Produkthandbuch
McAfee Data Exchange Layer 3.0.0 Zur Verwendung mit McAfee ePolicy Orchestrator
COPYRIGHT © 2016 Intel Corporation
MARKEN Intel und das Intel-Logo sind eingetragene Marken der Intel Corporation in den USA und/oder anderen Ländern. McAfee und das McAfee-Logo, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource und VirusScan sind eingetragene Marken oder Marken von McAfee, Inc. oder seinen Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer.
LIZENZINFORMATIONEN LIZENZVEREINBARUNG HINWEIS FÜR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FÜR DIE VON IHNEN ERWORBENE SOFTWARE SORGFÄLTIG DURCH. ER ENTHÄLT DIE ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FÜR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHT WISSEN, WELCHEN SOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN UNTERLAGEN BEZÜGLICH DER LIZENZGEWÄHRUNG ODER DEN BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWARE-PAKET ODER SEPARAT (ALS BROSCHÜRE, DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE AUF DER WEBSEITE VERFÜGBAR IST, VON DER SIE AUCH DAS SOFTWAREPAKET HERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFÜHRTEN BESTIMMUNGEN NICHT EINVERSTANDEN SIND, UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE. SOFERN MÖGLICH, GEBEN SIE DAS PRODUKT AN McAFEE ODER IHREN HÄNDLER BEI VOLLER RÜCKERSTATTUNG DES KAUFPREISES ZURÜCK.
2
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
Inhaltsverzeichnis
Einleitung Informationen zu diesem Handbuch Zielgruppe . . . . . . . Konventionen . . . . . . Quellen für Produktinformationen .
1
5 . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
Einführung
. . . .
5 5 5 6
7
Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 DXL-Cloud-Datenbus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Intel Software Guard Extensions . . . . . . . . . . . . . . . . . . . . . . . . . 9
2
Installieren von Data Exchange Layer
11
Systemanforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Netzwerkübersicht für Data Exchange Layer . . . . . . . . . . . . . . . . . . . . . . . Installieren von DXL 3.0.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installieren der Erweiterungen . . . . . . . . . . . . . . . . . . . . . . . . . Einchecken der DXL-Pakete . . . . . . . . . . . . . . . . . . . . . . . . . . Installieren der DXL-Broker . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellen des Data Exchange Layer-Clients . . . . . . . . . . . . . . . . . . . Überprüfen der Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . Fehlerbehebung für die Installation . . . . . . . . . . . . . . . . . . . . . . . Upgrade auf DXL 3.0.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Durchführen eines Upgrades der Erweiterungen . . . . . . . . . . . . . . . . . . Einchecken der DXL-Pakete . . . . . . . . . . . . . . . . . . . . . . . . . . Upgrade des DXL-Brokers . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfen des Upgrades für den DXL-Broker . . . . . . . . . . . . . . . . . . . Upgrades des DXL-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfen des Upgrades für den DXL-Client . . . . . . . . . . . . . . . . . . .
3
Verwalten von Data Exchange Layer
27
Arbeiten mit Brokern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von DXL-Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Brokern . . . . . . . . . . . . . . . . . . . . . . . . . . . Hinzufügen von Brokern . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hinzufügen von Brokern zu einer DMZ . . . . . . . . . . . . . . . . . . . . . . DXL-Fabric . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anzeigen der DXL-Fabric . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verbinden von Data Exchange Layer-Fabrics über einen Bridge-Computer . . . . . . . . . . . Erstellen einer ausgehenden Bridge . . . . . . . . . . . . . . . . . . . . . . . Erstellen einer eingehenden Bridge . . . . . . . . . . . . . . . . . . . . . . . Importieren von Client-Zertifikaten . . . . . . . . . . . . . . . . . . . . . . . . . . Importieren eines Zertifikats . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen einer Liste der von DXL verwendeten Zertifikate . . . . . . . . . . . . . . Erstellen von DXL-Abfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DXL-Server-Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
McAfee Data Exchange Layer 3.0.0
11 12 13 14 14 14 20 21 22 23 23 24 24 25 25 26
27 28 28 29 29 30 30 31 32 33 34 34 34 35 35
Produkthandbuch
3
Inhaltsverzeichnis
Index
4
McAfee Data Exchange Layer 3.0.0
37
Produkthandbuch
Einleitung
In diesem Handbuch finden Sie die erforderlichen Informationen für die Arbeit mit Ihrem McAfee-Produkt. Inhalt Informationen zu diesem Handbuch Quellen für Produktinformationen
Informationen zu diesem Handbuch In diesem Abschnitt werden die Zielgruppe des Handbuchs, die verwendeten typografischen Konventionen und Symbole sowie die Gliederung des Handbuchs beschrieben.
Zielgruppe Die Dokumentation wurde von McAfee nach eingehender Recherche mit Blick auf die Zielgruppe verfasst. Die Informationen in diesem Handbuch richten sich in erster Linie an: •
Administratoren: Personen, die für die Implementierung und Durchsetzung des Sicherheitsprogramms eines Unternehmens verantwortlich sind.
Konventionen In diesem Handbuch werden folgende typografische Konventionen und Symbole verwendet. Kursiv
Titel eines Buchs, Kapitels oder Themas; neuer Begriff; Hervorhebung
Fett
Hervorgehobener Text
Festbreite
Befehle und anderer Text, den der Benutzer eingibt; Code-Beispiel; angezeigte Nachricht
Narrow Bold
Wörter der Produktoberfläche wie Optionen, Menüs, Schaltflächen und Dialogfelder
Hypertext-blau Link zu einem Thema oder einer externen Website Hinweis: Zusätzliche Informationen, um einen Punkt hervorzuheben, den Leser an etwas zu erinnern oder eine alternative Methode aufzuzeigen Tipp: Best-Practice-Informationen Vorsicht: Wichtiger Hinweis zum Schutz von Computersystemen, Software-Installationen, Netzwerken, Unternehmen oder Daten Warnung: Wichtiger Hinweis, um Verletzungen bei der Verwendung des Hardware-Produkts zu vermeiden
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
5
Einleitung Quellen für Produktinformationen
Quellen für Produktinformationen Im ServicePortal finden Sie Informationen zu veröffentlichten Produkten, unter anderem die Produktdokumentation und technische Hilfsartikel. Vorgehensweise
6
1
Rufen Sie das ServicePortal unter https://support.mcafee.com auf, und klicken Sie auf die Registerkarte Knowledge Center.
2
Klicken Sie im Fenster Knowledge Base unter Inhaltsquelle auf Produktdokumentation.
