Guía de instalación de McAfee Active Response 2.3 · Guía de instalación de McAfee Active...

Guía de instalación de McAfee ActiveResponse 2.3.0(McAfee ePolicy Orchestrator)

COPYRIGHTCopyright © 2018 McAfee LLC

ATRIBUCIONES DE MARCAS COMERCIALESMcAfee y el logotipo de McAfee, McAfee Active Protection, ePolicy Orchestrator, McAfee ePO, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE,SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource y VirusScan son marcas comerciales de McAfee LLC o sus filiales en EE. UU. y otros países.Otros nombres y marcas pueden ser reclamados como propiedad de terceros.

INFORMACIÓN DE LICENCIA

Acuerdo de licenciaAVISO A TODOS LOS USUARIOS: LEA ATENTAMENTE EL ACUERDO LEGAL PERTINENTE CORRESPONDIENTE A LA LICENCIA QUE HAYA ADQUIRIDO, EN EL QUE SEESTABLECEN LOS TÉRMINOS Y LAS CONDICIONES GENERALES DE APLICACIÓN AL USO DEL SOFTWARE CUYA LICENCIA SE CONCEDE. SI NO SABE QUÉ TIPO DELICENCIA HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS RELATIVOS A LA VENTA, ASÍ COMO OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LALICENCIA O CON LA ORDEN DE COMPRA QUE ACOMPAÑEN AL PAQUETE DE SOFTWARE O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (TALESCOMO UN FOLLETO, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE HAYA DESCARGADO EL PAQUETE DESOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS ESTABLECIDOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO AMCAFEE O AL PUNTO DE VENTA PARA OBTENER EL REEMBOLSO ÍNTEGRO DE SU IMPORTE.

2 Guía de instalación de McAfee Active Response 2.3.0

Contenido

1 Preinstalación 5Requisitos de sistema de Active Response . . . . . . . . . . . . . . . . . . . . . . . . . . 5Puertos de red de Active Response . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

2 Instalación de Active Response por primera vez 9Instalación de las extensiones de Active Response . . . . . . . . . . . . . . . . . . . . . . 10Instalación del servidor de Active Response en un sistema MLOS o CentOS . . . . . . . . . . . . . 10

Aumentar el tamaño máximo de carga de McAfee ePO antes de instalar el servidor de Active Response. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Instalación del servidor de Active Response en un sistema MLOS . . . . . . . . . . . . . . 11Instalación del servidor de Active Response en un sistema CentOS . . . . . . . . . . . . . 13

Creación de una cuenta de McAfee Cloud . . . . . . . . . . . . . . . . . . . . . . . . . 14Cambio de la geolocalización del almacenamiento en la nube . . . . . . . . . . . . . . . 15

Vinculación a una cuenta existente en la nube . . . . . . . . . . . . . . . . . . . . . . . . 16Configuración de la extensión del bróker de DXL . . . . . . . . . . . . . . . . . . . . . . . 16Configuración del servidor proxy de McAfee ePO (opcional) . . . . . . . . . . . . . . . . . . . 17Instalación de agregadores (opcional) . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Instalación de clientes de Active Response . . . . . . . . . . . . . . . . . . . . . . . . . 18Desinstalación de clientes de Active Response . . . . . . . . . . . . . . . . . . . . . . . . 19Mensajes de error de instalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Visualización del estado de mantenimiento de Active Response . . . . . . . . . . . . . . . . . 20

3 Ampliación de Active Response 23Actualice las extensiones de Active Response . . . . . . . . . . . . . . . . . . . . . . . . 23Ampliación del servidor de Active Response . . . . . . . . . . . . . . . . . . . . . . . . 24Ampliación de clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25Ampliación de paquetes de contenido . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Ampliación del paquete de contenido de reglas de Rastreo . . . . . . . . . . . . . . . . . . . 26

4 Tareas iniciales 27Configuración de varios servidores de McAfee ePO . . . . . . . . . . . . . . . . . . . . . . 27

Configuración de brókers de DXL para conectar varios servidores de McAfee ePO . . . . . . . . 28Ejemplos de configuración del servidor de McAfee ePO con puente y sin puente . . . . . . . . 30

Configuración de McAfee Advanced Threat Defense . . . . . . . . . . . . . . . . . . . . . . 30Configuración del servidor de McAfee Advanced Threat Defense con Active Response . . . . . . 31Configuración de McAfee Advanced Threat Defense en el servidor de TIE . . . . . . . . . . . 31

5 Solución de problemas de Active Response 33Reversión de reglas de contenido . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Guía de instalación de McAfee Active Response 2.3.0 3

Contenido


1 Preinstalación

Contenido Requisitos de sistema de Active Response Puertos de red de Active Response

Requisitos de sistema de Active ResponseAsegúrese de que el entorno de su sistema cumpla los requisitos siguientes y de tener derechos deadministrador.

Para ver una lista de las plataformas, entornos y sistemas operativos admitidos en McAfee®

Active Response,consulte KB84473.

Requisitos mínimos del servidor de Active Response

El servidor puede instalarse en un servidor físico o una máquina virtual.

Requisitosmínimos

McAfee® Linux Operating System (MLOS) CentOS

Versión La versión más reciente se instala con elpaquete de servidor de Active Response.

6.8-7.3Las versiones posteriores no se han probado, perodeberían funcionar en endpoints con McAfee® Agentde 64 bits.

Procesador Una CPU con 4 núcleos Una CPU con 4 núcleos

Memoria 8 GB RAM 8 GB RAM

Disco duro Disco de estado sólido de 140 GB Disco de estado sólido de 140 GB

ISO Sí No (seleccione un ISO que desplegar)

Reforzado Sí No (siga las instrucciones de refuerzo)

Estas recomendaciones varían en sistemas con actualizaciones de Meltdown (consulte KB90333 para obtener lainformación más reciente).

Requisitos mínimos del cliente de endpoint de Active Response

Producto Windows Linux macOS

McAfee ePO 5.3.1 5.3.1 5.3.1

McAfee® Agent 5.0.3 (< RS2)5.0.5 (RS2/RS3)

5.0.5.658 5.0.5.658 (El Capitan y Sierra)5.0.6.347 (High Sierra)

1


https://kc.mcafee.com/corporate/index?page=content&id=KB84473&actp=null&viewlocale=en_US&showDraft=false&platinum_status=false&locale=en_US

https://kc.mcafee.com/corporate/index?page=content&id=KB90333

Producto Windows Linux macOS

Data Exchange Layer 3.0.0 + HF3 (< RS2)3.1.0 (RS2/RS3)

3.0.0 + HF3 3.0.0 + HF3

Endpoint SecurityThreat Prevention con

módulo Threat Intelligence

10.2.2**

Endpoint Security conAdaptive Threat Protection

10.5.0 (< RS2)10.5.1 (RS2)

10.5.3 (RS3)*

10.5.0***

Microsoft Windows 10 (versión 1607) - Anniversary Update (Redstone 1 [RS1])

Microsoft Windows 10 (versión 1703) - Creators Update (Redstone 2 [RS2])

Microsoft Windows 10 (versión 1709) - Fall Creators Update (Redstone 3 [RS3])

Microsoft Windows 10 (versión 1803) - Spring Creators Update (Redstone 4 [RS4])

* Si tiene endpoints de Redstone 3, debe incorporarse McAfee®

Endpoint Security 10.5.3 al repositorio principalantes de instalar el paquete de cliente de Active Response.

** Instale McAfee Endpoint Security 10.2.2 en endpoints de Linux antes de instalar Active Response.

*** Instale Endpoint Security 10.5.0 para macOS antes de instalar Active Response.

Si un endpoint no tiene actualmente una versión de Endpoint Security o McAfee VirusScan Enterprise, la versiónadecuada de los módulos de Endpoint Security se instala automáticamente con Active Response. Si un endpointtiene actualmente una versión no compatible de Endpoint Security, amplíe los módulos del endpoint a unaversión compatible.

