Você está na página 1de 28

Introduo SiteProtector SiteProtector um sistema de gerenciamento centralizado que unifica o gerenciamento e anlise de rede, servidores e agentes de proteo de desktops

s e redes pequenas ou aparelhos. Voc pode facilmente escala SiteProtector para fornecer segurana para grandes ambientes empresariais. Um sistema SiteProtector um sistema de gerenciamento centralizado que fornece comando, controle e monitoramento de todos os seus produtos IBM ISS. Tpico pai: Resumo SiteProtector
SiteProtector terminologia Termos usados para produtos de segurana neste documento. Descrio Termo O agente do termo genrico para todos os aparelhos, scanners e servidor de rede, e os sensores de desktop. aparelho um dispositivo de segurana embutido em uma rede ou gateway. Dependendo do tipo de aparelho, ele pode fornecer qualquer combinao de deteco de intruso e preveno, antivrus, antispam, rede virtual privada (VPN), de filtragem da Web, e funes de firewall. Um agente scanner que digitaliza os ativos de vulnerabilidades e outros riscos de segurana Um agente sensor que monitora o trfego de rede na rede e nos servidores para identificar e, em alguns casos, parar os ataques. Tpico pai: Resumo SiteProtector

Arquitetura SiteProtector Componentes do SiteProtector SiteProtector quando instalado em trs sistemas. Esta a instalao recomendada. Figura 1. Componentes em um site tpico

Os canais de comunicao Componentes do sistema SiteProtector utilizar canais especficos para se comunicar uns com os outros e com outros produtos IBM ISS. Para obter uma lista completa das portas utilizadas para a comunicao, consulte o Configurando Firewalls para SiteProtector documento Traffic System disponvel em http://www.iss.net/support/documentation/.
Manager Agent Descrio O Manager Agent fornece essas funes para os componentes SiteProtector e agentes: * Gerencia as atividades de comando e controle

* facilita a transferncia de dados para o Coletor de Eventos * Aceita batimentos cardacos * Fornece atualizaes para Proventia Desktop e Server Proventia IPS para Windows Agentes e componentes O sistema SiteProtector regularmente adiciona suporte para novos agentes. A seguir est uma lista parcial dos componentes do sistema SiteProtector e agentes que se comunicam com o Gerenciador de agente: * Server Update X-Press * Archiver evento * RealSecure Desktop Desktop 7.0 e Proventia * Proventia Network IPS e Proventia Network MFS Proventia IPS e IPS * Server para Windows Server Proventia * Enterprise Scanner * Network ADS Proventia Processo A tabela a seguir descreve o processo de como os componentes SiteProtector e os agentes comeam polticas e outras informaes importantes de um sistema atravs do Gerenciador de SiteProtector Agent. Descrio Fase Um agente de inicia um batimento cardaco de seu agente Manager. 2 O Manager Agent recebe o batimento cardaco. 3 O Manager Agent compara as configuraes de agente para suas configuraes de grupo para determinar quais os dados para enviar o agente. 4 O Manager Agent envia o agente os dados necessrios: * sem dados Poltica de mudanas * * Os arquivos o agente solicitou, quando o agente v que ela est fora de moda * mudanas de poltica e atualidades Heartbeat A pulsao um pedido programado que inclui o status do agente e um pedido para as ltimas polticas aplicveis. Agentes cartaz aceitador de enviar periodicamente batimentos cardacos para o Gerenciador de agente, o gerente, agente responde com as polticas que foram alterados. Heartbeats solicitaes HTTP ou HTTPS criptografada. RealSecure Desktop 7.0 envia solicitaes HTTP. Todos os outros agentes aceitador pster enviar solicitaes HTTPS por padro. Nota: batimentos cardacos agendadas no afetam os eventos de segurana.

Planejamento As informaes que voc precisa instalar o sistema SiteProtector na sua rede, incluindo hardware e software e as consideraes de escalabilidade. Requisitos de hardware e software Cada componentes do IBM Proventia Management SiteProtector tem hardware especficos e requisitos de software. Importante: A instalao de alguns componentes SiteProtector exige nomeao 8ponto3 curto nas configuraes do registro do Windows FileSystem. Se voc tiver desativado nomes curtos nas configuraes do Registro em todos os servidores em que voc pretende instalar componentes SiteProtector, voc deve reativar nomes curtos, antes de instalar SiteProtector.

Requisitos do sistema para o Gerenciador de Implantao Deployment Manager um aplicativo instalador baseado na Web que permite que voc instale: * * * * SiteProtector utilizando a recomendada ou a opo Express Componentes individualmente SiteProtector Add-on produtos SiteProtector Outros produtos IBM ISS

A tabela a seguir descreve os requisitos de sistema para o Gerente de Implantao: Componente Requisito mnimo Processador Pentium II 400 MHz 3,0 GHz Pentium 4 (recomendado) Sistema operacional SiteProtector suporta tanto 32 - e verses de 64 bits dos sistemas operacionais Windows a seguir: * Windows * Windows Windows * Windows * Server Server Server Server 2008 2008 2003 2003 Standard Enterprise Standard Edition SP2 SP2 Enterprise Edition

Nota: Voc deve executar SiteProtector e seus componentes em uma partio NTFS formatado. Parties FAT e FAT32 no permitem que voc para endurecer o seu sistema corretamente. Nota: Veja Technote # 1435194 para mais informaes sobre o Firewall do

