID 过滤器第 298 页选择规范化的 ID 第 279 页

过滤视图过滤器可帮助您查看有关视图上所选项目的详细信息。如果您输入过滤器并刷新视图，则视图中的数据会反映您添加的过滤器。


1 在 ESM 控制台上，单击视图的列表，然后选择要过滤的视图。

2 在“过滤器”窗格中，请通过以下方式之一在字段中填写您要过滤的数据：• 请在相应字段中键入过滤信息。例如，若要过滤当前视图，从而仅查看来源 IP 地址为 161.122.15.13 的数据，

则请在“来源 IP”字段中键入 IP 地址。

• 键入 contains 或 regex 过滤器（请参阅 “contains 和 regex 过滤器的描述”）。

• 单击字段旁边的“显示过滤器列表”图标，并选择要过滤的变量或关注列表。

• 在视图上，选择要用作过滤器的数据，然后单击“过滤器”窗格中的字段。如果字段为空，则会使用您选择的数据自动填充。

对于“平均严重性”，请使用冒号 (:) 输入范围。例如，60:80 表示的严重性范围为 60-80。



请查看与多个过滤器匹配的数据在各个字段中输入值。

请查看与某个过滤器匹配且排除其他过滤器的数据

1 请输入您要包含和排除的过滤器值。

2 请单击您要排除的字段旁边的“非”图标。

请查看与常规和 OR 过滤器匹配的数据

1 请在常规和“或”字段中输入过滤器值。

2 单击有“OR”值的字段旁边的“OR”图标。

视图中包含与未标记“OR”字段中的值匹配的数据，以及与标记“OR”字段中的任一值匹配的值。

该字段至少有两个字段标记为“OR”才可运行。

使过滤器值不区分大小写请单击相应过滤器字段旁边的“不区分大小写”图标。

使用规范化字符串的别名替代字符串

单击相应过滤器字段旁边的规范化图标。

4 单击“运行查询”图标。



该视图会刷新，并会在视图中显示与您输入的值匹配的记录。视图窗格的右上角会显示橙色的过滤器图标，表明视图中的数据为过滤器结果。如果您单击图标，则过滤器会被清除且视图会显示所有数据。


选项定义

表查看添加到 ESM 的过滤器集（请参阅“过滤器窗格”），以及所有潜在过滤器。您可以通过添加文件夹并将过滤器集放置到这些文件夹中，以组织该列表。

“添加文件夹” 添加新文件夹，以帮助您组织过滤器。完成添加后，您可以将过滤器集拖放到新文件夹。

“添加过滤器集”、“编辑过滤器集”

将新的过滤器集添加到潜在过滤器列表中，或编辑现有过滤器集。

“重命名” 更改选定文件夹或过滤器集的名称。

“删除” 删除列表中的文件夹或过滤器。

“复制” 复制现有过滤器。经过重命名，该过滤器会被添加到列表底部。然后，您可以将其用作模板并通过“编辑过滤器集”更改其设置。

“共享” 与系统上的其他用户或组共享所选的文件夹或过滤器集。

另请参阅过滤视图第 277 页添加 UCF 和 Windows 事件 ID 过滤器第 298 页选择规范化的 ID 第 279 页

选择规范化的 ID创建新视图或将过滤器添加到视图中时，您可以选择使用规范化的 ID 过滤数据。


1 在 ESM 控制台上，执行以下操作之一：

• 如果您正在创建新的视图，则请单击“查询向导”第二页上的“过滤器”（请参阅“定义视图或报告组件设置”）。

• 如果您正在将过滤器添加到视图，则请选择要将其添加到的视图。 “过滤器”窗格在屏幕的右侧。

2 查找“规范化的 ID”字段，然后单击“过滤器”图标。

3 选择该 ID，然后单击“确定”。

选择的 ID 编号被添加到“规范化的 ID”字段。

另请参阅过滤视图第 277 页过滤视图第 278 页添加 UCF 和 Windows 事件 ID 过滤器第 298 页

查看事件时间查看事件插入接收器数据库的准确时间。

开始之前您必须具备以下权限：



• “查看数据”，以获取事件并查看事件时间

• “视图管理”，以创建视图

• “事件管理”，以更改事件


1 在 ESM 控制台上，添加包含“设备时间”字段的时间表视图。

a 在视图窗格工具栏上，单击“新建视图”图标。

b 在“视图编辑工具栏”上，单击并拖动“表”组件。

c 在“查询向导”上，单击“下一步”，然后单击“字段”。

d 单击左侧列表中的“设备时间”，并将其移至右侧列表。

e 在“字段”页面上，单击“确定”，然后单击“完成”。

f 在“视图编辑工具栏”上，单击“另存为”，键入视图的名称，然后单击“确定”。

g 关闭“视图编辑工具栏”。

该视图被添加到视图下拉列表中。

2 通过以下方法之一查看“设备时间”。

如果您发送事件进行修补（请参阅“发送修补电子邮件”），则该事件的设备时间会丢失。

• 在您添加的视图的事件表中查看“设备时间”列。

• 单击表底部工具栏中的“查看数据详细信息”图标，并单击“高级详细信息”选项卡，然后查看“设备时间”字段。

监视列表监视列表是一组可用作过滤器或用作警报条件的特定类型的信息。

关注列表可以是全局性的，也可以共享给特定用户或组；它可以是静态的，也可以是动态的。静态关注列表由您输入或导入的特定值组成。动态关注列表由正则表达式生成的值或您定义的字符串搜索条件组成。

一个关注列表多可以包含 1,000,000 个值。“添加关注列表”或“编辑关注列表”页面上的值列表多可以显示 25,000 个值。如果超过这个数量，将会提示您值数量过多，无法全部显示。如果您要通过添加值来编辑关注列表，而这样会使值的总数超过 25,000 个，则您必须将现有列表导出为本地文件，添加新值，然后导入新列表。

您可以为静态关注列表中的值设置到期时间。每个值都将带有时间戳，并将于您指定的期限到期，除非进行刷新。如果警报被触发并将值添加到关注列表，则值会刷新。您可以刷新设置了到期时间的值，方法是使用视图组件菜单上的“附加到关注列表”选项将这些值附加到列表中（请参阅“组件菜单选项”）。

您可以为动态关注列表中的值设置定期更新时间。系统将使用指定的数据查询来源，并且会在指定的时间刷新值。

另请参阅添加关注列表第 281 页McAfee GTI 关注列表第 283 页从 Internet 创建威胁关注列表或 IOC 源。第 283 页添加 Hadoop HBase 关注列表第 284 页



添加关注列表将关注列表用作过滤器或警报条件。

任务1 按照以下方式之一访问“关注列表”页面：

• 在信息显示板中，单击并选择“关注列表”。

• 在系统导航树上，单击“系统属性”，然后单击“关注列表”。

• 在“内部事件匹配”警报中，单击“操作”选项卡，选择“更新关注列表”，然后单击“配置”。

“关注列表”表中显示了系统上的所有关注列表。

该表中显示“GTI 恶意 IP”和“GTI 可疑 IP”，但不含任何数据，除非您从 McAfee 购买了 McAfee GTI 许可证。要购买许可证，请与您的 McAfee 销售工程师或 McAfee 支持联系。

2 单击“添加”或“添加新关注列表”，然后填写所需的信息。

3 单击“确定”将新关注列表添加到“关注列表”表中。


选项卡

选项定义

“主” “” “名称” 键入关注列表的名称。

“静态”或“动态” 选择关注列表为动态还是静态。静态关注列表由您指定的值组成。动态关注列表由正则表达式生成的值或您定义的字符串搜索条件组成。

“值过期” （静态）选择对关注列表上的各个值标上时间，使其在指定的时间到期。当值达到您指定的时长时，将会过期（除非进行刷新）。如果警报触发了并将值添加到关注列表，则值会刷新。若要刷新设置了到期时间的值，则请利用视图组件菜单上的“附加到关注列表”将这些值附加到列表中。

“持续时间” （静态）选择值要保留多长时间。时间范围为 1 小时到 365 天。超出指定的时间范围后，该值会从关注列表中删除，除非对其进行刷新。

“启用自动更新” （动态）选择是否想要此列表在您指定的时间自动进行更新。

“更新 ” 选择更新搜索的频率。每次运行搜索时都会替代掉现有值列表。

“来源” 选择搜索来源类型。该页面上剩余的字段取决于您所选择的类型。大多数字段名称具备说明性。

“ESM 字符串” “” 搜索 StringMap 表，其中包含事件中发现的字符串。在“搜索”字段中输入正则表达式或字符串搜索条件。默认情况下，搜索区分大小写。若要执行区分大小写的搜索，请在搜索字符串或正则表达式外部使用正斜杠，后面添加 i，例如 /Exploit/i。

“ESM 规则名称” 搜索“规则”表中的规则消息，其中包含规则的简短说明。在“搜索”字段中输入正则表达式或字符串搜索条件。默认情况下，搜索区分大小写。若要执行区分大小写的搜索，请在搜索字符串或正则表达式外部使用正斜杠，后面添加 i，例如 /Exploit/i。

“HTTP/HTTPS” 填写以下字段：

• “身份验证” - 如果网站需要使用用户名和密码登录，则选择“基础”。默认设置为“无”。

• “忽略无效证书” - 如果您尝试搜索的网站为 https URL，则选择该选项，以忽略无效 SSL证书。

• “方法” - 如果您要搜索的网站需要提供公告内容或参数，则请选择 POST。默认设置为“GET”。




选项卡

选项定义

Active Response 填写以下字段：• “收集器” - 选择您要用于提取数据的收集器。

• “值” - 选择要包含在关注列表中的检索数据列。

• “或”或“且” - 选择是要将所有过滤器应用到数据（“且”）还是应用其中的一个过滤器（“或”）。这仅在您有两个或更多过滤器时应用。

• “过滤器” - 您要应用到搜索的过滤器。

• “添加过滤器” - 单击以添加另一个过滤器行。您多可以使用五个过滤器。

要删除过滤器，请单击过滤器右侧的删除图标。

“解析” “原始数据” 将 HTTP/HTTPS 选作来源类型时，请查看“来源”选项卡上“URL”字段中来源代码的前 200行。它只是网站的预览，但足够您写入正则表达式进行匹配。关注列表的“立即运行”或计划更新包括正则表达式搜索中的所有匹配项。该功能支持 RE2 语法正则表达式，如(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})。

“要跳过的标题行”

通常，Internet 站点都有标题代码，无需进行搜索。指定要跳过站点的前多少行，从而避免搜索标题数据。

“新建行分隔符” 键入站点中使用何种分隔符分隔值。默认情况下，该字段使用 \n，表示新建一行作为分隔符。其他常用的分隔符为逗号。

“忽略表达式” 键入正则表达式，从正则表达式搜索结果中删除任意不需要的值。

“正则表达式” （必填）键入用以查找匹配项并从站点提取值的逻辑。利用该选项创建表达式，将其与已知恶意 IP 地址列表或站点上列出的 MD5 总计匹配。

“匹配组” 如果您的正则表达式包含多个匹配组，则从该下拉列表中选择一个组。

“值” “类型” 选择类型，将搜索结果分配到字段类型。该类型使关注列表可在整个系统上使用，如用于过滤器或警报。您可以更改现有关注列表上的该设置。如果少于 25,000 个值，则 ESM 会验证旧类型和新类型是否兼容；如果不兼容，则会返回错误。如果多于 25,000 个值，您必须要验证兼容性。

如果这是动态关注列表且您将“字符串”选作来源，则应用程序不会按照您选择的类型过滤搜索。相反，搜索会返回所有匹配的字符串。

“值” 如果为静态关注列表，请导入值文件（格式为各个值通过换行隔开）或键入值（每个值占一行）。

静态和动态关注列表的上限都是 1,000,000 个值。

如果是动态关注列表，则每次运行搜索都会在值表中填入值。

如果监视列表中的值数目超过 25,000 个，则“值”字段会提示无法显示全部值。

用户名确定可以访问数据库的用户。对于 LDAP，用户名必须为无空格的完全限定域名，如：

uid=bob,ou=Users,dc=example,dc=com

或者

[email protected]

“清除值” 单击该选项可删除“值”列表上的所有项目。

“导入” 单击该选项，以将导入的值添加到“值”列表。如果导入的值超过 25,000 个，则会显示消息，说明无法显示所有导入的值。




选项卡

选项定义

“导出” 若要导出至列表，则请单击该选项。

“立即运行 ” 若要立即运行查询，则请单击该选项。搜索结果会填充“值”框。

另请参阅监视列表第 280 页McAfee GTI 关注列表第 283 页从 Internet 创建威胁关注列表或 IOC 源。第 283 页添加 Hadoop HBase 关注列表第 284 页

通过警报数据更新关注列表您可以通过添加或删除生成的触发事件数据来设置更新关注列表的警报，其中每个触发的警报多为 10 个警报事件。


1 在系统导航树上，单击“系统属性”，然后单击“警报” | “添加”。

2 在“警报设置”页面中，单击“条件”选项卡，然后选择“类型”字段中的“内部事件匹配”或“字段匹配”。

3 单击“操作”选项卡，选择“更新关注列表”，然后单击“配置”。

4 选择要执行的操作，要从触发事件附加或删除的字段和要更新的关注列表，然后单击“确定”。

McAfee GTI 关注列表McAfee GTI 关注列表包含 McAfee 收集的超过 1.3 亿条可疑和恶意 IP 地址及其严重性。这些关注列表可用于触发警报、过滤报告和视图中的数据，还可用作规则关联中的过滤器以及用作 ACE 上的风险关联管理器的评分来源。

若要将列表中的数据添加到系统中，您必须从 McAfee 购买 McAfee GTI 许可证。购买许可证后，下次当您下载规则时，列表便会添加到系统中。此过程可能需要花费几个小时的时间，具体取决于数据库的大小。

您必须连接 Internet 才可以下载列表。这些规则不支持离线下载。

这些列表不能被查看或编辑，但“监视列表”表（“系统属性” | “监视列表”）指明了列表是活动的（包含值）还是非活动的（不包含任何值）。

若要购买 McAfee GTI 许可证，请与您的 McAfee 销售工程师或 McAfee 支持联系。

另请参阅监视列表第 280 页添加关注列表第 281 页从 Internet 创建威胁关注列表或 IOC 源。第 283 页添加 Hadoop HBase 关注列表第 284 页

从 Internet 创建威胁关注列表或 IOC 源。您可以创建定期刷新的关注列表，以便从 Internet 自动提取威胁或损害指标 (IOC)。

在该关注列表上，您可以预览通过 HTTP 请求检索的数据并添加正则表达式，从而对该数据进行过滤。





2 单击“关注列表”，然后单击“添加”。

3 完成“主”选项卡，选择“动态”。

4 单击“来源”选项卡，并选择“类型”字段中的“HTTP/HTTPS”。

5 完成“来源”、“解析”和“值”选项卡上要求的信息。

“解析”选项卡上的“原始数据”字段由前 200 行 html 来源代码填充。它只是网站的预览，但足够您写入正则表达式进行匹配。关注列表的“立即运行”或计划更新包括正则表达式搜索中的所有匹配项。该功能支持 RE2 语法正则表达式，如 (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})，从而匹配 IP 地址。

另请参阅监视列表第 280 页添加关注列表第 281 页McAfee GTI 关注列表第 283 页添加 Hadoop HBase 关注列表第 284 页

添加 Hadoop HBase 关注列表添加将 Hadoop HBase 用作来源的关注列表。


1 在系统导航树中，选择系统，单击“属性”图标，然后单击“关注列表”。

2 在“添加关注列表”向导的“主”选项卡上，选择“动态”，输入所需信息，然后单击“来源”选项卡。

3 在“类型”字段中，选择“Hadoop HBase (REST)”，然后键入主机名、端口和表格名称。

4 在“查询”选项卡上，填写查找列和查询信息：

a 将“查找列”设置为 columnFamily:columnName 格式。

b 使用扫描程序筛选器填充查询，其中的值采用 Base64 编码。示例：

<Scanner batch="1024"><filter>{"type": "SingleColumnValueFilter","op": "EQUAL","family": " ZW1wbG95ZWVJbmZv","qualifier": "dXNlcm5hbWU=","latestVersion": true,"comparator": {"type": "BinaryComparator","value": "c2NhcGVnb2F0"}}</filter></Scanner>

5 单击“值”选项卡，选择值类型，然后单击“立即运行”按钮。



另请参阅监视列表第 280 页添加关注列表第 281 页McAfee GTI 关注列表第 283 页从 Internet 创建威胁关注列表或 IOC 源。第 283 页

流视图流记录了通过设备进行的连接。启用流分析后，会记录有关每个流或连接的数据。

流具有来源和目标 IP 地址、端口、MAC 地址、协议和首末次（表示从开始连接到结束连接的时长）。

由于流不表示异常和恶意流量，因此流比事件要多。与事件不同，流与规则特征码 (SigID) 并无关联。流与事件操作（如警报、植入和拒绝）并无关联。

某些数据是流特有的，包括来源和目标字节数，以及来源和目标数据包。来源字节数和数据包表示由流来源传输的字节和数据包数量。目标字节数和数据包表示由流目标传输的字节和数据包数量。流有方向：入站流是指起源于HOME_NET 外部的流。出站流则为起源于 HOME_NET 内部的流。

若要查看流数据，您必须启用系统，以记录流数据。然后，您可以查看“流分析”视图上的流。

另请参阅 “增强的 ELM 搜索”视图第 285 页执行增强的 ELM 搜索第 285 页

“增强的 ELM 搜索”视图如果系统中至少存在 ELM 设备，则“增强的 ELM 搜索”视图可用。在一个或多个 ELM 上进行日志搜索时，它可使您进行更加详细的搜索，并提供搜索进度和结果的实时跟踪。

该视图借鉴了 ELM 上的存档统计报告功能，可提供关于必须进行搜索的数据量的实时信息，从而让您可以限制查询来尽可能减少要搜索的文件数量。

搜索期间，系统会通过图形显示评估结果：

• “结果时间分布”图 — 根据时间分布，显示评估和结果。底部轴会有所变化，具体取决于从时间范围下拉列表中选择的选项。

• “数据来源结果”图—根据系统导航树中所选设备的数据来源显示每个数据来源的评估和结果。

• “设备类型结果”图—根据系统导航树中所选的设备显示每台设备类型的评估和结果。

这些图在搜索开始前已填充，并在结果查找到后升级。您可以在“数据来源结果”或“设备类型结果”图中选择一个或多个柱状条，或在“结果时间分布”图中突出显示扇形。单击“应用过滤器”，以在显示结果时缩小搜索范围。这可使您详细分析搜索结果，并且限制要搜索数据的数量。完成搜索后，这些图将显示实际结果。

另请参阅流视图第 285 页执行增强的 ELM 搜索第 285 页

执行增强的 ELM 搜索在一个或多个 ELM 设备上搜索日志以获取您定义的信息。


1 在视图窗格的下拉列表中选择“增强的 ELM 搜索”。

2 如果系统中有多个 ELM 设备，则从文本字段旁边的下拉列表中选择要搜索的设备。



3 在文本字段中输入普通文本搜索或正则表达式。

4 如果您需要时间范围而不是“当前日期”，请在下拉列表中选择。

5 在系统导航树中选择您要搜索的设备。

6 根据需要，从以下选项中选择一个或多个选项：• “不区分大小写” — 搜索中不区分大小写。

• “正则表达式” — 将搜索字段中的条目视为正则表达式。

• “不包含搜索条款” — 返回到不包含搜索字段中的条款的匹配项。

7 单击“搜索”。

结果将显示在视图的“搜索结果”部分。

8 搜索过程中或搜索完成后，执行下列任意操作。

选项定义

“保存搜素” 保存此搜索结果，即使您已离开该视图也是如此。保存的搜索可在 “ELM 属性”| “数据” 页面查看。

“下载搜索结果文件” 将结果下载到您指定的位置。

“将选中的项目复制到剪贴板” 将选中的项目复制到剪贴板，以便将它们粘贴到文档中。

“查看数据详细信息” 显示您在“搜索结果”表中所选日志的详细信息。

另请参阅流视图第 285 页“增强的 ELM 搜索”视图第 285 页

查看组件创建自定义视图以便按照对您有帮助的方式来显示事件、流、资产和漏洞数据。

每个视图由您在“查看编辑工具栏”上选择并设置用来显示数据的组件组成。当您选择某一组件时，将打开“查询向导”，可让您定义关于组件中所显示数据的详细信息。

浏览事件从“事件分析”视图中，您可以查看在所选时间范围内与事件中一个或多个字段匹配的事件。


1 在 ESM 控制台上，单击视图列表，然后选择 “事件视图” | “事件分析”。

2单击事件，再单击菜单图标，然后单击“浏览”。

3 选择要让系统搜索匹配的事件时间前后的分钟数。

4 单击“选择过滤器”，选择要搜索其匹配的字段，然后键入值。

结果将显示在“浏览结果”视图上。

如果您离开此视图，稍后又想返回此视图，请单击“事件分析”菜单上的“上次浏览”。




选项定义

“时间范围” 选择要让系统在所选事件前后搜索匹配的分钟数。

“选择过滤器” 选择字段类型并输入要搜索的值。填写一个字段会增加另一个字段，您可根据需要添加尽可能多的过滤器。

单击可删除其中一个过滤器字段。

查看事件的 IP 地址详细信息如果从 McAfee 获得了 McAfee

®

Global Threat Intelligence™

(McAfee GTI) 许可证，则在执行“IP 地址详细信息”查找时，可以访问新的“威胁详细信息”选项卡。选择此选项时，将返回有关 IP 地址的详细信息，包括风险严重性和地理位置数据。

开始之前购买 McAfee GTI 许可证（请参阅 “McAfee GTI 关注列表”）。

如果您的 McAfee GTI 许可证已过期，请与您的 McAfee 销售工程师或 McAfee 支持联系。


1 在 ESM 控制台上，选择包含表格组件的视图，如 “事件视图” | “事件分析”。

2单击 IP 地址，单击具备 IP 地址的任意组件上的菜单图标，然后单击“IP 地址详细信息”。

“威胁详细信息”选项卡将列出所选 IP 地址的数据。您可以将该数据复制到系统剪贴板。

“IP 地址详细信息”选项已取代了上下文菜单上的“WHOIS 查找”选项。不过，“IP 地址详细信息”页面包含“WHOIS 查询”选项卡，用于显示此信息。

发送修补电子邮件如果您安装了修补系统，则可以发送电子邮件消息来通知系统需要修补的事件。如果您遵循此过程，将会接收到修补案例编号，可将它添加到事件记录中。


任务1 在事件视图中，突出显示需要修复的事件。

2 单击“将事件分配到案例或修补”图标，然后选择“将事件发送至补救”。

3 添加“前 ”、“关键字”和“企业用户 ID”。

4 （可选）在“详细信息”下添加信息，所添加的信息包含由事件相关的系统生成的信息。

5 单击“发送”。

执行 WHOIS 或 ASN 查找您可以在表组件中执行 WHOIS 查找，以查找有关来源或目标 IP 地址的信息。 “ASN 查找”，适用于条形图上的 ASN查询和具有 ASN 数据的表中的任意流记录，可以通过 ASN 标识符检索 WHOIS 记录。




1 通过表组件中列出的 ASN 数据或条形图组件中的 ASN 查询栏选择 IP 地址或流记录。

2单击菜单，然后选择“IP 地址详细信息”或“ASN 查找”。

3 要查找其他 IP 地址或标识符：• 在“WHOIS”选项卡页面上，从列表中选择 IP 地址并输入主机名。

• 在“ASN 查找”页面，输入编号或从列表中选择编号。


选项定义

“主机名” 如果知道 IP 地址的主机名，则键入主机名。

“IP 地址” 如果键入了主机名，该字段将显示 IP 地址。如果不知道主机名，则键入 IP 地址。

“查找” 单击可开始 DNS 查找，以检索 WHOIS 记录。

“WHOIS 记录” 查看查找结果。

另请参阅

将补救案例 ID 添加至事件记录第 288 页导出组件第 288 页

将补救案例 ID 添加至事件记录向补救系统发送事件电子邮件时，您会收到案例 ID 编号。您可以将其添加至事件记录，以作参考。


1在“事件分析”视图上突出显示事件，然后单击菜单。

2 选择“设置补救案例 ID”，键入编号并单击“确定”。


选项定义

“事件 ID” 如果通过选择视图上的事件访问此页面，该字段将显示事件的 ID 编号。

“补救案例 ID” 键入您收到的 ID（请参阅“发送补救电子邮件”）。

另请参阅

执行 WHOIS 或 ASN 查找第 287 页导出组件第 288 页

导出组件您可以在 ESM 视图组件中导出数据。图表组件可以文本或 PDF 格式导出，表格组件可以逗号分割值 (CSV) 或 HTML格式导出。导出视图中图表、分布或表格组件的当前页面时，导出的数据与您启动导出时看到的内容完全一致。如果导出多个页面，则在导出数据时，查询会再次运行，因此可能与您在组件中看到的内容不同。




1在视图中，单击要导出的组件的菜单，然后单击“导出”。

2 从以下格式中选择一种格式：

• “文本” — 以文本格式导出数据。

• “PDF” — 导出数据和图像。

• “将图像导出为 PDF ” — 仅导出图像。

• “CSV” —以逗号分隔的格式导出列表。

• “HTML” — 以表格的格式导出数据。

3 在“导出”页面上，指定要导出的数据。

• 如果选择了“文本”或“PDF”，您可以导出数据的当前页面或大页面数（从第 1 页开始）。

• 如果选择了“图像到 PDF”，则会生成图像。

• 如果选择了“CSV”或“HTML”，则能导出选定的项目、数据的当前页面或大页面数（从第 1 页开始）。

4 单击“确定”

导出文件已生成，随后将提示您下载生成的文件。


选项定义

“仅选定项目” 突出显示要导出的项目，然后选择此选项。

“仅当前页面” 导出视图中当前显示的项目。启动导出后，导出的数据与您看到的内容完全匹配。

“达到页面大数量” 选择可导出的页面大数量。在导出数据时，查询会再次运行，因此可能与您在组件中看到的内容不同。

另请参阅

执行 WHOIS 或 ASN 查找第 287 页将补救案例 ID 添加至事件记录第 288 页

使用查询向导ESM 上的每个报告或视图会基于每个组件的查询设置来收集数据。

添加或编辑视图或报告时，在“查询向导”上通过选择查询类型、查询、要包含的字段以及要使用的过滤器，为每个组件定义查询设置。该向导中列出了系统上的所有预定义和自定义查询，以便您可以选择要让组件收集的数据。您也可以编辑或删除查询，还可以复制现有查询以用作模板来设置新查询。

另请参阅管理查询第 290 页绑定信息显示板小组件第 215 页比较值第 291 页比较图形值第 292 页为视图和报告设置堆叠分布第 292 页



管理查询添加或编辑报告或视图时，ESM 随带预定义查询，您可以在“查询向导”上选择这些查询。您可以编辑这些查询上的某些设置，并可以添加和删除自定义查询。


1 执行以下操作之一，以访问“查询向导”。


添加视图 1 单击视图工具栏上的“新建视图”图标。

2 将“查看编辑工具栏”中的组件拖放至视图窗格。

此时会打开“查询向导”。

编辑现有视图 1 选择要编辑的视图。

2 单击视图工具栏上的“编辑当前视图”图标。

3 单击要编辑的组件。

4 单击“属性”窗格中的“编辑查询”。

则会在第二页上打开“查询向导”。

设计新报告的布局 1 在“系统属性”上，单击“报告”。

2 单击“添加”。

3 在“添加报告”页面的章节 5 中，单击“添加”。

4 拖放报告布局部分的组件。

此时会打开“查询向导”。

编辑现有报告上的布局 1 在“系统属性”上，单击“报告”。

2 选择要编辑的报告，然后单击“编辑”。

3 在“编辑报告”页面的章节 5 中，选择现有布局，然后单击“编辑”。

4 单击报告布局部分中的组件，然后后单击“属性”章节中的“编辑查询”。

此时会在第二页上打开“查询向导”。

2 在“查询向导”上，执行以下操作之一：

若要执行以下操作... 请执行以下操作...