3
Wählen Sie ein Produkt aus, und klicken Sie dann auf Suchen, um eine Liste der gewünschten Dokumente anzuzeigen.
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
1
Einführung
®
Das McAfee Data Exchange Layer (DXL)-Framework umfasst Client-Software und Broker, durch die bidirektionale Kommunikation zwischen Endpunkten in einem Netzwerk ermöglicht wird. In der gesamten Umgebung werden verschlüsselte Nachrichten empfangen und gesendet, um Aktivitäten, Risiken und Bedrohungen in Echtzeit zu verfolgen.
Überblick DXL ist im Hintergrund für die Kommunikation mit Diensten, Datenbanken, Endpunkten und Anwendungen zuständig. Der DXL-Client wird auf allen verwalteten Endpunkten installiert, damit Informationen zu Bedrohungen sofort an alle anderen Dienste und Geräte weitergegeben werden können. Wenn bei einem blockierten Bedrohungsversuch Malware an einem Endpunkt erkannt wird, kann diese Information sofort an das Gateway und andere Sicherheitskomponenten weitergegeben werden. So wird die Bedrohung isoliert und abgewehrt, bevor sie sich ausbreiten kann. Sie können erkannte und abgewehrte Bedrohungsereignisse anzeigen und sich so ein Bild von der Sicherheit der Umgebung und von möglichen Schwachstellen machen. DXL besteht aus den folgenden Komponenten: •
Broker: Wird auf verwalteten Systemen installiert und zum Weiterleiten von Nachrichten zwischen verbundenen Clients verwendet. Das Threat Intelligence Exchange-Modul ist ein Beispiel für einen verbundenen Client. Mit dem Netzwerk aus Brokern werden aktive Verbraucher verfolgt, und die Weiterleitung der Nachrichten wird nach Bedarf dynamisch angepasst. Wenn ein Client einen Dienst anfordert oder eine Aktualisierung übertragen wird, vermitteln Broker diese Nachrichten. Broker können in Hubs und Dienstzonen organisiert werden. Die DXL-Clients sind unabhängig von ihrem Standort dauerhaft mit den Brokern verbunden. Selbst wenn sich ein verwalteter Endpunkt, auf dem DXL-Client ausgeführt wird, hinter einer NAT-Grenze (Network Address Translation, Netzwerkadressenübersetzung) befindet, kann der Endpunkt aktualisierte Bedrohungsinformationen von seinem Broker auf der anderen Seite der NAT-Grenze empfangen.
•
DXL-Fabric: Besteht aus mehreren DXL-Clients und -Brokern. Sie können DXL-Fabrics, die von verschiedenen McAfee ePolicy Orchestrator (McAfee ePO ) -Servern verwaltet werden, über einen Bridge-Computer verbinden, damit die Dienste aller Fabrics gemeinsam genutzt werden können. ®
•
®
™
Hubs: Enthalten einen oder zwei Broker und bieten Failover-Schutz in einer Umgebung mit mehreren Brokern. Wenn ein Hub über zwei Broker verfügt, werden Aktionen auf beiden gleichzeitig ausgeführt. Wenn ein Broker nicht verfügbar ist, wird seine Funktion vom anderen übernommen.
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
7
1
Einführung Überblick
•
Clients: Clients erhalten und verarbeiten Nachrichten von Brokern. Das Threat Intelligence Exchange-Modul ist ein Beispiel für einen Client. Von den Clients werden ohne API-basierte Integration Informationen in der Fabric abonniert und veröffentlicht.
•
Dienstzonen: Eine Dienstzone ist Brokern und Hubs zugeordnet und wird zum Weiterleiten der Anfragen von Clients verwendet. Mithilfe von Dienstzonen können Sie sicherstellen, dass Dienste von lokalen Ressourcen erbracht werden. Im folgenden Beispiel sind Dienstzonen nach Standort organisiert. Wenn vom TIE-Client eine Anfrage bezüglich der Reputation einer Datei oder eines Zertifikats gesendet wird, wird zuerst in der Dienstzone Portland ein TIE-Server gesucht. Wenn in dieser Zone kein Server verfügbar ist, wird in der Dienstzone Nordamerika gesucht, da der Hub Portland zur Zone Nordamerika gehört. Wenn Sie keine Dienstzonen festlegen, werden die Anfragen möglicherweise zuerst an den Hub Europa oder London gesendet.
Erstellen Sie nach der Installation der DXL-Broker- und Client-Software die Hubs und Zonen für die Broker in Ihrer Umgebung. Außerdem können Sie Hubs und Broker, die von verschiedenen McAfee ePO-Instanzen verwaltet werden, über einen Bridge-Computer verbinden, um den Brokern den Austausch von Informationen über die Fabric zu ermöglichen.
8
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
Einführung Überblick
1
DXL-Cloud-Datenbus DXL-Broker können mithilfe der DXL-Broker-Verwaltungserweiterung so konfiguriert werden, dass Daten über DXL-Clients an den DXL-Cloud-Datenbus gesendet werden, um Produkte zu unterstützen, in denen diese Komponente verwendet wird. Beispielweise können mit McAfee Active Response 2.0-Clients Verfolgungsdaten von verwalteten Endpunkten über den DXL-Broker an den DXL-Cloud-Datenbus gesendet werden. Die auf dem DXL-Cloud-Datenbus empfangenen Verfolgungsdaten werden dann für die Threat Management Platform zur Verfügung gestellt, auf der die Daten analysiert, Probleme erkannt und Bedrohungen in Echtzeit behoben werden. Der DXL-Cloud-Datenbus wird in den DXL-Cloud-Datenbus-Server-Einstellungen konfiguriert, und Broker-Erweiterungen werden in den DXL-Topologie-Server-Einstellungen aktiviert.
Intel Software Guard Extensions Data Exchange Layer unterstützt Intel® Software Guard Extensions (SGX), eine Erweiterung der Intel®-Architektur, die durch einen "Inverse-Sandbox"-Mechanismus die Softwaresicherheit erhöht. Bei diesem Ansatz wird nicht wie gewöhnlich die gesamte Malware auf einer Plattform identifiziert und isoliert. Stattdessen kann legitime Software versiegelt und so vor Malware-Angriffen geschützt werden – unabhängig von den erlangten Berechtigungen der Malware. SGX wird auf SGX-kompatiblen Computern mit dem DXL-Client installiert und aktiviert. Weitere Details zu SGX finden Sie unter Intel Software Guard Extensions.