Windows. 256 MB de RAM 1 GB (recomendado) Espao livre em disco de 9 GB 40 GB (recomendado) O software de terceiros (includo) * IBM Java Runtime Environment (JRE), verso 1.6.0 SR 7 O software de terceiros (no includo) * Adobe Reader 8.0 ou posterior http://www.adobe.com/products/acrobat/readstep2.html * Internet Explorer 7.0 ou posterior http://www.microsoft.com/windows/internet-explorer/default.aspx * Para obter as ltimas atualizaes de software do sistema operacional e hardware baseados no Windows, v para o site Microsoft Update na http://www.windowsupdate.com Endereo IP esttico? Sim

Requisitos do sistema para a opo Express SiteProtector A tabela a seguir descreve os requisitos para a opo Express: Componente Requisito mnimo Processador Pentium III 1 GHz Dual 3,0 GHz Pentium 4 (recomendado) Sistema operacional SiteProtector suporta tanto 32 - e verses de 64 bits dos sistemas operacionais Windows a seguir: * Windows Server 2008 Standard * Windows Server 2008 Enterprise Windows * Server 2003 Standard Edition SP2 Windows * Server 2003 SP2 Enterprise Edition Nota: Voc deve executar SiteProtector e seus componentes em uma partio NTFS formatado. parties FAT e FAT32 no permitem que voc para endurecer o seu sistema corretamente. Nota: Veja Technote # 1435194 para mais informaes sobre o Firewall do Windows. Memria RAM de 1 GB 2 GB (recomendado) Espao livre no disco rgido de 8 GB

70 GB (recomendado) Resoluo do ecr 1024 por 768 pixels O software de terceiros (includo) * IBM Java Runtime Environment (JRE), verso 1.6.0 SR 7 O software de terceiros (no includo) * SQL Server 2008 Enterprise Edition * SQL Server 2008 Standard Edition * SQL Server 2008 64-bit * SQL Server 2005 Enterprise Edition * SQL Server 2005 Standard Edition * SQL Server 2005 64 bits * SQL Server 2008 Express Edition * Internet Explorer 7.0 ou posterior http://www.microsoft.com/windows/internet-explorer/default.aspx * Adobe Reader 8.0 ou posterior http://www.adobe.com/products/acrobat/readstep2.html * Para obter as ltimas atualizaes de software do sistema operacional e hardware baseados no Windows, v para o site Microsoft Update na http://www.windowsupdate.com Endereo IP esttico? Sim Outros requisitos adicionais de memria e espao em disco, dependendo de vrios fatores, tais como os seguintes itens: * Nmero de pontos de vista * Nmero de activos * Nmero de agentes * Nmero de usurios simultneos * Tipo de polticas implementadas em agentes * Implementao do mdulo SecurityFusion * Quantidade de dados a serem armazenados no servidor Requisitos do sistema de virtualizao (VMware) o apoio A tabela a seguir descreve os requisitos para a virtualizao: Componente Requisito mnimo Virtualizao * VMware ESX Server 3.x 4.x * Microsoft Windows Server 2008 Hyper-V * Microsoft Virtual Server 2005

Nota: Todos os componentes SiteProtector pode ser instalado em um ambiente virtual, desde as mquinas virtuais cumprir os requisitos descritos nos Requisitos do sistema para a opo recomendada SiteProtector ou Requisitos do sistema para a opo Express SiteProtector.
schemas

Traduo do ingls para portugus


Requisitos do sistema para o console ou Visualizador de eventos A tabela a seguir descreve os requisitos de sistema para um console nico ou um nico Event Viewer: Componente Requisito mnimo Processador Pentium II 400 MHz 2,4 GHz Pentium 4 (recomendado) Sistema operacional SiteProtector suporta tanto 32 - e verses de 64 bits dos sistemas operacionais Windows a seguir: Windows 7 * * Windows 7 Enterprise * Windows 7 Ultimate * Windows Vista Business * Windows Vista Enterprise * Windows Server 2008 Enterprise * Windows Server 2008 Standard Windows * Server 2003 Standard Edition SP2 Windows * Server 2003 SP2 Enterprise Edition * Windows XP Nota: Voc deve executar SiteProtector e seus componentes em uma partio NTFS formatado. Parties FAT e FAT32 no permitem que voc para endurecer o seu sistema corretamente. Nota: Veja Technote # 1435194 para mais informaes sobre o Firewall do Windows. 512 MB de RAM 1 GB (recomendado) Espao livre no disco rgido de 4 GB 20 GB (recomendado) Resoluo do ecr 1024 por 768 pixels Color Alta Definio (16 bits) Endereo IP esttico? No O software de terceiros (includo)