添加查询 1 请选择要用做模板的查询，然后单击“复制”。

2 请键入新查询的名称，然后单击“确定”。

3 在查询列表上，单击刚添加的查询，然后单击“下一步”。

4 在向导的第二页，单击按钮，以更改设置。

编辑自定义查询 1 请选择要编辑的自定义查询，然后单击“编辑”。

2 在向导的第二页，单击按钮，以更改设置。

删除自定义查询请选择要删除的自定义查询，然后单击“删除”。





选项定义

查询类型列出了可用于选定组件的查询类型。它可以包含事件、流、杂项、资产和漏洞，以及风险状态。

堆叠不适用于“收集率”或“平均”（例如，“每个警报的平均严重性”或“每流的平均时长”）分布查询。

查询列出了可用于选定类型的预定义和自定义查询。如果您添加了自定义类型，则会将其包含在内。您可以在此列表中编辑、复制和删除自定义查询。

“字段” 显示了组件中所含的信息。您可以在向导的第二页上为表组件更改这些设置。1 单击“字段”。

2 在“查询字段”上，使用左右箭头将您要包含在列表中的字段移至右侧。

3 使用上下箭头调整字段的排列顺序，使其按照您所期望的方式在表中显示，然后单击“确定”。

“过滤器” 显示了为查询设置的过滤器值。您可以在向导的第二页上为任何查询更改这些设置。

“排序” 显示了查询结果的排列顺序。您可以在向导的第二页上为绝大多数查询更改这些设置。

“比较” 允许您针对事件和流的时间分布来比较任意现有过滤器文件的相异值的数量。它仅可用于分布组件（请参阅“比较值”和“比较图形值”）。

“堆叠” 允许您在分布组件上堆叠条形图、折线图和面积图，以便您可以查看与特定字段相关的事件分布。

“CIDR 掩码” 允许您添加用于对 IP 地址分组的 CIDR 掩码。只有当您在“条形图”组件上选择“来源 IP”或“目标 IP”查询时，此选项才可用。

“级别” 允许您为查询指定规范化 ID 掩码级别（参阅“选择规范化 ID”）。它可用于饼状图、条形图和列表组件（如果您选择的是“规范化的事件摘要”查询）。

另请参阅使用查询向导第 289 页绑定信息显示板小组件第 215 页比较值第 291 页比较图形值第 292 页为视图和报告设置堆叠分布第 292 页

比较值分布图中的选项可让您覆盖当前图顶部的其他变量。

这样，就可以通过对两个值（例如，事件总数和平均严重性）进行比较来轻松地找出他们之间的关系了。此功能可快速提供一段时间内的有价值的数据比较。此功能还可在构建较大视图时节省屏幕空间，方法是将结果合并到单个分布图中。

比较仅限于与选定查询相同的类型。例如，如果选择事件查询，您仅可与事件表（而不是流或资产和漏洞表）中的字段进行比较。

当将查询参数应用到分布图时，系统将按照正常方式运行其查询。如果比较字段已启用，则同时对数据运行次查询。分布组件将显示同一图中的两个数据集的数据，不过使用两个单独的垂直轴。如果更改图表类型（组件的右下角），两个数据集将继续显示。

另请参阅使用查询向导第 289 页管理查询第 290 页绑定信息显示板小组件第 215 页比较图形值第 292 页为视图和报告设置堆叠分布第 292 页



比较图形值您可以将分布图中的数据与所选的变量进行比较。


1 选择“新建视图”图标或“编辑当前视图”图标。

2单击“分布”图标，然后将它拖放到视图中以打开“查询向导”。

3 选择查询类型和相应查询，然后单击“下一步”。

4 单击“比较”，然后选择要与所选查询进行比较的字段。

5 单击“确定”，然后单击“完成”。

6 将组件移动到视图中的正确位置，然后：• 单击“保存”（如果您要将组件添加到现有视图中）。

• 单击“另存为”并添加视图名称（如果您要创建新视图）。

另请参阅使用查询向导第 289 页管理查询第 290 页绑定信息显示板小组件第 215 页比较值第 291 页为视图和报告设置堆叠分布第 292 页

为视图和报告设置堆叠分布在视图或报告上设置分布组件，以便您可以查看与特定字段相关的事件分布。

将组件添加到视图或报告时，您可以选择要进行堆叠的字段。访问视图时，您可以更改设置、设置时间间隔以及设置图表类型和详细信息。

无法在同一查询中同时使用“堆叠”和“比较”功能。


1 将“分布”组件拖放到视图（请参阅“添加自定义视图”）或报告（请参阅“添加报告布局”）上，然后选择查询类型。

堆叠不适用于“收集率”或“平均”（例如，“每个警报的平均严重性”或“每流的平均时长”）分布查询。

2 在“查询向导”的第二个页面上，单击“堆叠”，然后选择选项。

3 单击“堆叠选项”页面上的“确定”和“查询向导”页面上的“完成”。

该视图即已添加。您可以通过单击“图表选项”图标来更改设置以及设置时间间隔和图表类型。




选项定义

“作为柱状图区段分组依据的字段”

选择需要记录数据的字段。

“柱区段数量/柱” 选择您想在柱状图中查看其数据的独立项目的数目。例如，如果选择“特征码 ID”和“10”，则每个条柱会显示您所选期间内收到次数多的 10 个特征码 ID。

“显示‘其他’值” 选择是否要让组件包含一个“其他”条柱。使用以上示例，它将显示接收到的其他特征码 ID 的数目。

“显示图例” 在视图上，选择是否包括图例。在报告中，始终包括图例。

“时间间隔选项” （只有单击视图上的“图表选项”图标才会显示此项）选择图表上每个条柱代表的时间间隔。

“图表选项” （只有单击视图上的“图表选项”图标才会显示此项）选择图表类型，然后选择是否在视图上显示数据详细信息部分。

另请参阅使用查询向导第 289 页管理查询第 290 页绑定信息显示板小组件第 215 页比较值第 291 页比较图形值第 292 页

更改默认视图默认情况下，当您首次登录到 ESM 控制台时，“默认摘要”视图会显示在视图面板中。您可以将此默认视图更改为 ESM中任何预先定义或自定义的视图。


1 在 ESM 控制台导航栏中，单击“选项”，然后选择“视图”。

2 在“默认系统视图”下拉列表中，选择新的默认视图，然后单击“确定”。

字符串规范化使用字符串规范化来设置字符串值，该值可与别名值相关联，用于导入或导出字符串规范化值的 .csv 文件。

通过选择“过滤器”窗格中相应字段旁边的字符串规范化图标，可以筛选字符串及其别名。对于用户名字符串 JohnDoe，您可以定义字符串规范化文件，其中主字符串为 John Doe，其别名可以是 DoeJohn、JDoe、[email protected] 和 JohnD。然后可以在“User_Nickname ”过滤器字段输入 John Doe，选择该字段旁边的字符串规范化过滤器图标，然后刷新查询。结果视图将显示所有与 John Doe 及其别名相关联的事件，有助于您检查登录时来源 IP 相匹配但用户名不匹配的不一致情况。该功能也可以帮助您满足要求您报告特权用户活动的规定。

另请参阅管理字符串规范化文件第 293 页创建要导入的字符串规范化文件第 294 页

管理字符串规范化文件可以使用字符串规范化文件前，您必须将其添加到 ESM。




1 在“过滤器”窗格上，单击“启动字符串规范化管理器”图标。

2 执行任意可用操作，然后单击“关闭”。


选项定义

“ 添加 ” 单击以添加规范化字符串。

“ 编辑 ” 更改选定的规范化字符串。

“删除” 删除选定的规范化字符串。

“导入” 将别名的 .csv 文件导入到字符串规范化列表中（参阅“创建要导入的文件”）。

“导出” 单击以导出字符串规范化列表中的选定项目。此文件不包含命令。如果要导入此文件，您必须为文件中的每个别名添加命令。

另请参阅字符串规范化第 293 页创建要导入的字符串规范化文件第 294 页

创建要导入的字符串规范化文件如果创建了一个使用别名的 .csv 文件，可以在“字符串规范化”页面上进行导入，这样便可以将其用作过滤器。


1 在文本或电子表格程序中，键入使用此格式的别名：

命令, 主字符串, 别名

可能的命令包括 add、modify 和 delete。

2 将其另存为 .CSV 文件，然后导入该文件。

另请参阅字符串规范化第 293 页管理字符串规范化文件第 293 页

自定义类型过滤器自定义类型字段可以用作视图和报告的过滤器并可用来创建自定义规则，从而定义继而访问与您相关的数据。这些自定义类型字段生成的数据可在“事件分析”或“流分析”视图的“详细信息”部分查看。

您可以添加、编辑或删除自定义类型并导出和导入这些自定义类型。使用“编辑”页面可以更改名称。如果是自定义数据类型，您还可以更改子类型设置。

导出或导入自定义类型当导出自定义类型时，所有内容均会被导出到您选择的位置。当导入自定义类型的文件时，导入的数据可替换系统中的当前自定义类型。

8 使用事件自定义类型过滤器


自定义查询

当您设置视图的自定义查询时，预定义的自定义类型会在您选择查询的字段时显示为选项。如果您将自定义类型添加为查询中的一个字段，其将用作过滤器。如果您查询的信息中不包含该自定义类型的数据，查询表将不会返回结果。若要避免此问题，请选择可返回所需结果的用户字段，而不是使用自定义类型的用户字段（表格的“事件字段”列中的自定义字段 1 到 10）。

例如，让我们假设您需要查询结果包含来源用户数据（如果有）。如果您选择“来源用户”作为查询字段，其可用作过滤器；如果您查询的信息没有来源用户数据，查询将不会返回结果。但是，如果您选择用户字段 7（指定为来源用户的用户字段），该字段不会用作过滤器，并且显示为结果表中的一列。如果存在来源用户数据，其将显示在此列中。如果此字段没有数据，“用户字段 7”列则为空，但其他列将被填充。

自定义数据类型

在“数据类型”字段中选择“自定义”时，您可以在多个字段日志中定义每个字段的含义。

例如，日志 (100300.351) 包含三个字段 (100, 300.35, 1)。自定义子类型可让您指定其中每个字段是什么（整数、小数、布尔）。示例：• 初始日志 — 100300.351

• 3 个子类型 — 整数|分数|布尔

• 自定义子类型 — 100|300.35|1

子类型可以包含多 8 个字节（64 位）的数据。“空间使用率”可显示使用的字节数和位数。当超过大值时，这一字段将以红色显示，指出已超过空间使用率，例如：空间使用率：已使用 9 个字节（共 8 个），72 位（共 64 位）。

名称/值自定义类型

如果您选择“名称/值组”数据类型，则可以添加包含所指定的一组名称/值对的自定义类型。然后，您可以按照这些对过滤视图和查询，并将其用在字段匹配警报中。

以下是此功能的一些特性：• 必须使用正则表达式过滤名称/值组字段。

• 这些对可以相互关联，因此可以在“关联规则编辑器”中选择这些对。

• 对的值部分只能通过高级 Syslog 解析器 (ASP) 收集。

• 此自定义类型的大大小为 512 个字符，包括名称。如果超过该值，收集时这些值会被截断。McAfee 建议您限制名称的大小和数量。

• 名称必须包含两个以上的字符。

• 名称/值自定义类型多可有 50 个名称。

• 名称/值组中的每个名称都在全局过滤器中显示为“<组名称> - <名称>”。

非索引自定义类型的正则表达式格式

非索引和索引字符串、随机字符串和哈希字符串自定义类型都使用此格式：• 您可以使用 contains(<正则表达式>) 语法或仅将值键入非索引随机字符串或哈希字符串字段，然后过滤自定义类

型。

• 您可以使用 regex() 语法。

• 借助 contains()，如果您在非索引自定义类型字段中应用用逗号分隔的过滤器 (Tom,John,Steve)，系统会执行正则表达式。在 contains 或非索引随机字符串或哈希字符串字段中，逗号和星号用作竖线 (|) 和后跟星号的句点 (.*)。如果键入 (*) 之类的字符，该字符会被替换为后跟星号的句点 (.*)。

使用事件自定义类型过滤器 8


• 如果正则表达式无效，或者缺少右括弧或左括弧，可导致错误，告知您正则表达式不正确。

• 在非索引和索引字符串、随机字符串和哈希字符串自定义类型过滤器字段中，您只能使用一个 regex() 或contains()。

• 特征码 ID 字段现在接受 contains(<规则消息的部分或全部内容>) 和 regex(<规则消息的部分内容>)。

• contains 的常见搜索过滤器是单个值，而不是前后带有 .* 的单个值。

以下是一些常见搜索过滤器：

• 单个值

• 多个值会被逗号隔开，转换成正则表达式

• * 用作 .* 的 contains 语句

• 高级正则表达式，您可以在其中使用 regex() 语法

请参阅 “contains 和 regex 过滤器的描述 ”。

另请参阅名称/值自定义类型第 297 页创建自定义类型第 296 页添加时间自定义类型第 297 页添加名称/值组自定义类型第 298 页预定义的自定义类型表第 297 页

创建自定义类型如果您拥有管理员权限，则添加可用作过滤器的自定义类型。


1 在系统导航树中，选择“系统属性”，然后单击“自定义类型”。

2 单击“添加”，然后填写需要的信息。

3 单击“确定”以保存自定义类型。


选项定义

“ 添加 ” 为自定义数据创建定义。

“ 编辑 ” 更改已创建的自定义类型的设置。无法编辑预定义的自定义类型。

“导出” 导出系统中包含所有自定义类型的文件。

“导入” 导入包含自定义类型的文件，以替换系统中现有的列表。

“删除” 删除创建的自定义类型。

另请参阅自定义类型过滤器第 294 页名称/值自定义类型第 297 页添加时间自定义类型第 297 页添加名称/值组自定义类型第 298 页预定义的自定义类型表第 297 页



预定义的自定义类型表如果您具有管理员权限，可以查看自定义类型表中预定义的自定义类型列表（“系统属性” | “自定义类型”）。

如果您不具备管理员权限，请参考 Intel 知识中心中预定义的自定义类型列表。

另请参阅自定义类型过滤器第 294 页名称/值自定义类型第 297 页创建自定义类型第 296 页添加时间自定义类型第 297 页添加名称/值组自定义类型第 298 页

添加时间自定义类型您可以添加允许您存储时间数据的自定义类型。

“Time - Seconds Precision”（时间 – 秒精度）存储精确到秒的时间数据。“Time - Nanosecond Precision”（时间 – 纳秒精度）存储精确到纳秒的时间。它包括具有九个表示纳秒的精度值的浮点数。

如果添加此自定义类型时选择“索引”，则该字段会显示为关于查询、视图和过滤器的过滤器。此字段不会显示在分布组件中，也不可用于数据扩充、关注列表或警报中。


1 在系统导航树中，选择系统，单击“属性”图标，然后单击 “自定义类型” | “添加”。

2 在“数据类型”字段中，单击“Time - Seconds Precision”（时间 – 秒精度）或“Time - Nanosecond Precision”（时间 –纳秒精度），填写剩余信息，然后单击“确定”。

另请参阅自定义类型过滤器第 294 页名称/值自定义类型第 297 页创建自定义类型第 296 页添加名称/值组自定义类型第 298 页预定义的自定义类型表第 297 页

名称/值自定义类型名称/值自定义类型由您指定的一组名称/值对组成。您可以按照这些对过滤视图和查询，并将其用在“内部事件匹配”警报中。

以下是此功能的一些特性：

• 必须使用正则表达式过滤名称/值组字段。

• 这些字段可以相互关联，因此可以在“关联规则编辑器”中选择这些字段。

• 对的值部分只能通过 ASP 收集。

• 此自定义类型的大大小为 512 个字符，包括名称。收集时，超过 512 个的字符会被截断。McAfee 建议您限制名称的大小和数量。

• 名称必须包含两个以上的字符。

• 名称/值自定义类型多可有 50 个名称。

• 名称/值组中的每个名称都在全局过滤器中显示为“<组名称> - <名称>”。

使用事件自定义类型过滤器 8


https://support.mcafee.com/ServicePortal/faces/knowledgecenter?_afrWindowId=null&_afrLoop=1877903667958000&_afrWindowMode=0&_adf.ctrl-state=4u2mjzdr7_4#%40%3F_afrWindowId%3Dnull%26_afrLoop%3D1877903667958000%26_afrWindowMode%3D0%26_adf.ctrl-state%3Dupp5bgifa_4

另请参阅自定义类型过滤器第 294 页创建自定义类型第 296 页添加时间自定义类型第 297 页添加名称/值组自定义类型第 298 页预定义的自定义类型表第 297 页

添加名称/值组自定义类型如果您添加一组名称/值对，则可以通过这些名称/值对过滤视图和查询并将这些对用于“内部事件匹配”警报。



2 单击“自定义类型”，然后单击“添加”。

3 在“数据类型”字段中，单击“名称/值组”，填写剩余信息，然后单击“确定”。

另请参阅自定义类型过滤器第 294 页名称/值自定义类型第 297 页创建自定义类型第 296 页添加时间自定义类型第 297 页预定义的自定义类型表第 297 页

添加 UCF 和 Windows 事件 ID 过滤器支持规则合规性的一个挑战就是规则瞬息万变的本质。统一法规遵从框架 (UCF) 是一个组织，将各个规则的详情映射到一致的控制 ID 随着规则的不断变化，这些 ID 会得到更新并推送到 ESM。

• 您可以根据合规性 ID 或 Windows 事件 ID 过滤，以选择所需的合规性或特定子组件。


添加 UCF 过滤器 1 在“过滤器”窗格中，单击“合规性 ID”字段旁边的过滤器图标。

2 选择要用作过滤器的合规性值，然后单击“确定” | “运行查询 ”。

添加 Windows 事件ID 过滤器

1 单击“特征码 ID”旁边的过滤器图标。

2 在“过滤器变量”上，选择“Windows”选项卡。

3 在文本字段中键入 Windows 事件 ID（由逗号分隔），或在列表上选择作为过滤依据的值。

另请参阅过滤视图第 277 页过滤视图第 278 页选择规范化的 ID 第 279 页



McAfee® Active Response 搜索McAfee Active Response 提供对端点的连续可见性和洞察力，使您可以即时发现出现的数据泄露。它可帮助安全专业人员查询当前的安全状态、改进威胁检测以及执行详细的分析和取证调查。

如果您已在添加到 ESM 的 McAfee ePO 设备上将 Active Response 作为扩展安装，则可以从 ESM 对 ActiveResponse 运行搜索。搜索会生成当前端点数据的列表，使您可以执行以下操作：

• 查看搜索结果的列表 • 添加填充搜索结果的数据扩充来源

• 创建填充搜索结果的关注列表 • 导出搜索数据

• 将 Active Response 搜索数据附加到现有关注列表

搜索将通过 DXL 发送，因此必须在 McAfee ePO 属性的“连接”页面上将其启用（请参阅“运行 Active Response 搜索”）。

在 ESM 上使用 Active Response 时应记住以下要点：

• HA 接收器不支持 DXL。

• 搜索的日期采用如下格式：2015-11-05T23:10:14.263Z，而且不会转换为 ESM 的日期格式。

• 将数据附加到关注列表时，不会验证数据，这意味着您可以将数据添加到与其类型不匹配的关注列表。

另请参阅运行 Active Response 搜索第 299 页管理 Active Response 搜索结果第 300 页添加 Active Response 关注列表第 301 页

运行 Active Response 搜索您可以从 ESM 运行 Active Response 搜索。搜索会生成符合搜索条件的当前端点数据的列表。

开始之前将具有 Active Response 的 McAfee ePO 设备添加到 ESM。


1 确保设置 McAfee ePO 设备以进行搜索。

a 在 ESM 控制台中，单击 McAfee ePO“属性”，然后单击“连接”。

b 确认已选择“启用 DXL”，且指定了“代理唤醒端口”（默认值为 8081）。

2 在 ESM 控制台上，选择包含“表”组件的视图，如“事件分析”。

使用事件McAfee® Active Response 搜索 8


3单击某个事件，然后单击组件上的“菜单”图标。

4 选择“操作” | “执行 Active Response 搜索”，然后选择预定义的搜索类型。选项说明

通过名称、MD5 或 SHA-1 搜索完整文件信息列出来源和目标 IP 地址的文件详细信息，例如操作系统和名称。

搜索用户详细信息列出有关用户的详细信息。

通过来源 IP 地址和时间搜索进程信息为已建立连接的来源 IP 地址列出进程详细信息。

通过目标 IP 地址和时间搜索进程信息为已建立连接的目标 IP 地址列出进程详细信息。

IP 地址的 CurrentFlow 列出连接到同一来源或目标 IP 地址的任何用户。

如果表没有用于搜索的相应字段，则搜索类型将灰显。

系统将检索数据，并将检索结果列在“Active Response 详细信息”页面上。

另请参阅 McAfee® Active Response 搜索第 299 页管理 Active Response 搜索结果第 300 页添加 Active Response 关注列表第 301 页

管理 Active Response 搜索结果运行 Active Response 搜索后，您可以执行一些操作来管理生成的数据。

开始之前您必须正在查看某个 Active Response 搜索的结果（请参阅“运行 Active Response 搜索”）。


1 在 Active Response“详细信息”页面（请参阅“运行 Active Response 搜索”），从表中选择行，然后单击“菜单”图标

。

2 选择一个选项。

• “从以下位置创建新关注列表” – 从您在下拉列表中选择的列创建关注列表。

您可以选择表中的多个行。

• “从以下位置附加到关注列表” – 将您所选的列中的值附加到现有关注列表。

您可以选择表中的多个行。不会对从表中选择的数据执行验证。

• “导出” – 将当前的表导出为 CSV 文件。

• Active Response“搜索”- 针对您所选行中的数据再次执行 Active Response 搜索。如果返回了结果，则新结果会替代当前数据集。

8 使用事件McAfee® Active Response 搜索



选项操作定义

表列出 Active Response 搜索的结果（请参阅“运行 Active Response 搜索”）。

“菜单”图标

“从以下位置创建新关注列表”

创建所选列中值的新静态关注列表（请参阅“管理 Active Response 搜索结果”）。您可以选择多个行。

“从以下位置附加到关注列表”

将所选列中的值附加到所选的现有关注列表（请参阅“管理 Active Response搜索结果”）。您可以选择多个行。

不会对从此表选择的数据执行验证。

“导出” 将数据导出为 .csv 文件。

“Active Response 搜索” 对您在表中选择的行执行另一个 Active Response 搜索。如果返回结果，则新数据会取代当前数据。

另请参阅 McAfee® Active Response 搜索第 299 页运行 Active Response 搜索第 299 页管理 Active Response 搜索结果第 300 页添加 Active Response 关注列表第 301 页

添加 Active Response 数据扩充来源如果在您添加到 ESM 的 McAfee ePO 设备上安装了 Active Response，则可以添加填充了 Active Response 搜索结果的数据扩充来源。

开始之前将具有 Active Response 扩展的 McAfee ePO 设备添加到 ESM。




3 在“主”选项卡上填写所需的信息。

4 在“来源”选项卡上，选择“类型”字段中的 Active Response，然后填写所需的信息。

5 在其余选项卡上填写信息，然后单击“完成”。

将添加来源，并且您指定的数据将通过 Active Response 数据扩充。

如果 ESM 无法通过 DXL 提取 Active Response 收集器，则不会列出 Active Response 类型。

添加 Active Response 关注列表如果在您添加到 ESM 的 McAfee ePO 设备上安装了 Active Response，则可以设置填充 Active Response 搜索结果的动态关注列表。

开始之前将具有 Active Response 扩展的 McAfee ePO 设备添加到 ESM。

使用事件McAfee® Active Response 搜索 8




2 单击“关注列表”，然后单击“添加”。

3 填写“主”选项卡，选择“动态”。

4 在“来源”选项卡上，选择“类型”字段中的 Active Response，然后填写所需的信息。

5 在其余选项卡上填写信息，然后单击“完成”。

系统将添加关注列表，并收集您在 Active Response 搜索中指定的数据。

如果 ESM 无法通过 DXL 提取 Active Response 收集器，则不会列出 Active Response 类型。

另请参阅 McAfee® Active Response 搜索第 299 页运行 Active Response 搜索第 299 页管理 Active Response 搜索结果第 300 页

8 使用事件McAfee® Active Response 搜索


9 管理案例

利用 ESM 案例管理器分配和跟踪工作项目，并支持网络事件相关的票证。若要访问该功能，您必须属于启用了“案例管理用户”权限的组。以下为五种添加案例的方式：• 在“案例管理”视图上 • 设置警报时

• 在“案例”窗格上，无需链接至事件 • 在触发的警报通知上

• 在“事件分析”视图上，需要链接到事件

目录添加案例从事件创建案例将事件添加到现有案例编辑或关闭案例查看案例详细信息添加案例状态级别电子邮件案例查看所有案例生成案例管理报告

添加案例若要跟踪因网络事件而生成的任务，第一步是将案例添加到案例管理系统。


1 在“案例”窗格上，单击“添加案例”图标。

2 填写所需的信息，然后单击“确定”。

该案例将添加到其所分配至的用户的“案例”窗格中。如果选择了“Email case”（通过电子邮件发送案例），系统还会发送电子邮件（请参阅“通过电子邮件发送案例”）。

另请参阅从事件创建案例第 304 页将事件添加到现有案例第 304 页编辑或关闭案例第 306 页查看案例详细信息第 306 页添加案例状态级别第 308 页电子邮件案例第 308 页查看所有案例第 309 页生成案例管理报告第 310 页

9


从事件创建案例若要在“事件分析”视图上跟踪事件，请创建案例。这样能够进行工作流跟踪。


1 在视图列表上，选择 “事件视图” | “事件分析”。

2单击事件，再单击菜单图标，然后单击 “操作” | “新建案例”。

3 填写所需信息，然后单击“确定”以保存案例。

新案例包括“消息”表格中的事件数据。

另请参阅添加案例第 303 页将事件添加到现有案例第 304 页编辑或关闭案例第 306 页查看案例详细信息第 306 页添加案例状态级别第 308 页电子邮件案例第 308 页查看所有案例第 309 页生成案例管理报告第 310 页

将事件添加到现有案例要跟踪响应这些事件时执行的操作，请将一个或多个事件添加至现有案例。


1 在视图窗格上，从视图列表中选择“事件视图”，然后单击“事件分析”。

2 选择事件，然后执行以下操作之一：• 单击“将事件分配到案例或补救”图标并选择“将事件添加到案例”。

•单击“菜单”图标，突出显示“操作”，然后单击“将事件添加到案例”。

3 选择案例并单击“添加”。

“案例详细信息”页面会在“消息”表格中列出事件 ID。

4 单击“确定”，然后单击“关闭”。


选项定义

“摘要” 案例的简短描述性摘要。将显示在“案例”面板中。键入多 255 个字符。

“案例 ID” 案例添加后，系统为其生成的唯一编号。该数字无法更改。

“受理人” 案例被分配到的用户或组。列出所有具有案例管理权限的用户和用户组（请参阅“设置用户组”）。

从列表中选择用户或组。

“采取” 单击可将案例重新分配给自己。

9 管理案例从事件创建案例



选项定义

“严重性” 案例的严重性。

1 至 20 = 绿色

21 至 40 = 蓝色

41 至 60 = 黄色

61 至 80 = 棕色

81 至 100 = 红色

选择此案例的严重性级别。

“组织” （可选）案例被分配到的组织。您可以通过单击“组织”，然后单击“添加”添加组织。

“状态” 案例的状态。案例管理器具有两种状态：“开放”（默认）和“已关闭”。添加更多可分配给案例的状态。请单击“状态”，然后单击“添加”并输入要求的信息。

“创建时间” 创建案例的日期。

“上次更新时间”

上次更改案例的时间。

“注释” 记录对案例采取的操作和所做更改，以及添加的任何注释。以下操作和更改在您添加案例之后将自动记录在本部分：• 案例开放 • 严重性已更改

• 案例关闭 • 组织已更改

• 摘要更改 • 事件已更改

• 案例重新指定

注释将包含所采取操作或进行更改的类型、日期和时间以及用户的名称。在出现更改时，也会显示旧值和新值，例如：

---- 严重性更改时间：2009-04-22 09:39旧：低新：高

“历史记录” 列出访问过案例的用户。

“消息”表列出与案例相关联的事件。要查看事件的详细信息，请单击表中的事件，然后单击“显示详细信息”。

“电子邮件案例”

可让您将案例通过电子邮件发送至您指定的地址。

另请参阅添加案例第 303 页从事件创建案例第 304 页编辑或关闭案例第 306 页查看案例详细信息第 306 页添加案例状态级别第 308 页电子邮件案例第 308 页查看所有案例第 309 页生成案例管理报告第 310 页

管理案例将事件添加到现有案例 9


编辑或关闭案例如果您具备“案例管理管理员”权限，您可以修改系统中的任意案例。如果您具备“案例管理用户”权限，则仅可以修改分配给您的案例。


1 按以下方式之一访问“案例详细信息”。

关于…… 请执行以下操作...