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
9
1
Einführung Überblick
10
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
2
Installieren von Data Exchange Layer
Installieren Sie den DXL-Client und die -Broker zum ersten Mal, oder führen Sie ein Upgrade von DXL von einer früheren Version durch. Inhalt Systemanforderungen Netzwerkübersicht für Data Exchange Layer Installieren von DXL 3.0.0 Upgrade auf DXL 3.0.0
Systemanforderungen Vergewissern Sie sich, dass die Systemumgebung den folgenden Anforderungen entspricht und dass Sie über Administratorrechte verfügen. Komponente
Produkte
VMware vSphere
Version ESXi 5.1 oder höher
McAfee ePO
5.1.1 oder höher
McAfee ePO Produkterweiterungen und Pakete McAfee Agent 5.0.0 oder höher (eingecheckt) McAfee Agent-Erweiterung 5.0.0 oder höher ®
Auf den einzelnen verwalteten Systemen installierte Produkte
McAfee Agent
5.0.0 oder höher
Betriebssystem Sie können den Data Exchange Layer-Client unter den folgenden Betriebssystemen installieren. Microsoft Windows
Windows 7 (32-Bit und 64-Bit), Windows Embedded 7 Windows 8.0 (32-Bit und 64-Bit), Windows Embedded 8 Windows 8.1 (32-Bit und 64-Bit) Windows 8.1 Update 1/Update 2 (32-Bit und 64-Bit) Windows 10 (32-Bit und 64-Bit) Windows 10.1 (32-Bit und 64-Bit) Windows 10.2 (32-Bit und 64-Bit) Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
11
2
Installieren von Data Exchange Layer Netzwerkübersicht für Data Exchange Layer
Linux-Betriebssysteme
32-/64-Bit Red Hat 6.x oder höher 32-/64-Bit CentOS 6.x oder höher 32-/64-Bit Debian 7.x oder höher 32-/64-Bit Ubuntu 12.x oder höher
Macintosh-Betriebssysteme
OS X
Standalone-DXL-Broker Systemanforderungen für die Installation eines Standalone-DXL-Brokers: Empfohlen •
4 Kerne
•
8 GB RAM
•
20 GB Festplatte
Minimum •
2 Kerne
•
4 GB RAM
•
20 GB Festplatte
Netzwerkübersicht für Data Exchange Layer Vom Data Exchange Layer-Framework werden die folgenden Netzwerkprotokolle und Ports verwendet. Stellen Sie sicher, dass die folgenden Ports geöffnet und für die Verwendung mit DXL verfügbar sind.
12
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
Installieren von Data Exchange Layer Installieren von DXL 3.0.0
2
Installieren von DXL 3.0.0 Befolgen Sie diese Schritte, wenn Sie den DXL-Client und die -Broker erstmals auf einem System installieren. Aufgaben •
Installieren der Erweiterungen auf Seite 14 Installieren Sie die Data Exchange Layer 3.0.0-Erweiterungen auf dem McAfee ePO-Server.
•
Einchecken der DXL-Pakete auf Seite 14 Checken Sie die Data Exchange Layer-Pakete in das Master-Repository auf dem McAfee ePO-Server ein.
•
Installieren der DXL-Broker auf Seite 14 Laden Sie die DXL-Software herunter. Installieren und konfigurieren Sie dann die DXL-Broker mithilfe von VMware vSphere.
•
Bereitstellen des Data Exchange Layer-Clients auf Seite 20 Stellen Sie den DXL-Client auf allen verwalteten Systemen bereit.
•
Überprüfen der Installation auf Seite 21 Wenn Sie die Schritte zur Installation der DXL-Broker-Appliance in VMware abgeschlossen haben, vergewissern Sie sich, dass die Installation erfolgreich war.
•
Fehlerbehebung für die Installation auf Seite 22 McAfee stellt Protokolldateien und Skripts bereit, mit deren Hilfe Sie allgemeine Probleme beheben können, die möglicherweise bei der Installation auftreten.
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
13
2
Installieren von Data Exchange Layer Installieren von DXL 3.0.0
Installieren der Erweiterungen Installieren Sie die Data Exchange Layer 3.0.0-Erweiterungen auf dem McAfee ePO-Server. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1
Wählen Sie Menü | Software | Erweiterungen aus.
2
Klicken Sie auf Erweiterung installieren, und installieren Sie die Erweiterungen in der folgenden Reihenfolge. a
DXL-Broker-Verwaltung
b
DXL-Client
c
DXL-Client-Verwaltung
Einchecken der DXL-Pakete Checken Sie die Data Exchange Layer-Pakete in das Master-Repository auf dem McAfee ePO-Server ein. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1
Wählen Sie Menü | Master-Repository aus, und klicken Sie dann auf Paket einchecken.
2
Checken Sie diese DXL 3.0.0-Pakete ein: •
DXL-Client
•
DXL-Broker
•
DXL-Plattform
Installieren der DXL-Broker Laden Sie die DXL-Software herunter. Installieren und konfigurieren Sie dann die DXL-Broker mithilfe von VMware vSphere. Aufgaben •
Herunterladen der DXL-Software auf Seite 14 Laden Sie die DXL-Software manuell von der McAfee-Website für Produkt-Downloads herunter, oder verwenden Sie den McAfee-Software-Manager.
•
Installieren der DXL-Appliance auf Seite 15 Installieren und konfigurieren Sie die DXL-Broker.
Herunterladen der DXL-Software Laden Sie die DXL-Software manuell von der McAfee-Website für Produkt-Downloads herunter, oder verwenden Sie den McAfee-Software-Manager.
14
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
Installieren von Data Exchange Layer Installieren von DXL 3.0.0
2
Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. •
Laden Sie die DXL-Software mit einer der folgenden Methoden herunter, und installieren Sie sie: •
Klicken Sie im Software-Manager auf McAfee Data Exchange Layer 3.0, und checken Sie anschließend die DXL-Paketkomponente ein. Damit werden automatisch alle notwendigen DXL-Erweiterungen und -Pakete heruntergeladen und installiert.
•
Für die manuelle Installation laden Sie die Dateien für McAfee Data Exchange Layer 3.0 von der McAfee-Website für Produkt-Downloads herunter. Checken Sie dann die Data Exchange Layer-Erweiterungen und -Pakete in McAfee ePO ein. Die Broker-Appliance wird mithilfe von VMware vSphere (OVA-Datei) oder über die DXL-Broker-Datei (ISO-Datei) installiert. Laden Sie eine der Dateien der Broker-Appliance herunter, und speichern Sie sie lokal, bevor Sie fortfahren.