* IBM Java Runtime Environment (JRE), verso 1.6.0 SR 7 O software de terceiros (no includo) * Internet Explorer 7.0 ou posterior http://www.microsoft.com/windows/internet-explorer/default.aspx * Adobe Reader 8.0 ou posterior http://www.adobe.com/products/acrobat/readstep2.html * Para obter as ltimas atualizaes de software do sistema operacional e hardware baseados no Windows, v para o site Microsoft Update na http://www.windowsupdate.com Nota: A primeira vez que voc clique em Ajuda no Console SiteProtector, voc pode receber um "Erro de Certificado"no Internet Explorer. Para evitar esse erro no futuro, instalar o certificado de segurana gerados pelo Application Server. Para mais informaes, acesse o site de suporte da Microsoft: http://support.microsoft.com/kb/931850
Recomendaes Este tpico fornece recomendaes para hardware, software e espao livre em disco. As recomendaes so baseadas em ambientes cliente tpico e pode no se aplicar ao seu ambiente especfico. Importante: Este documento fornece critrios de dimensionamento para eventos e batimentos cardacos. No ultrapasse a mdia de eventos por dia, ou os batimentos cardacos mximo por dia, independentemente do nmero de sensores em sua configurao. Hardware e software Hardware e software recomendaes so baseadas nos seguintes itens: Descrio do Item Eventos mximo por dia para o site Este nmero representa o nmero mximo de eventos processados por dia em todo o site inteiro. As recomendaes contidas neste guia de assumir que o nmero total de eventos por dia em todo o site no consistentemente superior ao nmero nesta coluna. Mximo batimentos cardacos por dia Este nmero representa o nmero mximo de pulsaes do banco de dados de processos por dia em todo o site inteiro. As recomendaes contidas neste guia de assumir que o nmero total de eventos por dia em todo o site no consistentemente superior ao nmero nesta coluna. Espao livre em disco Recomendaes de espao livre no disco rgido so baseados no seguinte: * O volume de eventos esperados * O espao necessrio para armazenar dados de eventos para 30 dias * espao necessrio para realizar a manuteno peridica do banco de

dados Layout de banco de dados Para obter informaes sobre o layout dos arquivos de banco de dados, v para o site do Microsoft SQL Server em: http://www.microsoft.com/sql/

Anlise Use o ponto de vista de anlise para localizar e analisar eventos na sua rede. Voc pode manipular os dados dentro da viso de anlise, os dados de exportao e criar relatrios ad hoc usando dados na vista de anlise. Nota: Eventos informativos dos agentes so exibidos na guia Resumo da Sade e j no so exibidos por padro na exibio de Anlise. Para ver eventos informativos em uma viso de anlise, use a Observncia anlise do tipo de filtro para adicion-los. Dica: com o boto direito do mouse em um evento para ver as opes para trabalhar com esse evento. As opes disponveis no menu do boto direito do mouse variar dependendo do agente relatou o evento. * Anlise de eventos Analisar os eventos que ocorrem na rede para gerenciar as vulnerabilidades, para investigar os ataques, ou para monitorar aplicaes. * Cenrios para a filtragem de dados Como filtrar dados em SiteProtector depende de suas necessidades especficas. Use os seguintes cenrios para ajudar voc a comear. * Anlise descries vista e os detalhes Seleccione uma vista de anlise adequadas para sua investigao. * Adio de detalhes do evento para o ponto de vista de anlise Adicione os detalhes do evento para usar os detalhes do evento em sua anlise e para usar o Bloco de recurso Intruder para os agentes que permitem o bloqueio. * O uso de filtros detalhes do evento Use detalhe do evento filtros para filtrar colunas de eventos detalhe que so gerados para o ponto de vista de anlise. As colunas de detalhes do evento so baseados no contedo dos eventos que so registrados no banco de dados do site. * Bloqueio de intrusos Voc pode bloquear intrusos na visualizao de anlise para os agentes que permitem o bloqueio. O Bloco de recurso Intruders cria uma regra de evento. * Histria anlise Navegar Na guia de anlise, use o Back and Forward cones para refazer suas aes, tais como, a aplicao de uma diferente anlise Ver ou Anlise de Perspectivas, ou alterar as configuraes do filtro. * Trabalhar com os detalhes do evento Use a janela de detalhes do evento para visualizar, copiar e exportar os dados de eventos especficos. A janela Detalhes do Evento exibe detalhes do evento de base, informaes de atributo valor par, informaes de segurana, e, se possvel, pacotes de dados em bruto. * Criao de uma viso de Anlise personalizada Criar um personalizado Anlise Ver se nenhuma das exibies predefinidas contm as informaes que deseja ver. * Exportando vista

Exportar uma viso de trabalhar com grandes quantidades de dados, para trabalhar com dados fora do SiteProtector, e trabalhar com dados que no est formatado. * Gerenciamento de vistas Use a janela Gerenciar vistas para renomear, copiar, excluir e vistas de importao. Voc tambm pode gerenciar permisses de vista de anlise na janela Gerir Vistas. * Gerenciamento de permisses de exibio Utilize permisses para uma viso de anlise para definir quais usurios ou grupos podem ver ou controlar o ponto de vista de anlise. * Utilizando questes guiada Use questes norteadoras para selecionar uma Anlise Ver baseado em perguntas que voc tem sobre um evento. * Utilizando os incidentes e excees para gerenciar dados de evento Use incidentes para tornar mais fcil identificar os eventos que voc determinar, so particularmente importantes para a sua segurana. Use excees para eventos com facilidade clara da viso que voc sabe que no so ameaas sua segurana. * Exibio de dados por pacotes primas Se voc tiver configurado as configuraes de um agente resposta captura de pacotes de dados em bruto, voc poder visualizar esses dados por pacotes nos dois formatos hexadecimal e ASCII, na janela de detalhes do evento. * Proventia ADS em anlise SiteProtector Proventia Network Anomaly Detection System (ADS) uma rede de agentes de anlise de comportamento que os dados de auditorias de fluxo de rede de dispositivos de infra-estrutura existente. * A comunicao de dados a partir da viso de Anlise Criar relatrios ad hoc do ponto de vista de anlise, os dados de exportao para trabalhar fora do SiteProtector, ou gerar relatrios personalizados a partir da vista de anlise que voc pode compartilhar.
Seleo de uma viso de Anlise Use views anlise como ponto de partida para a deteco de eventos e para a criao de relatrios personalizados. Anlise de pontos de vista tm configuraes predefinidas para filtros e colunas. Sobre esta tarefa Aplicao, acompanhamento AppScan, Anlise de Eventos, integridade de arquivos, infra-estrutura virtual e Anlise vuln. Anlise de pontos de vista esto divididos nas seguintes categorias: * acompanhamento da aplicao (s possvel com a IBM Proventia Desktop Endpoint Security) * AppScan * Anlise de Eventos * (somente para Proventia IPS Server para Windows) da integridade de arquivos * Infra-Estrutura Virtual * Anlise vuln Nota: O nome da exibio da Anlise aparece acima os dados do evento. O