Véase también Mensajes de error de instalación en la página 19

Puertos de red de Active ResponseActive Response utiliza estos puertos para la conectividad de red.

Asegúrese de que la configuración de red no bloquea el acceso al servidor y los clientes de Active Response através de estos puertos.

Tabla 1-1 Puertos del servidor

Número depuerto

Abrir para Conexionesentrantes

Conexionessalientes

443 Conectarse con extensiones en el servidor deMcAfee ePO.

Sí Sí

8883 Conecte el bróker de DXL al cliente de DXL enel servidor de McAfee ePO.

Sí Sí

8081 Conecte McAfee Agent al servidor de McAfeeePO.

Sí Sí

22 Conectarse de manera remota mediante sshpara llevar a cabo tareas de mantenimiento.

Sí Sí

123 UDP Network Time Protocol Sí Sí

1 PreinstalaciónPuertos de red de Active Response


Tabla 1-2 Puertos de cliente

Número de puerto Abrir para Conexiones entrantes Conexiones salientes

8081 Conectar McAfee Agent al servidor deMcAfee ePO.

Sí Sí

8883 Conectar el cliente de DXL a un brókerde DXL.

Sí Sí

PreinstalaciónPuertos de red de Active Response 1


1 PreinstalaciónPuertos de red de Active Response


2 Instalación de Active Response por primeravez

Para instalar correctamente Active Response, debe instalar los componentes, extensiones y paquetes de clienteen un orden determinado.A continuación, encontrará una descripción general de las tareas si está instalando Active Response porprimera vez. Consulte las instrucciones detalladas de cada tarea en las siguientes secciones.

1 Aumente el límite de tamaño de archivo de carga en las propiedades de Orion de McAfee ePO antes deincorporar el paquete de servidor de Active Response.

Esta actualización requiere que reinicie el servidor de McAfee ePO. Los usuarios no tendrán acceso durante elproceso de reinicio.

2 Instale las extensiones y los paquetes de cliente.

3 Instale el bróker de DXL. Consulte la guía de instalación del producto para obtener instrucciones.

4 Instale el servidor de TIE. Consulte la guía de instalación del producto para obtener instrucciones.Procedimiento recomendado: si está instalando los servidores de TIE y Active Response por primera vez,instale primero el servidor de TIE. Ejecute el servidor de TIE en su entorno durante unos días antes deactivar el rastreo en los endpoints.

a Los archivos que no muestren actividad sospechosa y tengan una prevalencia elevada por ejecutarse enla mayoría de los endpoints adquieren automáticamente la reputación Posiblemente de confianza. Estosignifica que no tendrá que cambiar manualmente las instancias de estas reputaciones en el área detrabajo de Active Response más adelante.

b Puede ajustar la base de datos de reputaciones de TIE y tomar decisiones sobre la reputación de losarchivos y certificados corporativos antes de que Active Response empiece a inspeccionar procesos enejecución en busca de amenazas potenciales.

5 Instale el servidor de Active Response (MLOS o CentOS) montando el ISO en una infraestructura virtualcompatible o despliegue el paquete de servidor de Active Response en un equipo compatible con CentOS.

6 Cree y configure una cuenta de Cloud Bridge, y configure la extensión del bróker de DXL.

7 Configure el proxy de McAfee ePO.

8 Despliegue los endpoints.

9 Busque posibles errores de instalación en la página Estado de mantenimiento de Active Response o Registro deeventos de amenazas.

Contenido Instalación de las extensiones de Active Response Instalación del servidor de Active Response en un sistema MLOS o CentOS Creación de una cuenta de McAfee Cloud Vinculación a una cuenta existente en la nube

2


Configuración de la extensión del bróker de DXL Configuración del servidor proxy de McAfee ePO (opcional) Instalación de agregadores (opcional) Instalación de clientes de Active Response Desinstalación de clientes de Active Response Mensajes de error de instalación Visualización del estado de mantenimiento de Active Response

Instalación de las extensiones de Active Response Instale las extensiones de Active Response en el servidor de McAfee ePO que desee gestionar desde elAdministrador de software.

Antes de empezar

• Compruebe que se cumplen los requisitos del sistema para Active Response.

• Asegúrese de que ha instalado McAfee Agent, y de que Endpoint Security se ha incorporado alRepositorio principal y se ha instalado en los endpoints.

• Prepare las máquinas virtuales para el bróker de DXL y el servidor de TIE. Consulte las guías deinstalación correspondientes para obtener instrucciones.

Procedimiento

1 Inicie sesión en McAfee ePO como administrador.

2 Seleccione Menú | Software | Administrador de software.

3 Localice e incorpore los paquetes de cliente y las extensiones siguientes.

a Extensión de administración del bróker de DXL

b Extensión de administración del servidor de TIE

c Paquetes/extensión de Active Response

d Paquete de cliente de DXL

e Extensión del área de trabajo de Active Response

f Paquete de cliente de Active Response

4 Desde la lista desplegable Acciones, seleccione Incorporar y acepte el acuerdo de licencia para cada paquete.

5 Instale el servidor del bróker de DXL. Consulte la guía de instalación del producto para obtenerinstrucciones.

6 Instale el servidor de TIE. Consulte la guía de instalación del producto para obtener instrucciones.

Instalación del servidor de Active Response en un sistema MLOS oCentOS

Contenido Aumentar el tamaño máximo de carga de McAfee ePO antes de instalar el servidor de Active Response Instalación del servidor de Active Response en un sistema MLOS

2 Instalación de Active Response por primera vezInstalación de las extensiones de Active Response


Instalación del servidor de Active Response en un sistema CentOS

Aumentar el tamaño máximo de carga de McAfee ePO antes de instalarel servidor de Active ResponsePara instalar el paquete de servidor de Active Response, primero debe aumentar el tamaño máximo de cargaen las propiedades del servidor de McAfee ePO.


Procedimiento


2 Vaya a C:\Archivos de programa (x86)\McAfee\ePolicy Orchestrator\Server\conf\orion.

3 Haga clic con el botón derecho en el archivo orion.properties y edítelo con Note++ o un editor similar.

4 Localice orion.upload.max.size y cambie el valor a 768435456.

5 Guarde los cambios y reinicie la aplicación de servidor de McAfee ePO de la máquina virtual o el servidorfísico.

Durante el proceso de reinicio, los servicios de McAfee ePO no están disponibles para los usuarios.

Ahora, puede incorporar el paquete de servidor de Active Response.

Instalación del servidor de Active Response en un sistema MLOSInstale y configure el servidor de Active Response en un servidor virtual o físico.

Antes de empezar

• Compruebe que se cumplen los requisitos mínimos.

• Compruebe que las extensiones de Active Response están instaladas.

• Compruebe que el servidor del bróker de DXL y el servidor de TIE están instalados. Consulte lasguías de instalación correspondientes para obtener instrucciones.

El servidor de Active Response se proporciona como una imagen ISO que incluye una instancia de McAfee®

Linux Operating System (MLOS).

Procedimiento


2 Seleccione Menú | Software | Administrador de software y descargue el archivo ISO del servidor de ActiveResponse.

3 Monte el archivo ISO en un sistema de infraestructura virtual compatible. Para ver los sistemas compatibles,consulte KB84473.

4 Inicie el sistema donde esté instalando el servidor de Active Response asegurándose de que arranca desdela imagen ISO del servidor de Active Response.

Durante el encendido, se inician la instalación MLOS de Active Response y la del servidor. Es un procesoautomatizado que instala todos los paquetes base del sistema operativo. Las operaciones de bash, sage ypartición del disco se realizan sin interactuar con la máquina virtual. Cuando finalice la instalación, lamáquina virtual se desactiva y puede eliminar el archivo ISO.