Installieren der DXL-Appliance Installieren und konfigurieren Sie die DXL-Broker. Bevor Sie beginnen Die DXL-Appliance ist im Software-Manager und auf der McAfee-Download-Seite verfügbar. Es stehen zwei Optionen zur Verfügung: OVA und ISO. Beide Versionen sind ZIP-Dateien und müssen vor der Installation extrahiert werden. Vorgehensweise 1
Je nachdem, welche Appliance-Option Sie heruntergeladen haben, führen Sie einen der folgenden Schritte durch: •
Wenn Sie die ISO-Komponente des DXL-Brokers heruntergeladen haben, installieren Sie die Appliance mithilfe der ISO-Datei auf einer unterstützten Plattform.
•
Wenn Sie die OVA-Komponente des DXL-Brokers heruntergeladen haben, öffnen Sie den VMware vSphere-Client, und klicken Sie auf File (Datei) | Deploy OVF Template (OVF-Vorlage bereitstellen). Wechseln Sie auf Ihrem Computer zur OVA-Datei für DXL, und wählen Sie sie aus. Klicken Sie auf Next (Weiter) und schließen Sie die Schritte im Assistenten ab. Aktivieren Sie anschließend die virtuelle Maschine, und öffnen Sie ein Konsolenfenster.
Die erste Seite des Installationsassistenten wird angezeigt.
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
15
2
Installieren von Data Exchange Layer Installieren von DXL 3.0.0
2
16
Lesen und akzeptieren Sie den Lizenzvertrag. Drücken Sie die Eingabetaste, um die einzelnen Seiten anzuzeigen.
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
Installieren von Data Exchange Layer Installieren von DXL 3.0.0
3
Erstellen Sie ein Root-Kennwort für die Appliance. Das Kennwort muss aus mindestens neun Zeichen bestehen.
4
Geben Sie den Namen des Betriebskontos, den tatsächlichen Namen und das Kennwort ein. Wechseln Sie dabei mit der TAB-Taste zum jeweils nächsten Feld. Drücken Sie anschließend die Taste Y, um fortzufahren.
2
Der Kontoname wird normalerweise nach dem Schema mmustermann festgelegt und für die Anmeldung sowie zum Verwalten der Appliance verwendet. Der tatsächliche Name ist Ihr vollständiger Name, beispielsweise Max Mustermann.
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
17
2
18
Installieren von Data Exchange Layer Installieren von DXL 3.0.0
5
Geben Sie auf der Seite für die Netzwerkauswahl N ein, um fortzufahren.
6
Wählen Sie einen Konfigurationstyp aus, und geben Sie dann Y ein, um fortzufahren. •
DHCP: Geben Sie D ein.
•
Manuelle IP-Adresse: Geben Sie M und dann die verbleibenden Informationen ein.
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
Installieren von Data Exchange Layer Installieren von DXL 3.0.0
2
7
Geben Sie den Host-Namen und den Domänennamen des Computers ein, auf dem Sie die Appliance installieren. Geben Sie Y ein, um fortzufahren.
8
Geben Sie maximal drei NTP-Server zum Synchronisieren der Uhrzeit der Appliance ein. Verwenden Sie den aufgeführten Standard-Server, oder geben Sie die Adressen von maximal drei Servern ein. Geben Sie Y ein, um fortzufahren.
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
19
2
Installieren von Data Exchange Layer Installieren von DXL 3.0.0
9
Geben Sie die IP-Adresse oder den vollqualifizierten Domänennamen, den Port und Kontoinformationen für den McAfee ePO-Server ein. Das Benutzerkonto muss über Administratorrechte verfügen. Geben Sie Y ein, um fortzufahren.
10 Geben Sie den von DXL verwendeten Port an. Verwenden Sie den Standardport, oder geben Sie eine Portnummer aus dem angezeigten Bereich ein. Geben Sie dann Y ein, um fortzufahren.
11 Wenn der Anmeldebildschirm angezeigt wird, schließen Sie ihn. Lesen Sie unter Überprüfen der Installation nach, wie Sie sich vergewissern, dass der DXL-Broker erfolgreich installiert wurde.
Bereitstellen des Data Exchange Layer-Clients Stellen Sie den DXL-Client auf allen verwalteten Systemen bereit. Bevor Sie beginnen Wenn Sie den DXL-Client auf einem unterstützten Linux-System (64-Bit) bereitstellen, führen Sie die folgenden Schritte vor der Bereitstellung auf dem System aus:
20
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
Installieren von Data Exchange Layer Installieren von DXL 3.0.0
•
Geben Sie für CentOS- und Red Hat-Systeme Folgendes ein: sudo yum install glibc.i686 libstdc++.i686
•
Geben Sie für Debian- und Ubuntu-Systeme Folgendes ein: sudo apt-get install lib32stdc++6
2
Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1
Wählen Sie in McAfee ePO die Optionen Menü | Software | Produktbereitstellung aus, und klicken Sie dann auf Neue Bereitstellung.
2
Geben Sie die Informationen für die neue Bereitstellung ein, und starten Sie dann die Bereitstellung.
Details zum Bereitstellen von Software in McAfee ePO finden Sie im McAfee ePolicy Orchestrator-Produkthandbuch.
Überprüfen der Installation Wenn Sie die Schritte zur Installation der DXL-Broker-Appliance in VMware abgeschlossen haben, vergewissern Sie sich, dass die Installation erfolgreich war. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1
Vergewissern Sie sich auf der Hauptseite der Systemstruktur, dass der Broker aufgeführt wird und als DXLBROKER gekennzeichnet ist. Wenn der Broker nicht als DXLBROKER gekennzeichnet ist, führen Sie den Server-Task DXL-Broker verwalten aus.
2
Wählen Sie in der Systemstruktur den Namen des DXL-Brokers aus, und klicken Sie dann auf die Registerkarte Produkte. Vergewissern Sie sich, dass der DXL-Broker und die Version aufgeführt sind. a
Wenn der DXL-Broker und die Version nicht aufgeführt sind, klicken Sie auf Agenten reaktivieren.
b
Wählen Sie auf der Seite McAfee Agent reaktivieren die Option Vollständige Richtlinien- und Task-Aktualisierung erzwingen aus, und klicken Sie dann auf OK. Das Senden der Broker-Eigenschaften an die Appliance kann ein paar Minuten dauern.