分配给您的案例 1 在“案例 ”窗格中选择该案例。

2 单击“编辑案例”图标。

未分配给您的案例 1 在“案例”窗格中，单击“打开案例管理”图标。

2 选择要修改的案例。

3 单击视图底部的“编辑案例”图标。

2 在“状态”字段中编辑设置或关闭该案例。

3 单击“确定”保存更改。

所做的更改将记录在“案例详细信息”页面的“注释”部分。如果关闭该案例，则该案例不再显示在“案例”窗格内，但仍保留在“案例管理”列表中，其状态更改为“已关闭”。

另请参阅添加案例第 303 页从事件创建案例第 304 页将事件添加到现有案例第 304 页查看案例详细信息第 306 页添加案例状态级别第 308 页电子邮件案例第 308 页查看所有案例第 309 页生成案例管理报告第 310 页

查看案例详细信息对任意案例执行操作。


任务

1 在信息显示板中，单击并选择“调查面板”。


2 使用下拉箭头展开您要查看的案例并单击“在案例管理中查看”。

此时将打开“案例管理”视图，其中列出了系统上的所有案例。

9 管理案例编辑或关闭案例


3 查阅“注释”和“来源事件”选项卡上的数据。

4 有关更多详细信息，请双击案例，然后查阅“案例详细信息”页面的相关信息。


选项定义

“摘要” 案例的简短描述性摘要。将显示在“案例”面板中。键入多 255 个字符。

“案例 ID” 案例添加后，系统为其生成的唯一编号。该数字无法更改。

“受理人” 案例被分配到的用户或组。列出所有具有案例管理权限的用户和用户组（请参阅“设置用户组”）。

从列表中选择用户或组。

“采取” 单击可将案例重新分配给自己。

“严重性” 案例的严重性。

1 至 20 = 绿色

21 至 40 = 蓝色

41 至 60 = 黄色

61 至 80 = 棕色

81 至 100 = 红色

选择此案例的严重性级别。

“组织” （可选）案例被分配到的组织。您可以通过单击“组织”，然后单击“添加”添加组织。

“状态” 案例的状态。案例管理器具有两种状态：“开放”（默认）和“已关闭”。添加更多可分配给案例的状态。请单击“状态”，然后单击“添加”并输入要求的信息。

“创建时间” 创建案例的日期。

“上次更新时间”

上次更改案例的时间。

“注释” 记录对案例采取的操作和所做更改，以及添加的任何注释。以下操作和更改在您添加案例之后将自动记录在本部分：• 案例开放 • 严重性已更改

• 案例关闭 • 组织已更改

• 摘要更改 • 事件已更改

• 案例重新指定

注释将包含所采取操作或进行更改的类型、日期和时间以及用户的名称。在出现更改时，也会显示旧值和新值，例如：

---- 严重性更改时间：2009-04-22 09:39旧：低新：高

“历史记录” 列出访问过案例的用户。

“消息”表列出与案例相关联的事件。要查看事件的详细信息，请单击表中的事件，然后单击“显示详细信息”。

“电子邮件案例”

可让您将案例通过电子邮件发送至您指定的地址。

管理案例查看案例详细信息 9


另请参阅添加案例第 303 页从事件创建案例第 304 页将事件添加到现有案例第 304 页编辑或关闭案例第 306 页添加案例状态级别第 308 页电子邮件案例第 308 页查看所有案例第 309 页生成案例管理报告第 310 页

添加案例状态级别案例管理器具有两种状态级别：“开放”和“已关闭”。您可以添加可分配给案例的其他状态。


1 在“案例”窗格上，单击“打开案例管理”图标。

2 在“案例管理”视图上，单击底部工具栏上的“案例管理设置”图标，然后单击“添加”。

3 键入状态名称，然后选择是否要将此状态设置为新案例的默认状态。

4 选择是否在“案例”窗格中显示具有此状态的案例，然后单击“确定”。

另请参阅添加案例第 303 页从事件创建案例第 304 页将事件添加到现有案例第 304 页编辑或关闭案例第 306 页查看案例详细信息第 306 页生成案例管理报告第 310 页

电子邮件案例将系统设置为每次添加案例或重新分配案例时，都自动向已分配案例的个人或组发送电子邮件消息。

开始之前您必须具有“案例管理管理员”权限。

您也可以手动发送电子邮件案例通知，并注明案例注释和事件详细信息。

9 管理案例添加案例状态级别



自动发送电子邮件案例 1 在“案例”窗格中，单击“打开案例管理”图标。

2 单击“案例管理设置”图标。

3 选择“被分配案例时发送电子邮件”，然后单击“关闭”。

用户的电子邮件地址必须在 ESM 上（请参阅“设置用户”）。

手动发送现有案例电子邮件 1 在“案例”窗格中，选择要在电子邮件中发送的案例，然后单击“编辑案例”图标。

2 在“案例详细信息”中单击“电子邮件案例”，然后输入“发件人”和“收件人”。

3 选择您是否想要添加备注，并附加有关事件详细信息的 CSV 文件。

4 输入任何您希望在电子邮件消息中添加的备注，然后单击“发送”。


查看所有案例管理系统上的所有案例，无论其当前是处于打开还是关闭状态。


任务1 在信息显示板中，单击并选择“调查面板”。


2 使用下拉箭头展开您要查看的案例并单击“在案例管理中查看”。

此时将打开“案例管理”视图，其中列出了系统上的所有案例。

管理案例查看所有案例 9




添加案例单击视图底部工具栏上的“添加案例”图标。

查看或编辑选定案例单击视图底部工具栏上的“编辑案例”图标。

通过电子邮件发送选定案例单击视图底部工具栏上的“Email Case”（通过电子邮件发送案例）图标。

将案例设置为添加或更改案例时发送电子邮件单击视图底部工具栏上的“案例管理设置”图标。

添加或编辑可用于案例的状态单击“案例管理设置”图标，然后单击“添加”、“编辑”或“删除”。

查看您所选案例的注释、历史记录和来源事件

单击“注释”、“历史记录”或“来源事件”。单击“来源事件”时，将会打开“来源事件详细信息”选项卡。如果未看到这些选项卡，或者可以看到但您要隐藏它们，请单击视图底部工具栏上的“查看来源事件详细信息”图标。“历史记录”选项卡记录用户查看案例的所有时间。如果同一用户在五分钟内多次查看一个案例，则不会每次都更新记录。

更改“来源事件”列单击“来源事件”选项卡，然后单击“编辑来源事件选项卡中的可见列”。

过滤案例在“过滤器”窗格中，选择或键入要作为案例过滤依据的数据，然后单击“运行查询”图标。案例列表将发生变化，以仅显示符合过滤条件的案例。


生成案例管理报告ESM 上提供六个案例管理报告。


1 在“系统属性”页面，请单击“报告” | “添加”。

2 请完成章节 1、2 和 3。

3 在章节 4 中，请选择“查询 CSV”。

4 在第 5 部分中，选择要运行的案例管理报告。

• “案例管理摘要” — 包含案例 ID 编号、分配给案例的严重性、案例状态、分配给的用户、案例分配到的组织（如果有）、案例的添加日期和事件、案例的更新日期和时间（如果已被更新）以及案例摘要。

• “案例管理详细信息” — 包含“案例管理摘要”报告中的所有信息以及链接到案例的事件 ID 编号和案例注释章节包含的信息。

• “解决案例所需时间” — 显示状态更改之间所需的时间长度（例如，“开放”时间戳和“已关闭”时间戳之间的差值）。默认情况下，此选项会按照“案例 ID”编号列出状态为“已关闭”的案例以及严重性、组织、“创建日期”日期、上次更新时间、摘要和时间差异。

9 管理案例生成案例管理报告


• “案例（根据受理人）”- 包括分配给某一用户或组的案例编号。

• “案例（根据组织）”— 包括根据组织分类的案例编号。

• “案例（根据状态）”- 包括根据状态类型分类的案例编号。

5 完成第 6 部分（请参阅 “contain 和 regex 过滤器的描述”），然后单击“保存”。

该报告已得到保存并添加至“报告”列表。

另请参阅添加案例第 303 页从事件创建案例第 304 页将事件添加到现有案例第 304 页编辑或关闭案例第 306 页查看案例详细信息第 306 页添加案例状态级别第 308 页电子邮件案例第 308 页查看所有案例第 309 页

管理案例生成案例管理报告 9


9 管理案例生成案例管理报告


10 使用资产管理器

资产管理器提供了一个集中的位置，让您可以发现、手动创建和导入资产。

目录 “资产管理器”工作原理资产来源管理漏洞评估来源区域管理资产、威胁和风险评估管理已知威胁

“资产管理器”工作原理“Asset Manager”为您提供了一个可发现资产、手动创建资产并导入资产的集中位置。

您可在“资产”选项卡中创建一个组以容纳一个或多个资产。您可在整个组上执行以下操作：• 更改组中所有资产的属性。

该更改并非永久性的。如果您将资产添加到更改的组，则该资产不会自动继承之前的设置。

• 使用拖放操作。

• 如果需要，请将组重命名。

通过资产组，您可以使用资产标记无法提供的方法对资产进行分类。例如，如果您要为校园内的每个建筑创建一个资产组。资产由 IP 地址和一组标记构成。这些标记指明了资产所运行的操作系统，以及资产所负责的一组服务。

资产标记会以以下两种方式之一定义：

• 系统检索资产的时间。

• 用户添加或编辑资产的时间。

如果由系统设置标记，则每当检索到资产时便会更新标记（如果标记有更改）。如果由用户设置标记，则在检索到资产时系统不会更新标记（即使标记发生更改）。如果您添加或编辑资产的标记，但希望在检索到资产时由系统更新标记，请单击“重置”。每次更改标记设置时您均需执行此操作。

配置管理是 PCI、HIPPA 和 SOX 等标准规定合规的一部分。配置管理有助于监控可能对路由器和交换机配置进行的更改，从而防止系统漏洞。在 ESM 上，您可利用配置管理功能执行以下任务：

• 设置必须对设备进行的轮询频率。

• 选择发现的要查看配置的设备。

• 将检索到的配置文件识别为设备的默认配置文件。

• 查看配置数据、将数据下载到文件以及比较两个设备的配置信息。

10


目录管理资产定义旧资产

管理资产资产是包含 IP 地址的网络中的任何设备。您可以创建资产，更改其标记，创建资产组，添加资产来源并将资产分配到资产组。您还可以控制从一个漏洞评估供应商学习的资产。

开始之前请验证是否拥有管理员权限，或属于具有设备管理权限的访问组。

任务1 在信息显示板中，单击并选择“资产管理器”。

2 请确保已选择“资产”选项卡。

3 根据需要管理资产，然后单击“确定”。


选项定义

“在树中查看资产”以树的格式列出资产。

“查看资产的可排序单层

列表”

在可排序单层列表中列出资产。

“新建” | “组” 单击该选项可添加资产组。键入该组的名称并选择关键性。

“新建” | “资产” 单击该选项可添加资产。

“新建” | “添加过滤器组” 单击该选项可添加资产过滤器组。只有此为第一个添加至资产树的项目或您突出显示现有组时，才可以使用该选项。

“文件” | “从文件导入” 单击该选项可将 .csv 文件导入到您在资产列表中选择的位置。按如下方式调整 .csv 文件中的资产数据格式：

Hostname, IPAddress, Mask, ZoneName, UsrSeverity, UseCalcSeverity, TagCount,TagGroupName:TagName

为您拥有的每个标记 (TagCount) 添加一个 TagGroupName:TagName。每个资产都必须在其自己的行上。

“文件” | “导出到文件” 单击该选项可导出到选择的资产文件。

“编辑” | “修改” 单击该选项可对选择的资产或资产组进行更改。

“编辑” | “在风险计算中使用”或“在风险计算中忽略”

要选择在计算企业的总体风险时使用的资产，请选择资产，然后单击这些选项之一。 “在风险计算中使用”为默认设置。

“编辑” | “删除” 单击该选项可删除选择的组或资产。如果您选择组，则系统会询问您是要删除组及其资产，还是仅删除组。如果您选择仅删除组，则资产会被重新分配到“未经分配”文件夹。

“工具” | “创建 DEM 数据库服务器”

选择资产，将其作为数据库服务器添加至系统上的 DEM 设备。

“工具” | “创建接收器数据来源”

选择资产，并将其作为数据来源添加至系统上的接收器。

“标记” 要定义其属性并作为过滤器，请将标记添加至选择的资产。

10 使用资产管理器“资产管理器”工作原理



选项定义

“名称” 键入该资产的名称。

“ IP 地址 ” 键入该资产的 IP 地址。

“MAC 地址” （可选）键入该资产的 MAC 地址。

“GUID” （可选）键入该资产的全局唯一标识符。

“操作系统” （可选）选择该资产的操作系统。

“区域” 请选择该资产的区域。

如果将区域分配到资产或资产组，那么在该区域没有权限的用户无法访问这些资产。

“关键性” 选择该资产对您企业的关键性：1 = 关键性低，100 = 关键性高。威胁的关键性和严重性用于计算对您企业的总体事件严重性。

标记表请选择该资产的标记。

“新类别标记” 将新类别添加至标记列表。请键入类别的名称并选择您是否要在事件严重性计算中使用该类别。

“新建标记” 请添加新标记。请键入标记的名称并选择您是否要在事件严重性计算中使用该标记。

“编辑标记” 请选择要编辑的标记或类别，然后单击该图标。

“删除标记” 请选择要删除的自定义标记或类别，然后单击该图标。


选项定义

“ 名称 ” 请键入过滤器资产组的名称。

“IP 地址/掩码” 请输入该组的 IP 地址/掩码。

“区域” 若要将该组分配到某区域，则请选择该区域。如果您所需的区域并未列出，则请单击“区域”并添加该区域。

“关键性” 请选择该组的关键性级别。此设置表示资产对您的运营的关键性。

标记列表请选择作为过滤器应用于该组的标记。您可以根据出现的一个或多个资产标记定义过滤器组。设置的标记不会定义资产必须包含的专用标记集。资产可以包含其他标记，且仍为过滤器组的成员。

“新类别标记” 将类别添加至标记列表。请键入类别的名称并选择您是否要在事件严重性计算中使用该类别。

“新标记” 添加标记。请键入标记的名称并选择您是否要在事件严重性计算中使用该标记。

“编辑标记” 请选择要编辑的标记或类别，然后单击该图标。

“删除标记” 选择要删除的自定义标记或类别，然后单击该图标。


选项定义

“ 使用该资产的严重性 ” 计算事件严重性时，如果要一直使用分配的资产严重性，请选择该选项。

“ 使用总体计算的严重性 ” 计算事件严重性时，如果要一直使用大的严重性值，请选择该选项。

如果您选择该选项并更改“严重性”字段中的比率，则“计算”和“组”按钮会处于活动状态。

“计算” 单击该选项以计算总体严重性，此严重性会被添加到“计算”字段。

使用资产管理器“资产管理器”工作原理 10



选项定义

“组” 单击该选项，以查看该资产所属的组列表以及各组的严重性。

“重置” 单击该选项，使系统自动设置该资产的标记。

另请参阅管理资产来源第 316 页管理漏洞评估来源第 318 页管理已知威胁第 323 页定义旧资产第 316 页

定义旧资产“资产管理器”上的“旧资产”组允许您存储定义时尚未检测到的资产。


1单击“Asset Manager”快速启动图标。

2 在“资产”选项卡上，双击资产列表中的“旧资产”组。

3 请选择近一次检测资产到将其移至“旧资产”文件夹相差的天数，然后单击“确定”。

另请参阅管理资产第 314 页

资产来源您可从“Active Directory”中检索数据（如有），或者使用“资产来源”从 Altiris 服务器中检索。

使用“Active Directory”可以通过在“来源用户”或“目标用户”视图查询过滤器字段中选择检索的用户或组来过滤事件数据。这种方式提高了您提供符合 PCI 等要求的数据的能力。Altiris 和“Active Directory”检索计算机及其 IP 地址等资产并将资产添加到资产表格。

您必须在 Altiris 管理控制台上拥有“Asset Manager”权限才能在 Altiris 上检索资产。

“Active Directory”通常不存储 IP 地址信息。系统从“Active Directory”中获得名称后，使用 DNS 查询地址。如果找不到计算机的地址，则不会将该计算机添加到“资产”表格。因此，系统上的 DNS 服务器需要包含“Active Directory”计算机的 DNS 信息。

您可将 IP 地址添加到“Active Directory”。如果您执行此操作，请修改计算机对象上的 networkAddress 属性，以确保系统使用这些 IP 地址而不是查询 DNS。

另请参阅管理资产来源第 316 页

管理资产来源从您的 Active Directory 或 Altiris 服务器中检索数据。

10 使用资产管理器资产来源



1单击“Asset Manager”快速启动图标，然后单击“资产来源”选项卡。

“资产来源”树会显示系统上的 ESM 和接收器，及其当前资产来源。

ESM 可拥有一个资产来源，而接收器则可拥有多个。

2 请选择设备，然后选择其中一个可用操作。


选项定义

表查看系统上的 ESM 和接收器，及其资产来源。

“添加” 将新的资产来源添加至 ESM 或其中一个接收器。

“编辑” 更改选择的资产来源。

“删除” 删除选择的资产来源。

“检索” 立即检索数据。

“写入” 请在更改任意资产来源设置时单击该选项，以写入对设备的更改。


选项定义

“ 已启用 ” 如果您要启用自动检索，则请选择该选项。如果不选择该选项，您仍可以通过单击“资产来源”页面上的“检索”手动检索数据。如果选择该选项，则会按照在“检索数据”字段中指定的时间间隔检索数据。

“ 类型 ” 如果为 Active Directory 或 Altiris 资产来源，则请选择该选项。

“名称” 键入资产来源的名称

“区域” 要将数据来源分配给一个区域，请选择区域。

“优先级” 如果在进行“漏洞评估”或“网络发现”的同时发现资产，请选择您要该资产来源拥有的优先级。

“IP 地址” 键入该资产来源的 IP 地址。

“端口” 选择该资产来源的端口。

“使用 TLS”或“使用 SSL”

如果您要对数据使用加密协议，则请选择该选项。Active Directory 使用 TLS；Altiris 使用 SSL。

“用户名” 请键入访问资产来源所需的用户名。

“密码” 请键入访问资产来源所需的密码。

“搜索库” 对于 Active Directory，请键入要从中开始资产搜索的对象的识别名 (dc=mcafee,dc=com)。

代理信息对于 Altiris，请键入 IP 地址、其收听的端口、代理用户的名称以及代理服务器的密码。

“检索数据” 要自动检索数据，请选择频率。

“连接” 单击该选项，测试 Altiris 服务器的连接。


选项定义

“ 设备 ” 列出了将应用更改的设备。

“ 状态 ” 显示了每个设备的过程状态。

使用资产管理器资产来源 10


另请参阅管理资产第 314 页管理漏洞评估来源第 318 页管理已知威胁第 323 页资产来源第 316 页

管理漏洞评估来源您可以使用“漏洞评估”从多个 VA 供应商中检索数据。若要与所需的 VA 来源进行通信，您必须将来源添加到系统中。将来源添加到系统中后，您可以检索 VA 数据。


1单击“资产管理器”快速启动图标，然后单击“漏洞评估”选项卡。

2 添加、编辑、删除或检索 VA 来源，然后将其写入到设备中。



选项定义

“设备” 列出正在删除的设备。

“状态” 显示正在删除的每个设备的进程状态。

另请参阅管理资产来源第 316 页管理资产第 314 页管理已知威胁第 323 页

区域管理区域可用于对网络上的设备和数据来源进行分类。

通过区域管理，您可以按地理位置和 IP 地址将设备及其产生的事件划分到相关的组中。例如，如果您在美国东海岸和西海岸都有办公室，并且希望将每个办公室产生的事件分组在一起，您可以添加两个区域并将必须对其事件进行分组的设备分配给每一个区域。若要按特定 IP 地址对每个办公室的事件进行分组，您可以为每个区域添加子区域。

另请参阅管理区域第 319 页添加区域第 319 页导出区域设置第 320 页导入区域设置第 320 页添加子区域第 321 页

10 使用资产管理器管理漏洞评估来源


管理区域区域可帮助您按地理位置或 ASN 对设备和数据来源进行分类。您必须添加区域（可以逐个添加，也可以导入从其他设备导出的文件），然后将设备或数据来源分配给区域。


1单击“资产管理器”快速启动图标，然后选择“区域管理”。

2 添加区域或子区域、编辑或删除现有区域，或者导入或导出区域设置。

3 部署您所做的任何更改，然后单击“确定”


选项定义

“添加区域” 请将新区域添加至 ESM。

“添加子区域” 请将子区域添加至选择的区域，以便根据 IP 地址对其划分。

“编辑” 请更改所选区域或子区域的设置。

“删除” 请删除所选区域或子区域。

“导入” 请将区域定义文件或设备导入到从其他 ESM 导出的区域分配文件。

“导出” 请导出 ESM 上的区域设置。

“部署” 请推广您对 ESM 作出的任何更改。


选项定义

选择列选择要将更改部署到的设备。

“设备”列查看系统上的设备。

“状态”列查看每台设备的部署状态。

另请参阅区域管理第 318 页添加区域第 319 页导出区域设置第 320 页导入区域设置第 320 页添加子区域第 321 页

添加区域区域管理的第一步是添加用于对设备和数据来源进行分类的区域。您可以使用“添加区域”功能逐个添加区域，也可以导入从其他系统导出的文件。添加区域后，您可以根据需要编辑它的设置。


1单击“资产管理器”快速启动图标，然后单击“区域管理”。

2 输入所需的信息并将设备分配给区域，然后单击“确定”。

使用资产管理器区域管理 10



选项定义

“名称” 请键入该区域的名称。

“用作默认区域分配” 如果您要将该区域分配作为分配到该区域（未分配到其子区域）的设备生成事件的默认区域分配，则请选择该选项。

“地理位置” 若要使用地理位置定义该区域的边界，请单击“过滤器”图标，然后选择要划分到该区域的位置。

“ASN” 若要使用 ASN 定义该区域的边界，从而唯一确认 Internet 上的各个网络，请在该字段输入编号。

“分配的设备” 请选择要分配到该区域的设备。

另请参阅区域管理第 318 页管理区域第 319 页导出区域设置第 320 页导入区域设置第 320 页添加子区域第 321 页

导出区域设置您可以从 ESM 导出区域设置，这样您便可以将这些设置导入其他 ESM 中。


1单击“资产管理器”图标，然后单击“区域管理”。

2 单击“导出”，然后选择要导出的文件的类型。

3 单击“确定”，然后选择要立即下载的文件。


选项定义

“导出区域定义文件” 请导出包含父区域及其子区域的文件，和所有有关其设置的详细信息。

“将设备导出到区域分配文件” 请导出包含设备及其被分配到的区域的文件。

另请参阅区域管理第 318 页管理区域第 319 页添加区域第 319 页导入区域设置第 320 页添加子区域第 321 页

导入区域设置使用导入功能，您可以按原样导入区域文件，也可以在导入前先编辑数据。

开始之前从其他 ESM 导出区域设置的文件，这样您便可以将该文件导入 ESM 中。

10 使用资产管理器区域管理



1 打开要导入的区域设置文件。

• 如果该文件是导入区域定义文件，它会有八个列：命令、区域名称、父名称、地理位置、ASN、默认、IPStart和 IPStop。

• 如果该文件是区域分配文件的导入设备，它会有三个列：命令、设备名称和区域名称。

2 在“命令”列中输入命令以指定导入时要对每一行执行的操作。

• 添加 - 按原样导入行中的数据。

• 编辑 - （仅区域定义文件）导入数据以及对数据所做的任何更改。

要更改子区域范围，您必须删除现有范围，然后添加更改后的范围。您无法直接进行编辑。

• 删除 - 删除 ESM 中与此行匹配的区域。

3 保存您所做的更改，然后关闭文件。

4单击“资产管理器”快速启动图标，然后单击“区域管理”选项卡。

5 单击“导入”，然后选择导入的类型。

6 单击“确定”，找到要导入的文件，然后单击“上传”。

如果在文件中检测到错误，系统会提供通知。

7 如果文件中有错误，请对文件进行必要的修正，然后重试。

8 推广更改以更新设备。


选项定义

“导入区域定义文件” 请导入包含父区域及其子区域的文件，和所有有关其设置的详细信息。

要更改子区域范围，您必须删除现有范围，然后添加更改后的范围。您无法直接进行编辑。

“将设备导入到区域分配文件” 请导入包含设备及其被分配到的区域的文件。

另请参阅区域管理第 318 页管理区域第 319 页添加区域第 319 页导出区域设置第 320 页添加子区域第 321 页

添加子区域添加区域后，您可以再添加子区域以进一步按 IP 地址对设备和事件进行分类。

开始之前在“区域管理”选项卡上添加区域。

使用资产管理器区域管理 10



1单击“资产管理器”快速启动图标，然后单击“区域管理”选项卡。

2 选择区域，然后单击“添加子区域”。



选项定义

“名称” 请键入该子区域的名称

“说明” 请键入该子区域的说明

“范围”表请查看该子区域的 IP 地址范围。

“添加” 请添加该范围的 IP 地址范围，以及地理位置或 ASN 信息。

“编辑” 请更改选择的范围。

“删除” 请删除选择的范围。


选项定义

“起始 IP”和“结束 IP” 请键入该范围的起始和结束 IP 地址。

“地理位置” 如果您不想该范围使用默认地理位置，则请选择该字段中的覆盖地理位置。

“ASN” 如果您不想该范围使用默认 ASN，则请在该字段中键入覆盖 ASN。

另请参阅区域管理第 318 页管理区域第 319 页添加区域第 319 页导出区域设置第 320 页导入区域设置第 320 页

资产、威胁和风险评估McAfee Threat Intelligence Services (MTIS) 和系统上的漏洞评估来源生成已知威胁列表。这些威胁的严重性和您每项资产的严重性用于计算对您企业的风险级别。

Asset Manager

将资产添加到“Asset Manager”时（请参阅“管理资产”），需要分配关键性级别。此设置表示资产对您的运营的严重性。例如，如果您有一台计算机来管理您的企业设置并且没有备份，则严重性为高。但是，如果您有两台计算机来管理您的设置，且每台都有备份，则严重性级别低很多。

您可以在“资产”选项卡的“编辑”菜单上选择在企业风险计算中使用或忽略资产。

10 使用资产管理器资产、威胁和风险评估


威胁管理

“Asset Manager” 上的“威胁管理”选项卡显示已知威胁列表、威胁的严重性、供应商以及这些威胁是否用于风险计算。您可以启用或禁用特定威胁，使其用于或不用于计算风险。您还可以查看列表中威胁的详细信息。这些详细信息包括处理威胁的建议以及您可以使用的对策。

预定义视图

三个预定义视图（请参阅“使用 ESM 视图”）总结并显示了资产、威胁和风险数据：• “资产威胁摘要” - 按风险评分和威胁级别显示主要资产，并按风险显示威胁级别。

• “ 新威胁摘要” - 按供应商、风险、资产和可用的保护产品显示近的威胁。

• “漏洞摘要” - 按威胁和资产显示漏洞。

可以从组件菜单访问这些视图上单个项目的详细信息。

自定义视图

已将选项添加到“查询向导”，使您能够设置显示所需数据的自定义视图（请参阅“添加自定义视图”）。• 在“拨号控制”和“计数”组件上，您可以显示平均企业风险评分和总体企业风险评分。

• 在“饼状图”、“条形图”和“列表”组件上，您可以显示存在风险的资产、产品威胁保护，并按资产、风险和供应商显示威胁。

• 在“表”组件上，您可以显示资产、近威胁，并按风险评分显示主要资产和主要威胁。

管理已知威胁选择要在风险计算中使用的已知威胁。

每个威胁都有自己的严重性评级。该评级与资产的关键性评级用于计算威胁对您的系统的总体严重性。


1在 ESM 控制台上，单击“Asset Manager”快速启动图标。

2 单击“威胁管理”选项卡，以显示已知威胁列表。

3 选择已知威胁，然后执行以下操作之一：• 单击“威胁详细信息”，以查看威胁的详细信息。

• 如果“计算风险”列显示“是”而且您不要将其用于风险计算，则单击“禁用”。

• 如果“计算风险”列显示“否”而且您要将其用于风险计算，请单击“启用”。


另请参阅管理资产来源第 316 页管理漏洞评估来源第 318 页管理资产第 314 页

使用资产管理器管理已知威胁 10


10 使用资产管理器管理已知威胁


11 管理策略和规则

创建、应用和查看策略模板和规则。

目录了解策略编辑器策略树在策略树中管理策略为数据库审核跟踪设置规则和报告规范化规则类型及其属性默认策略设置规则操作将标记分配到规则或资产修改累积设置对已下载的规则进行覆盖操作严重性权重查看策略更改历史记录应用策略更改启用复制数据包