Instalación de Active Response por primera vezInstalación del servidor de Active Response en un sistema MLOS o CentOS 2



5 Reinicie el sistema asegurándose de que se inicia desde el sistema instalado, no desde la imagen ISO.

6 Configure el servidor de Active Response.

a Lea el acuerdo de licencia y pulse S para aceptar sus condiciones.

b Establezca una contraseña raíz y confírmela.

c Cree una cuenta operativa.

Utilice esta cuenta para conectarse a través de ssh al sistema y use su para obtener permisos raíz.

d Seleccione la interfaz de red principal para que el sistema conecte el servidor de Active Response conMcAfee ePO y Data Exchange Layer.

e Configure la interfaz de red.

• Pulse D para la configuración de DHCP.

• Pulse M para establecer manualmente las direcciones de red.

f Establezca un nombre de host y nombre de dominio para el sistema. Si no tiene un nombre de dominio,se puede dejar en blanco.

g Defina el servidor de hora para el sistema.

h Configure McAfee Agent para establecer la conexión con McAfee ePO.

i Seleccione los servicios que deben ejecutarse en el sistema.

• Bróker de DXL: instala un bróker de Data Exchange Layer. Si el entorno ya tiene al menos un brókerde DXL 3.0.0 o posterior, puede elegir no instalar una nueva instancia del bróker.

• Servidor de AR: instala el servidor de Active Response.

• Modo FIPS: activa la biblioteca OpenSSL. El servidor de Active Response se reinicia en modo FIPSautomáticamente tras la instalación. Consulte https://www.nist.gov/information-technology-laboratory/fips-general-information para obtener más información.

j (Opcional) Establezca las variables de proxy.

Las definiciones de http_proxy y https_proxy son listas de valores separados por comas dedirecciones IP o nombres de host. La definición de no_proxy es una lista de valores separados porcomas de nombres de host, dominios o direcciones IP.

La configuración de proxy solo se aplica a la administración del sistema operativo. Active Response noutiliza servidores proxy para comunicarse con McAfee ePO o endpoints de red.

k Establezca el puerto de comunicación del bróker de DXL.

7 Compruebe que el servidor de Active Response está instalado y funciona correctamente.

a Inicie sesión en McAfee ePO como administrador y compruebe que aparece un servidor de ActiveResponse en el Árbol de sistemas de la ficha Productos.

b Compruebe que Catálogo de Active Response muestra los recopiladores integrados. Esto confirma que elservidor de Active Response se comunica con el servidor de McAfee ePO.

8 Seleccione Menú | Configuración | Servidores registrados para ver el número de versión y la dirección IP delservidor de Active Response.

El registro del servidor de Active Response se produce durante la instalación.

2 Instalación de Active Response por primera vezInstalación del servidor de Active Response en un sistema MLOS o CentOS


https://www.nist.gov/information-technology-laboratory/fips-general-information

https://www.nist.gov/information-technology-laboratory/fips-general-information

Instalación del servidor de Active Response en un sistema CentOSPara instalar un servidor de Active Response en un sistema CentOS, primero debe garantizar la seguridad deCentOS.

Antes de empezar• Compruebe que se cumplen los requisitos mínimos.

• Compruebe que las extensiones de Active Response están instaladas.

• Compruebe que el servidor del bróker de DXL y el servidor de TIE están instalados. Consulte lasguías de instalación correspondientes para obtener instrucciones.

• Compruebe que al menos un endpoint esté ejecutando CentOS.

• Descargue y revise la guía de puntos de referencia en https://www.cisecurity.org/benchmark/centos_linux/.

• Usted es responsable de la conformidad FIPS de CentOS en el servidor de Active Response.Debe instalar la versión OpenSSL FIPS y activar el modo FIPS para el kernel del sistemaoperativo.

Antes de instalar el paquete de servidor de Active Response, primero debe reforzar la seguridad de CentOS.Estas instrucciones sirven para instalar el servidor de Active Response por primera vez, no para ampliar elservidor de Active Response.

Procedimiento1 Configure la máquina virtual e instale estos paquetes en un sistema de CentOS.

• epel-release

yum -y install epel-release

• iptables-services

yum -y install iptables-services

• java-1.8.0-openjdk

yum -y install java-1.8.0-openjdk

2Instale McAfee Agent de 64 bits en los endpoints de Linux.

Si el agente instalado no es de 64 bits, se produce un error en la instalación del servidor de Active Response.

[root@CentOS7-x64 admin]# rpm -qa | grep MFEMFErt-2.0-2.i686MFEcma-5.0.5-658.x86_64

3 Configure la comunicación entre el servidor de McAfee ePO y McAfee Agent en los endpoints.

iptables -A INPUT -p tcp -m tcp --dport [EPO_WAKEUP_PORT] -j ACCEPTservice iptables saveservice iptables restart

Si no ha cambiado la comunicación con el puerto de activación, el puerto EPO_WAKEUP_PORTpredeterminado es 8081.


Instalación de Active Response por primera vezInstalación del servidor de Active Response en un sistema MLOS o CentOS 2


https://www.cisecurity.org/benchmark/centos_linux/

https://www.cisecurity.org/benchmark/centos_linux/

5 Desde el servidor de McAfee ePO, seleccione Menú | Sistemas | Árbol de sistemas, seleccione el endpoint quemostrar en el resumen y haga clic en Activar agentes.

6 Seleccione Menú | Software | Administrador de software e incorpore el paquete de servidor de ActiveResponse.

7 Para desplegar el paquete de servidor:

a Seleccione Menú | Software | Despliegue de productosy haga clic en Nuevo despliegue.

b En la lista desplegable Paquete, seleccione el paquete de servidor.

c Haga clic en Seleccionar sistemas para seleccionar el servidor de CentOS en su red.

d Seleccione Ejecutar inmediatamente y haga clic en Guardar para iniciar el despliegue.

8 Compruebe que el servidor de Active Response está instalado y funciona correctamente.

a Inicie sesión en McAfee ePO como administrador y compruebe que aparece un servidor de ActiveResponse en el Árbol de sistemas de la ficha Productos.

b Compruebe que Catálogo de Active Response muestra los recopiladores integrados. Esto confirma que elservidor de Active Response se comunica con el servidor de McAfee ePO.

9 Seleccione Menú | Configuración | Servidores registrados para ver el número de versión y la dirección IP delservidor de Active Response.

El registro del servidor de Active Response se produce durante la instalación.

10 La página Estado de mantenimiento muestra el nombre del endpoint correcto y la dirección IP del servidor deActive Response protegido por CentOS.

Creación de una cuenta de McAfee CloudCree una cuenta de McAfee Cloud y vincúlela al servicio de puente en la nube.

McAfee ePO Cloud Bridge es una extensión que se instala en su servidor de McAfee ePO local, lo cual permitevincular su McAfee® ePO™ Cloud Bridge a su cuenta de McAfee Cloud en la que almacena los datos de amenazas.

Puede registrar una nueva cuenta de nube o configurar una existente mediante el vínculo Configuración delárea de trabajo.

En la barra del área de trabajo, haga clic en Configuración para ver el estado de su cuenta de McAfee Cloud.

• Si su cuenta de McAfee Cloud no está configurada, seleccione una ubicación de datos en la nube o unageolocalización en la lista desplegable. Si está ampliando a Active Response 2.3, la geolocalización anteriorde Active Response 2.2 sigue siendo la opción predeterminada.

• Si tiene una cuenta de McAfee Cloud, haga clic en el vínculo para iniciar sesión. Compruebe si su cuenta estávinculada con McAfee ePO Cloud Bridge.

• Si no tiene una cuenta de McAfee Cloud, haga clic en el vínculo para crear una.