nome seguido pela perspectiva de anlise entre parnteses. A perspectiva de anlise pode variar, pois o sistema SiteProtector escolhe a perspectiva de anlise baseada na viso de anlise. Processo 1. Na opinio de Anlise, clique em Exibir> Carregar. 2. Na janela Load View, selecione um ponto de vista. Reportagem Use relatrios para identificar tendncias na sua organizao, avaliar a eficcia global das medidas de segurana e verificar o estado da sua segurana. Voc pode criar um relatrio na vista de relatrio usando um modelo ou pode comunicar os dados diretamente do ponto de vista de anlise. Restrio: Para usar o recurso de relatrio, voc deve adquirir uma licena separada para SiteProtector Reporting

Criao de relatrios Criar relatrios a partir de modelos na exibio do Relatrio de examinar as tendncias, a elaborar relatrios consistentes, ou para formatar dados. Antes de comear Voc deve adquirir uma licena separada para usar o recurso SiteProtector Reporting. Sobre esta tarefa Use um modelo na vista de Relatrio para criar um relatrio se: * Dados no est disponvel na vista de anlise, tais como dados de permisses * A formatao importante * Voc precisa ver as tendncias * Voc plano para produzir o relatrio vrias vezes * Voc quer permitir que outros usurios SiteProtector para acessar o relatrio * Voc quer estabelecer uma coerncia no relato * Voc deseja reutilizar as configuraes do relatrio Resultados Informaes sobre um relatrio aparece nos seguintes locais em SiteProtector: * Modelos salvos so listados no painel Modelos. * Os relatrios que foram executados e salvos so listados no painel de Meus Relatrios. * Os relatrios programados so listados no painel de listas. O que fazer a seguir Na exibio de relatrio, execute uma das seguintes tarefas:

Monitoramento SiteProtector As informaes que voc precisa para monitorar a sade, segurana e status do sistema SiteProtector.

Monitoramento SiteProtector Monitoramento do sistema de sade Opes do sistema de sade variam para cada agente. Algumas opes podem no estar disponveis para todos os agentes gerenciados pelo SiteProtector. * Resumo da Sade Use o painel Resumo da Sade para ver as mensagens do agente, as mtricas e os resultados dos exames de sade realizados em agentes gerenciados pelo SiteProtector. * Agente de sade verifica Este tpico de referncia inclui informaes sobre cheques agente especfico de sade e as consequncias associadas. Exames de sade so nicas para cada agente e, portanto, podem variar em nmero e podem ser agrupadas de forma diferente para cada agente. * Notificaes Use a visualizao para ver Notificaes notificaes de exames de sade realizados em agentes gerenciados pelo SiteProtector.

Sade Resumo Use o painel Resumo da Sade para ver as mensagens do agente, as mtricas e os resultados dos exames de sade realizados em agentes gerenciados pelo SiteProtector. Exames de sade so usados para monitorar a sade dos agentes. Alguns testes so meramente informativos e no afecta o estatuto do agente de sade. Alguns exames de sade pode ser configurado para entrar em uma advertncia ou estado de falha. Para exames de sade configurado para entrar em um estado de alerta ou no, a informao aparece nos seguintes locais: * uma notificao para que a verificao da sade aparece na guia Notificaes * status do agente de sade aparece como advertncia ou insalubre na guia Notificaes e na viso do agente As notificaes no so criadas no Console de controlos sanitrios

Informativa. Agente de mensagens incluem: * Eventos Info: info eventos que aparecem como agente Informao, Aviso ou Erro. Nota: Anteriormente, Eventos Info apareceu na exibio de Anlise. Informaes do evento no afetar a sade do agente. * Aplicao Artefatos: Aplicao Artefatos afetar a sade do agente. As seguintes opes podem estar disponveis para um exame de sade: Opo de Aco Configurar Clique em Configurar para definir notificaes de alerta e no de um exame de sade. Ignorar Estado de Sade Clique em Ignorar Estado de Sade para parar o Console de criar uma notificao na guia Notifications. Informaes para o exame de sade ainda recolhida pelo console e exibida no painel Resumo da sade. Remdio Clique no link remdio para as medidas necessrias para corrigir um exame de sade que est em um estado de alerta ou no. Nota: Voc pode configurar o e-mail os alertas e notificaes em Console Console Options. * Navegando ao resumo da sade Use a janela de Sade Resumo para visualizar informaes detalhadas sobre o diagnstico de agentes gerenciados por SiteProtector. * resumo da Sade cones cones resumo Sade aparecem ao lado do nome de cada exame de sade e pode aparecer no painel Resumo da sade ao lado de um nome do grupo.