Wenn die Installation erfolgreich war, sind die installierten Broker als DXLBROKER gekennzeichnet, und auf der Registerkarte Produkte wird die richtige Version von DXL angezeigt. Sie können auch auf das McAfee-Schildsymbol in der Windows-Taskleiste klicken. Unter der Überschrift McAfee Data Exchange Layer sehen Sie, ob der Broker verbunden ist. Aufgaben •
Überprüfen des Status von Intel Software Guard Extensions auf Seite 22 Intel Software Guard Extensions (SGX) wird mit dem DXL-Client installiert und aktiviert.
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
21
2
Installieren von Data Exchange Layer Installieren von DXL 3.0.0
Überprüfen des Status von Intel Software Guard Extensions Intel Software Guard Extensions (SGX) wird mit dem DXL-Client installiert und aktiviert. SGX wird nur auf SGX-kompatiblen Computern mit Windows-Betriebssystem installiert. Sie können überprüfen, ob ein Computer SGX-kompatibel ist und ob SGX aktiviert ist. •
Um herauszufinden, ob SGX auf einem bestimmten Computer installiert ist, öffnen Sie die Windows-Systemsteuerung auf dem Computer, und suchen Sie die Intel Software Guard Extensions-Plattformsoftware in der Liste Programme und Funktionen.
•
Um herauszufinden, ob SGX auf einem bestimmten DXL-Client-System aktiviert oder deaktiviert ist, wählen Sie in der McAfee ePO-Systemstruktur das System aus, auf dem der DXL-Client installiert ist. Klicken Sie anschließend auf die Registerkarte Produkte. Im SGX-Abschnitt wird angezeigt, ob das System SGX-kompatibel ist und ob SGX aktiviert ist.
Fehlerbehebung für die Installation McAfee stellt Protokolldateien und Skripts bereit, mit deren Hilfe Sie allgemeine Probleme beheben können, die möglicherweise bei der Installation auftreten.
Zugreifen auf Protokolldateien Zeigen Sie bei der Fehlerbehebung im Zusammenhang mit Installationsproblemen die Protokolldateien an. Halten Sie diese Dateien bereit, wenn Sie sich an den technischen Support wenden. /var/log/dxlbroker‑3.0.0‑.log /var/log/DXLPlatform‑3.0.0‑.log
Neukonfigurieren der Installation mithilfe von Skripts Sie können die DXL-Broker und McAfee Agent mithilfe von Skripts neu konfigurieren. Die Skripts befinden sich im Verzeichnis /home/. Sie müssen mit sudo-Berechtigungen ausgeführt werden, beispielsweise sudo /home/meinName/reconfig‑dxl. Skriptname
Beschreibung
Neustart?
change-hostname Ändert den Host-Namen der aktuellen DXL-Broker-Appliance. Dabei Empfohlen werden McAfee Agent und der Broker neu gestartet. change-services
Nein
Aktiviert oder deaktiviert den DXL-Broker. Wenn der Broker beim ersten Start deaktiviert war, werden Sie vom Skript aufgefordert, Informationen zur Konfiguration des Brokers anzugeben.
reconfig-dxl
Konfiguriert den DXL-Port neu.
Nein
reconfig-ma
Konfiguriert McAfee Agent neu.
Empfohlen
Der Agent und die DXL-Broker-Dienste werden neu gestartet. Beim Starten des Diensts werden neue Schlüsselspeicher generiert. Bevor Sie dieses Skript verwenden, lesen Sie wichtige Informationen in diesem Knowledge Base-Artikel: KB85043
22
reconfig-network Konfiguriert die aktuelle Netzwerkschnittstelle neu (von DHCP in Manuell oder von Manuell in DHCP).
Erforderlich
reconfig-ntp
Nein
Konfiguriert die NTP-Server neu.
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
Installieren von Data Exchange Layer Upgrade auf DXL 3.0.0
2
Upgrade auf DXL 3.0.0 Führen Sie ein Upgrade von einer früheren Version von Data Exchange Layer durch. Erstellen Sie vor dem Upgrade auf Data Exchange Layer 3.0.0 im VMware vSphere-Client einen Snapshot der virtuellen Maschine. Anweisungen hierzu finden Sie in der Dokumentation zu VMware vSphere.
Installieren Sie die Produktdateien für die Version 3.0.0 mithilfe einer der folgenden Methoden: •
Klicken Sie im Software-Manager auf McAfee Data Exchange Layer 3.0, und checken Sie anschließend die DXL-Paketkomponente ein. Damit werden automatisch alle notwendigen DXL-Erweiterungen und -Pakete heruntergeladen und installiert.
•
Für die manuelle Installation laden Sie die Dateien für Data Exchange Layer 3.0.0 von der McAfee-Website für Produkt-Downloads herunter. Checken Sie die Pakete in das Master-Repository ein. Checken Sie außerdem die Erweiterungen über die Seite Erweiterungen ein. Führen Sie die Schritte in der genannten Reihenfolge aus, um das Upgrade erfolgreich abzuschließen.
Aufgaben •
Durchführen eines Upgrades der Erweiterungen auf Seite 23 Installieren Sie die Data Exchange Layer 3.0.0-Erweiterungen auf dem McAfee ePO-Server.
•
Einchecken der DXL-Pakete auf Seite 14 Checken Sie die Data Exchange Layer-Pakete in das Master-Repository auf dem McAfee ePO-Server ein.
•
Upgrade des DXL-Brokers auf Seite 24 Zum Durchführen eines Upgrades der Broker von DXL 3.0.0 in der Appliance erstellen Sie einen Client-Task, der einen Produktbereitstellungs-Task in McAfee ePO enthält.
•
Überprüfen des Upgrades für den DXL-Broker auf Seite 25 Vergewissern Sie sich nach Abschluss des DXL-Upgrades, dass der Vorgang erfolgreich war.
•
Upgrades des DXL-Clients auf Seite 25 Führen Sie auf jedem der verwalteten Systeme das Upgrade des DXL-Clients auf die Version 3.0.0 durch.
•
Überprüfen des Upgrades für den DXL-Client auf Seite 26 Vergewissern Sie sich nach Abschluss des Upgrades für den DXL-Client, dass das Upgrade erfolgreich war.
Durchführen eines Upgrades der Erweiterungen Installieren Sie die Data Exchange Layer 3.0.0-Erweiterungen auf dem McAfee ePO-Server. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1
Wählen Sie Menü | Software | Erweiterungen aus.