Alternar entre las distintas geolocalizaciones no se admite ni se recomienda debido a un alto riesgo de pérdidade datos. Este ajuste debería ser permanente.

2 Instalación de Active Response por primera vezCreación de una cuenta de McAfee Cloud


Procedimiento1 Cree una cuenta de nube desde el panel Configuración o registre una cuenta de nube en https://

login.mcafee.com/v1/SignUp/en-US/epo/CloudTenantSignup.

2 Rellene la información de contacto y de la empresa.

La dirección de correo electrónico que especifique es la dirección de correo electrónico utilizada para crear lacuenta de McAfee Cloud para su empresa.

3 Lea y acepte el acuerdo de licencia para completar el registro, y haga clic en Enviar.

4 Tras enviar el formulario, recibirá un mensaje de correo electrónico para activar la cuenta de McAfee Cloud yestablecer la contraseña.

5 Una vez activada correctamente la cuenta de McAfee Cloud, debe vincularla a McAfee ePO Cloud Bridge.

a Inicie sesión en McAfee ePO como administrador.

b Seleccione Menú | Configuración | Configuración del servidor | McAfee® ePO™ Cloud Bridge.

c Haga clic en Editar.

d Escriba las credenciales de la cuenta, acepte el acuerdo de licencia y haga clic en Guardar.

Cambio de la geolocalización del almacenamiento en la nubeCambie la ubicación del almacenamiento en la nube de los datos de amenazas.

En el área de trabajo, haga clic en Configuración para seleccionar otra geolocalización en la lista desplegableCuenta en la nube. Estas directrices le ayudarán a seleccionar varias geolocalizaciones.

Alternar entre las distintas geolocalizaciones no se admite ni se recomienda debido a un alto riesgo de pérdidade datos. Este ajuste debería ser permanente.

• La geolocalización seleccionada en la versión anterior de Active Response seguirá siendo la predeterminadadespués de la ampliación.

• Si dispone de servidores de McAfee ePO con puente, debe seleccionar una geolocalización y una cuenta deMcAfee Cloud. No puede dirigir servidores de McAfee ePO con puente a distintas geolocalizaciones.Compruebe la página Estado de mantenimiento para las alertas. Si dispone de varios servidores de McAfeeePO no vinculados, puede seleccionar distintas geolocalizaciones, pero debe utilizar la misma cuenta deMcAfee Cloud Bridge.

• Se permite una geolocalización por tejido de DXL.

• Debe utilizar la misma cuenta de McAfee Cloud Bridge para todos los servidores de McAfee ePO vinculados.

Alternar entre varias cuentas de nube no se admite ni se recomienda debido a un alto riesgo de pérdida dedatos. Se recomienda usar una cuenta de nube para la administración de su geolocalización en la nube y de losservidores de McAfee ePO con puente.

Instalación de Active Response por primera vezCreación de una cuenta de McAfee Cloud 2


https://login.mcafee.com/v1/SignUp/en-US/epo/CloudTenantSignup

https://login.mcafee.com/v1/SignUp/en-US/epo/CloudTenantSignup

• No se admite la itinerancia de endpoint.

• No pueden compartirse datos entre geolocalizaciones en la nube.

• Las nuevas geolocalizaciones se agregan al menú de selección cuando estén disponibles, sin que seanecesario volver a instalar o ampliar Active Response.

Únicamente se encuentra disponible una geolocalización simultáneamente para la información de rastreo. Porejemplo, si cambia de la geolocalización X a la geolocalización Y, ya no se podrá acceder a los datos de amenazasdisponibles en la geolocalización X. Si vuelve a la geolocalización X, podrá accederse a la información de rastreoanterior, pero no a los nuevos rastreos de la geolocalización Y Se arriesga a perder datos al alternar entregeolocalizaciones.

Vinculación a una cuenta existente en la nubeVincule una cuenta existente en la nube de McAfee ePO Cloud Bridge.

Antes de empezarAsegúrese de tener la dirección de correo electrónico y la contraseña de la cuenta de McAfee Cloud.

Si ha olvidado la contraseña, haga clic en Configuración en el área de trabajo y haga clic enRestablecer contraseña.

Si desvincula una cuenta existente de McAfee Cloud de la configuración de McAfee ePO Cloud Bridge y la vinculaa otra cuenta de McAfee Cloud, perderá el acceso a los datos de amenazas en la cuenta anterior de McAfeeCloud.

Procedimiento1 Inicie sesión en McAfee ePO como administrador.

2 Seleccione Menú | Configuración | Configuración del servidor | McAfee® ePO™ Cloud Bridge.

3 Haga clic en Editar.

4 Introduzca la dirección de correo electrónico y la contraseña utilizada para crear la cuenta de McAfee Cloud,acepte el acuerdo de licencia y haga clic en Guardar.

Configuración de la extensión del bróker de DXLLas extensiones del bróker son funciones adicionales que pueden activarse en un bróker de Data ExchangeLayer para agregar nuevas funciones creadas por otros productos gestionados. Active la extensión del brókerde Rastreo que utiliza Active Response.

Active Response 2.1 o posterior requiere al menos un bróker de DXL 3.0.0 o posterior. La extensión de Rastreono está disponible en versiones anteriores del bróker.

Procedimiento1 Seleccione Menú | Configuración | Configuración del servidor | Topología de DXL.


3 Desde la lista desplegable Acciones, seleccione Crear concentrador.

4 Seleccione Concentrador en el árbol de la topología y establezca como Bróker 1 el bróker de DXL.

2 Instalación de Active Response por primera vezVinculación a una cuenta existente en la nube


5 Seleccione Proporcionar datos de rastreo en la nube para el área de trabajo MAR.

6 Establezca Bróker 2 en el servidor de Active Response.

7 Haga clic en Guardar.

8 Compruebe que los brókers estén conectados seleccionando Menú | Sistemas | Tejido de Data ExchangeLayer.

Los brókers se representan como círculos verdes con una línea que los conecta.

Configuración del servidor proxy de McAfee ePO (opcional)Si su empresa utiliza direcciones proxy, introduzca la dirección IP para el servidor de Active Response en laconfiguración de proxy de McAfee ePO.


2 Seleccione Menú | Configuración | Configuración del servidor | Configuración de proxy.


4 Introduzca la información del proxy.


Instalación de agregadores (opcional)No es necesario instalar un agregador para utilizar Active Response. No obstante, los agregadores reducen lacantidad requerida de ancho de banda de DXL y aumentan el número de endpoints gestionados que seadmiten.

Instale agregadores de Active Response en sistemas de bróker de DXL en su tejido. Se recomienda instalar unagregador en todos los sistemas de su tejido que ejecuten un bróker de DXL. Los agregadores no puedeninstalarse en Active Response o en sistemas de servidor de TIE.

No preinstale el cliente de DXL ni instale un paquete de ampliación de cliente de DXL desde McAfee ePO en elbróker de DXL. Utilice siempre el paquete de agregador de Active Response para instalar el cliente de DXL en elbróker de DXL. Puede instalar el paquete de agregador desde el repositorio principal.


2 Seleccione Menú | Software | Administrador de software e incorpore el paquete de agregador de ActiveResponse.

3 Seleccione Menú | Software | Despliegue de productosy haga clic en Nuevo despliegue.

4 En la lista desplegable Paquete, seleccione el agregador de Active Response.

5 Haga clic en Seleccionar sistemas y elija el bróker de DXL donde instalar el agregador.

6 Seleccione Ejecutar inmediatamente y haga clic en Guardar para iniciar el despliegue.

Instalación de Active Response por primera vezConfiguración del servidor proxy de McAfee ePO (opcional) 2


Instalación de clientes de Active ResponseLos clientes de Active Response están preparados para funcionar inmediatamente después de la instalación yconfiguración.

Antes de empezar• Compruebe que todos los sistemas cliente de endpoints de Active Response cumplen los

requisitos mínimos.