Navegar para sntese de sade Use a janela de Sade Resumo para visualizar informaes detalhadas sobre o diagnstico de agentes gerenciados por SiteProtector. Sobre esta tarefa Nota: Normalmente, voc navegar para a janela Resumo da Sade atravs da abertura de uma notificao na exibio de notificaes. Processo 1. Selecione o agente para o qual voc deseja exibir um resumo de sade. 2. Selecione Propriedades do Objeto> Resumo> Sade. Tpico pai: Sade Resumo

Desempenho Informaes sobre como fazer funcionar SiteProtector mais eficaz. * Aumentar o tamanho mximo de heap Se o desempenho do console SiteProtector sofre, considere aumentar o heapsize mximo. Esta configurao controla a quantidade mxima de memria que alocada para o console aps a inicializao. * O ajuste dos parmetros avanados para um servidor de atualizao X-Press Voc pode ajustar parmetros para um servidor de atualizao X-Press para melhor atender s suas necessidades de segurana ou para melhorar o desempenho. Estes parmetros avanados so compostos de pares nome e valor. * Configurao de notificaes do banco de dados Em ambientes corporativos, o banco de dados do site podem atingir a capacidade rapidamente. Voc pode configurar o sistema SiteProtector para alert-lo quando o sistema SiteProtector expurgos a base de dados ou quando os limites forem ultrapassados o tamanho do banco. Voc pode ser notificado por e-mail, SNM, ou respostas personalizadas. Aumentar o tamanho mximo de heap Se o desempenho do console SiteProtector sofre, considere aumentar o heapsize mximo. Esta configurao controla a quantidade mxima de memria que alocada para o console aps a inicializao. Sobre esta tarefa Aumentar o tamanho mximo de heap pode reduzir a quantidade de memria que est disponvel para outros aplicativos em execuo no sistema. Antes de aumentar esta definio, considera o impacto no desempenho desta alterao sobre outras aplicaes. Processo 1. No computador onde o console est instalado, clique em Iniciar> Executar. 2. Digite regedit e clique em OK. 3. No painel esquerdo do Editor do Registro, expanda a pasta seguinte: HKEY_LOCAL_MACHINE \ SOFTWARE \ ISS \ SiteProtector \ Console \ Parameters 4. No painel direita, clique com o boto direito HeapMax e selecione Modificar no menu pop-up. 5. Na caixa Valor dados, editar a seguinte seqncia: Xmx192m Exemplo: Para aumentar o tamanho mximo de heap para 256 megabytes, defina o valor para Xmx256m. 6. Reiniciar o console.

O ajuste dos parmetros avanados para um servidor de atualizao X-Press Voc pode ajustar parmetros para um servidor de atualizao X-Press para melhor atender s suas necessidades de segurana ou para melhorar o desempenho. Estes

parmetros avanados so compostos de pares nome e valor. Sobre esta tarefa Ateno: Atribuir configuraes inadequadas para um parmetro avanado poderia ter efeitos negativos significativos sobre o comportamento do servidor XPU. Contate o suporte tcnico da IBM Internet Security Systems para orientao sobre o uso de parmetros avanados. Processo 1. Selecione Diretiva da Ir para a lista e, em seguida, selecione o repositrio que contm as polticas implantadas para o seu Server Update X-Press. 2. Selecione X-Press Server Update da lista de tipo de agente. 3. Selecione o XPU poltica de configuraes e selecione Ao> Abrir a partir da lista. 4. Clique na Aba Advanced Parameters, e ento clique no cone Adicionar. 5. Especifique o seguinte: Opo Descrio Key O nome do parmetro. O valor da seqncia de texto para este parmetro. Descrio Uma descrio significativa para o parmetro. 6. Clique em Ao> Salvar Poltica. 7. Para implantar a poltica atualizada imediatamente, selecione a implantar esta nova caixa de verificao de verso. 8. Clique em OK e feche o separador Poltica.

Configurando notificaes de banco de dados Em ambientes corporativos, o banco de dados do site podem atingir a capacidade rapidamente. Voc pode configurar o sistema SiteProtector para alert-lo quando o sistema SiteProtector expurgos a base de dados ou quando os limites forem ultrapassados o tamanho do banco. Voc pode ser notificado por e-mail, SNM, ou respostas personalizadas. Sobre esta tarefa Voc deve configurar uma regra de componente para especificar as notificaes do banco de dados. O status de banco de dados opo de Notificao uma resposta pr-configurada que est disponvel na guia Regras componente da poltica de seu site Respostas Central. Processo 1. Selecione a exibio Poltica. 2. Verifique para certificar-se respostas Central selecionado na lista tipo de agente. 3. Selecione o grupo do site na rvore de agrupamento. 4. No painel direita, clique com o boto direito de resposta Regras e, em seguida, selecione Abrir poltica a partir do menu pop-up. O contedo da poltica de regra de resposta exibida no painel direito.