2
Klicken Sie auf Erweiterung installieren, und installieren Sie die Erweiterungen in der folgenden Reihenfolge. a
DXL-Broker-Verwaltung
b
DXL-Client
c
DXL-Client-Verwaltung
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
23
2
Installieren von Data Exchange Layer Upgrade auf DXL 3.0.0
Einchecken der DXL-Pakete Checken Sie die Data Exchange Layer-Pakete in das Master-Repository auf dem McAfee ePO-Server ein. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1
Wählen Sie Menü | Master-Repository aus, und klicken Sie dann auf Paket einchecken.
2
Checken Sie diese DXL 3.0.0-Pakete ein: •
DXL-Client
•
DXL-Broker
•
DXL-Plattform
Upgrade des DXL-Brokers Zum Durchführen eines Upgrades der Broker von DXL 3.0.0 in der Appliance erstellen Sie einen Client-Task, der einen Produktbereitstellungs-Task in McAfee ePO enthält. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1
Wählen Sie Menü | Richtlinie | Client-Task-Katalog aus.
2
Wählen Sie McAfee Agent aus, und klicken Sie dann auf Neuer Task.
3
Wählen Sie im Fenster Neuer Task die Option Produktbereitstellung aus, und klicken Sie dann auf OK.
4
Geben Sie die Informationen für die neue Bereitstellung des DXL-Brokers ein. Vergewissern Sie sich, dass für die Option Zielplattformen nur McAfee Linux OS ausgewählt ist. Erstellen Sie für jedes Paket einen Task. Die Pakete müssen in dieser Reihenfolge aktualisiert werden: Wenn Sie die Broker-Appliance anfänglich mithilfe der OVA-Datei für TIE erstellt haben, führen Sie das Upgrade nur für den Broker durch (die Plattformaktualisierungen kommen von Threat Intelligence Exchange). Wenn Sie die Broker-Appliance mithilfe der OVA- oder ISO-Datei für DXL installiert haben, führen Sie das Upgrade für die Plattform und den Broker durch.
5
24
a
DXL-Plattform
b
DXL-Broker
Speichern Sie den Task, und führen Sie ihn für den DXL-Broker aus.
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
Installieren von Data Exchange Layer Upgrade auf DXL 3.0.0
6
Wählen Sie in der Systemstruktur einen Namen des DXL-Brokers aus, und klicken Sie dann auf die Registerkarte Eigenschaften.
7
Klicken Sie auf Agenten reaktivieren, und wählen Sie Vollständige Richtlinien- und Task-Aktualisierung erzwingen aus. Das Senden der Broker-Eigenschaften an die Appliance kann ein paar Minuten dauern.
2
Die Protokolldateien befinden sich hier:
/var/log/dxlbroker‑3.0.0‑.log /var/log/DXLPlatform‑3.0.0‑.log /var/McAfee/dxlbroker/logs/ipe‑start.log /var/McAfee/dxlbroker/logs/ipe.log
Überprüfen des Upgrades für den DXL-Broker Vergewissern Sie sich nach Abschluss des DXL-Upgrades, dass der Vorgang erfolgreich war. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1
Vergewissern Sie sich auf der Hauptseite der Systemstruktur, dass der aktualisierte Broker aufgeführt wird und als DXLBROKER gekennzeichnet ist. Wenn dies nicht der Fall ist, führen Sie den Server-Task DXL-Broker verwalten aus.
2
Wählen Sie in der Systemstruktur den Namen des DXL-Brokers aus, und klicken Sie dann auf die Registerkarte Produkte. Vergewissern Sie sich, dass der aktualisierte DXL-Broker und die Version aufgeführt sind. a
Wenn der DXL-Broker und die Version nicht aufgeführt sind, klicken Sie auf Agenten reaktivieren.
b
Wählen Sie Vollständige Richtlinien- und Task-Aktualisierung erzwingen aus, und klicken Sie dann auf OK. Das Senden der Broker-Eigenschaften an die Appliance kann ein paar Minuten dauern.
c
Wenn das Tag DXLBROKER in der Systemstruktur nicht angezeigt wird, führen Sie den Server-Task DXL-Broker verwalten erneut aus.
Wenn die Installation erfolgreich war, wird auf der Registerkarte Produkte die richtige Version von DXL angezeigt, und die installierten Broker sind als DXLBROKER gekennzeichnet.
Upgrades des DXL-Clients Führen Sie auf jedem der verwalteten Systeme das Upgrade des DXL-Clients auf die Version 3.0.0 durch. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1
Wählen Sie Menü | Richtlinie | Client-Task-Katalog aus.
2
Wählen Sie McAfee Agent aus, und klicken Sie dann auf Neuer Task.
3
Wählen Sie Produktbereitstellung aus, und klicken Sie dann auf OK.
4
Geben Sie die Informationen für die neue Bereitstellung ein: Wählen Sie in der Liste Produkte und Komponenten die Option Data Exchange Layer-Client aus.
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
25
2
Installieren von Data Exchange Layer Upgrade auf DXL 3.0.0
5
Speichern Sie den Task, und führen Sie ihn auf jedem der verwalteten Systeme aus. Je nach Auslastung des McAfee ePO-Servers müssen Sie möglicherweise einige Minuten warten, bis der Task abgeschlossen ist.
6
Wählen Sie in der Systemstruktur das DXL-Client-System aus, und klicken Sie dann auf die Registerkarte Produkte.
7
Klicken Sie auf Agenten reaktivieren, und wählen Sie Vollständige Richtlinien- und Task-Aktualisierung erzwingen aus. Das Senden der Client-Eigenschaften an den McAfee ePO-Server kann ein paar Minuten dauern.
Überprüfen des Upgrades für den DXL-Client Vergewissern Sie sich nach Abschluss des Upgrades für den DXL-Client, dass das Upgrade erfolgreich war. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen.
26
1
Wählen Sie in der Systemstruktur ein DXL-Client-System aus, und klicken Sie dann auf die Registerkarte Produkte.
2
Vergewissern Sie sich, dass der aktualisierte DXL 3.0.0-Client und die Version aufgeführt sind.
3
Wählen Sie ein DXL-Client-System aus, und wählen Sie im Menü Aktionen die Optionen DXL | Suche in DXL aus. Vergewissern Sie sich, dass der Verbindungsstatus Verbunden angezeigt wird.
4
Sie können auch auf das McAfee-Schildsymbol in der Windows-Taskleiste klicken. Unter der Überschrift McAfee Data Exchange Layer sehen Sie, ob der Broker verbunden ist.