了解策略编辑器“策略编辑器”使您可以创建策略模板并自定义单个策略。

任何设备上的策略模板和策略设置都可以继承父级的值。继承设置会允许在维持一定程度的简便和易用的同时将策略设置应用到设备，使其可以无限配置。添加的每个策略以及所有设备在“策略树”上都有条目。

在 FIPS 模式中进行操作时，请勿通过规则服务器更新规则。而应进行手动更新（请参阅“检查规则更新”）。

McAfee 规则服务器负责维护所有具备预定义值或使用率的规则、变量和预处理器。“默认策略”会继承这些由 McAfee维护的设置的值和设置，是所有其他策略的上级。默认情况下，所有其他策略和设备的设置都是继承“默认策略”的值。

要打开编辑器，请单击“策略编辑器”图标，或在导航树中选择系统或设备节点。然后单击操作工具栏中的“策略编辑器”图标。

11


1 菜单栏 4 规则显示

2 面包屑导航窗格 5 标记搜索字段

3 规则类型窗格 6 过滤器/标记窗格

“规则类型”窗格中列出的规则类型会根据系统导航树中选择的设备类型而变。面包屑导航窗格会显示您所选策略的层级。要更改当前策略，请单击面包屑导航器窗格上的策略名称。然后单击显示策略子级的面包屑导航器窗格中的箭

头。或者，单击“策略树”图标。 “策略树”上的菜单会列出您可以对策略采取的措施。

如果您选择“规则类型”窗格中的类型，则该类型中的所有规则都会被列在规则显示部分。这些列会列出您可以针对各个规则作出调整的特定规则参数（除了“变量”和“预处理器”）。您可以单击当前设置并从列表中选择新的设置，以更改设置。

“过滤器/标记”窗格会过滤“策略编辑器”中显示的规则。然后您可以仅查看符合您的标准的规则，或将标记添加到规则，以定义其功能。

另请参阅策略树第 326 页规则类型及其属性第 331 页在策略树中管理策略第 327 页应用策略更改第 374 页

策略树 “策略树”会列出系统上的策略和设备。

“策略树”可使您：

11 管理策略和规则策略树


• 导航以查看特定策略或设备的详细信息 • 按名称查找策略或设备

• 向系统添加策略 • 重命名、删除、复制、复制并替换、导入或导出策略

• 更改策略或设备顺序

图标说明

策略

设备不同步

设备已分级设置

设备为新状态

另请参阅了解策略编辑器第 325 页规则类型及其属性第 331 页在策略树中管理策略第 327 页应用策略更改第 374 页

在策略树中管理策略通过在“策略树”上执行操作管理系统上的策略。

开始之前请验证是否拥有管理员权限，或属于具有策略管理权限的访问组。


1 在信息显示板中，单击并选择“策略编辑器”。

2 在 ESM 控制台上，单击“策略编辑器”图标，然后单击“策略树”图标。



查看策略规则 • 双击策略。“策略编辑器”的规则显示部分中会列出规则。

使一个策略成为另一个策略的子级策略

• 选择该子级策略，然后将其拖放到父级策略。

您仅可以将设备拖放到策略中。

查找策略或设备

• 在搜索字段中键入名称。

添加策略 1 选择要向其添加策略的策略，然后单击“策略树菜单项目”图标。

2 单击“新建”，输入策略名称，然后单击“确定”。

管理策略和规则在策略树中管理策略 11



重命名策略 1 选择要重命名的策略，然后单击“策略树菜单项目”图标。

2 单击“重命名”，输入新名称，然后单击“确定”。

删除策略 1 选择要删除的策略，然后单击“策略树菜单项目”图标。

2 单击“删除”，然后单击确认页面上的“确定”。

复制策略 1 选择要复制的策略，然后单击“策略树菜单项目”图标。

2 单击“复制”并输入新策略的名称，然后单击“确定”。

将设备移至策略

1 选择要移动的设备，然后单击“策略树菜单项”图标。

2 突出显示“移动”，然后选择要将设备移到的策略。

复制并替换策略

1 选择要复制的策略，再单击“策略树菜单项目”图标，然后选择“复制和替换”。

2 在“选择策略”中，选择您要替换的策略。

3 单击“确定”，然后单击“是”。

被替换的策略会应用复制的策略的设置，但是名称不变。

导入策略导入操作发生在目前所选设备发生故障时。1 从树上选择要将新策略导入到的级别，单击“策略树菜单项目”图标，然后选择“导入”。

2 浏览到并上载您要导入的文件。

如果显示错误消息，请参阅“故障排除导入策略”获得解决方案。

3 选择要使用的导入选项，然后单击“确定”。

导出策略 1 选择要导出的策略。导出包括选定节点及以上层级。仅可导出具有自定义设置的标准规则或自定义规则，所以，请务必在“导出”选项中至少选择启用一个这类规则。

2 单击“菜单”，然后选择“导出”。

3 选择要使用的导出选项，单击“确定”，然后选择导出策略文件的保存位置。

4 若要关闭“策略树”，请双击策略或设备，或者单击关闭图标。


选项定义

菜单栏将光标移动到菜单栏中的某一项目上，然后选择可用的选项。所选的规则类型或规则不同，选项也会有所不同。

面包屑导航栏 “策略树”图标将打开 ESM 上的全部策略列表。记号列表会显示您正在使用的策略。

“规则类型”窗格单击此窗格中的任意规则类型，以查看规则显示窗格中该类型的规则。

规则显示窗格单击某一规则以在窗格底部查看其说明，或者在菜单栏或规则显示窗格的列中对其执行任一有效操作。

标记搜索字段输入您要搜索的标记名称，然后从可能的匹配项列表中选择标记。

“过滤器/标记”窗格在“过滤器”选项卡的规则显示窗格中，按照名称字母顺序或时间顺序排列规则，同时过滤该列表，以便仅查看满足所选标准的规则。在“标记”选项卡中，向规则显示窗格中所选的规则添加标记，以便按照标记过滤规则。您可以添加、编辑和删除自定义标记和标记类别。

11 管理策略和规则在策略树中管理策略



选项定义

“创建警报”图标添加警报后便可在所选规则生成事件后向您发出通知。

“严重性权重”图标设置资产、标记、规则和漏洞用于计算事件严重性。

“查看策略更改历史记录”图标

查看对当前策略所做更改的列表，并将该列表导出。

“设置”图标定义仅警报模式和认购超额模式的设置，从 McAfee 服务器更新规则并查看策略树中设备的更新状态摘要。

“部署”图标将策略更改部署到 ESM。


选项定义

“ 覆盖所选策略（名称排除）”

选择将策略设置导入策略树中当前所选的条目。如果导入多个策略，则第一个策略将覆盖所选的策略，所有后续策略将作为当前节点的子策略插入，从而保持其层次结构关系完好无损。该选项不会更改所选策略的名称。

“ 作为所选策略的子策略插入”

选择将策略作为策略树中当前所选条目的子策略导入。如果导入多个策略，则所有策略都将作为当前节点的子策略插入，从而保持其层次结构关系完好无损。

“覆盖现有规则” 选择删除现有规则，并以作为导入策略中所含的规则来覆盖它。

“发生冲突时，创建新规则” 选择保留这两个规则，为导入的规则创建新 ID。

“现有规则存在时，跳过该规则”

选择保留现有规则，不导入相冲突的规则。

“导入策略” 单击开始导入策略。


选项定义

“ 导出方法设置 ” 选择您是否希望添加自定义规则和变量，将其作为导出的一部分。由于自定义规则对自定义变量存在潜在的依赖性，因此要导出自定义规则，必须同时导出自定义变量。选择能满足当前导出所需操作的自定义规则和变量选项。

“ 高级选项 ” 单击以选择要导出的策略级别。

“导出当前策略” 选择导出策略及其所有层次结构。它已被压缩，也就是说这些设置已压缩到一个级别的策略，在逐项的基础上，直接的策略设置优先于其他策略设置。例如，如果您已选择了设备，则所选策略上的两个策略均将导出。要想导出父级策略，必须先选择其子策略。同时，如果文件压缩为一个级别的策略，则所选策略的设置优先于父级策略设置。

“不包含父级策略设置的当前策略”

选择仅导出所选策略的设置。

“包含父级策略的当前策略”

选择导出所选策略及其所有父级策略，确保其层次结构完好无损。

另请参阅了解策略编辑器第 325 页策略树第 326 页规则类型及其属性第 331 页应用策略更改第 374 页

管理策略和规则在策略树中管理策略 11


为数据库审核跟踪设置规则和报告“特权用户审核记录”报告可让您查看对数据库所做修改的审核跟踪或跟踪对于特定事件相关的数据库或表的访问。

在设置生成此报告的参数之后，您会收到合规性报告通知，其中显示与每一事件相关的审核跟踪。若要生成审核跟踪事件，您必须添加“数据访问”规则和“特权用户审核记录”报告。


1 在“策略编辑器”中的“规则类型”窗格中，选择“DEM” | “数据访问”。

2 突出显示规则显示窗格中的“DEM – 模板规则 – 从 IP 范围受信任地使用访问”。

3 单击“编辑” | “复制”，然后单击“编辑” | “粘贴”。

4 更改新规则的名称和属性。

a 突出显示新规则，然后选择“编辑” | “修改”。

b 输入规则的名称，然后键入用户名。

c 选择“不受信任”操作类型，然后单击“确定”。

5 单击“部署”图标。

6 设置报告：

a 在“系统属性”上，单击“报告” | “添加”。

b 填写第 1 – 3 和 6 部分。

c 在第 4 部分，选择“报告 PDF”或“报告 HTML”

d 在第 5 部分，选择“合规性” | “SOX” | “特权用户审核记录（数据库）”。

e 单击“保存”。

7 要生成报告，请单击“立即运行”。

规范化规则由各个供应商命名和说明。因此，同一类型的规则通常名称各异，难以收集当前发生事件类型的信息。

McAfee 汇集并持续更新介绍规则的规范化 ID 列表，以便将事件分组到有用的类别中。如果单击“策略编辑器”的“规则类型”窗格中的“规范化”，则会列出这些 ID、名称和说明。

这些事件功能提供选项，以便利用规范化的 ID 组织事件信息：

• 查看组件字段 — 定义饼状图、条形图和列表组件中事件查询的字段时会提供“Normalized Event Summary”（规范化的事件摘要）选项（请参阅“管理查询”）。

• 查看组件过滤器 — 创建新视图时，您可以选择根据规范化的 ID 过滤组件上的事件数据。（请参阅“管理查询”）。

• 视图过滤器 — “规范化的 ID”是视图过滤器列表上的选项（请参阅“过滤视图”）。

• 视图列表 — “事件视图”列表上提供“Normalized Event Summary”（规范化的事件摘要）视图。

“事件分析”视图上的“详细信息”选项卡会列出列表所显示事件的规范化 ID。

将“规范化的 ID”过滤器添加至新的或现有视图时，您可以执行以下操作：

11 管理策略和规则为数据库审核跟踪设置规则和报告


• 根据第一级文件夹中的所有规范化 ID 进行过滤。掩码（第一级文件夹为 /5）会包含在 ID 的末尾，表示事件还会经过所选文件夹的子级 ID 过滤。

• 根据第二或第三级文件夹中的 ID 进行过滤。掩码（第二级文件夹为 /12；第三级文件夹为 /18）会包含在 ID 的末尾，表示事件会经过所选子文件夹的子级 ID 过滤。第四级没有掩码。

• 根据单个 ID 进行过滤。

• 若要同时根据多个文件夹或 ID 进行过滤，则可使用 Ctrl 或 Shift 键选择文件夹或 ID。

规则类型及其属性“策略编辑器”页面的“规则类型”窗格可使您访问所有的规则类型。

选定规则后，您可以对其执行导入、导出、添加、编辑等各项操作。您可执行的功能取决于规则类型。

所有的规则都以分级系统为基础，在该系统中，每个规则都会继承其父级规则的用途。规则（除“变量”和“预处理器”规则外）会被标记以图标，以指示其用途继承自何处。如果继承链在当前行下的某处断开，则图标左下角会存在一个点。

图标说明

父级设置决定该项目的用途。默认情况下大多数规则都设置为继承，但其用途可以更改。

表示继承链在该级别断开，且继承值关闭。

继承链中断后会使用当前规则用途。

表示继承链在该级别断开。此点之下的各项不会再继承继承链上的其他用途。此设置有助于强制各规则使用它们的默认用途。

表示自定义值；您对值进行相关设置，而非保持其默认设置。

属性

选定规则类型后，规则显示窗格将会显示系统中该类型的所有规则及其属性设置。属性包括“操作”、“严重性”、“列入黑名单”、“累积”和“复制数据包”。

此属性... 可使您...

“操作” 设置此规则执行的操作。选项是否可用取决于规则类型。

黑名单项目无法移动到其目标位置；如果在“列入黑名单”列选择了“通过”，则系统会自动将其更改为“警报”。

“严重性” 触发规则后，选择规则部分的严重性。严重性从 1-100 不等，其中 100 表示严重程度高。

“列入黑名单”

在设备中触发规则后，将会为每个规则自动创建黑名单条目。你可以选择仅将 IP 地址列入黑名单还是将 IP 地址和端口都列入黑名单。

“累积” 为规则触发时创建的事件设置规则累积。“事件累积”页面定义的累积设置（参见“累积事件或流”）仅适用于策略编辑器中设置的规则。

“复制数据包”

将数据包数据复制到 ESM 中，以防发生通信丢失的情况。复制数据包数据后，您可以通过检索该复件来获取信息。

通过单击当前设置并选择其他设置来更改这些设置。

管理策略和规则规则类型及其属性 11


另请参阅了解策略编辑器第 325 页策略树第 326 页在策略树中管理策略第 327 页应用策略更改第 374 页

ADM 规则McAfee ADM 是一系列网络设备，由 ICE 深度数据包检测 (DPI) 引擎驱动。

ICE 引擎是软件库，也是协议和内容插件模块的集合，可以实时识别内容并从原始网络流量提取内容。它可以完全重组并解码应用程序级别内容，将加密网络数据包流转换为易于阅读的内容，达到阅读本地文件的效果。

ICE 引擎无需依赖固定的 TCP 端口编号或文件扩展名即可自动确定协议和内容类型。ICE 引擎并不依赖特征码执行分析和解码，但其模块针对各个协议或内容类型实施完全解析时依赖。这样可使内容的确定和解码非常准确，即使内容被压缩或编码也可以对其进行确定和提取，因而不会以明文的形式在网络中传递。

借助该高准确度确定和解码，ICE 引擎可以提供网络流量独特的深度视图。例如，ICE 引擎可以检索遍历 .zip 文件中网络的 PDF 文档流，并将其作为由 SOCKS 代理服务器发出的 SMTP 电子邮件中经 BASE-64 编码的附件。

ADM 通过该应用程序和文档感知提供重要的安全上下文。它可以检测到传统 IDS 或 IPS 很难检测到的威胁，如：• 泄露敏感信息和文档，或违反通信规则。 • 潜在的恶意文档（如：文档与扩展名不匹配）。

• 未经授权的应用程序流量（如：何人在使用Gnutella？）

• 新一代的漏洞（如：PDF 文档中嵌入可执行文件）。

• 应用程序使用方式异常（如：在非标准端口使用HTTPS）。

此外，ADM 还通过检测应用程序和传输协议中的异常检测恶意流量模式（如：RPC 连接格式有误，或 TCP 目标端口为 0）。

支持的应用程序和协议

ADM 支持 500 多种应用程序和协议，通过它们监控、解码并检测异常。以下为样品列表：

• 底层网络协议 — TCP/IP、UDP、RTP、RPC、SOCKS、DNS 等

• 电子邮件 — MAPI, NNTP, POP3, SMTP, Microsoft Exchange

• 社交 — MSN、AIM/Oscar、Yahoo、Jabber、IRC

• 网页邮件 — AOL Webmail、Hotmail、Yahoo! Mail、Gmail、Facebook 和 MySpace email

• P2P — Gnutella、bitTorrent

• Shell — SSH（仅用于检测）、Telnet

• 即时消息 — AOL、ICQ、Jabber、MSN、SIP 和 Yahoo

• 文件传输协议 — FTP、HTTP、SMB 和 SSL

• 压缩和解压缩协议 — BASE64、GZIP、MIME、TAR、ZIP 等

• 存档文件 — RAR 存档、ZIP、BZIP、GZIP、Binhex 和 UU 编码存档

• 安装包 — Linux 包、InstallShield CAB 文件、Microsoft CAB 文件

• 图像文件 — GIF、JPEG、PNG、TIFF、AutoCAD、Photoshop、Bitmaps、Visio、Digital RAW 和 Windows 图标

• 音频文件 — WAV、MIDI、RealAudio、Dolby Digital AC-3、MP3、MP4、MOD、RealAudio、SHOUTCast 等

11 管理策略和规则规则类型及其属性


• 视频文件 — AVI、Flash、QuickTime、Real Media、MPEG-4、Vivo、Digital Video (DV)、Motion JPEG 等

• 其他应用程序和文件 — 数据库、电子表格、传真、Web 应用程序、字体、可执行文件、Microsoft Office 应用程序、游戏，甚至软件开发工具

• 其他协议 — 网络打印机、shell 访问、VoIP 和对等网络

关键概念

了解 ADM 工作方式的关键是要了解以下概念：

• 对象 — 对象是指有内容的单个项目。电子邮件既是对象，又是对象容器，因为它包含一个消息正文（或两个）和附件。HTML 页面是对象，它可能包含其他对象，如图片。.zip 文件和其中的每个文件都是对象。ADM 会打开容器，将其中的每个对象作为自己的对象。

• 事务 — 事务是对象（内容）传输过程中的包装器。一个事务至少包含一个对象，但是如果对象是容器（如 .zip 文件），那么单个事务可能包含多个对象。

• 流 — 流是 TCP 或 UDP 网络连接。一个流可能包含许多事务。

管理自定义 ADM、DEM 或关联规则复制预定义规则并将其用作自定义规则的模板。添加自定义规则时，您可以编辑设置；可以复制粘贴自定义规则，作为新自定义规则的模板；也可以将其删除。


1 在“策略编辑器”上，选择“ADM”或“DEM” | “数据库”、“数据存储”或“事务跟踪”。



查看所有自定义 ADM 或 DEM 规则 1 选择“过滤器/标记”窗格中的“过滤器”选项卡。

2 单击窗格底部的“高级”栏。

3 在“来源”字段中，选择“用户定义”。

4 单击“运行查询”。

您所选类型的自定义规则列在规则显示窗格中。

复制并粘贴规则 1 选择预定义或自定义规则。

2 单击“编辑” | “复制”

3 单击“编辑” | “粘贴”。您复制的规则会被添加到现有规则列表，名称相同。

4 若要更改名称，请单击“编辑” | “修改”。

修改自定义规则 1 选择自定义规则。

2 单击“编辑” | “修改”。

删除自定义规则 1 选择自定义规则。

2 单击“编辑” | “删除”。



添加自定义 ADM、数据库或关联规则除了使用预定义的 ADM、数据库或关联规则，您可以使用逻辑表达式和正则表达式创建复杂的规则。添加这些不同规则类型所使用的编辑器非常相似，因此会在同一章节予以说明。


1 在“策略编辑器”的“规则类型”窗格中，选择“ADM”、“DEM” | “数据库”或“关联”。

2 单击“新建”，然后选择您要添加的规则类型。

3 输入请求的信息，然后将逻辑元素和表达式组件从工具栏拖放至“表达式逻辑”区域，以构建规则的逻辑。



选项定义

“ 名称 ” 输入此规则描述性的名称。

“ 严重性” 选择严重性设置。

“规范化 ID ” 更改默认规范化 ID。

“标记 ” 选择能够定义规则所属类别的标记。

“类型” 选择数据库规则类型。

“ 默认操作” 选择由此规则触发的警报操作。

这些操作可以添加到默认操作列表（请参见“添加 DEM 操作”）。

“ 表达式逻辑”区域在此区域中拖放逻辑元素和组件，以设置此规则的逻辑。

“AND”、“OR” 逻辑元素在“表达式逻辑”区域中拖放以设置此规则的逻辑。

“表达式组件”图标拖放该图标来定义逻辑元素的详细信息。

“ 说明” 输入规则说明，该说明将在您选择它后显示在“策略编辑器”的说明区域。


选项定义




“标记 ” 选择能够定义规则所属类别的标记。

“类型” 选择数据库规则类型。

“ 默认操作” 选择由此规则触发的警报操作。

这些操作可以添加到默认操作列表（请参见“添加 DEM 操作”）。

“ 表达式逻辑”区域在此区域中拖放逻辑元素和组件，以设置此规则的逻辑。

“AND”、“OR” 逻辑元素在“表达式逻辑”区域中拖放以设置此规则的逻辑。




选项定义

“表达式组件”图标拖放该图标来定义逻辑元素的详细信息。

“ 说明” 输入规则说明，该说明将在您选择它后显示在“策略编辑器”的说明区域。


选项定义




“标记” 选择能够定义规则所属类别的标记。

“分组依据” 创建字段列表，其可在事件进入关联引擎时作为分组依据。

“关联逻辑”区域在该区域拖放逻辑元素和组件，以设置规则的逻辑（请参见“自定义关联规则示例”）。

“参数” 自定义规则和组件的重复使用实例（请参见“将参数添加到关联规则或组件”）。

“AND”、“OR”、“SET”逻辑元素在“关联逻辑”区域中拖放以设置此规则的逻辑。

“匹配组件”、“偏差组件”和“规则/组件”图标

拖放组件来定义逻辑元素的详细信息。

“说明” 添加规则说明，该说明将在您单击它后显示在“策略编辑器”的说明区域。


选项定义

“事件”，“流” 选择您要将过滤器应用到的数据类型。可以二者都选。

“添加” 为该组件添加过滤器。

“高级选项” “大量不同值...”

如果必须要在触发组件前在特定字段中出现特定数量的值，则请选择该选项。• “不同值” — 单击“默认值”图标，以选择必须出现的值的数量。

• “受监控的字段” — 单击“默认值”图标，以选择值必须出现所在的字段。

“该组件的触发条件...”

如果您希望组件仅在匹配项未在门级“时间窗口”字段中指定的时间范围内出现的情况下触发，请选择此选项。

“替代组依据” 选择该选项可以自定义关联规则中的事件分组。如果您设置的规则根据指定字段分组，则可以替代其中一个组件，以匹配您在“配置组依据替代”页面中指定的字段。单击“配置”，以设置替代字段（请参阅“替代“组依据””）。


选项定义

“否” 选择该选项可排除所选的值。

“期限” （ADM 和 DEM）选择此表达式的度量参考。有关 DEM 数据库规则的选项说明，请参阅 “DEM 规则度量参考”。

“说明” (ADM) 键入组件说明。

“字典” (ADM) 如果您希望此规则参考 ESM 上的 ADM 字典，请在下拉列表中进行选择（请参阅 “ADM 字典”）。




选项定义

“运算符” 选择关系运算符。ADM

• 等于 = • 大于等于 >=

• 不等于 != • 小于等于 <=

• 大于 > • 小于 <

DEM 数据库

• EQ – 等于 • NB – 之外

• BT – 之间 • NE – 不等于

• GE – 大于等于 • NGT – 不大于

• GT – 大于 • NLE – 不小于

• LE – 小于等于 • REGEXP – 正则表达式

• LT – 小于

“匹配值” 选择是在任意值与定义的模式相匹配时触发该规则，还是仅在全部值与该模式匹配时触发该规则。

“值” (ADM) 选择要依据其进行过滤的变量。• 如果字段旁边有变量图标，请单击该字段并选择变量。

• 如果没有图标，请按照“有效输入”字段中的指示输入值。

(DEM) 输入要依据其进行过滤的变量。

“有效输入” 查看您可以在“值”字段中输入的值的提示信息。

编辑逻辑元素AND、OR 和 SET 逻辑元素有默认设置。以上元素可在“编辑逻辑元素”页面上进行更改。


1 在规则编辑器上，拖放“表达式逻辑”或“关联逻辑”区域中的逻辑元素。

2 单击您要编辑的元素的“菜单”图标，然后单击“编辑”。


另请参阅逻辑元素第 246 页

ADM 规则句法ADM 规则与 C 表达式非常相似。

主要的区别是可使用更为广泛的文字集（数字、字符串、正则表达式、IP 地址、MAC 地址和布尔）。字符串条目可以与字符串和正则表达式文字进行比较，以测试其内容；也可以与数字进行比较，以测试其长度。数字、IP 地址和 MAC地址条目仅可以与同类型的文字值进行比较。布尔是唯一的例外情况，任何文字都可以作为布尔，以测试其存在与否。某些条目可以拥有多个值，例如针对 .zip 文件中的 PDF 文件会触发以下规则：type = = application/zip && type = =application/pdf。



表 11-9 运算符

运算符说明示例

&& 逻辑 AND protocol = = http && type = = image/gif

|| 逻辑 OR time.hour < 8 || time.hour > 18

^ ^ 逻辑 XOR email.from = = "[email protected]" ^^email.to = = "[email protected]"

! 一元非 ! (protocol = = http | | protocol = = ftp)

= = 等于 type = = application/pdf

! = 不等于 srcip ! = 192.168.0.0/16

> 大于 objectsize > 100M

> = 大于等于 time.weekday > = 1

< 小于 objectsize < 10K

< = 小于或等于 time.hour < = 6

表 11-10 文字

文字示例

数字 1234、0x1234、0777、16K、10M、2G

字符串 "a string"

正则表达式 /[A-Z] [a-z]+/

IPv4 1.2.3.4、192.168.0.0/16、192.168.1.0/255.255.255.0

MAC aa:bb:cc:dd:ee:ff

布尔真、假

表 11-11 类型运算符兼容性

类型运算符注释

数字 = =、! =、>、> =、<、< =

字符串 = =、! = 将字符串内容与字符串/正则表达式进行比较

字符串 >、> =、<、<= 比较字符串的长度

IPv4 = =、! =

MAC = =、! =

布尔 = =、! = 进行比较，确定真/假，还支持暗示为真的比较，如以下表达式测试是否发生email.bcc 条目：email.bcc

表 11-12 ADM 正则表达式语法

基础运算符

| 二选一 (or)

* 大于等于 0

+ 大于等于 1

? 0 或 1



表 11-12 ADM 正则表达式语法（续）

基础运算符

( ) 分组 (a | b)

{ } 重复范围 {x} or {,x} or {x,} or {x,y}

[ ] 范围 [0-9a-z] [abc]

[^ ] 专用范围 [^abc] [^0-9]

. 任何字符

\ 转义字符

转义

\d 数字 [0-9]

\D 非数字 [^0-9]

\e 转义 (0x1B)

\f 换页 (0x0C)

\n 换行 (0x0A)

\r 回车 (0x0D)

\s 空格

\S 非空格

\t 水平制表 (0x09)

\v 垂直制表 (0x0B)

\w 字组 [A-Za-z0-9_]

\W 非字组

\x00 十六进制表示法

\0000 八进制表示法

^ 行首

S 行尾

行首和行尾锚（^ 和 $）不适用于 objcontent。

POSIX 字符类

[:alunum:] 数字和字母

[:alpha:] 所有字母

[:ascii:] ASCII 字符

[:blank:] 空格和制表符

[:cntrl:] 控制字符



POSIX 字符类

[:digit:] 数字

[:graph:] 可见字符

[:lower:] 小写字母

[:print:] 可见字符和空格

[:punct:] 标点和符号

[:space:] 所有空格字符

[:upper:] 大写字母

[:word:] 字组字符

[:xdigit:] 十六进制数字

另请参阅 ADM 规则参考材料第 117 页ADM 规则条目类型第 120 页ADM 规则度量参考第 121 页特定于协议的属性第 123 页协议异常第 124 页

ADM 字典示例ADM 引擎可将对象内容或任何其他度量或属性与单列字典匹配，以检验真或假（在字典中存在或不存在）。

表 11-13 单列字典示例

字典类型示例

带有常见垃圾字的字符串字典 “西力士”