• Elimine McAfee® VirusScan® Enterprise en los endpoints. De lo contrario, la instalación no sellevará a cabo.

• Si los endpoints están ejecutando contenido de McAfee® Host Intrusion Prevention, asegúresede que se trata de la versión 8.0.0.7364 o posterior.

• Asegúrese de que se han resuelto los errores de compatibilidad o de despliegue de endpoints(consulte la página Estado de mantenimiento).

• En endpoints Redstone 3, compruebe que Endpoint Security 10.2.2 o 10.5.3 está incorporado enel Repositorio principal antes de instalar el paquete de cliente de Active Response.


2 Seleccione Menú | Software | Despliegue de productos y haga clic en Nuevo despliegue.

Durante el despliegue en sistemas Windows, Active Response desactiva el servicio de protección deMicrosoft momentáneamente para completar la instalación. Los usuarios del endpoint podrían ver unmensaje de advertencia de que este servicio se ha desactivado. Una vez finalizada la instalación, se restaurael servicio de protección de Microsoft y puede omitirse la advertencia.

3 Seleccione el paquete de software cliente de Active Response (McAfee Active Response 2.3.0 para Windows,Linux y macOS).

En los sistemas Linux de 64 bits, deben instalarse bibliotecas de 32 bits compatibles en los endpoints paraque Active Response funcione correctamente. Consulte KB89991 para obtener instrucciones.

4 Haga clic en Seleccionar sistemas para seleccionar qué endpoints gestionar con Active Response.


6 Despliegue los clientes de Active Response.

Si ya está instalada una versión anterior, el cliente de Active Response se actualiza con la versión másreciente. Además, si el despliegue se realiza en un sistema antiguo que tarda más para un nuevo despliegue,cree una tarea cliente y aumente el valor de tiempo de espera a más de 20 minutos (el valorpredeterminado). Esto garantiza que no se agote el tiempo de espera del despliegue antes de que finalice.

7 Compruebe que el despliegue en los endpoints funciona correctamente.


b Seleccione Sistemas | Búsqueda de Active Response y escriba HostInfo en el cuadro de búsqueda.

Se muestra la lista de endpoints desplegados.

Después de desplegar los clientes de Active Response, asegúrese de configurar las directivas de McAfee ePOapropiadas.

2 Instalación de Active Response por primera vezInstalación de clientes de Active Response



Desinstalación de clientes de Active ResponsePuede eliminar clientes de Active Response en los endpoints.

Este procedimiento no elimina el módulo Endpoint Security de Endpoint Security, Protección adaptable frente aamenazas de Endpoint Security ni Data Exchange Layer.


2 Seleccione Menú | Software | Despliegue de productos | Nuevo despliegue.

3 Complete y guarde la información sobre el nuevo despliegue para la desinstalación.

4 En la página Despliegue de productos, seleccione Desinstalar en la lista desplegable Acción. A continuación,inicie el despliegue para desinstalar Active Response.

Mensajes de error de instalaciónSe describen errores de instalación de endpoint detallados en el Registro de eventos de amenaza para informar delas dependencias que faltan o que no son válidas.

Si falla la instalación, los mensajes de error que aparecen en el registro de tareas servidor son genéricos y noespecíficos. Seleccione Menú | Informes | Registro de eventos de amenaza para mostrar mensajes de errordetallados causados por varios problemas de despliegue.

Tabla 2-1 Mensajes de error

Código de error Mensaje de error Descripción

0 UNKNOWN Error desconocido

1 ESP_MISSING_PACKAGE_ON_EPO Falta paquete de la plataforma de Endpoint Solutions enMcAfee ePO

2 TP_MISSING_PACKAGE_ON_EPO Falta paquete de Threat Prevention en McAfee ePO

3 TIE_MISSING_PACKAGE_ON_EPO Falta paquete de Threat Intelligence Exchange en McAfeeePO

4 ATP_MISSING_PACKAGE_ON_EPO Falta paquete de Adaptive Threat Protection en McAfeeePO

5 DXL_MISSING_PACKAGE_ON_EPO Falta paquete de Data Exchange Layer en McAfee ePO

6 VSE_INSTALLED VirusScan Enterprise instalado

7 MA_INCOMPATIBLE_VERSION Versión incompatible de McAfee Agent instalada

8 ESP_INCOMPATIBLE_VERSION Versión incompatible de la plataforma de EndpointSolutions instalada

9 TP_INCOMPATIBLE_VERSION Versión incompatible de Threat Prevention instalada

10 HIP_INCOMPATIBLE_VERSION Versión incompatible de Host Intrusion Preventioninstalada

11 ESP_INSTALLATION_FAILED Error de instalación de la plataforma de EndpointSolutions

12 TP_INSTALLATION_FAILED Error de instalación de Threat Prevention

13 TIE_INSTALLATION_FAILED Error de instalación de Threat Intelligence Exchange

14 ATP_INSTALLATION_FAILED Error de instalación de Adaptive Threat Protection

15 DXL_INSTALLATION_FAILED Error de instalación de Data Exchange Layer

Instalación de Active Response por primera vezDesinstalación de clientes de Active Response 2


Tabla 2-1 Mensajes de error (continuación)

Código de error Mensaje de error Descripción

16 MAR_INSTALLATION_FAILED Error de instalación de Active Response

17 ENS_INCOMPATIBLE_VERSION Versión incompatible de Endpoint Security instalada (solopara sistemas distintos de Windows)

18 ATP_INCOMPATIBLE_VERSION Versión incompatible de Adaptive Threat Protectioninstalada

19 OS_INCOMPATIBLE_VERSION La versión del sistema operativo no es compatible

Los códigos de error se almacenan en la tabla MarCustomEvent del servidor de McAfee ePO. Los eventos seenvían desde el agente en función de su configuración. Si utiliza una versión de McAfee Agent igual o superior ala 5.0.6, puede ver el número de código de error en la salida de visualización de la tarea en ejecución si seproduce un error de instalación.

Véase también Visualización del estado de mantenimiento de Active Response en la página 20Requisitos de sistema de Active Response en la página 5

Visualización del estado de mantenimiento de Active ResponseLa página Estado de mantenimiento de Active Response muestra el número de endpoints, el estado de desplieguesde endpoint, versiones compatibles e incompatibles y problemas de conexión con servicios y servidores.

La página Estado de mantenimiento de Active Response es una ubicación central para comprobar el estado deendpoints, servidores y la conexión con Cloud Bridge. Para ver la página Estado de mantenimiento de ActiveResponse, seleccione Menú | Sistemas | Estado de mantenimiento de Active Response o haga clic en el vínculo de laventana Alerta de estado de mantenimiento si aparece cuando abra el área de trabajo. La ventana Alerta de estadode mantenimiento aparecerá si los endpoints, servidores o servicios de nube requieren atención debido aproblemas importantes.

Tabla 2-2 Estado de mantenimiento de los clientes

Estado Descripción

Endpoints totales Número total de endpoints en el entorno donde Active Response está desplegado,está pendiente de despliegue o es incompatible para el despliegue.

Active Responsedesplegado

El número de endpoints que ejecutan Active Response actualmente y el estado deRastreo administrado por McAfee ePO. Si el complemento de Rastreo estádesactivado, aparece un mensaje de advertencia y el estado muestra el número deendpoints afectados. Haga clic en el vínculo para ver la lista de hosts afectados.

Listo para el desplieguede Active Response

Endpoints compatibles pendientes de despliegue. El número de nuevos endpoints(macOS, Windows, Linux) que necesitan despliegue y el número de endpoints querequieren actualizaciones.