5. Selecione o componente na guia Regras e, em seguida clique no cone Adicionar. A janela Adicionar Componente artigo aparece. 6. Marque a caixa Enabled e em seguida, selecione a aba Filtros. 7. Digite o nome da regra de resposta na caixa Nome e, em seguida, selecione Status banco de dados de notificao da lista. 8. Faa o seguinte: Opo de Aco Para ser notificado quando o banco de dados do site chega a um tamanho especificado Selecione Ativar Tamanho Threshold Exceeded caixa de notificao e, em seguida use o controle deslizante para especificar o limite de tamanho de banco de dados que permitir a notificao Para ser notificado quando o banco de dados do site automaticamente purgado Selecione a caixa de seleo Purgar 9. Selecione a guia respostas. 10. Selecione a caixa de seleo de resposta de freqncia, e em seguida, digite ou selecione os valores apropriados para enviar, no mximo, [n] as respostas dentro de [n] [perodo]. Nota: O padro uma resposta dentro de 60 segundos. Se voc no especificar uma resposta de freqncia, o sistema SiteProtector envia uma notificao toda vez que a regra correspondido. 11. Realizar uma ou mais das seguintes tarefas: Nota: Se voc no v o e-mail, SNMP, ou informao especificada pelo usurio deseja associar a essa regra na lista, clique em Gerenciar Respostas para adicionar lista. Consulte "Configurando respostas em nvel de stio" no Sistema SiteProtector Polticas e Respostas Guia de Configurao. * Selecione a aba Email e selecione a caixa de seleo na coluna Habilitado para a resposta e-mail para associar a essa regra. * Selecione a guia SNMP, e selecione a caixa de seleo na coluna Habilitado para a resposta SNMP para associar a essa regra. * Selecione a guia especificado pelo usurio, e siga as instrues para "" Configurao de Provas Entrar Objetos resposta poltica "no Sistema SiteProtector Polticas e Respostas Guia de Configurao.

Segurana Informaes sobre a configurao e manuteno de comunicaes seguras em seu site. * Instalao de atualizaes da Microsoft Para corrigir potenciais falhas de segurana, atualizar os sistemas operacionais Microsoft Windows com os ltimos service packs, hotfixes e patches de segurana. Quando voc aplicar as atualizaes, siga as melhores prticas, tais como testes de qualidade e controle de mudanas desempenho. * banco de dados de comunicaes Protegendo A comunicao entre o banco de dados de sites e componentes SiteProtector no habilitado automaticamente. Como o banco de dados do site contm informaes confidenciais sobre a segurana de sua rede, considere criptografia e autenticao da comunicao do banco de dados usando Secure Socket Layers (SSL).

Soluo de problemas e suporte Informaes sobre como solucionar um problema com o software IBM. Problemas de instalao * Esta seo contm informaes sobre problemas comuns na instalao e como resolv-los. * Agente e problemas nos componentes * Problemas de memria baixa * Problemas de operao SiteProtector * problemas com a atualizao * Relatando problemas * Transferncia e sistema de compresso de logs A partir do console, voc pode fazer o download de componentes e sistemas logs para o seu computador local. Voc pode ento compactar os logs usando a interface do console para criar um arquivo ZIP que voc pode facilmente enviar para o suporte ao cliente. * Definir nveis de log do servidor Voc pode definir nveis de log do servidor de aplicativos e servios Sensor Controller em uma localizao central em SiteProtector. * Sistema de logs Voc pode definir nveis de log do servidor de aplicativos e servios Sensor Controller em uma localizao central em SiteProtector. * Adio de um Gerenciador de agente para a lista de Configuraes do Grupo Se voc tiver vrios gestores agente implantado, eles podem no aparecer na lista de Configuraes do Grupo at que voc adicion-los manualmente.

Problemas na instalao Esta seo contm informaes sobre problemas comuns na instalao e como resolv-los. * Gerente de Implantao No foram encontradas mensagens so exibidos Os quadros de menu para o Gerente de Implantao so visveis, mas as pginas de exibio "Not Found" mensagens. Isso pode acontecer quando o SiteProtector servio da Web executado, mas o servio SiteProtector Application Server for parado no computador onde o Deployment Manager est instalado. * login issApp j existe Durante a instalao do Application Server, um erro indica que o Application Server issApp login j existe, e, em seguida, o processo de instalao finalizado. * Evento login Collector no pode ser excludo Enquanto desinstalar o coletor de eventos, um erro indica que o login <machine> EventCollector_ no pode ser excludo porque o servio est sendo executado, e, em seguida, o processo de desinstalao finalizada.

* A criptografia no est definido Quando voc instala um adicional de Coletor de Eventos, a criptografia no inicialmente definido. Aps a instalao de um coletor de eventos, voc deve parar eento, reinici-lo , paradefinira criptografia . * Voc no pode parar o Coletor de Eventos Voc removeu o Application Server e do console, mas no pode parar o coletor de eventos. * Banco de Dados est em uso Enquanto a desinstalao do banco de dados do site, um erro indica que o banco de dados est em uso.

componentes SiteProtector Este tpico descreve as funes dos componentes SiteProtector.