“西力士”

“伟哥”

“伟哥”

“成人网站”

“成人网站”

“立即行动！不要迟疑！”

授权密钥字的正则表达式字典 /(password|passwd|pwd)[â-z0-9]{1,3}(admin|login|password|user)/i

/(customer|client)[â-z0-9]{1,3}account[â-z0-9]{1,3}number/i

/fund[â-z0-9]{1,3}transaction/i

/fund[â-z0-9]{1,3}transfer[â-z0-9]{1,3}[0-9,.]+/i



表 11-13 单列字典示例（续）

字典类型示例

包含已知不良可执行文件的哈希值的字符串字典

“fec72ceae15b6f60cbf269f99b9888e9”

“fed472c13c1db095c4cb0fc54ed28485”

“feddedb607468465f9428a59eb5ee22a”

“ff3cb87742f9b56dfdb9a49b31c1743c”

“ff45e471aa68c9e2b6d62a82bbb6a82a”

“ff669082faf0b5b976cec8027833791c”

“ff7025e261bd09250346bc9efdfc6c7c”

重要资产的 IP 地址 192.168.1.12

192.168.2.0/24

192.168.3.0/255.255.255.0

192.168.4.32/27

192.168.5.144/255.255.255.240

表 11-14 双列字典示例

字典类型示例

带有常见垃圾字和类别的字符串字典







“立即行动！不要迟疑”“骗局”

授权密钥字和类别的正则表达式字典

/(password|passwd|pwd)[â-z0-9]{1,3}(admin|login|password|user)/i“credentials”

/(customer|client)[â-z0-9]{1,3}account[â-z0-9]{1,3}number/i“pii”

/fund[â-z0-9]{1,3}transaction/i“sox”

/fund[â-z0-9]{1,3}transfer[â-z0-9]{1,3}[0-9,.]+/i“sox”

包含已知不良可执行文件和类别的哈希值的字符串字典

“fec72ceae15b6f60cbf269f99b9888e9”“特洛伊木马”

“fed472c13c1db095c4cb0fc54ed28485”“恶意软件”

“feddedb607468465f9428a59eb5ee22a”“病毒”

“ff3cb87742f9b56dfdb9a49b31c1743c”“恶意软件”

“ff45e471aa68c9e2b6d62a82bbb6a82a”“广告软件”

“ff669082faf0b5b976cec8027833791c”“特洛伊木马”

“ff7025e261bd09250346bc9efdfc6c7c”“病毒”

重要资产和组的 IP 地址 192.168.1.12“关键资产”

192.168.2.0/24“LAN”

192.168.3.0/255.255.255.0“LAN”

192.168.4.32/27“DMZ”

192.168.5.144/255.255.255.240“关键资产”



另请参阅 Application Data Monitor (ADM) 字典第 113 页设置 ADM 字典第 113 页管理 ADM 字典第 116 页引用 ADM 字典第 114 页

ADM 规则条目类型ADM 规则中的所有条目都有特定的类型。

各个条目为 IP 地址、MAC 地址、数字、字符串或布尔。另外，还有两种文字类型：正则表达式和列表。通常，特定类型的条目仅可以与相同类型的文字或文字列表（或列表的列表）进行比较。此规则存在三种例外情况：1 可使用数字文字与字符串条目进行比较，以测试其长度。如果密码少于八个字符，则会触发以下规则（密码为字符

串条目）：密码 < 8

2 可使用正则表达式与字符串条目进行比较。如果密码仅包含小写字母，则会触发以下规则：password == /^[a-z]+$/

3 所有条目均可通过布尔文字测试，以测试其是否发生。如果电子邮件内有 CC 地址，则会触发以下规则（email.cc是字符串条目）： email.cc == true

类型格式说明

IP 地址 • IP 地址文字采用标准的点分表示法，而不使用引号：192.168.1.1

• IP 地址中可包含采用标准 CIDR 表示法的掩码，但地址和掩码之间不得包含任何空格：192.168.1.0/24

• IP 地址中也可以包含长格式的掩码：192.168.1.0/255.255.255.0

Mac 地址

• 和 IP 地址一样，MAC 地址文字采用标准表示法，且不使用引号：aa:bb:cc:dd:ee:ff

数字 • ADM 规则中的所有数字都是 32 位整数。可以采用十进制：1234

• 可以采用十六进制：0xabcd

• 可以采用八进制：0777

• 这些数字可以后倍增单位 1024 (K)、1048576 (M) 或 1073741824 (G)： 10M

字符串 • 字符串要使用双引号："this is a string"

• 字符串可以使用标准的 C 转义序列："\tThis is a \"string\" containing\x20escape sequences\n"

• 将条目与字符串做比较时，整个条目必须要与字符串匹配。如果电子邮件消息发件人地址为：[email protected]，则不会触发以下规则：mail.from == “@somewhere.com”

• 若要与条目中的一部分匹配，则应使用正则表达式文字。应尽可能使用字符串文字，因为字符串文字更为高效。

所有电子邮件地址和 URL 条目在匹配前都经过规范化，因此无需考虑在电子邮件地址中加评论之类的工作。

布尔 • 布尔文字为真和假。



类型格式说明

正则表达式

• 与 Javascript 和 Perl 之类语言的表示法相同，正则表达式也在其前后使用斜杠：/[a-z]+/

• 正则表达式还可以后标准的修饰符标记，但当前认可的只有“i”（区分大小写）： /[a-z]+/i

• 正则表达式文字应使用 POSIX 扩展句法。Perl 扩展名适用于除内容条目外的所有条目，以后的版本可能会进行更改。

• 将条目与正则表达式进行比较时，正则表达式会与条目中的任意子字符串匹配，除非正则表达式中应用anchor 运算符。如果电子邮件中包含“[email protected]”地址，则会触发以下规则：email.from== /@somewhere.com/

列表 • 列表文字由方括号以及其中的一个或多个文字（由逗号隔开）组成：[1, 2, 3, 4, 5]

• 列表可包含各种类型的文字（包括其他列表）：[192.168.1.1, [10.0.0.0/8, 172.16.128.0/24]]

• 列表中的文字必须为同一类型，如果存在混合（如字符串和数字，字符串和正则表达式，IP 地址和 MAC地址），则无效。

• 如果列表中使用非“不等于”(!=) 的关系运算符，且条目与列表中的任意文字匹配，则表达式为真。如果来源 IP 地址与列表中的任意 IP 地址匹配，则会触发以下规则：srcip == [192.168.1.1, 192.168.1.2,192.168.1.3]

• 这等同于：srcip == 192.168.1.1 || srcip == 192.168.1.2 || srcip == 192.168.1.3

• 如果列表中使用“不等于”(!=) 运算符，且条目并与列表中的所有文字均不匹配，则表达式为真。如果来源IP 地址不是 192.168.1.1 和 192.168.1.2，则会触发以下规则：srcip != [192.168.1.1, 192.168.1.2]

• 这等同于：srcip != 192.168.1.1 && srcip != 192.168.1.2

• 虽然用处不大，但列表还可以与其他关系运算符共同使用。如果对象大小大于 100，或对象大小大于200，则会触发以下规则：objectsize > [100, 200]

• 这等同于：objectsize > 100 || objectsize > 200

另请参阅 ADM 规则参考材料第 117 页ADM 规则句法第 117 页ADM 规则度量参考第 121 页特定于协议的属性第 123 页协议异常第 124 页

ADM 规则度量参考此处为 ADM 规则表达式的度量参考列表，该列表在添加 ADM 规则时在“表达式组件”中提供。

对于通用属性和通用异常，您可以针对每项输入的参数类型值显示在度量参考后面的括号中。

通用属性


协议（数字）应用程序协议（HTTP、FTP、SMTP）

对象内容（字符串）对象的内容（文档中的文本、电子邮件消息、聊天消息）。二进制数据不可使用内容匹配。但是可以使用对象类型 (objtype) 检测二进制对象

对象类型（数字）根据 ADM 确定指定内容类型（Office 文档、消息、视频、音频、图像、存档、可执行文件）

对象大小（数字）对象的大小。数字后面可以添加数字倍增单位 (10K、10M、10G)

对象哈希（字符串）内容的哈希（当前为 MD5）

对象来源 IP 地址（数字）内容的来源 IP 地址。可将 IP 地址指定为 192.168.1.1、192.168.1.0/24、192.168.1.0/255.255.255.0




对象目标 IP 地址（数字）内容的目标 IP 地址。IP 地址可指定为 192.168.1.1、192.168.1.0/24、192.168.1.0/255.255.255.0

对象来源端口（数字）内容的来源 TCP/UDP 端口

对象目标端口（数字）内容的目标 TCP/UDP 端口

对象来源 IP v6 地址（数字）内容的来源 IPv6 地址

对象目标 IPv6 地址（数字）内容的目标 IPv6 地址

对象来源 MAC 地址（mac 名称）内容的来源 MAC 地址 (aa:bb:cc:dd:ee:ff)

对象目标 MAC 地址（mac 名称）内容的目标 MAC 地址 (aa:bb:cc:dd:ee:ff)

流来源 IP 地址 (IPv4) 流的来源 IP 地址。可将 IP 地址指定为 192.168.1.1、192.168.1.0/24、192.168.1.0/255.255.255.0

流目标 IP 地址 (IPv4) 流的目标 IP 地址。可将 IP 地址指定为 192.168.1.1、192.168.1.0/24、192.168.1.0/255.255.255.0

流来源端口（数字）流的来源 TCP/UDP 端口

流目标端口（数字）流的目标 TCP/UDP 端口

流来源 IPv6 地址（数字）流的来源 IPv6 地址

流目标 IPv6 地址（数字）流的目标 IPv6 地址

流来源 MAC 地址（mac 名称）流的来源 MAC 地址

流目标 MAC 地址（mac 名称）流的目标 MAC 地址

VLAN（数字）虚拟 LAN ID

星期（数字）星期。有效值为 1-7；1 代表星期一。

时（数字）时间设为 GMT。有效值为 0-23。

公开的内容类型（字符串）按照服务器指定的内容类型。理论上，对象类型 (objtype) 通常为实际类型，公开的内容类型 (content-type) 不可信，因为其类型可被服务器/应用程序假冒。

密码（字符串）应用程序通过密码进行身份验证。

URL（字符串）网站 URL。仅适用于 HTTP 协议。

文件名（字符串）正在传输的文件的名称。

显示名称（字符串）

主机名（字符串） DNS 查找中指定的主机名。

通用异常

• 用户注销（布尔）

• 授权错误（布尔）

• 授权成功（布尔）

• 授权失败（布尔）

另请参阅 ADM 规则参考材料第 117 页ADM 规则句法第 117 页ADM 规则条目类型第 120 页特定于协议的属性第 123 页协议异常第 124 页



特定于协议的属性除了提供对大多数协议来说很常见的属性外，ADM 还会提供特定于协议的属性，可与 ADM 规则同时使用。添加 ADM规则时，“表达式组件”页面所有特定于协议的属性也可用。

特定于协议的属性示例

这些属性适用于以下表：

* 仅限检测** 无解密，捕获 X.509 证书和加密数据*** 通过 RFC822 模块

表 11-15 文件传输协议模块

FTP HTTP SMB* SSL**

显示名称文件名

主机名

URL

显示名称

文件名

主机名

提交者

URL

所有 HTTP 标题

显示名称

文件名

主机名

显示名称

文件名

主机名

表 11-16 电子邮件协议模块

DeltaSync MAPI NNTP POP3 SMTP

密件抄送***

抄送***

显示名称

发件人***

主机名

主题***

收件人***

密件抄送

抄送

显示名称

发件人

主机名

主题

收件人

用户名

密件抄送***

抄送***

显示名称

发件人***

主机名

主题***

收件人***

密件抄送***

抄送***

显示名称

发件人***

主机名

主题***

收件人***

用户名

密件抄送***

抄送***

显示名称

发件人***

主机名

收件人***

主题***

表 11-17 网络邮件协议模块

AOL Gmail Hotmail Yahoo

附件名称

密件抄送***

抄送***

显示名称

文件名

主机名

发件人***

主题***

收件人***

附件名称

密件抄送***

抄送***

显示名称

文件名

主机名

发件人***

主题***

收件人***

附件名称

密件抄送***

抄送***

显示名称

文件名

主机名

发件人***

主题***

收件人***

附件名称

密件抄送***

抄送***

显示名称

文件名

主机名

发件人***

主题***

收件人***



另请参阅 ADM 规则参考材料第 117 页ADM 规则句法第 117 页ADM 规则条目类型第 120 页ADM 规则度量参考第 121 页协议异常第 124 页

协议异常除了常见属性和基于协议的属性外，ADM 还会检测到低级别的传输和应用程序协议中存在数以百计的异常。所有的协议异常属性都属于布尔型，添加 ADM 规则时在“表达式组件”页面中有效。

表 11-18 IP

术语说明

ip.too-small IP 数据包太小，无法添加有效标题。

ip.bad-offset IP 数据偏移超出了数据包的尾端。

ip.fragmented IP 数据包以片段形式显示。

ip.bad-checksum IP 数据包校验和与数据不匹配。

ip.bad-length IP 数据包 totlen 字段超出了数据包的尾端。

表 11-19 TCP

术语说明

tcp.too-small TCP 数据包太小，无法添加有效标题。

tcp.bad-offset TCP 数据包的数据偏移超出了数据包的尾端。

tcp.unexpected-fin TCP FIN 标记以非确定的状态设置。

tcp.unexpected-syn TCP SYN 标记以确定的状态设置。

tcp.duplicate-ack TCP 数据包 ACK 数据已设置为 ACK 形式。

tcp.segment-outsidewindow TCP 数据包在窗口（TCP 模块的小窗口而非实际的窗口）之外。

tcp.urgent-nonzero-withouturg- flag TCP 紧急字段不为零，但 URG 标记未设置。

表 11-20 DNS

术语说明

dns.too-small DNS 数据包太小，无法添加有效标题。

dns.question-name-past-end DNS 问题名称超出了数据包尾端。

dns.answer-name-past-end DNS 应答名称超出了数据包尾端。

dns.ipv4-address-length-wrong DNS 响应中的 IPv4 地址并非 4 个字节长度。

dns.answer-circular-reference DNS 应答包含循环引用。




高级 Syslog 解析器 (ASP) 规则ASP 根据用户定义的规则提供解析 syslog 消息外的数据的机制。

高级 Syslog 解析器 (ASP) 利用规则识别数据在消息特定事件中的位置，如特征码 ID、IP 地址、端口、用户名和操作。

通过 ASP，您还可以写入规则，从而通过 Linux 和 UNIX 服务器上复杂的日志来源进行排序。

使用该功能需要了解如何使用正则表达式。

系统接收到 ASP 日志时，会将日志中的时间格式与 ASP 规则中指定的格式对比。如果时间格式不匹配，则系统不会处理该日志。

为提高时间格式匹配的可能性，请添加多个自定义时间格式（请参阅“将时间格式添加至 ASP 规则”）。

利用“策略管理员”权限，您可以定义运行 ASP 规则的顺序（请参阅“设置 ASP 和过滤器规则排序”）。

另请参阅添加自定义 ASP 规则第 346 页设置 ASP 和过滤器规则的顺序第 346 页向 ASP 规则添加时间格式第 347 页

添加自定义 ASP 规则您可以通过“高级 Syslog 解析器规则”编辑器创建规则，以解析 ASP 日志数据。


1 在“策略编辑器”中，选择 “接收器” | “高级 Syslog 解析器”。

2 请选择“新建”，然后单击“高级 Syslog 解析器规则”。

3 请单击各个选项卡，并填写必要信息。


另请参阅高级 Syslog 解析器 (ASP) 规则第 346 页设置 ASP 和过滤器规则的顺序第 346 页向 ASP 规则添加时间格式第 347 页

编辑 ASP 规则文本如果您是高级用户，具备 ASP 句法相关知识，则请直接添加 ASP 规则文本，从而无需在每个选项卡上定义设置。

设置 ASP 和过滤器规则的顺序如果您具有“策略管理员”权限，那么现在可以为过滤器或 ASP 规则设置执行顺序。此选项将高效地对您的规则进行排序，从而为您提供需要的数据。


1 在 ESM 控制台上，单击“策略编辑器”图标。

2 在“操作”菜单上，选择 “ASP 规则排序”或“过滤器规则排序”，然后在“数据来源类型”字段中选择一个数据来源。

左侧窗格将按顺序填充可供放入的规则。排序后的规则显示在右侧窗格中。



3 在“标准规则”或“自定义规则”选项卡上，将规则从左侧窗格移动到右侧窗格（通过拖放或使用箭头），置于“未排序规则”的上方或下方。

“未排序规则”表示左侧窗格中的规则，这些规则是按默认顺序排序的。

4 使用箭头重新为规则排序，然后单击“确认”以保存更改。


选项定义

“数据源类型” 选择按照该顺序排列的数据源类型。规则列表会根据所选数据源变化。

左侧表选择“标准规则”或“自定义规则”选项卡。每个选项卡列出以默认顺序排列的规则（字母顺序）。

右侧表查看以指定顺序排列的规则。“未排序规则”项显示所有以默认顺序排列的规则的位置。

表之间的箭头使用右侧和左侧箭头将选定规则从一个表移至另一个表。使用向上和向下箭头，按照正确顺序来放置右侧表中的规则。

恢复为默认顺序单击该选项，则可将规则返回到默认顺序。选择该选项时，右侧表中的所有规则会移回左侧表。


选项定义

左侧表选择“标准规则”或“自定义规则”选项卡。每个选项卡列出以默认顺序排列的规则（字母顺序）。

右侧表查看以指定顺序排列的规则。 “未排序规则”项显示所有以默认顺序排列的规则的位置。

表之间的箭头使用右侧和左侧箭头将选定规则从一个表移至另一个表。使用向上和向下箭头，按照正确顺序来放置右侧表中的规则。

另请参阅高级 Syslog 解析器 (ASP) 规则第 346 页添加自定义 ASP 规则第 346 页向 ASP 规则添加时间格式第 347 页

向 ASP 规则添加时间格式当系统接收高级 Syslog 解析器 (ASP) 日志时，时间格式必须匹配 ASP 规则中指定的格式。

您可以添加多个自定义时间格式以增加日志时间格式匹配给定格式之一的可能性。



2 在“规则类型”窗格中，单击 “接收器” | “高级 Syslog 解析器”。

3 下载 ASP 规则之后，请执行以下操作之一：• 要编辑现有规则，请单击此规则，然后单击 “编辑” | “修改”。

• 要添加新规则，请单击 “新建” | “高级 Syslog 解析器规则”，然后完成“常规”、“解析”和“字段分配”选项卡。

4 单击“映射”选项卡，然后单击“时间格式”表上方的加号图标。

5 单击“格式”字段，然后选择时间格式。



6 选择您希望使用此格式的时间字段。

“首次”和“ 后一次”是指第一次和后一次生成事件的时间。还列出了您添加到 ESM 的任何“自定义类型”时间字段（请参阅“自定义类型过滤器”）。

7 单击“确定”，然后完成“映射”选项卡上的其他信息。



“文件” 单击该选项可保存此规则，然后选择“保存”或“另存为”。

“工具” 选择“编辑 ASP 规则文本”，从而直接添加 ASP 规则文本，而非定义各个选项卡上的设置。这要求您必须是了解 ASP 语法的高级用户。

“常规”选项卡

定义此规则的常规设置。

“名称” 输入规则名称。

“标记” 单击“选择”以添加可定义规则所属类别的标记。每个 ASP 规则都至少需要一个标记，以便保存该规则。

“默认规范化的ID”

默认 ID 4026531840 没有所属类别，如果入站日志没有 ID，则会使用该 ID。要更改

ID，请单击图标，然后选择要与此规则相关联的 ID。

“默认严重性” 必要的话，更改此规则的严重性。如果未设置入站日志数据的严重性，那么将使用该严重性。

“规则分配类型” 选择默认规则分配类型，该类型用于对从“高级 Syslog 解析器”中获得的事件数据进行分组，并将它们与其他数据来源分离。将设备分组，使其分列不同的规则类型，有利于避免数据库中出现特征码 ID 冲突。例如，Cisco PIX 上的 30405 事件与 Cisco IOS或 Snort IDS 上的 30405 事件就存在差别。

“说明” （可选）输入规则说明。

“解析”选项卡

设置规则的解析。

“进程名称” （可选）键入要在入站日志数据标题进行匹配的进程名称。

“内容字符串” （可选）键入要在传入日志数据中匹配的内容字符串。要添加字符串，请单击“编辑” |“添加”，然后输入字符串值，该值必须包含在引号 (“”) 中并使用逗号 (,) 隔开。

当将文本值与 9.0.0 及更高版本的 ESM 的 PCRE 子捕获合并在一起时，如果文本包含空格或其他字符，则要将其单独放在引号内，并使 PCRE 子捕获参考保留在引号之外。

“仅使用正则表达式进行解析”

默认情况下，如果内容字符串或正则表达式相匹配，则规则将会触发。如果您仅希望其在内容字符串匹配的情况下触发，则请选择该选项。

“不区分大小写” 如果您希望内容在不区分大小写的情况下相匹配，请选择此选项。

“数据不匹配时触发”

选择该选项，以禁用字段分配和映射。规则已触发，但未解析任何数据。

“正则表达式” 输入正则表达式用于匹配入站日志数据，从而可使您针对日志数据进行多次匹配。选项如下：

• 添加图标启动“添加正则表达式”页面，从中可输入正则表达式。

• 编辑图标启动“编辑正则表达式”页面，从中可更改所选的正则表达式。

• 删除图标删除所选的正则表达式。

除非执行列表中的第一个表达式并从日志数据中返回结果，否则系统将不会执行这些表达式。您可以在此表中单独选择正则表达式值，随后将在样本数据字段中突出显示相应的文本匹配项，同时在“正则表达式匹配项”表的右侧做出选择。





“正则表达式匹配项”

此表显示根据主要和次要正则表达式运行时，从示例日志数据中提取的值。

“在正则表达式匹配项中加入syslog 标题”

如果您希望在整个日志数据中完成正则表达式匹配，请选择此选项。

“示例日志数据” 将某些示例日志数据复制并粘贴到此字段中，以帮助您创建有效的正则表达式。

每个日志必须位于单一行中。

“转换日志数据” 如果初始示例日志数据采用 CEF 格式，则将会转换为解析格式，并显示在此选项卡中。不具有自定义字段（例如 cs1... cs1label... cn1... cn1label...）的 CEF 日志不需要转换。

“格式” 选择“示例日志数据”报表呈现的格式。如果日志数据不符合所选的格式标准，则不会提取密钥/值对。

“密钥/值表” 此表显示从示例日志数据中提取的密钥/值对。

“字段分配”选项卡

设置字段分配。

“字段” 此列列出了您可以对其进行匹配的字段。您可以通过单击字段名称旁边的添加图标来添加备用字段。如果主要字段为空，则可以使用备用字段。备用字段按照顺序执行，以便您通过拖放对它们进行重新排序。多可以有 10 个备用字段。添加备用字段后，可通过单击备用字段名称左边的删除图标来删除该字段。

“表达式” 此列用于将字段映射到日志数据值。单击“表达式”列，然后在打开的字段中键入组ID。您可以在两个值之间键入加号 (+) 来连接它们。

“示例值” 此列用于模拟特定字段的终输出。

“密钥/值表” 此表反映了在根据表达式运行时，从“解析”选项卡的“示例日志数据”中所提取的值。您可以将此列表中的值拖放到字段表达式中。

“添加自定义字段”图标和“删除自定义字段”图标

如果所需的字段未显示在“字段”列中，请单击“添加自定义字段”图标。“自定义类型”页面将列出系统中的所有自定义类型，包括您已添加的类型。单击要添加到列表中的字段，然后单击“确定”。字段将会添加到表中。要从列表中删除自定义字段，请单击“删除自定义字段”图标，然后单击“是”确认。

“映射”选项卡

为需要以唯一方式映射或解析的入站日志数据定义自定义设置。

“开始时间”和“结束时间自定义格式”

系统接收到 ASP 日志时，时间格式必须与 ASP 规则中指定的格式匹配。您可以添加多个自定义时间格式。这样可以增加日志时间格式与给定格式匹配的可能性（请参阅“向 ASP 规则添加时间格式”）。

操作表在“操作密钥”列中单击一行，然后输入可能发生的不同操作。

“操作值”列显示所有可能操作的列表。将列中所需的操作与可能发生的不同操作相匹配。

“默认操作” 如果尚未在“操作”表中选择操作且要设置默认操作，请单击复选框并选择操作。

“严重性映射” 您可以通过单击添加图标来添加要从入站日志数据进行映射的值。

“默认严重性” 若要为未在“严重性映射”表中选择严重性的操作设置默认严重性，则请选中此选项，然后选择严重性。

另请参阅高级 Syslog 解析器 (ASP) 规则第 346 页添加自定义 ASP 规则第 346 页设置 ASP 和过滤器规则的顺序第 346 页



关联规则关联引擎的基本目的是分析来自 ESM 的数据流、检测数据流中的有趣模式、生成代表这些模式的警报，并将这些警报插入到 Receiver 的警报数据库中。如果配置了关联数据来源，则将启用关联引擎。

在关联引擎内，数据中有意义的模式结果将由关联规则进行解析。关联规则完全独立，不同于防火墙或标准规则，并且具有可指定其行为的属性。每个接收器会从 ESM 获得一组关联规则（部署的关联规则集），由零个或更多关联规则以及任何用户定义的参数值集组成。像防火墙和标准规则集那样，每个 ESM 都包含一个基本的关联规则集（基本关联规则集），并且此规则集的更新会从规则更新服务器部署到 ESM。

规则更新服务器中的规则包含默认值。当您更新基本关联引擎规则集时，必须自定义这些默认值，这样才能正常表示您的网络。如果您部署这些规则时没有更改默认值，则可能会生成误报或漏报。

按照类似于配置 syslog 或 OPSEC 的方式，每个接收器仅能配置一个关联数据来源。在配置关联数据来源之后，可以使用“关联规则编辑器”编辑基本关联规则集来创建部署的关联规则集。您可以启用或禁用每个关联规则并设置每个规则的用户可定义参数的值。

除了启用或禁用关联规则之外，使用“关联规则编辑器”，您还可创建自定义规则和创建可添加到关联规则的自定义关联组件。

另请参阅查看关联规则详细信息第 351 页设置关联规则，以便比较事件中的两个字段第 353 页替代组依据第 354 页

自定义关联规则或组件的示例添加关联规则或组件。

当 ESM 检测到来自 Windows 系统中单个来源的五次未成功登录尝试，之后成功登录（一切在 10 分钟内完成）时，我们准备在此示例中添加的规则会生成一则警报。

1 在“策略编辑器”中的“规则类型”窗格中，单击“关联”。

2 单击“新建”，然后选择“关联规则”。

3 键入描述名称，然后选择严重性设置。

由于此规则生成的事件可能会指出未授权人员访问了系统，因此合适的严重性设置为 80。

4 选择规范化 ID，可能为“身份验证”或“身份验证” | “登录”，然后拖放 “AND” 逻辑元素。

由于需要执行两类操作（首先是登录尝试，然后是成功登录），因此请选择 “AND”。

5 单击“菜单”图标，然后选择“编辑”。

6 选择“顺序”表示这些操作（首先是五次未成功的登录尝试，然后是成功登录）必须按顺序执行，然后设置此序列发生的次数，为“1”。

7 设置进行操作所在的时间段，然后单击“确定”。

由于有两种操作需要时间窗口，因此 10 分钟的时间段划分为两段。在此示例中，五分钟便是每一操作的时间段。在五分钟内发生未成功登录尝试之后，系统在接下来的五分钟内便会开始侦听来自从同一 IP 来源的成功登录。

8 在“分组依据”字段中，单击图标，从左至右移动“来源 IP ”选项，指出所有操作必须来自同一来源 IP，然后单击“确定”。

9 定义此规则或组件的逻辑。



若要执行以下操作... 请执行以下操作...