2 Instalación de Active Response por primera vezVisualización del estado de mantenimiento de Active Response


Tabla 2-2 Estado de mantenimiento de los clientes (continuación)

Estado Descripción

Incompatible con ActiveResponse

Endpoints incompatibles pendientes de despliegue.Hay un requisito de Active Response que no se cumple en el endpoint. El estadomuestra:• Las versiones no compatibles de un cliente de endpoint, como Endpoint Security o

McAfee Agent, y el número de endpoints afectados.

• Los clientes no compatibles en el endpoint, como VirusScan Enterprise, y el númerode endpoints afectados.

• Los endpoints con versiones de sistema operativo no compatibles y el número deendpoints afectados. El instalador de Active Response no puede instalarse enendpoints con una versión no compatible del sistema operativo, de modo quesabrá qué endpoints deben actualizarse.

Error de despliegue deActive Response

Número de errores de despliegue en los endpoints.

Tabla 2-3 Estado de mantenimiento de los servidores

Estado Descripción

Servidor de ActiveResponse 2.3

Muestra la versión y el estado del servidor de Active Response y un vínculo a supágina de configuración. El estado muestra si el servidor no es accesible o si debeactualizarse. Haga clic en el vínculo para solucionar el problema.

Advanced Threat Defense(versión)

Muestra el nombre y la dirección IP del servidor de McAfee® Advanced ThreatDefense. Haga clic en el vínculo para modificar la configuración.

Brókers de DXL 4.0 Muestra la versión y el estado de los brókers de DXL con una conexión correcta ofallida. Si un bróker no está disponible, haga clic en el vínculo para solucionar elproblema.

Servidores de ThreatIntelligence Exchange 2.1

Muestra la versión y el estado de los servidores de TIE y un vínculo a su página deconfiguración. Si un servidor no está disponible, haga clic en el vínculo parasolucionar el problema.

Servicios yalmacenamiento en la nube

No se cumple algún requisito de conexión o configuración. Por ejemplo, se hainterrumpido la conexión con Cloud Bridge o se ha agotado el tiempo de espera. Lacuenta de nube no está configurada o instalada correctamente.• Hay servidores de McAfee ePO con puente configurados con geolocalizaciones

diferentes. Solo puede seleccionar una geolocalización para cada tejido de DXL.

• Los servidores de McAfee ePO con puente están vinculados a cuentas de nubediferentes. Solo puede configurar una cuenta de nube a servidores de McAfeeePO con puente.

Véase también Ampliación de clientes en la página 25Mensajes de error de instalación en la página 19

Instalación de Active Response por primera vezVisualización del estado de mantenimiento de Active Response 2


2 Instalación de Active Response por primera vezVisualización del estado de mantenimiento de Active Response


3 Ampliación de Active Response

Una ampliación completa instala un nuevo servidor, extensiones y paquetes de cliente de Active Response.

Para minimizar el tiempo de inactividad durante el proceso de ampliación, instale componentes en este orden:

1 Servidor de Active Response: MAR-Server-Bundle_{versión}.zip

2 Extensiones de Active Response: Active_Response_MAR_{versión}.zip

3 Agregador de Active Response

4 Clientes de Active Response en sistemas gestionados

El agregador de Active Response no es compatible con el cliente estándar de DXL. Para un bróker de DXL conagregador de Active Response instalado, todas las actualizaciones del cliente de DXL están incluidas en un nuevopaquete de agregador de Active Response.

Contenido Actualice las extensiones de Active Response Ampliación del servidor de Active Response Ampliación de clientes Ampliación de paquetes de contenido Ampliación del paquete de contenido de reglas de Rastreo

Actualice las extensiones de Active ResponseActualice las extensiones de Active Response del servidor de McAfee ePO.

Antes de empezarLa versión del servidor de Active Response instalada debe ser la misma o una versión posterior.


2 Seleccione Menú | Software | Administrador de software.

3 Seleccione Software no incorporado | Con licencia.

4 Busque y seleccione el paquete de extensiones de Active Response y amplíe las extensiones en el ordenindicado para evitar problemas de compatibilidad.

a Extensión de administración del bróker de DXL

b Extensión de administración del servidor de TIE

c Paquetes/extensión de Active Response

3


d Paquete de cliente de DXL

e Extensión del área de trabajo de Active Response

f Paquete de cliente de Active Response

5 Desde la lista desplegable Acciones, seleccione Incorporar y acepte el acuerdo de licencia para cada paquete.

6 Amplíe el bróker de DXL si es necesario. Consulte la guía de instalación del producto para obtenerinstrucciones.

7 Amplíe el servidor de TIE si es necesario. Consulte la guía de instalación del producto para obtenerinstrucciones.

8 Amplíe el servidor de Active Response.

9 Amplíe los clientes de Active Response.

Ampliación del servidor de Active ResponseInstale paquetes de actualización del servidor de Active Response desde el Administrador de software de McAfeeePO.

Para instalar el paquete de servidor de Active Response, primero debe aumentar el tamaño máximo de cargaen las propiedades del servidor de McAfee ePO.



2 Vaya a C:\Archivos de programa (x86)\McAfee\ePolicy Orchestrator\Server\conf\orion.

a Haga clic con el botón derecho en el archivo orion.properties y edítelo con Note++ o un editorsimilar.

b Localice orion.upload.max.size y cambie el valor a 768435456.

c Guarde los cambios y reinicie las aplicaciones de servidor de McAfee ePO de la máquina virtual o elservidor físico.

3 Seleccione Menú | Software | Administrador de software e incorpore el paquete de servidor de ActiveResponse.

4 Para desplegar el paquete de actualización:

a Seleccione Menú | Software | Despliegue de productos y haga clic en Nuevo despliegue.

b En la lista desplegable Paquete, seleccione el paquete de actualización del servidor.

c Haga clic en el signo + para agregar un paquete adicional.

d En la lista desplegable Paquete, seleccione el paquete de actualización de la plataforma del servidor.

e Haga clic en Seleccionar sistemas para seleccionar el servidor de Active Response en su red.

f Seleccione Ejecutar inmediatamente y haga clic en Guardar para iniciar el despliegue.

3 Ampliación de Active ResponseAmpliación del servidor de Active Response


Ampliación de clientesInstale una versión más reciente del cliente de Active Response en sistemas gestionados para ampliar losclientes.

Antes de empezar• Compruebe que todos los sistemas cliente de endpoints de Active Response cumplen los

requisitos mínimos.

• Elimine McAfee® VirusScan® Enterprise en los endpoints. De lo contrario, la instalación no sellevará a cabo.

• Si los endpoints están ejecutando contenido de McAfee® Host Intrusion Prevention, asegúresede que se trata de la versión 8.0.0.7364 o posterior.

• Asegúrese de que se han resuelto los errores de compatibilidad o de despliegue de endpoints(consulte la página Estado de mantenimiento).

• En endpoints Redstone 3, compruebe que Endpoint Security 10.2.2 o 10.5.3 está incorporado enel Repositorio principal antes de instalar el paquete de cliente de Active Response.


2 Seleccione Menú | Software | Despliegue de productos y haga clic en Nuevo despliegue.

Durante el despliegue en sistemas Windows, Active Response desactiva el servicio de protección deMicrosoft momentáneamente para completar la instalación. Los usuarios del endpoint podrían ver unmensaje de advertencia de que este servicio se ha desactivado. Una vez finalizada la instalación, se restaurael servicio de protección de Microsoft y puede omitirse la advertencia.

3 Seleccione el paquete de software cliente de Active Response (McAfee Active Response 2.3.0 para Windows,Linux y macOS).

En los sistemas Linux de 64 bits, deben instalarse bibliotecas de 32 bits compatibles en los endpoints paraque Active Response funcione correctamente. Consulte KB89991 para obtener instrucciones.

