mcafee support webinars · 2020-02-21 · del horario de negocio. ︎filtrado de eventos:...
TRANSCRIPT
Córdoba Support Team
SIEM: Mejores prácticas
McAfee Support Webinars
Cristian Colque | Technical Support Engineer
Disclaimer:
Este seminario web es un breve resumen que cubre
los casos de uso común y los escenarios relacionados
con este tema. No pretende ser exhaustivo, ya que no
es posible cubrir todos los escenarios detallados en un
webinar de una hora. Si necesita ayuda, póngase en
contacto con el servicio de soporte técnico de
McAfee.
Cristian ColqueTechnical Support Engineer, McAfee
▪︎ Oficina: Córdoba, Argentina, Software delivery Center.
▪︎ Más de 2 años de experiencia como Técnico de Soporte de McAfee.
▪︎ Especializado en: McAfee Enterprise Security Manager
AgendaPrincipales funciones del SIEM
▪︎ Consideraciones generales
▪︎ Configuración inicial
▪︎ Configuración de la base de datos
Alarmas▪︎ Configuración General
▪︎ Internal Event Match vs Field Match
Reportes▪︎ Configuración General
Otras Funcionalidades▪︎ Cyber Thread Feeds
Manejo de incidentes desde el Portal de Soporte▪︎ Como abrir un caso con soporte
▪︎ Información necesaria para cada dispositivo del SIEM.
Q & A
Principales funciones del SIEM
Prin
cipale
s fun
cion
es d
el S
IEM
Consideraciones Generales
Definir casos de uso haciendo un balance
entre*:
Infraestructura
▪︎ ENMELM (Combo)
▪︎ Equipos específicos – Mejor
desempeño y personalización.
▪︎ Modelos de los equipos.
Eventos
▪︎ Cantidad de eventos recolectados
▪︎ Cantidad de eventos analizados
Alarmas
▪︎ Cantidad
▪︎ Configuración
Reportes
▪︎ Cantidad
▪︎ Configuración
*Considerando modelo y capacidad del
hardware, validar con Soporte y Ventas.
Consideraciones Generales | Configuración Inicial | Configuración de la Base de Datos
Prin
cipale
s fun
cion
es d
el S
IEM
Seguir los pasos en las instalaciones
nuevas y configurar:
▪︎ NTP Server – Impacta en la recolección
y el parseo de eventos.
▪︎ Actualización de Reglas
Se realizan actualizaciones periódicas
según las modificaciones en los
eventos.
▪︎ Backup
▪︎ De Configuración – Una vez a la
semana para casos de desastre.
KB85742 - KB77544
Consideraciones Generales | Configuración Inicial | Configuración de la Base de Datos
Prin
cipale
s fun
cion
es d
el S
IEM
Configuración de la Base de Datos
Data Allocation
▪︎ Eventos o Flows? Permite hacer un mejor
uso del hardware y el espacio disponible.
Data Retention
▪︎ Politicas de Retención? Evitar tener
información que no va ser consultada.
Backup
▪︎ De Eventos. Para casos de desastre.
KB85742 - KB77544
Consideraciones Generales | Configuración Inicial | Configuración de la Base de Datos
Alarmas
Ala
rmas
Configuración General▪︎ Grupos según criticidad.
P1: Pocas alarmas que requieren atención inmediata.
P2: Requieren atención pero no inmediata.
P3: Es necesario documentar que el evento sucedió
pero no necesariamente investigarlo en cuanto sucede.
▪︎ Cantidad: Acorde al caso de uso y el hardware del equipo*,
aproximadamente:
P1: 5 a 15
P2: 15 a 30
P3: 15 a 30
▪︎ Frecuencia, aproximadamente:
P1: 5 a 10 min.
P2: 20 a 30 min.
P3: 1 hs o más
▪︎ Dispositivos.
Verificar en que data sources podemos encontrar los
eventos que las alarmas verifican y seleccionar únicamente
esos.
▪︎ Limpieza de alarmas viejas
*Considerando modelo y capacidad del hardware, validar con Soporte
y Ventas.