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
3
Verwalten von Data Exchange Layer
Data Exchange Layer umfasst einen Client und Broker für bidirektionale Kommunikation zwischen Endpunkten in einem Netzwerk. Sie können Broker nach Bedarf für Ihre Umgebung hinzufügen und anordnen. Inhalt Arbeiten mit Brokern DXL-Fabric Verbinden von Data Exchange Layer-Fabrics über einen Bridge-Computer Importieren von Client-Zertifikaten Erstellen von DXL-Abfragen DXL-Server-Tasks
Arbeiten mit Brokern Die Data Exchange Layer-Broker können in Hubs und Dienstzonen angeordnet werden, um festzulegen, wie auf die Broker zugegriffen wird. Broker werden auf verwalteten Systemen installiert und zum Weiterleiten von Nachrichten zwischen Sicherheitsprodukten verwendet, die in die DXL-Fabric integriert sind. Im Netzwerk aus Brokern werden aktive Clients verfolgt, und die Weiterleitung der Nachrichten wird nach Bedarf dynamisch angepasst.
Anordnen von Brokern Broker können in Hubs angeordnet werden. Durch diese wird verwaltet, wie auf Broker zugegriffen wird, und in einer Umgebung mit mehreren Brokern wird Failover-Schutz bereitgestellt. Wenn ein Hub über zwei Broker verfügt, werden Aktionen auf beiden gleichzeitig ausgeführt. Wenn ein Broker nicht verfügbar ist, wird seine Funktion vom anderen übernommen. Sie können beliebig viele Hubs erstellen. Ein Broker kann jedoch nur einem Hub zugewiesen sein. Sie können Broker und Hubs in Dienstzonen anordnen, um den Zugriff auf Server genauer festzulegen. Wenn sich beispielsweise mehrere Threat Intelligence Exchange-Server und -Broker an verschiedenen geografischen Standorten befinden, können Sie Dienstzonen für Server und Broker erstellen. Von den Clients in einer Dienstzone wird zuerst auf die Server in der gleichen Zone zugegriffen. Wenn diese Server nicht verfügbar sind, wird auf die Server in anderen Zonen zugegriffen. Wenn Sie keine Dienstzonen verwenden, können Client-Anfragen an einen beliebigen Server an einem beliebigen Standort gesendet werden.
Tools für das Arbeiten mit Brokern Mit der Funktion Data Exchange Layer-Fabric können Sie die Broker-Topologie in der Umgebung anzeigen. Sie sehen schnell, wie die Broker verbunden sind und verwaltet werden. Darüber hinaus können Sie sehen, wie viele Clients mit einem bestimmten Broker verbunden sind. Auf diese Weise können Sie ermitteln, ob in der Umgebung mehr Broker benötigt werden.
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
27
3
Verwalten von Data Exchange Layer Arbeiten mit Brokern
Zum Erhöhen oder Verringern der Anzahl der Clients, die mit einem Broker verbunden werden können, ändern Sie die Einstellungen unter Client-Verbindungsbeschränkung in der McAfee DXL-Broker-Verwaltungsrichtlinie.
Konfigurieren von DXL-Richtlinien DXL-Richtlinieneinstellungen werden vom DXL-Client auf verwalteten Systemen verwendet, auf denen die Richtlinie zugewiesen ist. Die Richtlinieneinstellungen ermöglichen die Auswahl eines bestimmten Brokers oder Hubs, mit dem eine Verbindung zum DXL-Client hergestellt wird. Mithilfe von Richtlinien können Sie festlegen, auf welche Broker für bestimmte verwaltete Systeme zugegriffen werden kann. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1
Wählen Sie Menü | Richtlinie | Richtlinienkatalog aus.
2
Wählen Sie in der Produktliste McAfee DXL-Client aus.
3
Klicken Sie in der Zeile My Default auf Duplizieren, um eine Richtlinie zu erstellen.
4
Geben Sie einen Namen und eine kurze Beschreibung für die neue Richtlinie ein, und klicken Sie dann auf OK.
5
Füllen Sie die Felder auf der Seite Richtlinienkatalog aus. Details zu den einzelnen Feldern finden Sie in der Online-Hilfe.
Nachdem Sie eine Richtlinie erstellt haben, weisen Sie sie verwalteten Systemen zu. Damit können Sie die Kommunikation zwischen dem DXL-Client auf diesen Systemen und den Brokern und Hubs steuern.
Konfigurieren von Brokern Wenn Sie auf mehreren Systemen DXL-Broker installiert haben, können Sie eine Hierarchie aus Brokern erstellen, um Failover-Schutz bereitzustellen, für den Fall, dass Broker nicht verfügbar sind. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1
Wählen Sie Menü | Konfiguration | Server-Einstellungen | DXL-Topologie aus.
2
Wählen Sie Bearbeiten aus, um Hubs und Dienstzonen zu erstellen und Broker zuzuweisen. Die Optionen auf der Seite hängen davon ab, ob Sie einen Broker oder einen Hub ausgewählt haben. Nicht zugewiesene Broker werden unter den Hubs aufgeführt.
3
Wählen Sie im Menü Aktionen ein Element aus, um einen Hub zu erstellen oder zu löschen oder einen Broker von seinem aktuellen Hub zu trennen.
Details zum Verbinden von DXL-Brokern, die von verschiedenen McAfee ePO-Servern verwaltet werden, finden Sie unter Verbinden von DXL-Brokern über einen Bridge-Computer.
28
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
3
Verwalten von Data Exchange Layer Arbeiten mit Brokern
Hinzufügen von Brokern Wenn Sie neue Endpunkte und Systeme hinzufügen, können Sie weitere Broker in der Umgebung installieren. Vorgehensweise 1
Führen Sie die Installation der DXL-Appliance aus. Sie können Broker auf einem System, auf dem bereits Broker ausgeführt werden, oder auf einem anderen System installieren.
2
Wählen Sie auf der Seite Dienstauswahl die Option DXL-Broker aus, und schließen Sie die Broker-Installation ab. Details zum Installieren von Brokern finden Sie unter Installieren von Data Exchange Layer.
Hinzufügen von Brokern zu einer DMZ Sie können Data Exchange Layer Broker in einer demilitarisierten Zone (DMZ) installieren, in der öffentlich zugängliche Server nicht zulässig sind. Durch Installieren eines Brokers in der DMZ ermöglichen Sie Remote-Benutzern den Zugriff auf Informationen aus Produkten, von denen DXL verwendet wird, beispielsweise Threat Intelligence Exchange. Dazu benötigen Sie einen Agenten-Handler in der DMZ, und das Netzwerk muss so konfiguriert sein, dass dies unterstützt wird. Durch die Kommunikation zwischen McAfee ePO und dem DXL-Broker werden über den Agenten auf dem Broker Informationen zur Konfiguration, zu Richtlinien und zur Leistung weitergegeben.