4 Haga clic en Seleccionar sistemas para seleccionar qué endpoints gestionar con Active Response.


6 Despliegue los clientes de Active Response.

Si ya está instalada una versión anterior, el cliente de Active Response se actualiza con la versión másreciente. Además, si el despliegue se realiza en un sistema antiguo que tarda más para un nuevo despliegue,cree una tarea cliente y aumente el valor de tiempo de espera a más de 20 minutos (el valorpredeterminado). Esto garantiza que no se agote el tiempo de espera del despliegue antes de que finalice.

7 Compruebe que el despliegue en los endpoints funciona correctamente.


b Seleccione Sistemas | Búsqueda de Active Response y escriba HostInfo en el cuadro de búsqueda.

Se muestra la lista de endpoints desplegados.

Puede ampliar clientes de Active Response mientras estén conectados. En cuanto se instale la nueva versión,los clientes responden al servidor de Active Response.

Ampliación de Active ResponseAmpliación de clientes 3



Véase también Visualización del estado de mantenimiento de Active Response en la página 20

Ampliación de paquetes de contenidoInstale paquetes de contenido para obtener nuevos recopiladores y reacciones, o nuevas versiones derecopiladores y reacciones integrados existentes.

Las versiones nuevas de recopiladores y reacciones en el paquete de contenido pueden provocar que algunas desus búsquedas y desencadenadores guardados queden inservibles. Esto solo ocurre si la actualización cambia uncampo de salida del recopilador integrado o si la actualización cambia argumentos de una reacción integrada.Compruebe las Notas de la versión de actualización de contenido de McAfee Active Response para obtener másinformación sobre los cambios en recopiladores y reacciones realizados por un paquete de contenido.

Procedimiento


2 Seleccione Menú | Software | Administrador de software e incorpore el paquete de contenido de ActiveResponse.

Los paquetes de contenido siguen esta convención para el nombre: ContenidoBaseActiveResponse‑VersiónPrincipal.VersiónSecundaria.VersiónDeParche‑Compilación.zip

Si ha activado la Actualización automática de despliegues, la instalación se realiza automáticamente cuandoel paquete se incorpore al Repositorio principal. Si no ha activado la Actualización automática, cree unatarea de despliegue de la actualización.

Ampliación del paquete de contenido de reglas de RastreoEl paquete de contenido de reglas de Active Response agrega, actualiza y elimina reglas de Rastreo antiguas.Puede desplegar automáticamente actualizaciones de contenido de reglas de Rastreo en los endpoints cuandouna nueva actualización esté disponible en el Administrador de software.

Las reglas de Rastreo determinan si se trata de una amenaza potencial y su gravedad, y la muestra en la líneade tiempo de rastreo. El método de actualización automática del contenido de las reglas de Rastreo estáactivado de forma predeterminada con una planificación de tareas de actualización cada 240 minutos (4 horas).Se trata de una tarea sin intervención del usuario activada en McAfee ePO.

Procedimiento


2 Seleccione Menú | Directiva | Catálogo de directivas y haga clic en My Default.

3 En la ficha General, seleccione Activar actualizaciones de contenido sin intervención del usuario para activar odesactivar esta función.

Si desactiva esta función, puede actualizar las reglas manualmente.

4 Para cambiar el tiempo predeterminado de Tiempo de espera en actualizaciones de contenido sin intervención delusuario (minutos), modifique el valor numérico en el campo.

Las actualizaciones se comprueban en todos los ciclos. Si hay una nueva actualización, se implementa en losendpoints para actualizar sus reglas de Rastreo.

Véase también Reversión de reglas de contenido en la página 33

3 Ampliación de Active ResponseAmpliación de paquetes de contenido


4 Tareas iniciales

Contenido Configuración de varios servidores de McAfee ePO Configuración de McAfee Advanced Threat Defense

Configuración de varios servidores de McAfee ePOEn un entorno con varios servidores de McAfee ePO, hay más de un servidor de McAfee ePO conectado a losbrókers de DXL en tejidos de DXL con puente. Establecer puentes en tejidos permite que los brókers de DXLgestionados por distintos servidores de McAfee ePO se comuniquen entre sí.

Funcionamiento de un entorno de varios servidores de McAfee ePO

Para ampliar sus capacidades de corrección y ampliación:

• Despliegue paquetes de cliente de Active Response desde un servidor de McAfee ePO para ampliar losendpoints de otro servidor de McAfee ePO con puentes.

• Comparta búsquedas personalizadas y guardadas mediante recopiladores y reacciones entre servidores deMcAfee ePO con puente con un único servidor de Active Response.

4


• Administre las amenazas potenciales en servidores de McAfee ePO con puente y almacene datos deamenazas en la nube mediante una única ubicación de almacenamiento en la nube.

Alternar entre varias cuentas de nube no se admite ni se recomienda debido a un alto riesgo de pérdida dedatos. Se recomienda usar una cuenta de nube para la administración de su geolocalización en la nube y delos servidores de McAfee ePO con puente.

• Investigue y corrija amenazas potenciales en varios servidores de McAfee ePO gestionados con un únicoservidor de TIE.

Active Response 2.1 y las versiones anteriores no admiten entornos donde dos o más servidores de McAfee ePOincluyan concentradores de DXL con puente.

Configuración de brókers de DXL para conectar varios servidores deMcAfee ePOConecte varios servidores de McAfee ePO mediante brókers de DXL.

Antes de empezar• Si amplía de Active Response 2.1 a 2.2 y establece un puente entre varios servidores de McAfee

ePO, amplíe las extensiones de DXL, el cliente y al menos un bróker online a la versión 4.0.Consulte KB84473 para obtener más información.

• Instale el bróker, las extensiones y el cliente de DXL 4.0. Consulte KB84473 para ver losrequisitos de DXL para varios servidores de McAfee ePO.

• Despliegue el cliente de Active Response 2.2 o posterior en todos los endpoints gestionados pordistintos servidores de McAfee ePO.

• Compruebe que los tejidos del bróker de DXL entre servidores de McAfee ePO incluyen unpuente.

4 Tareas inicialesConfiguración de varios servidores de McAfee ePO




Procedimiento1 Desde el servidor A de McAfee ePO, seleccione Menú | Configuración | Configuración del servidor | Topología

de DXL, elija el bróker A y haga clic en Editar.

2 Desde el árbol de topología, seleccione el concentrador de nivel superior y seleccione Crear concentrador enla lista desplegable Acciones.

a Seleccione el concentrador recién creado y, en la lista desplegable Acciones, seleccione Crear puenteentrante - Concentrador de ePO remoto.

b En la lista desplegable, establezca el Bróker 1 como el bróker A de DXL y haga clic en Guardar.

3 Descargue la información del concentrador para el servidor A.

a Seleccione Puente entrante - Concentrador de ePO remoto y haga clic en Editar.

b Haga clic en Exportar información de concentrador local para descargar un archivo .zip con informaciónsobre el servidor A de McAfee ePO e importarlo en el concentrador remoto del servidor B de McAfeeePO, y haga clic en Guardar.

4 Desde el servidor B de McAfee ePO, seleccione Menú | Configuración | Configuración del servidor | Topologíade DXL, elija el bróker B de DXL y haga clic en Editar.

5 Desde el árbol de topología, seleccione el concentrador de nivel superior y seleccione Crear concentrador enla lista desplegable Acciones.

a Seleccione el concentrador recién creado y, en la lista desplegable Acciones, seleccione Crear puentesaliente - Concentrador de ePO remoto.

b En la lista desplegable, establezca el Bróker 1 como el bróker B de DXL y haga clic en Guardar.

6 Descargue la información del concentrador del servidor B.

a Seleccione Puente saliente - Concentrador de ePO remoto y haga clic en Editar.

b Haga clic en Exportar información de concentrador local para descargar un archivo .zip con informaciónsobre el servidor B de McAfee ePO e importarlo en el concentrador local del servidor A de McAfee ePO, yhaga clic en Guardar.