指定可确定感兴趣事件的过滤器类型（在此情况下，是对 Windows 系统多次失败的登录尝试）。

1 拖放“过滤器”图标，并将其放在 AND 逻辑元素中。

2 在“过滤器字段组件”页面，单击“添加”。

3 选择“规范化规则” | “入站”，然后选择：• “规范化” • “主机登录”

• “身份验证” • “对 Windows 主机多次失败的登录尝试”

• “登录”


设置需要出现的登录失败次数以及登录失败必须在哪个时间段发生。

1 拖放 “AND” 逻辑元素到“过滤器”栏。

由于必须进行五次单独的登录尝试，因此使用 “AND” 元素。该元素可让您设置它们必须发生的次数和时间长度。

2 对于您刚添加的“AND”元素，单击“菜单”图标，然后单击“编辑”。

3 在“阈值”字段中，输入 “5” 并删除存在的其他值。

4 将“时间窗口”字段设置为 “5”。


定义需要发生的第二个过滤器类型，其为成功登录。

1 拖放“过滤器”图标到第一个 “AND” 逻辑元素括号的底部。

2 在“匹配组件”页面，单击“添加”。

3 在这些字段中，选择 “规范化规则” | “入站”，然后选择：• “规范化”

• “身份验证”

• “登录”

• “主机登录”

4 单击“确定”返回到“匹配组件”页。

5 若要定义“成功”，请单击“添加”，再选择 “事件子类型” | “入站”，然后依次单击“变量”图标和 “事件子类型” | “成功” | “添加”。

6 单击“确定”返回到“策略编辑器”。

此时新规则将添加到“策略编辑器”中的关联规则列表中。

查看关联规则详细信息关联规则显示关于规则触发条件的详细信息。此信息可帮助您进行调整来减少误报。

开始之前请验证是否拥有管理员权限，或属于具有策略管理权限的访问组。

详细信息通常在提出请求时收集。但是，对于使用动态关注列表或可能经常更改的其他值的规则，请将规则设置为在触发后立即获取详细信息。这会降低详细信息不可用的概率。



任务

1 在信息显示板中，单击并选择“关联”。

策略编辑器会显示关联规则的列表。

2 将每个规则设置为立即显示详细信息。

a 在 ESM 控制台上，单击“策略编辑器”图标，然后单击“规则类型”窗格中的“关联”。

b 单击规则的“详细信息”列并选择“打开”。

您一次可以选择多个规则。

3 查看详细信息：

a 在系统导航树上，单击 ACE 设备下的“规则关联”。

b 在视图列表中，选择“事件视图” | “事件分析”，然后单击您要查看的事件。

c 单击“关联详细信息”选项卡查看详细信息。

另请参阅关联规则第 350 页设置关联规则，以便比较事件中的两个字段第 353 页替代组依据第 354 页

将参数添加到关联规则或组件关联规则或组件的参数可在其执行时控制规则或组件的行为。参数不是必填项。


1 在“关联规则”或“关联组件”页面，单击“参数”。

2 单击“添加”，然后输入参数的名称。

3 选择您希望参数所属的类型，然后选择或取消选择其值。

“列表”和“范围”值不能同时使用。列表值不得包含范围 (1-6, 8, 10, 13)。写入的正确方式为 1, 2, 3, 4, 5, 6, 8, 10,13。

4 若要为参数选择默认值，请单击“默认值编辑器”图标。

5 如果您不希望参数外部可见，则取消选择“外部可见”。参数对于规则的范围而言是本地的。

6 键入对此参数的描述，当参数突出显示时该描述将显示在“规则参数”页面中的“说明”文本框中。

7 单击“确定”，然后单击“关闭”。


选项定义

“ 名称 ” 输入此参数的名称。

“ 类型 ” 选择参数类型。

“关于值” 选择或取消选择要输入到此参数中的值。“列表”和“范围”值不能同时使用。列表值不能包含表示范围的值（1-6 8、10、13）。正确的书写方式应该为 1、2、3、4、5、6、8、10、13。

“默认值” 单击“默认值编辑器”图标以选择参数的默认值。




选项定义

“外部可见” 如果您不希望此参数外部可见，请取消选择此选项。随后参数将限制在规则范围内。

“说明” 输入此参数说明，单击参数后，该说明将显示在“规则参数”页面的“说明 ”字段中。


选项定义

表列出规则的参数，显示其当前值和默认值。

“ 编辑 ” 单击以更改值。

“说明” 说明表中所选的参数。

“还原默认值” 单击以还原其默认设置的值。


选项定义

“ 表 ” 查看现有参数。如果是新规则或组件，则不会将其列出。

“ 添加 ” 为规则或组件添加新参数。

“编辑” 对现有参数进行更改。

“删除” 删除参数。

“说明” 查看所选参数的说明。


选项定义

“ 表 ” 选择要引用的规则或组件。

“ 说明 ” 显示所选规则或组件的说明。

设置关联规则，以便比较事件中的两个字段通过“默认值编辑器”，您可以设置关联规则，以比较事件中两个不同字段的值。

例如，您可以设置规则，以确保来源用户和目标用户是相同的。您还可以设置规则，以确保来源 IP 地址和目标 IP 地址不同。

在数字字段中，可以使用大于 (>)、小于 (<)、大于等于 (>=) 和小于等于 (<=) 运算符。



2 在“规则类型”窗格中，选择“关联”，单击您要在比较字段时使用的规则，然后单击“编辑” | “修改”

3 单击逻辑组件的菜单图标，然后单击“编辑”。

4 在过滤器区域，单击“添加”并添加新的过滤器，或选择现有过滤器并单击“编辑”。

5 单击“默认值编辑器”图标，键入值并单击“添加”，然后在“字段”选项卡中选择字段并单击“添加”。

另请参阅关联规则第 350 页查看关联规则详细信息第 351 页替代组依据第 354 页



替代组依据如果您已经设置关联规则，以根据特定字段分组，则可以替代规则中的一个组件，以匹配其他字段。

例如，如果您将关联规则中“组依据”字段设置为“来源 IP”，则可以替代规则中的某个组件，以使用“目标 IP”。这意味着，除了与所替代组件相符的事件外，其他所有事件都具有相同的来源 IP。这些事件的目标 IP 与其他事件的来源 IP相同。该功能有助于查找指向特定目标的事件以及另一个源于该目标的事件。



2 单击“规则类型”窗格中的“关联”，选择规则，然后单击“编辑” | “修改”。

3 拖放“关联逻辑”区域中的“匹配组件”逻辑元素，然后单击菜单图标，或者单击“关联逻辑”区域中现有“匹配组件”元素的菜单图标。

4 选择“编辑”，单击“高级选项”，然后选择“替代组依据”并单击“配置”。

5 在“配置组依据替代”页面中，选择替代字段，然后单击“确定”。

另请参阅关联规则第 350 页查看关联规则详细信息第 351 页设置关联规则，以便比较事件中的两个字段第 353 页

数据来源规则数据来源规则列表包括预定义和自动了解的规则。

接收器在处理与其关联的数据来源发送给它的信息时会自动了解数据来源规则。

“规则类型”窗格中的“数据来源”选项仅在系统导航树中选中了策略、数据来源、“高级 syslog 解析器”或接收器时才可见。页面底部的描述区域将提供与选定规则相关的详细信息。所有规则具有严重性设置，规定了与规则有关的优先级。优先级将影响如何显示为这些规则生成的警报以进行报告。

数据来源规则具有一个定义的默认操作。接收器将该操作分配给与该规则关联的事件子类型。您可以更改此操作（请参阅“设置数据来源规则操作”）。

另请参阅设置数据来源规则操作第 355 页管理自动了解的数据来源规则第 355 页

添加或编辑数据访问规则DEM 数据访问策略能够跟踪数据库中未知访问路径并实时发送事件。创建相应数据访问策略后可轻松跟踪数据库环境中的常见违规行为（例如，应用程序开发人员使用应用程序登录 ID 访问生产系统）。




1 在“策略编辑器”中的“规则类型”窗格中，选择“DEM” | “数据访问”。

2 执行以下操作之一：• 若要添加新规则，请选择“新建”，然后单击“数据访问规则”

• 若要编辑某一规则，请选择规则显示窗格中的规则，然后单击“编辑” | “修改”。

3 填写信息，然后单击“确定”。

设置数据来源规则操作数据来源规则具有一个定义的默认操作。接收器将该操作分配给与该规则关联的事件子类型。您可以更改此操作。

您可以为每个数据来源规则设置事件子类型的值。这表示您可以为使用不同值的信息显示板、报告、解析规则或警报设置规则操作，例如选择性访问规则的结果（允许/拒绝）。


1 在 ESM 控制台上，单击“策略编辑器”图标，然后选择 “接收器” | “数据来源” （在“规则类型”窗格中）。

2 单击要更改的规则的“子类型”列，然后选择新操作。• 选择“启用”以使用默认操作（“警报”）来填充事件子类型。

• 如果您不想收集对应规则的事件，请选择“禁用”。

• 选择任何其他操作并以此操作来填充事件子类型。

另请参阅数据来源规则第 354 页管理自动了解的数据来源规则第 355 页

管理自动了解的数据来源规则查看所有自动了解的数据来源规则列表并对其进行编辑或删除。


1 在“策略编辑器”中，选择“接收器” | “数据来源”。

2 在“过滤器/标记”窗格中，单击窗格底部的“高级”栏。

3 在“来源”下拉列表中，选择“用户定义的”，然后单击“运行查询”图标。

所有自动了解的数据来源规则将列在显示窗格中。

4 选择您要编辑或删除的规则，单击“编辑”，然后选择“修改”或“删除自动学习的规则”。• 如果您选择了“修改”，则更改名称、描述或规范化的 ID，然后单击“确定”。

• 如果您选择了“删除自动学习的规则”，则选择正确的选项，然后单击“确定”。




选项定义

“删除此数据来源类型所有自动学习的规则” 删除选定数据来源所有自动学习的规则。

“ 删除选定的自动学习的规则 ” 删除规则显示窗格中所选的规则。

“删除此前所有自动学到的规则” 删除此字段中输入的数据之前自动学习的规则。

“删除系统保留时间之前所有自动学习的规则” 删除设置为系统保留时间的数据之前自动学习的规则。要更改数据保留时间，请单击“编辑”。

另请参阅数据来源规则第 354 页设置数据来源规则操作第 355 页

DEM 规则McAfee DEM 的真正威力在于其捕获和规范化网络数据包中信息的方式。

DEM 还能够创建使用逻辑和正则表达式进行模式匹配的复杂规则，这提供了监控数据库或应用程序消息的能力，而几乎没有误报。规范化的数据（度量）根据每个应用程序的不同而有所变化，因为有些应用程序协议和消息较其他更为丰富。过滤器表达式必须精心创建，不仅仅是语法，还要确保度量受应用程序的支持。

DEM 随附一组默认规则。默认合规规则可监控重大的数据库事件（例如登录/注销）、DBA 类型的活动（例如 DDL 更改）、可疑活动以及数据库攻击，它们对于实现合规要求通常是必需的。您可以启用或禁用每个默认规则并设置每个规则的用户可定义参数的值。

DEM 规则的类型包括：数据库、数据访问、发现和事务跟踪。

规则类型

说明

数据库

DEM 默认规则集包含每个支持数据库类型的规则以及常用规范，例如 SOX、PCI、HIPAA 和 FISMA。您可以启用或禁用每个默认规则并设置每个规则的用户可定义参数的值。

除了使用 DEM 随附的规则之外，您可以使用逻辑和正则表达式创建复杂规则。这提供了监控数据库或应用程序消息的能力，而几乎没有误报。规范化的数据（度量）根据每个应用程序的不同而有所变化，因为有些应用程序协议和消息较其他更为丰富。

规则根据您的需要相当复杂，并能包含逻辑和正则表达式运算符。规则表达式可以针对应用程序可用的一个或多个度量来应用。

数据访问

DEM 数据访问规则能够跟踪进入数据库的未知访问路径并实时发送警报。创建合适的数据访问规则后，可以轻松跟踪数据库环境中的常见违规（例如应用程序开发人员使用应用程序登录 ID 访问生产系统）。



规则类型

说明

发现 DEM 的数据库发现规则提供了一个 ESM 支持类型的数据库服务器例外列表，这些数据库服务器在网络中，但没有被监控。这可让安全管理员发现添加到环境中的新数据库服务器和开启以从数据库访问数据的非法侦听程序端口。发现规则（“策略编辑器” | “DEM 规则类型” | “发现”）为出厂规则，不能进行添加或编辑。启用数据库服务器页面中的发现选项（“DEM 属性” | “数据库服务器” | “启用”），系统使用这些规则搜索在网络中但没有列在系统导航树中 DEM 下的数据库服务器。

事务跟踪

事务跟踪规则可让您跟踪数据库事务并自动核对更改。例如，在您现有更改票证发放系统中跟踪数据库的更改以及使用已授权的工作订单对其进行核对，这些耗时流程都完全可以实现自动化。

可以通过以下示例更好地理解此功能的用法：DBA，作为一个重要过程，在数据库中将执行开始标记存储的过程（此示例中为 spChangeControlStart），在数据库中该工作要在实际开始已授权工作之前进行。DEM 中的“事务跟踪”功能可允许 DBA 按正确的顺序包含多达三个可选字符串参数作为标记的参数：1 ID

2 名称或 DBA 首字母

3 注释

例如，spChangeControlStart ‘12345’, ‘mshakir’, ‘reindexing app’

当 DEM 观察到要执行的 spChangeControlStart 流程时，将记录事务以及参数（ID、名称和注释），作为特殊信息。

该工作完成之后，DBA 会执行结束标记存储程序 (spChangeControlEnd)，并选择性地包含一个 ID 参数，该参数必须与开始标记中的 ID 相同。当 DEM 观察到结束标记（和 ID）时，它可以将开始标记（具有相同 ID）和结束标记之间的所有活动相关联作为一个特殊事务。现在，您便能够根据事务进行报告并按 ID 搜索，在此工作订单核对示例中可能为 Change Control 编号。

您还可以使用事务跟踪来记录交易执行的开始和结束，甚至按事务而非查询开始和提交报表报告。

ESM 规则ESM 规则用于生成与 ESM 相关的事件。

此类型的所有规则都由 McAfee 定义。它们可以用于生成合规性或审核报告来显示 ESM 中所进行的操作。您无法添加、修改或删除它们。但是可以更改其属性设置（请参见“规则类型及其属性”）。

过滤器规则通过过滤器规则，您可以指定接收器收到您定义的数据时采取的措施。

数据顺序

过滤器规则按以下数据顺序写入到接收器：

1 所有非“全方位”规则。

a 停止 = 真且解析 = 假且日志 = 假

b 停止 = 真且解析 = 真且日志 = 真

c 停止 = 真且解析 = 真且日志 = 假

d 停止 = 真且解析 = 假且日志 = 真

2 所有“全方位”规则

规则顺序

如果您具有“策略管理员”权限，则可以定义您所希望的过滤器规则运行顺序。然后这些规则会以有效的顺序运行来生成您需要的数据（请参阅“设置 ASP 和过滤器规则的顺序”）。



添加过滤器规则您可以将过滤器规则添加到“策略编辑器”。


1 在“策略编辑器”上，请选择“接收器” | “过滤器”。

2 请选择“新建”，然后单击“过滤器规则”。

3 请完成字段，然后单击“确定”

4 若要启用该规则，请选择规则显示窗格中的规则，并单击“操作”列中的设置，然后单击“已启用”。


选项定义

“标记” • 单击“选择”并选择可定义规则所属类别的标记。

“名称” • 输入规则的名称。

“规范化的 ID” • （可选）单击“规范化的 ID” 图标，然后选择任何其他规范化的 ID。

“严重性” • （可选）更改规则的严重性设置。

“全部匹配” • 选择您是否希望编写的规则内包含 PCRE 或内容字符串。如果您选择此选项，则在 “根据此规则执行的操作” 部分指定的操作将在接收到的全部数据基础上执行。

“内容字符串” （可选）输入内容字符串以过滤正在接收的数据。如果接收的数据与这些内容字符串相匹配，则将执行此对话框中指定的操作。• 要添加字符串，请单击“添加”并输入字符串。

• 要编辑或删除字符串，请选择此字符串并单击相应的按钮。

“PCRE” • （可选）输入一个 PCRE 以过滤正在接收的数据。如果接收的数据与 PCRE 相匹配，则将执行此对话框中指定的操作。

“不区分大小写” • 选择是否要添加不区分大小写的调节器，以便 PCRE 内容在不区分大小写的情况下相匹配。

“操作” 选择在接收的数据与 PCRE 及内容字符串相匹配时将要执行的操作，或者在“全部匹配”选中的情况下要对所有接收数据进行的操作。您可以根据需要尽可能多地选择这些操作。

“说明” • （可选）输入规则说明。选定规则后，它将显示在“策略编辑器”的“说明”字段中。


选项定义

过滤器类型选择要过滤的数据。

过滤器条件选择过滤器条件。选项是否可用取决于所选的类型。

值单击变量图标，然后选择此过滤器的值。

添加或编辑事务跟踪规则事务跟踪规则会跟踪数据库事务和自动调解的更改，还可以记录交易执行的开始和结束，或开始和提交声明，从而根据事务（而非查询）进行报告。




1 在“策略编辑器”上，请选择“DEM” | “事务跟踪”。

2 执行以下操作中的一个：• 若要添加新规则，请单击“新建”，然后单击“事务跟踪规则”。

• 若要编辑规则，请选择规则显示窗格上的规则，然后单击 “编辑” | “修改”。

3 填写信息，然后单击“确定”。


选项定义

“类型” 选择事务跟踪规则类型。

“规则名称” 输入规则名称。该名称必须具有唯一性和描述性，并且仅包含数字字母字符、下划线 (_) 和空格。

“启用查询标记” 更改数据库之前，请输入要执行的 SQL 查询（如 spChangeControlStart）。

“停用查询标记” 更改数据库之后，请键入要执行的 SQL 查询（如 spChangeControlEnd）。

“标记 ” 单击“选择”，选择需要与此规则相关联的标记，然后单击“确定”。

“规范化的 ID”要更改默认 ID，请单击图标，然后选择 ID。

“严重性” 选择严重性设置。

“说明” 输入规则说明。

变量变量是一个全局设置或占位符，用来表示特定于用户或站点的信息。许多规则都使用变量。

在添加或修改变量之前，我们建议您先大量掌握 Snort 格式的相关知识。

变量的用途是让规则按特定方式实施，具体情况可能因设备而异。ESM 提供了大量预设变量，但您同样可以添加自定义变量。添加规则时，这些变量会作为选项在相应字段类型的下拉列表中列出，字段类型可在“新变量”页面上的“类型”字段中进行选择。

每个变量都有一个默认值，但我们建议您设置一些与每个设备的特定环境对应的值。输入变量名称时不允许使用空格。如果需要空格，请使用下划线 ( _ ) 字符。为了让设备发挥大效用，尤其重要的是将 HOME_NET 变量设置为受特定设备保护的家庭网络。

此表格显示了常用变量及其默认值的列表。

变量名称说明默认值默认值说明

EXTERNAL_NET 受保护网络外的一切 !$HOME_NET 端口 80

HOME_NET 本地受保护的网络地址空间：(10.0.0.0/80) 任意与 HOME_NET 相同

HTTP_PORTS Web 服务器端口：80 或 80:90，介于 80 到 90之间的范围

80 除 HTTP_PORTS 以外的任意端口

HTTP_SERVE RS Web 服务器的地址：192.168.15.4 或[192.168.15.4,172.16.61.5]

$HOME_NET 与 HOME_NET 相同

SHELLCODE_PORTS 除 Web 服务器端口以外的一切 !$HTTP_PORTS 与 HOME_NET 相同

SMTP 邮件服务器地址 $HOME_NET 与 HOME_NET 相同

SMTP_SERVERS 邮件服务器地址 $HOME_NET 与 HOME_NET 相同



变量名称说明默认值默认值说明

SQL_SERVERS SQL 数据库服务器的地址 $HOME_NET 与 HOME_NET 相同

TELNET_SERVERS Telnet 服务器的地址 $HOME_NET 与 HOME_NET 相同

您可以修改系统自带的变量。您也可以添加、修改或删除自定义变量。

您可以指定自定义变量的类型。过滤报告规则时会用到变量类型，变量类型还决定了添加或修改规则时变量作用于的字段。变量类型具有全局性，对其所做的任何更改将会反映在所有级别的策略上。

另请参阅管理变量第 360 页检测 TCP 协议异常和会话劫持第 361 页

管理变量在“策略编辑器”中选择变量规则类型时，您可以采取一些措施来管理自定义和预定义的变量。


1 单击“策略编辑器”图标。

2 在“规则类型”窗格中，选择“变量”。



添加新类别 1 选择“新建” | “类别”。

2 输入新类别的名称，然后单击“确定”。

添加自定义变量

1 在规则显示窗格中，选择类别，然后单击“新建”。

2 选择“变量”，然后定义所需的设置。


修改变量 1 在规则显示窗格中，选择要修改的变量。

2 选择“编辑”，然后单击“修改”。

3 修改值或说明，然后单击“确定”。

删除自定义变量

1 在规则显示窗格中，选择要删除的变量。

2 选择“编辑”，然后单击“删除”。




导入变量 1 选择“文件”，然后单击“导入” | “变量”。

2 单击“导入”，然后浏览并上载文件。

导入文件必须是 .txt 文件，并且必须包含格式如下的以下信息：变量名称;变量值; 类别名称（可选）; 说明（可选）。如果缺少其中一个字段，则必须使用分号代替以充当占位符。

修改自定义变量的类型

1 选择自定义变量。

2 单击“编辑”，然后选择“修改”。

3 更改变量类型

如果变量类型被设置为除“未选择类型”以外的其他类型并已提交，则无法更改该值。

4 单击“确定”以保存更改。


选项定义

“名称” 键入新变量的名称。

“ 类型 ” 选择变量类型。添加变量后，此设置无法更改。

“值” 输入此类变量的值。

“说明” （可选）输入此变量说明。


选项定义

“ 名称 ” 此变量的名称。无法修改。

“ 类型 ” 变量类型。无法修改。

“值” 此变量的值。您可以将其更改为“说明”字段中的任意值。

“说明” 变量及其选项说明。


选项定义

“ 导入 ” 浏览到要导入“策略编辑器”的变量文件。

另请参阅变量第 359 页

检测 TCP 协议异常和会话劫持您可以使用 Stream5 预处理器变量来检测 TCP 协议异常并发出警报，还能检查是否存在 TCP 会话劫持。



2 在“规则类型”窗格中，单击“变量”。



3 在规则显示窗格中，单击“预处理器”，然后选择 “STREAM5_TCP_PARAMS”。

4 在“修改变量”页面上，在“值”字段中添加相应的内容（以下两种情况二选一）：• 若要检测 TCP 协议异常并发出警报，请在“优先策略”后添加 detect_anomalies。

• 若要检查是否存在 TCP 会话劫持，请在“优先策略”后添加 detect_anomalies check_session_hijacking。

另请参阅变量第 359 页

Windows 事件规则Windows 事件规则用于生成与 Windows 有关的事件。

它们是针对 Windows 事件的数据来源规则，并且不属于任何数据来源规则类型，因为它们是一种常见用例。所有此类型的规则均由 McAfee 定义。您无法添加、修改或删除它们，但您可以更改它们的属性设置。

默认策略设置您可以将默认策略设置为仅在警报模式或认购超额模式下运行。您还可以查看规则更新的状态并开始更新。

设置认购超额模式“认购超额模式”定义超出设备容量时如何处理数据包。在所有情况下，数据包都将记录为事件。


1 在“策略编辑器”中单击“设置”图标。

2 在“认购超额模式”字段中单击“更新”。

3 在“值”字段输入功能。

a “通过”（通过或 1）允许将要被丢弃的数据包无需扫描即可通过。

b “植入”（植入或 0）将丢弃超出设备容量的数据包。

c 要在不生成新事件的情况下允许数据包通过或植入，请输入 spass 或 sdrop。


自版本 8.1.0 以来，更改“认购超额模式”会影响设备及其子设备（虚拟设备）。为使该更改生效，您必须更改父设备上的模式。

查看设备的策略更新状态查看 ESM 上所有设备的策略更新状态摘要。

这有助于决定必须将更新部署到系统上的时间。

11 管理策略和规则默认策略设置




2 在“状态”字段中查看新、过期和计划进行自动部署的设备数量。


规则操作您可以针对规则进行若干项操作，以管理这些规则并生成所需的信息。

管理规则“ADM”、“DEM”、“深度数据包检测”、“高级 Syslog 解析器”和“关联”规则可以查看、复制和粘贴。这些类型的自定义规则可以修改或删除。标准会泽可以修改，但必须另存为新的自定义规则。


1 在“策略编辑器”的“规则类型”窗格中选择要使用的规则类型。



查看自定义规则

1 在“过滤器/标记”窗格中选择“过滤器”选项卡。

2 在窗格的底部单击“高级”一栏。

3 在“来源”字段中，选择“用户定义的”，然后单击“运行查询” 。

复制并粘贴规则

1 选择预定义或自定义规则。

2 选择“编辑” | “复制”，然后选择 “编辑” | “粘贴”。您复制的规则将添加到现有规则列表中，名称不变。

3 要更改名称，请选择 “编辑” | “修改” 。

修改规则 1 突出显示要查看的规则，然后选择“编辑” | “修改” 。

2 更改设置，然后单击“确定”。如果是自定义规则，则将同时保存更改。如果是标准规则，则将提示您将更改另存为自定义规则。单击“是”。

如果未更改规则名称，则它将以同一名称和不同特征码 ID 保存。要更改名称，可以先选择该规则，然后选择 “编辑” | “修改” 。

删除自定义规则

• 选择自定义规则。

• 选择“编辑” | “删除”。

管理策略和规则规则操作 11



选项定义

菜单栏将光标移动到菜单栏中的某一项目上，然后选择可用的选项。所选的规则类型或规则不同，选项也会有所不同。

面包屑导航栏 “策略树”图标将打开 ESM 上的全部策略列表。记号列表会显示您正在使用的策略。

“规则类型”窗格单击此窗格中的任意规则类型，以查看规则显示窗格中该类型的规则。

规则显示窗格单击某一规则以在窗格底部查看其说明，或者在菜单栏或规则显示窗格的列中对其执行任一有效操作。

标记搜索字段输入您要搜索的标记名称，然后从可能的匹配项列表中选择标记。

“过滤器/标记”窗格在“过滤器”选项卡的规则显示窗格中，按照名称字母顺序或时间顺序排列规则，同时过滤该列表，以便仅查看满足所选标准的规则。在“标记”选项卡中，向规则显示窗格中所选的规则添加标记，以便按照标记过滤规则。您可以添加、编辑和删除自定义标记和标记类别。

“创建警报”图标添加警报后便可在所选规则生成事件后向您发出通知。

“严重性权重”图标设置资产、标记、规则和漏洞用于计算事件严重性。

“查看策略更改历史记录”图标

查看对当前策略所做更改的列表，并将该列表导出。

“设置”图标定义仅警报模式和认购超额模式的设置，从 McAfee 服务器更新规则并查看策略树中设备的更新状态摘要。

“部署”图标将策略更改部署到 ESM。

导入规则您可以导入从其他 ESM 中导出的一系列规则，然后保存到 ESM 中。


1 在“策略编辑器”的“规则类型”窗格中，单击要导入的策略或规则类型。

2 单击 “文件” | “导入”，然后选择“规则”。

未对这些更改进行跟踪，因此必须要完成。

3 单击“导入规则”，然后浏览到要导入的文件并选择“上载”。

文件上载到 ESM。

4 如果要导入的规则与现有规则具有相同的 ID，则在“导入规则”页面选择要执行的相应操作。

5 单击“确定”导入规则，按照指示解决冲突。

文件内容已检查，相应的选项已启用或禁用，具体取决于所选文件的内容。


选项定义

“ 导入规则 ” 单击以选择规则文件并将其上载到 ESM 中。

“ 覆盖现有规则 ” 如果导入时发生冲突，则选择此选项可删除现有规则并用作为所导入策略一部分的规则来覆盖该现有规则。

11 管理策略和规则规则操作



选项定义

“发生冲突时，创建新规则” 如果导入时发生冲突，则选择此选项可以保留这两个规则，并为导入的规则创建新的ID。

“现有规则存在时，跳过该规则”

如果导入时发生冲突，则选择此选项可保留现有规则而不导入发生冲突的规则。

另请参阅当导入关联规则时发生冲突第 365 页

当导入关联规则时发生冲突当您导出关联规则时，系统将创建包含规则数据的文件。但是，它不包含引用的项目，例如变量、区域、监视列表、自定义类型和资产，此规则可能会使用这些项目。

当导出文件被导入到另一 ESM 时，在导入系统中不存在且包含在规则中的任何参考项目将导致规则冲突。例如，如果规则一引用变量 $abc，并且在导入系统中未定义名称为 $abc 的变量，则这种情况就视为冲突。冲突会得到记录，并且规则将被标记为处于冲突中。