Configuración General | Internal Event Match vs. Field Match
Ala
rmas
Configuración General | Internal Event Match vs. Field Match
Internal Event Match:• Query contra la DB del ESM
• Mejor desempeño.
Field Match:
• Servicio en el/los Receivers
• Si la lógica es muy compleja es aconsejable
crear un regla de correlación y una alarma
“Internal Event Match” que verifique esa regla.
Reportes
Rep
orte
s
Reportes
▪︎ Cantidad: Acorde a la infraestructura y
los casos de uso.
▪︎ Frecuencia: Evitar correr muchos en el
mismo horario. Preferentemente fuera
del horario de negocio.
▪︎ Filtrado de eventos: recomendamos
ser lo más especifico posible.
▪︎ Rango de tiempo: Si el rango es muy
amplio, configurar el reporte durante
los fines de semana.
▪︎ Complejidad: Si se quiere generar un
reporte de más de 4 paginas, es
preferible seccionarlo en varios
reportes que se ejecuten en distintos
horarios.
▪︎ Limpieza de reportes viejos. Tanto
archivos generados en el SIEM y
reportes en desuso y todavía
habilitados.
Configuración General
Otras Funcionalidades
Otra
s Fu
ncio
nalid
ad
es
▪︎ Frecuencia – Minimo 8 hs entre cada
corrida.
▪︎ Rango de tiempo a analizar: si es muy
amplio es preferible no configuar
muchos Cyber Thread Feeds o que se
ejecuten en diferentes días y/o horarios.
▪︎ Cantidad de Listas a actualizar. Cada una
representa un “or” lo cual implica
verificar los eventos nuevamente para
cada una.
Cyber Thread Feeds
Manejo de incidentes desde el
Portal de Soporte
Man
ejo
de in
cid
en
tes d
esd
e e
l Po
rtal d
e S
op
orte
Como abrir una solicitud de Servicio
Como abrir un caso con soporte | Información necesaria para cada dispositivo del SIEM
1. Ingresar a
support.mcafee.com
2. Colocar Usuario
3. Colocar contraseña
4. Hacer click en Log In
Paso 1
Man
ejo
de in
cid
en
tes d
esd
e e
l Po
rtal d
e S
op
orte
Como abrir una solicitud de Servicio
Como abrir un caso con soporte | Información necesaria para cada dispositivo del SIEM
Paso 1 Paso 2
Man
ejo
de in
cid
en
tes d
esd
e e
l Po
rtal d
e S
op
orte
Como abrir una solicitud de Servicio
Como abrir un caso con soporte | Información necesaria para cada dispositivo del SIEM
Paso 1 Paso 2 Paso 3
• Dar una descripción breve del problema en el campo
“Summary”
Ejemplo: No se visualizan eventos Linux
• En el campo “Description”, explicar mas en detalle el
problema y que se necesita del soporte de McAfee
Ejemplo: Se siguió la guía de configuración de data
sources pero no se logran visualizar eventos.
• Haciendo click en Submit, la solicitud de servicio
queda registrada en soporte y automáticamente
asignada a un TSE. Se informará por correo el nro. de
SR asignado.
Man
ejo
de in
cid
en
tes d
esd
e e
l Po
rtal d
e S
op
orte
Subir toda la información al caso:
support.mcafee.com/upload
Para todos los dispositivos:
▪︎ Version y parche:
cat /etc/NitroGuard/.buildinfo
cat /etc/NitroGuard/.patchinfo
cat /etc/upgrade.history
▪︎ Capturas de pantalla con los pasos
seguidos y el error.
▪︎ Configuración actual en la Interfaz Grafica.
▪︎ Si se encontró documentación (KB, guía de
producto) Google o docs.mcafee.com
▪︎ Device Data. KB90316.
ELM
▪︎ Elm-info, via SSH: elm-info.sh
REC
▪︎ tcpdump
tcpdump -vvv -Xx -nni eth0 host IP and port XX -
w /tmp/tcpdumpDS.pcap
Como abrir un caso con soporte | Información necesaria para cada dispositivo del SIEM
Q & A
Muchas Gracias.