SiteProtector Componente Descrio Agente O Gerenciador de agente gerencia as atividades de comando e controle dos agentes de Proteco do Desktop e equipamentos IBM ISS. O Manager Agent tambm facilita a transferncia de dados de agentes para o coletor de eventos. O Manager Agent permite SiteProtector para coletar e gerenciar os dados dos agentes e componentes. Uma Manager Agent instalado com as opes Express e recomendada. Console O Console SiteProtector a interface principal do usurio para SiteProtector. Voc executa a maioria das funes SiteProtector, tais como monitoramento de eventos, agendamento de exames, gerando relatrios e configurao dos agentes a partir da consola. Deployment Manager (opcional) O Gerente de Implantao um servidor Web que permite que voc instale qualquer um dos componentes SiteProtector e agentes em computadores em sua rede. Evento Archiver As lojas evento Archiver dados do evento e melhora o desempenho reduzindo o nmero de eventos do banco de dados do site deve armazenar. Event Collector O coletor do evento gere em tempo real eventos de sensores e dados de scanners de vulnerabilidade. Visualizador de eventos (opcional) O SiteProtector Event Viewer no transformados recebe eventos do coletor de eventos para proporcionar um acesso quase em tempo real a segurana de dados para soluo de problemas. SecurityFusion O mdulo SecurityFusion aumenta sua habilidade de rapidamente identificar e responder s ameaas crticas em seu site. Usando tcnicas avanadas de anlise, o mdulo SecurityFusion escalada de ataques de alto impacto para ajudar voc a concentrar-se na atividade de ataque mais importante. Site O banco de dados SiteProtector (Site Database) armazena dados do agente-primas, as mtricas de ocorrncia (estatsticas de eventos de segurana desencadeada por agentes), informaes do grupo, os dados de comando e controle, eo estado da X-Press Updates (XPUs). SP Ncleo O ncleo SP inclui os seguintes componentes: * O Application Server, que permite a comunicao entre o console SiteProtector eo banco de dados do site. * O controlador do agente, que gerencia as atividades de comando e controle dos agentes, como o comando para iniciar ou parar a recolha de eventos. * X-Press Update Server, que um servidor Web que armazena X-Press Updates (XPUs) aps terem sido transferidos do centro da IBM Download ISS, e faz o XPUs disponveis para os agentes e componentes de rede. O servidor de atualizao elimina a necessidade de baixar as atualizaes para os produtos similares mais de uma vez e permite aos usurios gerenciar o processo de atualizao mais eficiente.

* SiteProtector Web Access, que uma interface de somente leitura que fornece acesso fcil a SiteProtector para monitorar ativos SiteProtector de eventos e eventos de segurana. X-Press Server Update A X-Press Update Server um servidor Web que armazena X-Press Updates (XPUs) aps terem sido transferidos do centro da IBM Download ISS, e faz o XPUs disponveis para os agentes e componentes de rede. O servidor de atualizao elimina a necessidade de baixar as atualizaes para os produtos similares mais de uma vez e permite aos usurios gerenciar o processo de atualizao mais eficiente.

Referncia Informao de Referncia est organizado para ajud-lo a localizar rapidamente os fatos particulares. * Os arquivos Esta seo contm informaes sobre os arquivos que so gerados e utilizados por SiteProtector. * Atalhos de teclado Utilize combinaes de atalhos de teclado para trabalhar com mais eficincia no console SiteProtector. * Agentes suportados e aparelhos SiteProtector suporta agentes e equipamentos produzidos pela IBM Internet Security Systems. Este tpico contm uma lista de produtos suportados, completo com informaes sobre o modelo e verso. * Interface do usurio * Frente sigilo Perfeito Perfect Forward Secrecy (PFS) uma propriedade IPsec que assegura que as chaves de sesso derivada no so comprometidas, se uma das chaves privadas est comprometido no futuro. Configuraes ICMP * Quando voc cria seu objeto de resposta a quarentena, voc pode escolher entre duas configuraes diferentes de ICMP. * Definies de TCP / UDP Quando voc cria seu objeto de resposta a quarentena, voc pode escolher entre quatro diferentes configuraes de TCP / UDP. * Constri para filtros de expresso regular Os seguintes so exemplos de construes especficas para filtros de expresso regular. * Manual Upgrader download Keylib estados de licena Este tpico descreve os estados de licena Keylib para atualizaes de produtos que voc baixar com a ferramenta Upgrader Manual. * Configuraes de diagnstico Utilize o painel de Diagnsticos Configuraes para configurar Manager Agent madeireira e para habilitar ou desabilitar o Gerenciador de status de

agente a pgina web. * A configurao do banco de dados avanada Use o Advanced Database janela de configurao do banco de dados reconectar intervalo e evento de filtragem. * Evento avanado configurao do Coletor Use o Advanced Coletor de Eventos janela de configurao do coletor de rastreamento de eventos, endereo e registro. * A configurao avanada fonte de evento Use o Advanced Origem do evento janela de configurao reconectar intervalo e intervalo de pulsao. * Coletor de propriedades de evento Use o Coletor de Eventos janela Properties para configurar um coletor de eventos. * PAM Trfego Lngua Regras

o n assest desagrupado onde coloca qualquer SiteProtector hosts que no esto agrupadas em uma group.Within activo este n, os hosts identificados so colocados em uma escala local apporpriate, que definido por uma faixa de endereos IP. Durante a instalao, SiteProtector cria uma srie de site padro que corresponde rede dos activos SiteProtector ncleo.

console vista para ajudar a monitorar o seu SiteProtector e ativos de rede, vrios pontos de vista esto incluindo no console: Agente Anlise Ativos Poltica Relatrio Resumo Sistema Bilheteira Anlise de Trfego

AGENTE DE VISUALIZAO A viso de agente listas de todos os componentes SiteProtector vrios agets na group.These selecionados incluem:

banco de dados Siteprotecotr ncleo SiteProtector Coletores de Eventos Agente de Gestores aparelhos e agentes Proventia Desktop agentes RealSecure Internet Scanners Anlise vista A anlise permite visualizar tou a ver as informaes de eventos de segurana a partir das perspectivas de anlise a seguir Alvo Fonte Agente Destino e de origem Targat e Agente Fonte e Agente Target, agente, fonte

ASSET ativos de visualizao A vista do recurso exibe uma lista de host no grupo selecionado, e informaes de acolhimento disponveis, tais como: Endereo IP (incluindo IPV6) eo endereo MAC DNS, nome NetBIOS e domnio NetBIOS nome do sistema operacional criticidade Asset Proprietrio e tag de Inventrio Maior bilhete prioridade IBM ISS agentes de proteo no host ndice de risco