通过创建所需的参考项目（在适用时手动或通过导入），或者编辑关联规则并更改规则内的参考可解决冲突。

如果存在发生冲突的规则，系统在导入过程之后将立即显示一个页面，指出哪些规则存在冲突或哪些规则失败。可以编辑规则来解决该页面中的冲突，也可以关闭该页面。存在冲突的规则将使用感叹号图标进行标记，以表示其状态。在规则编辑器中编辑存在冲突的规则将会显示一个冲突按钮，在单击该按钮时，会显示该规则的冲突详细信息。

另请参阅导入规则第 364 页

导入变量您可以导入变量文件并更改其类型。如果发生冲突，新的变量将会自动重命名。

开始之前设置要导入的文件。


1 在“策略编辑器”的“规则类型”窗格中单击“变量。”

2 单击 “文件” | “导入” | “变量”，浏览到变量文件并单击“上载”。

如果文件中发生冲突或错误，则“导入 – 错误日志”页面将打开，通知您出现的每个问题。

3 在“导入变量”页面，单击“编辑”以更改所选变量的“类型”。


导出规则导出策略中的自定义规则或全部规则，然后将它们导入其他 ESM。




1 在“策略编辑器”的“规则类型”窗格中，单击要导出的规则类型。

2 访问所选类型的自定义规则列表：

a 在“过滤器/标记”窗格中，确保选择“过滤器”选项卡。

b 在窗格的底部单击“高级”一栏。

c 在“来源”下拉列表中，选择“用户定义的”。

d 单击“运行查询”图标。

3 选择要导出的规则，然后单击 “文件” | “导出” | “规则”。

4 在“导出规则”页面，选择导出规则时要使用的格式。

5 在“下载”页面单击“是”并选择位置，然后单击“保存”。

如果您使用 Microsoft Excel 打开 csv 文件，则某些 UTF-8 字符可能会受损。若要修正该问题，请在 Excel 中打开“文本导入向导”并选择“分隔”和“逗号”。

过滤现有规则在“策略编辑器”中选择规则类型时，所选类型的所有规则都将默认以字母顺序排列。您可以按照时间或使用标记来排列这些规则，对它们进行过滤，以便查看仅满足标准的规则。


1 在“策略编辑器”的“规则类型”窗格中选择要筛选的规则类型。

2 确保“过滤器/标记”窗格中已选择“过滤器”选项卡。

3 执行下列任意操作：


通过多个标记过滤。 • 选择类别或标记，然后单击“运行查询”图标。

仅满足所有过滤器要求的规则才会显示。

查看满足任一所选过滤器的规则

1 选择多个类别或标记。

2 单击“OR”图标，然后单击“运行查询”图标。

受继承影响的字段（“操作”、“严重性”、“黑名单”、“累积”和“复制数据包”）无法使用“OR”图标进行过滤。

搜索特定的标记 1 在“在此处键入以搜索标记”字段中，键入标记的名称。

2 从选项列表中选择您所需的一项。

按照创建时间列出规则 • 单击工具栏上的“按时间排序”图标，然后单击“运行查询”图标。

按照字母顺序列出规则 • 单击工具栏上的“按名称排序”图标，然后单击“运行查询”图标。




清除过滤 • 单击规则显示窗格中的橘黄色过滤器图标。

过滤器已被清除，全部规则再次显示在规则显示窗格中。

清除过滤器标记 • 单击工具栏中的“全部清除”图标。

标记已清除，但仍在对规则列表进行过滤。

按照特征码 ID 过滤 1 在“过滤器”窗格的底部单击“高级”一栏。

2 输入特征码 ID，然后单击“运行查询”图标。

按照名称或描述过滤 1 在“高级”窗格中输入名称或描述。

2 要使结果忽略大小写，请单击不区分大小写图标。

按照设备类型、规范化的ID 或操作过滤

1 在“高级”窗格中，单击“过滤”图标。

2 在“过滤变量”页面选择变量。

比较规则类型及其直接父级类型基于策略的设置差异。

• 在“高级”窗格中，选择“查看异常”，然后单击“运行查询”图标。

按照严重性、黑名单、累积、复制数据包、来源和规则状态过滤

• 从每个字段的下拉列表中选择过滤器。

仅查看自定义规则 • 在“高级”窗格的“来源”字段中选择“用户定义的”，然后单击“运行查询”图标。

查看特定时间段内创建的规则

1 单击“高级”窗格中“时间”字段旁边的日历图标。

2 在“自定义时间”页面，选择开始和结束时间，单击“确定”，然后单击“运行查询”图标。

查看规则特征码如果您访问 McAfee 在线特征码数据库，则可以查看规则特征码相关信息。该选项适用于防火墙、深度数据包检测和数据来源规则。


1 在“策略编辑器”的“规则类型”窗格中选择要查看的规则类型。

2 在规则显示窗格中选择规则。

3 单击“操作”，然后选择“浏览参考”。

浏览器中将打开“NTAC 漏洞摘要”屏幕。

4 要查看特征码摘要，请单击该屏幕的“特征码”部分的链接。

检索规则更新McAfee 特征码团队会不断更新规则特征码，这些规则特征码可供设备用以检查网络流量并可从中央服务器中下载。这些规则更新可自动检索，也可手动检索。



任务

请参见“对下载的规则进行替代操作”，以便从服务器检索规则时设置所采取操作的替代项。



2 在“规则更新”行单击“更新”。

3 设置 ESM 来自动检索更新或立即检查更新。

4 如果手动下载更新，请单击“部署”图标对它们加以利用。

5 要查看手动更新，请完成以下操作：

a 在“过滤器/标记”窗格中，单击“高级”一栏。

b 在“规则状态”字段中，选择“已更新”、“新建”或“已更新/新建”来显示要查看的已更新规则类型。

c 单击“运行查询”图标。

已更新的规则列表如果被添加，则随附放射形状的星号图标；如果对其进行修改，则随附感叹号。


选项定义

“ 自动检查每项 ” 若要将 ESM 设置为自动检索更新，则请选择该选项。如果您是第一次更新规则，则会打开“客户验证”页面。输入客户 ID 和密码，然后选择“验证”。

如果您忘记相关信息，请联系 McAfee 支持。

“小时”，“分钟” 选择您希望系统检查更新的频率。

“立即检查” 立即检查更新并立即下载。

“手动更新” 单击选择更新文件上载。

“凭据” 单击以添加 McAfee 授予您的凭据。

清除已更新规则状态清除操作发生在对规则进行修改或将规则添加到系统后。检查更新后可以清除这些标记。


1 在“策略编辑器”的“规则类型”窗格中选择要清除的规则类型。

2 执行以下操作中的一个：




清除所有规则状态标记

1 单击“操作”，然后选择“清除已更新规则状态”。

2 单击“全部”。

清除所选的规则 1 在“过滤器/标记”窗格中，单击“高级”一栏。

4 选择要清除的规则。

2 在“规则状态”字段中，选择“已更新”、“新建”或“已更新/新建”来显示要清除的标记类型。

5 单击 “操作” | “清除已更新规则状态” |“已选择”。

3 单击“运行查询”图标。规则与所选标记将显示在规则显示窗格中。

比较规则文件您可以比较接收器、ADM 和 DEM 规则文件的策略状态（已应用、当前、回滚或分阶段）。

如果您已将当前策略应用到设备中且需要查看更改，则该操作很有帮助。在这种情况下，您将比较当前规则和已应用的规则。


1 在系统导航树中，单击接收器、ADM 或 DEM 设备。

2 在操作工具栏中单击“策略编辑器”图标，然后单击 “工具” | “比较规则文件”。

3 在“比较规则文件”页面上，做出选择，然后单击“比较”。

如果生成的两个文件都小于约 15.5 MB，则它们会显示在“比较规则文件”表中。如果任一文件大于该值，系统会提示您下载这两个文件。

查看规则更改历史记录您可以查看已更改、更新、或添加到系统中的规则，以及各个规则的新版本，


1 在“策略编辑器”中单击 “工具” | “规则更改历史记录”。

2 在“规则历史记录”页面查看对规则所进行的更改，或单击“规则版本”选项卡查看各个版本的新规则。



选项定义

“规则更改历史记录”

查看近的规则更改。每个条目都会给出规则摘要及其更新或添加到系统中的日期。

“ 规则版本 ” 查看系统中规则已分类的每台设备的新时间戳。这可使您针对管理和合规性规定查找每个规则的版本。默认情况下，设备类型按照名称的字母顺序排序。要按照时间戳排序，请单击“版本”列的标题。

“全部显示” 在“规则更改历史记录”选项卡中，单击可生成包含新更改在内的所有规则更改列表。



创建新的规则监视列表监视列表是一组可用作过滤器或用作警报条件的特定类型的信息，当事件中发生相应情况时您便会收到通知。这些监视列表可以是全局性的，也可以是特定于 ESM 用户或组的。


1 在“策略编辑器”的“规则类型”窗格中，选择规则类型，然后选择要附加到此监视列表的规则。

2 单击“操作”，然后选择“创建新监视列表”选项。

“添加监视列表”页面列出了您选定的规则。

3 键入名称，然后确保“静态”单选按钮处于选中状态。

参阅“添加新的监视列表”以添加动态监视列表。

4 选择此监视列表要监视的数据类型，然后选择受理人。

具有管理员权限的用户可以将监视列表分配给系统中的任何用户或任何组。如果您没有管理员权限，则只能将监视列表分配给您自己和您所属的组。

5 若要将更多值添加到关注列表，可以通过以下方式实现：• 若要导入格式为新行分隔值的值文件，请单击“导入”，然后选择该文件。

• 若要添加单独的值，请在“值”框中每行键入一个值。

值的大数为 1000。

6 若要在生成了包含此关注列表中任意值的事件后收到警报，请单击“创建警报”。


将规则添加到监视列表创建监视列表后，您可能需要将规则值添加到该列表。为此，可使用“附加到监视列表”选项。


1 在“策略编辑器”的“规则类型”窗格中，选择规则类型。

2 在规则显示窗格中选择要附加到监视列表的规则。

3 单击“操作”菜单，然后选择“附加到监视列表”。

4 选择要将规则附加到的监视列表，然后单击“确定”。


选项定义

顶部表格列出所选规则的值以附加到监视列表。

底部表格选择要将值附加到其中的监视列表。



将标记分配到规则或资产您可以将标记分配到规则，注明其属性，然后根据规则的标记进行过滤。ESM 有预定义的标记集，但也可以添加新标记和新标记类别。

变量、预处理程序或规范化规则类型不提供“标记”选项卡。


1 在“策略编辑器”的“规则类型”窗格中，选择要标记的规则类型。

2 单击“过滤器/标记”窗格中的“标记”选项卡。



添加新的标记类别

1 单击“新类别标记”图标。

2 键入类别名称。

3 若要在事件严重性计算中使用该标记，则请选择“使用事件严重性计算的标记”，然后单击“确定”。

添加的类别中包含基础标记。您可以在该类别下添加新标记。

添加新标记 1 单击要将标记添加到的类别，然后单击“新建标记”图标。

2 键入标记的名称。

3 若要在事件严重性计算中使用该标记，则请选择“使用事件严重性计算的标记”，然后单击“确定”。

编辑现有类别或标记

1 单击要编辑的类别或标记，然后单击“编辑标记”图标。

2 更改名称或设置，然后单击“确定”。

删除自定义标记

1 突出显示要删除的标记，然后单击“删除标记”图标。

2 单击“是”进行确认。


选项定义

搜索字段如果您要搜索特定标记，请在字段中输入该标记，然后从可能匹配的标记中进行选择。

标记表在系统内的标记中查看和搜索。

修改累积设置累积的事件即拥有匹配字段的事件。

默认情况下会选择累积，您可以在各个设备的“事件累积”页面上为设备上生成的所有事件选择使用的累积类型。您可以修改单个规则的累积设置。

管理策略和规则将标记分配到规则或资产 11



1 在“策略编辑器”的“规则类型”窗格中，选择规则类型。

2 请选择您要修改的累积设置对应的规则。

3 请单击工具栏上的“操作”并选择“修改累积设置”。

4 请从“字段 2”和“字段 3”下拉列表中选择要累积的字段类型。

您选择的字段必须为不同类型或错误结果。

5 单击“确定”，保存设置。

6 如果您作出的更改影响设备的累积方式，则系统会询问您是否要推广更改。请执行以下步骤：

a 单击“是”。

“累积异常部署”页面显示受该更改影响的设备的状态。所有过期的设备都会得到检查。

b 如果需要，取消不应用这些更改的设备的勾号。

c 单击“确定”，推广这些更改。

推广更改时，“状态”列反映更新的状态。


选项定义

“ 字段 2 ”和“字段 3” 选择要累积的字段类型。必须选择不同类型。级别 1、级别 2 和级别 3 聚集的说明会根据您的选择发生变化。

对已下载的规则进行覆盖操作从 McAfee 中央服务器下载规则时，会向规则分配默认操作。规则下载后，您可以对选定类型的规则定义覆盖操作。如果未定义覆盖操作，则规则将会采取默认操作。


1 在“策略编辑器”中单击“工具”，然后选择“新规则配置”。

“新规则配置”页面列出了适用于“默认策略”的覆盖操作。

2 设置覆盖操作设置，然后单击“关闭。”


选项定义

“策略” 请为您要对其应用替代操作的规则选择策略。

表查看所选策略的现有重写。

“添加” 单击该选项，以向所选的策略添加替代。

11 管理策略和规则对已下载的规则进行覆盖操作



选项定义

“编辑” 更改所选替代的设置。

“删除” 删除所选替代。


选项定义

标记列表选择分配至该规则的标记，从中应用该替代。例如，若要使用 AOL 标记替代所有过滤器规则的操作，请单击标记列表中的“当前威胁” |“AOL”，然后选择“规则类型”字段中的“过滤器”。

“规则类型”字段选择您要将此替代应用到的规则类型。

“规则操作” 如果您要启用替代或禁用该规则和标记，则请选择该选项，使该规则和标记继续使用默认设置。

“严重性” 为该替代选择严重性。默认值为零。

“列入黑名单”、“累积”、“复制数据包”

为该替代选择设置。如果您不希望替代这些选项的设置，则请将设置保持为“默认”。

严重性权重事件严重性的计算基于资产、规则和漏洞的严重性权重。

在终计算中对这四个严重性进行权重。终计算是将四个严重性的总和乘以其各自的权重。“严重性权重”页面显示了与资产、标记、规则和漏洞组关联的权重。这些设置的总和必须为 100。如果您更改一项设置，则其他某些设置或全部设置都会受影响。以下为各类严重性说明：

严重性类型

说明

资产所谓资产就是 IP 地址，有时可能位于某个区域内。事件的资产严重性如下：1 事件的目标 IP 地址和目标区域与所有资产相比较。如果找到匹配项，该资产的严重性将用作此事件的资产

严重性。

2 如果未找到匹配的 IP 地址和目标区域，则该事件的来源 IP 地址和来源区域将与所有资产进行比较。如果找到匹配的来源 IP 地址和来源区域，则该资产的严重性将用作此事件的资产严重性。

3 如果未找到匹配项，则资产严重性为 0。

标记标记严重性将通过 McAfee 和用户定义的标记计算。必须为事件的规则和资产设置用于计算安全性的标记。如果未对规则或资产定义标记，或没有资产匹配项，则标记严重性为 0。要计算标记严重性，需要将匹配的规则和资产标记数乘以 10。标记严重性大不超过 100。

规则规则严重性是创建事件后进行的严重性设置。它基于事件的规则严重性（请参见“策略编辑器”）和针对事件收集器配置的任意数据浓缩。

漏洞如果 VA SVE 信息适用于事件资产和规则，则漏洞严重性将使用所有匹配资产和规则 VA SVE 的高严重性，除非严重性为 0。

另请参阅设置严重性权重第 373 页

设置严重性权重计算事件严重性时要权衡资产、标记、规则和漏洞严重性。您必须定义这些严重性。

管理策略和规则严重性权重 11



1在“策略编辑器”中，单击“严重性权重”图标。



选项定义

编号行拖放标记。“资产”、“标记”、“规则”和“漏洞”字段可反映这些设置。

“VA 供应商提供的严重性”或“VA 供应商提供的 PCI 严重性”

选择如何计算入站数据漏洞严重性。如果这两个选项都被选中，则在计算严重性值时会使用两者中的较大值。

另请参阅严重性权重第 373 页

查看策略更改历史记录您可以查看或导出策略发生更改的日志记录。此日志可以容纳大 1GB 的数据。达到大容量时，将会根据需要删除

早的文件。


1 在“策略编辑器”中单击“查看策略更改历史记录”图标。

2 查看或导出日志，然后单击“关闭”。


选项定义

表查看已对当前策略所作的更改的列表

“查看” 查看所选日志的详细信息。要下载这些详细信息，请单击“下载整个文件”。

“导出” 导出所选日志的详细信息。

应用策略更改对策略做出更改后，您必须部署这些更改以便加以应用。对默认策略级别所做的更改在部署到所有设备时适用于所有策略。


1 在“策略编辑器”中单击“部署”图标。

2 选择所需的部署方式。


每台设备完成部署后，策略状态将显示为成功部署。如果部署命令失败，页面将显示失败命令的摘要。

11 管理策略和规则查看策略更改历史记录



选项定义

单击以将策略部署到一台设备中。

“即刻向所有设备部署策略” 选择将策略更改部署到所有设备。单击“确定”。

“编辑” 单击以选择其他部署选项。


选项定义

“稍后分阶段进行部署” 选择设置您已在“部署”页面所选设备的将来部署时间。单击日历图标来设置数据和时间。

“ 立即部署 ” 选择立即将策略部署到所选的设备中。

“将设备回滚至之前的有效策略” 如果已启用，请选择返回到之前应用的策略。

“跳过或清除分阶段实施的策略” 选择跳过此设备分阶段进行的部署。

另请参阅了解策略编辑器第 325 页策略树第 326 页规则类型及其属性第 331 页在策略树中管理策略第 327 页

启用复制数据包当针对规则启用“复制数据包”时，该数据包数据会被复制到 ESM。如果启用了此选项，数据包数据会包含在“内部事件匹配”或“字段匹配”警报的来源事件数据内。



2 在“规则类型”窗格中，选择要访问的规则类型，然后在规则显示窗格中找到规则。

3 单击“复制数据包”列中的当前设置（默认状态下为“关闭”），然后单击“打开”。

管理策略和规则启用复制数据包 11


11 管理策略和规则启用复制数据包


A FIPS 模式信息

目录 FIPS 模式信息检查 FIPS 完整性在 FIPS 模式中添加锁定的设备对 FIPS 模式进行故障排除

FIPS 模式信息鉴于 FIPS 规则，不会提供某些 ESM 功能；某些可用功能不合规；而某些功能仅在 FIPS 模式中可用。这些功能会在整个文档中进行标注，如下所列：

功能状态说明

“已删除的功能” • 高可用性接收器。

• 能够使用 SSH 协议与设备进行通信。

• 在设备控制台上，设备管理菜单会替代 root shell。

“仅在 FIPS 中提供的功能”

• 以下四个用户角色不会重叠：“用户”、“高级用户”、“审核管理员”和“密钥和证书管理员”。

• 所有“属性”页面都有“自测试”选项，可使您验证系统是否在 FIPS 模式中成功运行。

• 如果出现 FIPS 故障，则会将状态标记添加到系统导航树，以反映该故障。

• 所有“属性”页面都有“查看”选项，如果单击该选项，则会打开“FIPS 身份令牌”页面。该页面会显示必须与文档中这些部分中显示的值进行比较的值，以确保 FIPS 尚未受损。

• 在“系统属性” | “用户和组” | “权限” | “编辑组”上，页面包含“FIPS 加密自测试”权限，该权限为组成员赋予运行 FIPS 自测试的身份验证。

• 在“添加设备向导”上，TCP 协议一直被设为端口 22。可以对 SSH 端口进行更改。

另请参阅检查 FIPS 完整性第 377 页在 FIPS 模式中添加锁定的设备第 378 页在 FIPS 模式下备份和还原设备信息第 379 页在 FIPS 模式下启用多个 ESM 设备之间的通信。第 380 页对 FIPS 模式进行故障排除第 381 页

检查 FIPS 完整性如果您正在 FIPS 模式中操作，则必须定时对 FIPS 140-2 进行软件完整性测试。必须要在系统和各个设备上执行该测试。



1 在系统导航树上，选择“系统属性”并确保已选择“系统信息”。

2 执行以下任意操作。

在该字段中...

请执行以下操作...

“FIPS状态”

查看近在 ESM 上执行的 FIPS 自测结果。

“测试”或“FIPS自测”

运行 FIPS 自测，测试加密可执行文件中使用的算法的完整性。结果可在“消息日志”上查看。

如果 FIPS 自测失败，则 FIPS 会受损，或发生设备故障。联系 McAfee 支持。

“查看”或“FIPS标识”

请打开“FIPS 标识令牌”页面，以执行通电软件完整性测试。请将该值与该页面上显示的公钥进行比较：

如果该值与公钥不匹配，则 FIPS 会受损。联系 McAfee 支持。

另请参阅 FIPS 模式信息第 377 页在 FIPS 模式中添加锁定的设备第 378 页在 FIPS 模式下备份和还原设备信息第 379 页在 FIPS 模式下启用多个 ESM 设备之间的通信。第 380 页对 FIPS 模式进行故障排除第 381 页

在 FIPS 模式中添加锁定的设备在 FIPS 模式中，有两种方法添加已锁定到 ESM 的设备。您执行以上流程时，会使用该术语和文件扩展名。

术语

• “设备密钥” - 包含 ESM 所拥有的设备管理权限，不用于加密。

• “公钥” - ESM 公共 SSH 通信密钥，存储在设备的授权密钥表中。

• “私钥” - ESM 专用 SSH 通信密钥，供 ESM 上的 SSH 可执行文件使用，从而与设备建立 SSH 连接。

A FIPS 模式信息在 FIPS 模式中添加锁定的设备


• “主要 ESM” - 初用于注册设备的 ESM。

• “次要 ESM” - 与设备通信的其他 ESM。

不同导出文件的文件拓展名

• .exk — 包含设备密钥。

• .puk — 包含公钥。

• .prk — 包含私钥和设备密钥。

另请参阅 FIPS 模式信息第 377 页检查 FIPS 完整性第 377 页在 FIPS 模式下备份和还原设备信息第 379 页在 FIPS 模式下启用多个 ESM 设备之间的通信。第 380 页对 FIPS 模式进行故障排除第 381 页

在 FIPS 模式下备份和还原设备信息此方法用于备份和还原 ESM 上设备的通信信息。

主用用于 ESM 出现故障，需要更换的情况。如果在故障出现之前未导出通信信息，则无法重新建立与设备的通信。此方法可导出和导入 .prk 文件。

次 ESM 使用主 ESM 的私钥建立与设备的初通信。建立通信之后，次 ESM 会将其公钥复制到设备的已授权密钥表。然后次 ESM 将清除主 ESM 的私钥，并启动与其自己公钥或私钥对的通信。

操作步骤

从主 ESM 导出 .prk 文件

1 在主 ESM 的系统导航树中，选择包含您要备份的通信信息的设备，然后单击“属性”图标。

2 选择“密钥管理”，然后单击“导出密钥”。

3 选择“备份 SSH 私钥”，然后单击“下一步”。

4 键入并确认密码，然后设置有效期。

在达到有效期之后，导入密钥的人员将无法与设备进行通信，除非导出具有更久有效期的其他密钥。如果您选择“永不过期”，则密钥在导入到其他 ESM 后永不过期。

5 单击“确定”，选择要将 ESM 创建的 .prk 文件保存到的位置，然后退出主要 ESM。

将设备添加到次 ESM 并导入 .prk 文件

1 在次要设备的系统导航树中，选择您要将设备添加到其中的系统或组级别节点。

5 输入设备的目标 IP 地址，输入 FIPS 通信端口，然后单击“下一步”。

2 在操作工具栏上，单击“添加设备”。 6 单击“导入密钥”，浏览到先前导出的 .prk文件，然后单击“上载”。

键入在初导出此密钥时指定的密码。

3 选择要添加设备的类型，然后单击“下一步”。

7 退出次要 ESM。

4 输入此组中唯一的设备名称，然后单击“下一步”。

FIPS 模式信息在 FIPS 模式中添加锁定的设备 A


另请参阅 FIPS 模式信息第 377 页检查 FIPS 完整性第 377 页在 FIPS 模式中添加锁定的设备第 378 页在 FIPS 模式下启用多个 ESM 设备之间的通信。第 380 页对 FIPS 模式进行故障排除第 381 页

在 FIPS 模式下启用多个 ESM 设备之间的通信。您可以通过导出和导入 .puk 和 .exk 文件实现多个 ESM 与同一设备通信。该方法将使用两个导出和导入进程。首先，主要 ESM 用于导入已导出 .puk 文件的次要 ESM 设备，并将所含的 ESM公钥发送给设备，从而允许两个 ESM 设备与该设备进行通信。其次，该设备的 .exk 文件从主要 ESM 导出并导入次要ESM，从而使得次要 ESM 能够与设备进行通信。

操作步骤

从次要 ESM 导出 .puk 文件

1 在次要 ESM 的“系统属性”页面上，选择“ESM 管理”。

2 单击“导出 SSH”，然后选择要保存 .puk 文件的位置。

3 单击“保存”，然后退出。

将 .puk 文件导入主要 ESM

1 在主要 ESM 的系统导航树上，选择要配置的设备。

4 单击“导入”，选择 .puk 文件，然后单击“上载”。

2 单击“属性”图标，然后选择“密钥管理”。 5 单击“确定”，然后退出主要 ESM。

3 单击“管理 SSH 密钥”。

从主要 ESM 中导出 .exk 文件。

1 在主要 ESM 的系统导航树上，选择要配置的设备。

2 单击“属性”图标，然后选择“密钥管理”。

3 单击“导出密钥”，选择备份设备密钥，然后单击“下一步”。

4 键入并确认密码，然后设置有效期。

达到有效日期后，您将无法与设备进行通信，直到导出有效期更晚的其他密钥。如果您选择“永不过期”，则密钥在被导入到其他 ESM 后永不过期。

5 选择 .exk 文件权限，然后单击“确定”。

6 选择要保存此文件的位置，然后退出主要 ESM。

将 .exk 文件导入次要 ESM

1 在次要设备的系统导航树中，选择要将设备添加到其中的系统或组级别的节点。

5 单击“导入密钥”，然后浏览到 .exk 文件。

2 从操作工具栏中，单击“添加设备”。 6 单击“上载”并输入该密钥初导入时指定的密码。

3 选择要添加设备的类型，然后单击“下一步”。

7 退出次要 ESM。

4 为该组中的这一设备输入一个独一无二的名称，然后单击“下一步”。

另请参阅 FIPS 模式信息第 377 页检查 FIPS 完整性第 377 页在 FIPS 模式中添加锁定的设备第 378 页在 FIPS 模式下备份和还原设备信息第 379 页对 FIPS 模式进行故障排除第 381 页

A FIPS 模式信息在 FIPS 模式中添加锁定的设备


对 FIPS 模式进行故障排除在 FIPS 模式中运行 ESM 时会出现问题。

问题描述和解决方案

无法与 ESM通话

• 检查设备前端的 LCD。如果显示“FIPS 故障”，则请联系 McAfee 支持。

• 通过 HTTP 接口检查错误情况，方法是在浏览器中查看 ESM FIPS 自测网页。- 如果显示单数位“0”，则表明设备 FIPS 自测失败，请重新启动 ESM 设备，尝试纠正问题。如果故障情况一直存在，则请联系支持，获取进一步说明。

- 如果显示单数位“1”，则通信问题并非 FIPS 故障所致。请联系支持，获取进一步排除故障的步骤。

无法与设备通话

• 如果系统导航树上的设备旁边出现状态标记，则请将指针放在该标记上方。如果显示“FIPS 故障”，则请转至支持门户网站，联系 McAfee 支持。

• 根据“无法与 ESM 通话”问题下的说明操作。

添加设备时出现“文件无效”错误

您无法从非 FIPS 设备中导出密钥，然后将其导入到 FIPS 模式中运行的设备。而且，您无法从 FIPS设备中导出密钥，然后将其导入到非 FIPS 设备中。您尝试执行任一方案时都会显示该错误。