7 Desde la página Topología de DXL del servidor A de McAfee ePO, haga clic en Editar.

a Seleccione Puente entrante - Concentrador de ePO remoto y haga clic en Importar información deconcentrador remoto.

b Haga clic en Seleccionar archivo, cargue el archivo .zip para el servidor B de McAfee ePO y haga clic enAceptar.

Revise la configuración y haga clic en Aceptar.

8 Desde la página Topología de DXL del servidor B de McAfee ePO, haga clic en Editar.

a Seleccione Puente saliente - Concentrador de ePO remoto y haga clic en Importar información de concentradorremoto.

b Haga clic en Seleccionar archivo, cargue el archivo .zip para el servidor A de McAfee ePO y haga clic enAceptar.

Revise la configuración y haga clic en Aceptar.

Tareas inicialesConfiguración de varios servidores de McAfee ePO 4


9 Actualice las conexiones de los servidores A y B de McAfee ePO.

a Seleccione Menú | Automatización | Tareas servidor | Administrar Brókers de DXL y haga clic en Ejecutar.

b En el Árbol de sistemas, seleccione el bróker DXL y haga clic en Activar agentes.

c Seleccione Forzar actualización completa de directivas y tareas y haga clic en Aceptar.

10 Seleccione Menú | Sistemas | Tejido de Data Exchange Layer para comprobar la configuración.

Una línea entre dos círculos representa el puente entre el bróker A de DXL y el bróker B de DXL.

Si no ve el conector entre los iconos de bróker, espere unos minutos hasta que se active el cliente de DXL yfinalice la configuración, o actualice la pantalla.

11 Para cada servidor de McAfee ePO, seleccione un icono de bróker, haga clic en la ficha Puentes y seleccionela ficha Servicios para comprobar que los servicios están conectados.

Ejemplos de configuración del servidor de McAfee ePO con puente y sinpuenteEjemplos de varios entornos de servidores de McAfee ePO con puente y sin puente.

Servidores de McAfee ePO con puente: una empresa crea un puente entre sus servidores de McAfee ePO enEstados Unidos y Alemania en un único tejido de DXL para utilizar su base de datos de TIE en todo el mundo yconseguir así reputaciones de hash coherentes. En este caso, utiliza una única cuenta de nube y una únicageolocalización del almacenamiento en la nube.

Servidores de McAfee ePO sin puente: una empresa aún no ha establecido un puente entre sus servidores deMcAfee ePO en Estados Unidos y Alemania en un único tejido de DXL. Desea realizar despliegues paralelos encada ubicación debido a una posible restricción por la que algunos datos no puedan compartirse entre países.Las ubicaciones de Estados Unidos y Alemania tienen servidores de McAfee ePO independientes con suspropios servidores de TIE y Active Response. Cada servidor tiene diferentes geolocalizaciones y usa una cuentade nube distinta.

No se admite la itinerancia de endpoints: una empresa tiene dos servidores de McAfee ePO sin puenteasignados a distintas geolocalizaciones (Estados Unidos y Alemania). Un empleado se desplaza a otra ubicaciónde la empresa con su portátil administrado por el servidor de McAfee ePO A y la geolocalización de EstadosUnidos. Cuando se conecta el servidor de McAfee ePO B en Alemania, no aparecerán amenazas potenciales desu portátil en el área de trabajo administrado por el servidor de McAfee ePO B.

Configuración de McAfee Advanced Threat Defense

Contenido Configuración del servidor de McAfee Advanced Threat Defense con Active Response Configuración de McAfee Advanced Threat Defense en el servidor de TIE

4 Tareas inicialesConfiguración de McAfee Advanced Threat Defense


Configuración del servidor de McAfee Advanced Threat Defense conActive ResponseConsulte el estado de la conexión de McAfee

®

Advanced Threat Defense en la página Estado de mantenimiento deActive Response y el estado de la reputación en la tarjeta Resultados de espacio aislado.

Antes de empezar• Asegúrese de que dispone de las credenciales de inicio de sesión y la dirección URL de McAfee

Advanced Threat Defense.

• Compruebe que se esté ejecutando la versión 4.4 o posterior de McAfee Advanced ThreatDefense.

Consulte la guía del producto de McAfee Advanced Threat Defense para obtener más información sobre laintegración con Active Response.

Solo puede configurarse un único servidor de Advanced Threat Defense con esta versión de Active Response.Admite un servidor independiente o el servidor principal de un clúster de servidores físicos o virtuales.


2 Seleccione Menú | Configuración | Configuración del servidor | Servidor de Advanced Threat Defense y, acontinuación, haga clic en Editar.

3 Escriba la dirección URL del servidor de Advanced Threat Defense.

4 Escriba el nombre de usuario y la contraseña.

5 Haga clic en Validar certificado y guarde la configuración.

Aparecerá un mensaje de error si está configurando una versión no compatible de Advanced ThreatDefense.

6 Para desconectar el servidor de Advanced Threat Defense del entorno de Active Response, active Eliminarconexión y guarde la configuración.

Configuración de McAfee Advanced Threat Defense en el servidor de TIEActive la función de espacio aislado de Advanced Threat Defense en la directiva de administración de servidoresde TIE.

Consulte las instrucciones de configuración en las guías de instalación de TIE y Advanced Threat Defense paraobtener más información.


2 Seleccione Menú | Directiva | Catálogo de directivas.

3 En la lista desplegable Producto, seleccione Administración del servidor de McAfee Threat Intelligence Exchange.

4 Seleccione la directiva My Default y active McAfee Advanced Threat Defense en la ficha Espacio aislado.

5 Configure la lista de servidores de McAfee Advanced Threat Defense, la conexión y los tipos de archivosdisponibles, y haga clic en Guardar cuando haya terminado.

Tareas inicialesConfiguración de McAfee Advanced Threat Defense 4


4 Tareas inicialesConfiguración de McAfee Advanced Threat Defense


5 Solución de problemas de Active Response

Reversión de reglas de contenidoLa última actualización de reglas de Rastreo puede revertirse a una versión anterior creando una tarea cliente.

Hay dos propiedades del producto asociadas a la reversión de contenido de reglas de endpoint.

• Versión de reglas en lista negra: la versión de que no se aplica cuando se amplía.

• Versión de reglas: la versión actual del cliente.

Consulte las propiedades y cree una tarea para revertir la regla.


2 Seleccione Menú | Directiva | Catálogo de tareas cliente.

3 En los tipos de tareas cliente, busque y seleccione Active Response 2.3.0.

4 Seleccione Revertir reglas de datos.

5 Haga clic en Nueva tarea y haga clic en Aceptar .

6 Escriba un nombre para la tarea.

7 En el cuadro de texto Revertir reglas, escriba el número de versión de las reglas que desea eliminar obloquear. Cuando ejecute esta tarea, se envía una nueva versión bloqueada al cliente y, si ya se ha aplicadouna de ellas, la versión se revierte automáticamente a la actualización instalada anteriormente.

Solo puede revertirse una versión de las reglas.


9 Seleccione Menú | Directiva | Asignaciones de tareas cliente para asignar esta nueva tarea a todos losendpoints que corresponda.

10 Compruebe que la reversión ha finalizado en los registros de Eventos de amenaza.

Vuelva a utilizar esta tarea cliente para revertir las actualizaciones de las reglas subsiguientes. En el cuadro detexto Revertir reglas, agregue una coma para separar el número de versión anterior del nuevo número deversión que incluir en lista negra.

Véase también Ampliación del paquete de contenido de reglas de Rastreo en la página 26

5


5 Solución de problemas de Active ResponseReversión de reglas de contenido


Guía de instalación de McAfee Active Response 2.3 · Guía de instalación de McAfee Active...

Documents

Transcript of Guía de instalación de McAfee Active Response 2.3 · Guía de instalación de McAfee Active...