Risco scire (baseado em CVSS) Data da ltima verificao Poltica de visualizao A viso poltica permite visualizar e configurar as polticas de grupo que afetam vrios componentes SiteProtector e agentes Proventia, incluindo: Evento Archiver O sistema de Deteco de Intruso de Rede Rede do Sistema de Preveno de Intruso Rede Multi-funes de segurana Proventia Network Security mail Proventia Server para Linux e Windows Proventia Desktop X-press Server Update

Ver Relatrio A vista de relatrio inclui uma lista de templates.The relatrio predefinidos relatrios predefinidos esto divididos em categorias serveral: Anlise Gesto Eventos de Segurana vulnerabilitiies

SiteProtector Componente Descrio do Sistema Deployment Manager O Gerente de Implantao um servidor Web que lhe permite instalar qualquer um dos SiteProtector componentes do sistema e os agentes em computadores em sua rede. Evento Archiver Archiver O evento oferece a capacidade a eventos de segurana dos arquivos para um servidor remoto Local. Event Collector O coletor de evento gere eventos em tempo real a partir de sensores e dados de vulnerabilidade scanners. Event Viewer O sistema SiteProtector Event Viewer recebe eventos no processados a partir do evento Coletor para fornecer acesso em tempo quase real segurana de dados para soluo de problemas. SecurityFusion Mdulo A SecurityFusion sistema SiteProtector Mdulo aumenta a sua capacidade de rapidamente identificar e responder s crticas ameaas em seu site. Utilizando avanada correlao e anlises tcnicas, a

Mdulo identifica dois eventos de alto impacto e os padres de eventos que podem indicar ataques.Anlise de impacto O Mdulo correlaciona deteco de intruso de eventos com a vulnerabilidade avaliao e dados do sistema operacional e imediatamente estima o impacto de eventos. Site do banco de dados O banco de dados armazena SiteProtector sistema primas dados do agente, as mtricas de ocorrncia (estatsticas de eventos de segurana desencadeada por agentes), grupo comando, informaes e dados, controle e o estado da X-Press Updates (XPUs).

SP Core /Ncleo O ncleo SP inclui os seguintes componentes: v O servidor de aplicativo permite comunicao entre o SiteProtector sistema de Console eo SiteProtector sistema de banco de dados. v O controlador de sensor gere o comando e controle das atividades dos agentes, como o comando para iniciar ou parar coleta de eventos. X-Press Update Server Um servidor Web que solicitou downloads X-Press Updates (XPUs) da IBM ISS Download Center e torna-os disponveis para os agentes e componentes de rede. O servidor de atualizao elimina a necessidade de baixar atualizaes para semelhantes produtos de mais de uma vez e permite aos usurios gerenciar o processo de atualizao mais eficiente. Console da Web O sistema SiteProtector Web Console uma interface que fornece fcil acesso a alguns das caractersticas do sistema SiteProtector para o monitoramento de ativos do sistema SiteProtector e eventos de segurana.

Captulo 2. Monitoramento de sua rede O sistema fornece monitoramento de vrios SiteProtector, correlao e ferramentas de busca que podem ajud-lo com a deteco de eventos e investigao de ameaas. Use o informaes contidas neste captulo para se familiarizar com estas ferramentas como elas so freqentemente citado neste guia. Seo A: Sistema de Anlise de Componentes SiteProtector O sistema SiteProtector fornece vrios componentes para o monitoramento de eventos. Estes componentes permitem filtrar e classificar dados em todas as fases de deteco de eventos e investigao. anlise SiteProtector componentes do sistema A tabela a seguir descreve o sistema de anlise de componentes SiteProtector evento. Alguns destes componentes so discutidos em mais detalhes posteriormente neste captulo: Descrio dos componentes Resumo Vista fornece vrios painis pr-definidos que mostrar os diferentes tipos de resumo informaes em uma interface de usurio do portal semelhante. Cada tipo de informao aparece como um painel aninhado da guia de resumo, e os usurios pode escolher quais tipos de informaes mostrar. As informaes apresentadas sobre a guia de resumo dependente da selecionado do grupo na rvore grupo. Anlise de perspectivas fornecem um foco diferente dos eventos que aparecem na vista de anlise, tais como mudar se um ativo selecionado o destino ou a origem da atividade. Anlise vistas Fornecer informaes sobre o evento que organizado em um formato tabular. Fornecer predeterminado filtros que correspondem s perguntas guiadas. perguntas guiadas fornecer uma srie de perguntas sobre o pop-up

menu para um ou mais eventos que voc selecione do ponto de vista de anlise. As perguntas foco nas informaes que voc normalmente precisa quando voc investigar um caso. Ao clicar em um pergunta, voc automaticamente alterar o filtros ea vista de anlise que exibida. Fornece sistema SiteProtector barra de opes que permitem que voc execute tarefas comuns com a ferramenta de anlise, tais como atualizar os dados do evento, se movendo para trs ou transmitir atravs da histria, ou a abertura a janela Filters. filtros de painel Anlise filtro Exibe acima da exibio de anlise para eles so facilmente acessveis. Os mesmos filtros esto disponveis no editor de filtros. Copyright IBM Corp 1994, 2010 9 Descrio dos componentes janela Filtros Fornece uma lista de filtros disponveis no site Protetor de console. Ao selecionar um filtro, voc pode ver o conjunto de atributos com valores que voc pode personalizar e uma descrio do filtro.
f