另请参阅 FIPS 模式信息第 377 页检查 FIPS 完整性第 377 页在 FIPS 模式中添加锁定的设备第 378 页在 FIPS 模式下备份和还原设备信息第 379 页在 FIPS 模式下启用多个 ESM 设备之间的通信。第 380 页

FIPS 模式信息对 FIPS 模式进行故障排除 A


A FIPS 模式信息对 FIPS 模式进行故障排除


索引

AACE

风险关联评分, 添加 108风险关联引擎 105关联引擎 105历史关联 109添加风险关联管理器 106选择要从 ESM 发送的数据类型 106摘要 14

Active Directory登录身份验证 182检索数据 316配置身份验证设置 186

Active Response 299DXL 299日期格式 299数据验证, 关注列表 299

Active Response 搜索结果创建关注列表 300导出数据 300将数据附加到关注列表 300搜索结果数据 300

Adiscon 数据来源设置 81ADM

设置 111事件 111摘要 14

ADM 的逻辑元素, 数据库, 关联规则 246ADM 规则

电子邮件协议模块 123, 344度量参考 121, 342管理自定义 333句法 117, 336逻辑元素 246逻辑元素, 编辑 336REGEX 语法 117, 336受支持的应用程序和协议 332特定于协议的属性 123, 344添加新的 334条目类型 120, 341web 邮件协议模块 123, 344文件传输协议模块 123, 344文字 117, 336协议异常 124, 345

ADM 规则（续）有违 ADM 规则的 DNA 协议异常 124, 345有违 ADM 规则的 IP 协议异常 124, 345有违 ADM 规则的 TCP 协议异常 124, 345运算符 117, 336重要概念 332

ADM 规则的电子邮件协议模块 123, 344ADM 规则的 REGEX 语法 117, 336ADM 规则的条目类型 120, 341ADM 规则的文件传输协议模块 123, 344ADM 规则的文字 117, 336ADM 规则的运算符 117, 336ADM 规则特定于协议的属性 123, 344ADM 规则 web 邮件协议模块 123, 344ADM 会话查看器，显示密码 112ADM 字典 113

管理 116设置 113示例 115, 339引用 114

Altiris 服务器, 检索数据 316案例

报告, 生成 310编辑 306查看所有 309查看详细信息 306从触发的警报创建 235电子邮件通知 308电子邮件选定案例 309关闭 306过滤器 309将事件添加至现有案例 304警报操作 231来源事件, 查看 309添加 303添加或更改时发送电子邮件 309状态，添加 308状态, 添加或编辑 309自定义摘要 246

案例管理报告, 生成 310窗格, 显示 181

案例状态，添加 308安全, SSH 通信密钥 26


安全功能 182安全日志故障

UCAPL, 警报 238ArcSight, 添加数据来源 79ASN

查找, 执行 287定义设备的设置 255

ASP 346ASP 规则

设置顺序 346时间格式, 添加 347

ASP 数据源的编码 78Asset Manager 322

B版本, 查看软件 27绑定组件

链接组件 215报告

案例管理, 生成 310包括图像 271布局 268查询 ePO 设备 141队列 236管理查询 203季度,设置开始月份 266警报 236警报操作 231警报升级 231立即可用 266取消 236删除 236设备类型计数 146设备摘要 31事件时间 146添加 267添加条件 271停止 236通知，添加收件人 148图像, 添加 270显示主机名 272下载 236用户定义 266组件, 添加图像 270

包含过滤器 273保留, 设置限制 177备份

ELM 100ESM 设置 193系统设置 192

备份, 还原 195备份文件，使用 195本地驱动器, 虚拟 97变量 359

导入 360

变量 359 （续）类别, 添加新的 360删除自定义 360修改 360修改类型 360自定义, 添加 360

标记编辑现有 371分配到规则或资产 371将 ePolicy Orchestrator 分配到 IP 地址 138类别, 添加新的 371删除自定义 371添加新的 371严重性 373自定义, 删除 371

标记，ePO 137别名, 添加 157比较分布图上的值 291比较规则文件 369并行会话

UCAPL, 警报 238补救

案例 ID, 添加到事件记录 288服务器设置 146警报操作 231

布局, 添加报告 268本手册中使用的约定和图标 9

CCAC

登录, 设置 185上传 CA 根证书 185身份验证 182设置 185添加用户 185

CA 根证书, 上传 185参数, 添加到关联规则或组件 352操作

对 DEM 定义 128警报 231数据源 74添加到 DEM 128映射 74

操作, 针对 DEM 设置 129策略

策略树 326策略树图标 326查看规则 327查找 327重命名 327导出 327导入 327复制 327删除 327添加 327

索引


策略（续）应用更改 374子策略, 添加 327

策略编辑器查看设备的更新状态 362更改历史记录 374认购超额模式，设置 362

层级 ESM, 掩码数据 201查看

管理查询 203超时，控制台 23查询

管理 203删除正在运行的 203

查询 CSV 报告 147查询向导 289重复的设备节点，删除 43重建镜像存储池 94重新初始化次要接收器-HA 设备 48重新启动设备 37重新启动多个设备 33创建

警报 225触发的警报

案例 235编辑 235过滤器 235确认 234, 235删除 235受理人 235

触发频率警报条件 231

出现故障的接收器, 替换 50次要接收器-HA 设备, 重新初始化 48Collector

SIEM Collector 56从文件尾部数据来源收集方法 71存储

设置 ESM 数据 175设置 ESM VM 数据 176

存储, ELM 备用位置 101存储池，重建镜像 94存储池, 将存储设备添加到链接 90存储池, 添加或编辑 91存储池，移动 92存储 ELM 日志 89存储 ELM 数据, 准备 88存储分配, 减少 ELM 93存储设备, 添加 ELM 90存储使用情况，查看 ELM 101存档

设置, 针对接收器定义 51设置非活动分区 174

D导出

规则 365通信密钥 202组件 288

导出和导入exk 文件 380puk 文件 380

导出区域 320导出文件的文件扩展名 378导入

变量 360规则 364数据来源列表 69字符串规范化文件 294

导入, 主机名 162导入区域设置 320DAS，进行分配以存储 ELM 数据 96DEM

编辑自定义操作 129定义操作 128高级设置, 配置 126更新许可证 126规则 356敏感数据掩码 131配置设置, 应用 127设置操作 129数据库服务器, 添加 133添加操作 128同步配置文件 126用户标识 132摘要 14

DEM 规则管理自定义 333

登录安全 182定义设置 182访问控制列表 184控制台, 首次 17

登录页面, 自定义 18DHCP, 设置 163第 7 层, 延迟提取事件 144电源故障

警报 248电源故障通知 170电子邮件

案例通知 308警报 225邮件服务器, 连接 148

地理位置, 定义设备的设置 255短信

警报 225对 FIPS 模式进行故障排除 381度量参考

ADM 规则 121, 342

索引


多个设备管理 33

EELM

备份 100存储池, 添加或编辑 91存储分配, 减少 93存储日志 89存储使用情况，查看 101DAS 设备可存储 ELM 数据 96定义备用存储位置 101管理数据库，还原 100还原 100将 SAN 存储设备格式化以存储数据 96检索数据 102镜像存储池，重建 94镜像数据存储 93镜像数据存储，添加 93禁用镜像设备 94迁移数据库 102日志数据，还原 100设置与设备间的通信 35使用正则表达式的查询 105搜索, 增强 285搜索视图 285搜索作业 102搜索作业, 查看结果 104搜索作业, 创建 103添加存储设备 90添加 iSCSI 设备进行存储 95添加镜像数据存储 93外部数据存储 94完整性检查, 查看结果 104完整性检查作业 102完整性检查作业, 创建 103压缩 99压缩, 设置 99移动存储池 92已镜像的管理数据库，替换 102与设备同步 35摘要 14准备存储数据 88

ELM 存储, 估计需要 87ELM 冗余

挂起与备用 ELM 的通信查看数据同步的详细信息 97禁用冗余 97

将备用 ELM 返回至服务 97切换 ELM 97

ELM 设置 87ePO

流事件, 查看 44添加身份验证凭据 137

ePO 标记警报操作 231

ePolicy Orchestrator标记, 分配到 IP 地址 138从 ESM 启动 136McAfee Risk Advisor 数据获取, 启用 138设置 136

ePO 凭据 137ePO 设备

查询来生成报告或视图 141查询 Real Time for McAfee ePO 信息显示板 141查询来进行数据扩充 141

ePO 身份验证 137ePO 身份验证凭据 137ESM

安全功能 182备份设置 193备份文件 195查看系统信息 146更新软件 19管理 199规则 357还原设置 194IPMI 端口, 设置 158控制网络流量 160日志记录, 设置 202冗余, 工作原理 196冗余 ESM 193升级主要和冗余 204数据存储, 设置 175替代冗余 197与设备同步 35与数据来源不同步 249与数据来源时间不同步 248摘要 14

ESM 和数据来源时间不同步 249ESM 冗余

故障转移 198ESM 上可用的 VA 供应商 62ESM 与数据来源时间不同步 248Event Receiver

摘要 14

F访问，授予到设备 36访问控制列表, 设置 184非活动分区存档, 设置 174非活动阈值, 设置 253分布式 ESM

属性 136添加过滤器 136

分布图, 比较值 291风险

要包括在计算中的威胁 323

索引


风险关联管理器, 添加 106风险关联评分 108风险关联引擎, ACE 105风险严重性威胁管理

管理 322视图, 自定义和预定义 322

分配, 定义数据限制 177分区, 设置非活动存档 174FIPS 模式

备份信息 379不兼容的可用功能 377功能仅在 FIPS 模式下可用 377故障排除 381还原信息 379检查完整性 377术语 378锁定的设备, 添加 378文件扩展名 378已删除的功能 377与多个 ESM 设备通信 380

复制和粘贴规则 363

G高级 DEM 设置, 配置 126高级 syslog 解析器

数据来源 75添加自定义规则 346

高级 Syslog 解析器规则 346

高级 syslog 解析器数据源采用非 UTF-8 编码 78

高可用性接收器 45更改历史记录, 查看规则 369更新

多个设备上的软件 33检查规则 20检索规则 367设备状态，查看策略 362

更新 DEM 许可证 126更新 ESM 软件 19根证书, 为 CAC 上传 185跟踪事件 304Global Threat Intelligence 关注列表 283攻击指示器 (IOC) 220共享查询, 禁用 198公用事件格式数据来源 80工作流跟踪 304GTI 关注列表 283关联管理器, 添加 106关联规则 350

查看详细信息设置为显示详细信息 351

导入时发生冲突 365管理自定义 333逻辑元素 246

关联规则 350 （续）逻辑元素, 编辑 336示例 350Threat Intelligence Exchange 规则 139添加参数 352添加新的 334

关联事件警报, 来源事件 227来源事件, 警报 227

关联事件，查看来源事件 52关联数据来源 73关联引擎, ACE 105管理角色

UCAPL, 警报 238管理数据库，还原 ELM 100关于本手册 9关注列表

Active Response添加关注列表 301

Active Response 搜索结果 301概述 280GTI 283管理查询 203Internet 来源 283警报操作 231Threat Intelligence Exchange 关注列表 139添加 281添加规则 370通过警报数据更新 283新建 370

规范化 330规范化的 ID

选择 279规则

变量 359比较文件 369查看特征码 367查看自定义 363触发事件 111导出 365导入 364复制和粘贴 363高级 Syslog 解析器 346更新凭据 20规范化 330过滤现有的 366检查更新 20检索更新 367类型和属性 331历史记录, 查看更改 369清除更新状态 368删除自定义 363事务跟踪, 添加或编辑 358数据来源 354添加到关注列表 370

索引


规则（续）添加警报 247替代针对下载的规则的操作 372Windows 事件 362修改 363修改累积设置 371严重性 373

规则集 84规则类型 331过滤规范化的 ID, 选择 279过滤器

触发的警报 235视图 277添加到分布式 ESM 136添加规则 358UCF 298Windows 事件 ID 298现有规则 366自定义类型 294

过滤器, 包含 273过滤器, 事件转发 263过滤器规则

规则顺序 357设置顺序 346数据顺序 357

过滤器设置，编辑事件转发 264故障排除

接收器-HA 故障 51

HHadoop PIG 211黑名单

警报操作 231全局 204设置全局 205添加 McAfee Network Security Manager 条目 143条目，添加或删除已删除的 McAfee Network Security Manager 144

HomeGroup 文件共享，禁用 90还原

通信密钥 202系统设置 192

还原备份的配置文件 195还原 ESM 设置 194徽标, 添加到登录页面 18会话查看器，显示密码 112会话查看器上的密码，显示 112会话劫持，TCP 361会话详细信息, 查看 277混淆 201

IIBM ISS SiteProtector 数据来源 83Internet 来源

创建关注列表 283

IP地址, 分配 ePolicy Orchestrator 标记 138

IPMI 端口, 配置网络 158IPMI 端口，在 ESM 或设备上设置 158IPv6

设置接收器 HA 48iSCSI 设备, 添加为 ELM 存储 95

J检查点数据来源, 设置 83检查率

警报条件 231将配置设置应用到 DEM 127将设备与 ESM 同步 35将数据来源迁移到其他接收器 70将数据来源移动到其他系统 70健康监视器

警报条件 231特征码 ID 240

健康监视器的特征码 ID 240健康监视器特征码 ID

警报 239监控

警报 234监控设备流量 36减少 ELM 存储分配 93检索规则更新 367季度报告,设置开始月份 266接口

管理网络 155网络设置 155

接收器存档设置, 定义 51存档原始数据 51流事件, 查看 44配置设置 44数据来源 53资产来源 85资产来源, 添加 85

接收器-HA重新初始化次要设备 48排除故障 51切换角色 50替换出现故障的接收器 50

接收器、NSM、ePO 的流事件 44接收器 HA 45

设置设备 47通过 IPv6 设置 48

警报 225案例 235报告 236编辑 235操作 231窗格, 显示 181创建 231, 237

索引


警报 225 （续）电源故障 248电子邮件 225短信 225复制 230工作流 225构建 225, 229关联事件 227管理查询 203关注列表, 通过警报数据更新 283过滤器 235将关注列表添加至内部事件匹配警报 281健康监视器特征码 ID 239监控 234警报升级 231禁用 230来源事件, 关联 227模板 226启用 230, 231确认 234, 235删除 235升级 231视图 234收件人 228受理人 231, 235受理人, 更改 235SNMP 225syslog 225Threat Intelligence Exchange 警报 139添加到规则 247条件 231调整 237通知，添加收件人 148UCAPL, 创建 238响应 234消息 147消息, 设置 225消息, 邮件服务器 148消息模板 226消息收件人 228严重性 231音频警报 229音频文件 229邮件服务器, 消息 148自定义摘要 246

响应警报 234

静态路由, 添加 158镜像存储池，重建 94镜像 ELM 数据存储 93镜像设备，禁用 ELM 94镜像数据存储，添加 ELM 93禁用 ELM 镜像设备 94禁用与 ESM 的 SSH 通信 37计算机 ID, 查看设备 27

旧资产, 定义 316技术支持, 查找产品信息 10

K客户端数据来源

查找 68添加 67

客户端数据源 67客户 ID 146可视警报

警报操作 231控制台

超时 23更改外观 181添加设备 21

L来源, 添加数据扩充 207来源 IP 地址，在报告中显示主机名 272来源事件

关联, 警报 227警报, 关联 227

来源事件，查看关联事件 52LDAP

登录身份验证 182服务器, 对用户身份验证 188

类别编辑 371添加新变量 360添加新标记 371

累积定义 256管理事件例外 259设备的设置 257添加例外 258修改规则设置 371

累加器索引，增加可用 176累积器索引, 管理 178累积设置的例外, 添加 258连接

建立 McAfee Vulnerability Manager 143通过 ESM 更改 37

历史关联，ACE 109历史关联，添加过滤器 110历史关联事件，下载 111历史记录

策略更改 374查看规则更改 369

流检查 254检索 254设置非活动阈值 253设置下载项 251视图 285

索引


流（续）说明 251

漏洞管理来源 318评估 318严重性 373

逻辑元素, 编辑 336

MMcAfee ServicePortal, 访问 10McAfee ePO

凭据, 设置用户 187McAfee ePO 数据来源 82McAfee 规则集 84McAfee MIB 171McAfee Network Security Manager

黑名单条目, 添加 143设置 143添加或删除 144已删除的黑名单条目 144

McAfee Risk Advisor数据采集 138数据获取, 启用 138

McAfee Vulnerability Manager连接，建立 143设置 142运行扫描 142证书和密码短语，获取 142

MIB从 ESM 中提取 174

MIB, McAfee 171密码

更改 181默认 17

密码短语和证书，获取 McAfee Vulnerability Manager 142敏感数据掩码 131

管理 131名称/值自定义类型 297名称/值组自定义类型，添加 298密钥

管理设备 25设备 26

默认日志记录池, 设置 36默认视图, 更改 293默认显示类型, 更改 181模板, 警报消息 226目标 IP 地址，在报告中显示主机名 272

N内部版本, 查看软件 27内部事件匹配

警报条件 231内存, 数据库使用情况 179

NSM第 7 层 144流事件, 查看 44NSM-SIEM 配置工具 82

NTP 服务器查看状态 150针对设备设置 149

PPDF, 包括图像 271配置设置, 应用到 DEM 127配置文件, 配置 166配置文件, 同步 DEM 126偏差

警报条件 231评分, 风险关联 108凭据, 获取并添加规则更新 20

Q迁移数据库，ELM 102启动

ESM 中的 ePolicy Orchestrator 136启动多个设备 33启动设备 37切换接收器-HA 角色 50启用 FIPS 模式 17全局黑名单 204

设置 205全新视图 214确认

触发的警报 235区域

导出设置 320导入区域设置 320管理 319添加 319添加子区域 321

区域管理 318

RRADIUS

登录身份验证 182身份验证设置 184

Real Time for McAfee ePO针对信息显示板查询 ePO 141执行操作 139

认购超额模式，设置 362任务管理器 203日期格式, 更改 181日志

管理 199检查 254设置下载项 251设置语言 21

索引


日志（续）说明 251

日志, 存储 ELM 89日志记录

查看系统或设备 32设置 ESM 202设置默认池 36

日志事件警报操作 231

日志数据，还原 ELM 100冗余 ESM

保存系统设置 196工作原理 196升级 204设置 193替代 197

冗余 ESM 的故障转移 198冗余故障转移 198软件

在多个设备上更新 33软件, 更新 ESM 19

SSAN 存储设备, 格式化以存储 ELM 数据 96扫描，运行 McAfee Vulnerability Manager 142SDEE 数据来源 79ServicePortal, 查找产品文档 10删除

触发的警报 235自定义规则 363

上传音频文件 229

设备ASN, 定义设置 255版本 27查看常规信息 27查看日志 32重新启动 37地理位置, 定义设置 255更改描述 31更改名称 31更改默认显示 181管理多个 33管理密钥 25管理 SSH 通信密钥 26IPMI 端口, 设置 158监控流量 36禁用数据来源 181计数报告 146计算机 ID 27开始 37控制网络流量 34累积设置 257密钥 26内部版本 27

设备（续）NTP 服务器 149删除节点 42设备统计信息 30设置事件、流和日志下载项 251授予访问权限 36刷新 31添加到控制台 21添加设备 21添加 URL 链接 29, 33停止 37同步时钟 165消息日志 30型号 27序列号 27与 ESM 的连接, 更改 37与 ESM 同步 35摘要报告 31状态数据，下载 30组节点，删除 42组织 22, 27, 41

设备节点，删除重复 43设备时间

事件视图 279设备显示类型, 选择 22设备状态，下载相关数据 30设备组，管理 42升级

警报 231主要和冗余 ESM 204

审核UCAPL, 警报 238

失败的登录UCAPL, 警报 238

事件查看准确时间 279查找匹配的字段 286创建案例以便跟踪 304管理累积例外 259会话详细信息, 查看 277检查 254检索 254警报升级 231日志, 管理事件类型 199日志，设置语言 21设置非活动阈值 253设置下载项 251说明 251添加至案例 304严重性小组件, 设置 373

事件、流和日志限制收集时间 252

时间，同步时间 164事件发生率

警报条件 231

索引


事件时间查看 279

事件时间报告 146时间同步 164事件转发

编辑过滤器设置 264代理 262配置 260启用或禁用 262设置 259添加过滤器 263添加目标 260修改设置 263

时间自定义类型，添加 297时区

格式, 更改 181视图

查询 ePO 设备 141更改默认 293管理 277过滤 277过滤器 278流 285视图中的数据 278添加自定义 215预定义 214增强的 ELM 搜索 285主机名, 而非显示 IP 地址 215组件 286

事务跟踪规则, 添加或编辑 358时钟，同步设备 165手动上传错误, 网络威胁源

故障排除手动上传 IOC STIX XML 文件 222

收件人警报消息 228添加 148

受理人警报升级 231

刷新设备 31刷新系统导航树, 中止 147数据保留限制, 设置 177数据采集

McAfee Risk Advisor 138数据存储

设置 ESM 175设置 ESM VM 176虚拟本地驱动器 97

数据存储，镜像 ELM 93数据存储，添加已镜像的 ELM 93数据存储, 准备存储 ELM 数据 88数据访问规则, 添加或编辑 354数据分配, 定义限制 177数据获取

启用 McAfee Risk Advisor 138

数据库服务器, 添加 133管理 174管理索引设置 177内存使用情况 179审核追踪 330审核跟踪, 设置规则和报告 330状态 146

数据库规则逻辑元素 246逻辑元素, 编辑 336添加新的 334

数据扩充 206Active Response

添加数据扩充来源 301Active Response 搜索结果 301查询 ePO 设备 141添加来源 207

数据库迁移虚拟本地驱动器 97

数据来源 53Adiscon 设置 81安全设备事件交换 (SDEE) 79从文件尾部收集方法 71导入列表 69高级 syslog 解析器 75公用事件格式 80管理 56关联 73IBM ISS SiteProtector 83检查点, 设置 83客户端, 查找 68客户端, 添加 67McAfee ePO 82迁移到其他接收器 70收集方法, 从文件尾部 71Syslog 中继支持 81添加 54添加 ArcSight 79添加子级 66Windows 安全日志 73WMI 事件日志 72显示已禁用 181移动到其他系统 70与 ESM 不同步 249与 ESM 时间不同步 248自动创建 63自动创建规则, 添加 63自动了解, 设置 64

数据来源, 规则操作 355数据来源规则 354数据源

ASP 编码 78ASP 的编码 78客户端 67

索引


数据源（续）严重性和操作映射 74

数据源规则自动了解的, 管理 355

SNMP电源故障通知 170警报 225MIB 171配置 167配置通知 35设置 168

SNMP 陷阱UCAPL, 警报 238

搜索, 增强的 ELM 285搜索作业 102搜索作业, 查看结果 104搜索作业, 创建 103SSH

重新生成密钥 203通信, 禁用与 ESM 的通信 37通信密钥, 针对设备管理 26

STIX 指示器类型, 支持 221索引, 累积器 178索引，增加可用累加器 176索引设置, 数据库 177syslog

警报 225syslog 消息

UCAPL, 警报 238Syslog 中继支持 81

TTCP

会话劫持 361协议异常 361

TCP 转储, 36特定于 DEM 的设置 125特征码，查看规则 367Threat Intelligence Exchange

与 ESM 集成执行历史 139

添加子区域 321条件

触发频率 231检查率 231健康监视器 231警报 231内部事件匹配 231偏差 231事件发生率 231阈值 231字段匹配 231

条件, 添加报告 271调整

警报 237

替代针对下载的规则的操作 372替换出现故障的接收器-HA 50停止多个设备 33停止设备 37同步设备

时钟 165同步系统时间 164通过备份还原 ELM 100统计信息，针对设备查看 30通信密钥，导出和还原 202通知, 配置 SNMP 35退出

控制台 17图像

包括在 PDF 和报告中 271添加到登录页面 18

UUCAPL

安全日志故障, 警报 238并行会话, 警报 238管理角色, 警报 238警报, 创建 238审核, 警报 238失败的登录, 警报 238SNMP 陷阱, 警报 238syslog 消息, 警报 238无活动阈值, 警报 238系统状态, 警报 238证书, 警报 238

UCF 过滤器 298URL 链接

添加到设备 33添加设备信息 29

VVA 检索, 故障排除 62VA 来源, 添加 58VA 数据, 检索 61VA 数据, 集成 57VA 系统配置文件, 定义 57VLAN

添加 157VM, 设置数据存储 176

W外部 API

管理查询 203外部 ELM 数据存储 94网络

管理接口 155接口, 设备的设置 155配置设置 151

索引


网络流量控制ESM 160设备 34

网络设置IPMI 端口设置 158

网络威胁源 220手动上传错误 222

完整性检查, 查看结果 104完整性检查作业 102

创建 103威胁

查看详细信息 323针对风险计算启用或禁用 323

威胁管理 322文件共享，禁用 HomeGroup 90文件维护，管理 195WHOIS

查找, 执行 287Windows

事件规则 362事件 ID 过滤器 298

Windows 安全日志 73WMI 事件日志 72无活动阈值

UCAPL, 警报 238文档

本手册的读者 9特定产品, 查找 10印刷约定和图标 9

X显示类型, 选择 22限制, 设置数据保留 177消息

电子邮件 225短信 225警报 147警报, 设置 225警报, 收件人 228警报, 邮件服务器 148警报操作 231警报模板 226警报升级 231收件人, 警报 228SNMP 225syslog 225邮件服务器, 连接 148

消息日志，针对设备查看 30小组件, 设置严重性 373下载

事件、流和日志 251下载的规则, 替代操作 372协议

异常事件 111

协议异常，TCP 361型号, 查看设备 27消息设置 147系统导航树

自动刷新, 中止 147组织设备 27

系统日志, 查看 32系统设置

保存到冗余 ESM 196备份 192还原 192

系统时钟 146系统状态

UCAPL, 警报 238修改规则 363许可证, 更新 DEM 126序列号

查看设备 27系统 146

虚拟本地驱动器 97虚拟设备 38

添加到设备 40选择规则, 管理 40

虚拟设备的选择规则, 管理 40

Y掩码 IP 地址 201严重性

警报 231警报升级 231权重 373数据源 74小组件, 设置 373映射 74

压缩，管理 ELM 99压缩, 设置 ELM 99移动存储池 92已更新规则状态，清除 368已镜像的管理数据库，替换 ELM 102硬件 146音频文件

警报 229上传 229

引用 ADM 字典 114已删除的 McAfee Network Security Manager 黑名单条目，添加或删除

144用户

重新启用 188禁用 188默认名称 17身份验证到 LDAP 服务器 188使用 179添加 180添加 CAC 登录 185

索引


用户标识管理 132添加规则 132

邮件服务器,警报, 连接 148连接 148

有违 ADM 规则的 DNA 协议异常 124, 345有违 ADM 规则的 IP 协议异常 124, 345有违 ADM 规则的 TCP 协议异常 124, 345远程命令

警报操作 231警报升级 231

远程命令配置文件, 配置 166原始数据, 存档 51元数据事件 111预定义视图 214语言，针对事件日志进行设置 21阈值

警报条件 231

Z在事件中查找匹配的字段 286证书

安装新的 165密码短语，获取 McAfee Vulnerability Manager 142UCAPL, 警报 238

证书, 为 CAC 上传 CA 根 185正则表达式, 用于查询 ELM 105指示器类型, 支持 221状态

设备，查看策略更新 362主机名

管理 161, 162主机名, 导入列表 162主机名，在报告中显示 272主要 ESM, 升级 204资产

定义旧资产 316管理 314严重性 373

资产来源 316管理 316

资产来源 316 （续）接收器 85添加接收器 85

自定义类型过滤器 294

自定义 ASP 规则，添加 346自定义规则

查看 363自定义类型

创建 296名称/值 297添加名称/值组 298添加时间 297预定义 297

自定义显示, 添加、编辑、删除 22, 41自定义摘要 246自动创建数据来源 63自动创建数据来源规则, 添加 63自动了解的数据源规则, 管理 355自动了解数据来源, 设置 64自动确认

警报操作 231字段匹配

警报条件 231字符串规范化

创建要导入的文件 294管理文件 293

子级数据来源, 添加 66子区域

添加 321组

设置用户 189用户 179

组件绑定 215查看 286导出 288规则示例 350将参数添加至 352图像, 添加 270

索引


McAfee Enterprise Security Manager 10.0.0 产品手册·»加 Active Response 数据扩充来源...

Documents

Transcript of McAfee Enterprise Security Manager 10.0.0 产品手册·»加 Active Response 数据扩充来源...