Zum Verwenden eines DXL-Brokers in einer DMZ sind Firewall-Regeln erforderlich. Außerdem muss das DXL-Framework so strukturiert sein, dass die Kommunikation von Brokern in der DMZ mit Brokern im internen Netzwerk zulässig ist. Diese Struktur können Sie auf der Seite DXL-Topologie erstellen. (Um auf die Seite DXL-Topologie zuzugreifen, wählen Sie Menü | Konfiguration | Server-Einstellungen | DXL-Topologie aus.) In diesem Diagramm werden die verwendeten Standardports gezeigt.
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
29
3
Verwalten von Data Exchange Layer DXL-Fabric
DXL-Fabric Hier sehen Sie auf einen Blick alle DXL-Broker in der Umgebung. Sie sehen den Status, die Art der Verbindung, die unterstützten Clients und andere Details. Es gibt mehrere Ansichten, in denen Sie die Broker-Fabric auf unterschiedliche Weise anzeigen können: •
Aktueller Verbindungsstatus aller Broker
•
Von verschiedenen McAfee ePO-Instanzen verwaltete Broker
•
Broker nach Hub
•
Broker nach verbundenen Clients
Sie können für alle Broker in der Fabric unter anderem detaillierte Eigenschaften, Informationen zu Bridges und registrierte Dienste abrufen.
Anzeigen der DXL-Fabric Sie können alle Broker in der Umgebung sowie die Verbindungen, den Status und detaillierte Informationen anzeigen. Bevor Sie beginnen Die Seite für die DXL-Fabric kann nur angezeigt werden, und Sie benötigen Berechtigungen für den Zugriff. Zum Festlegen von Berechtigungen für den Zugriff auf die Fabric verwenden Sie den Berechtigungssatz für die McAfee DXL-Fabric in McAfee ePO.
30
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
Verwalten von Data Exchange Layer Verbinden von Data Exchange Layer-Fabrics über einen Bridge-Computer
3
Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1
Wählen Sie Menü | Systeme | Data Exchange Layer-Fabric aus.
2
Wählen Sie in der Dropdown-Liste Anzeigen aus, wie die Informationen angeordnet sein sollen. •
Zum Ändern der Größe der Elemente auf der Seite können Sie das Mausrad verwenden.
•
Um alle Elemente der Fabric-Ansicht an die Seitengröße anzupassen, doppelklicken Sie mit der Maus.
3
Wählen Sie in der Dropdown-Liste Beschriftung den Typ der Beschriftungen aus, die Sie anzeigen möchten.
4
Klicken Sie auf einen Broker, um auf den Registerkarten Eigenschaften, Bridges, Dienste und Erweiterungen entsprechende detaillierte Informationen anzuzeigen. Erweiterungen sind zusätzliche Funktionen, die auf einem DXL-Broker aktiviert werden können, um Funktionen von anderen verwalteten Produkten hinzuzufügen. Auf der Registerkarte Erweiterungen werden Details zu aktivierten Erweiterungen für den Broker angezeigt.
Verbinden von Data Exchange Layer-Fabrics über einen BridgeComputer Durch Verbinden von DXL-Fabrics über eine Bridge wird die Kommunikation zwischen von verschiedenen McAfee ePO-Servern verwalteten DXL-Brokern ermöglicht, damit Clients und Dienste von diesen gemeinsam genutzt werden können. Wenn beispielsweise Threat Intelligence Exchange und mindestens ein DXL-Broker von mehreren McAfee ePO-Instanzen verwaltet werden, können Sie die Broker mithilfe einer Bridge zwischen ihren Fabrics verbinden. Sie können dann standortunabhängig die ausgeführten Dateien sehen und die zugehörigen Reputationsinformationen freigeben. Zum Verbinden von DXL-Broker-Fabrics erstellen Sie eingehende und ausgehende Bridges zwischen den Brokern, die von verschiedenen McAfee ePO-Servern verwaltet werden.
Prozess für das Verbinden von DXL-Fabrics über einen Bridge-Computer Das Verbinden von DXL-Fabrics über Bridges umfasst mehrere Schritte, durch die die Verbindungen und die Kommunikation zwischen den von verschiedenen McAfee ePO-Servern verwalteten DXL-Brokern sichergestellt wird. Die Broker-Informationen der Systeme mit Bridges müssen jeweils exportiert und importiert werden.
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
31
3
Verwalten von Data Exchange Layer Verbinden von Data Exchange Layer-Fabrics über einen Bridge-Computer
In diesem Beispiel verfügt McAfee ePO 1 über einen Hub der obersten Ebene mit zwei Brokern. Außerdem ist ein Broker vorhanden, der vom TIE-Dienst verwendet wird und über den verwaltete Endpunkte verbunden werden. McAfee ePO 2 hat einen Hub mit zwei Brokern, die vom TIE-Dienst und von verwalteten Endpunkten verwendet werden. Zum Verbinden der Broker über eine Bridge, um die gemeinsame Nutzung von Clients und Diensten zu ermöglichen, erstellen Sie eine eingehende Bridge auf McAfee ePO 1 und eine ausgehende Bridge auf McAfee ePO 2. Die Bridge-Erstellung muss auf Hub-Ebene ausgeführt werden. Sie können eine Bridge nicht über einen einzigen Broker erstellen.
Verbinden vorhandener TIE-Server und -Datenbanken über einen Bridge-Computer Wenn Sie vorhandene TIE-Server und -Datenbanken über verschiedene McAfee ePO-Server verwalten, können Sie diese über eine Bridge verbinden, um Reputationsinformationen gemeinsam zu nutzen. Sie können für die DXL-Fabric nur einen TIE-Master oder eine primäre TIE-Datenbank verwenden. Details hierzu finden Sie im KnowledgeBase-Artikel KB83896.
Erstellen einer ausgehenden Bridge Wenn Sie einen DXL-Hub als ausgehende Bridge festlegen, können Broker in diesem Hub mit den von einem anderen McAfee ePO-Server verwalteten Brokern verbunden werden. Für jeden McAfee ePO-Server kann nur ein Hub als ausgehender Bridge-Hub festgelegt sein. Außerdem muss sich dieser Hub auf der obersten Ebene in der DXL-Topologie befinden, und es muss ihm mindestens ein Broker zugewiesen sein. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen.
32
1
Wählen Sie Menü | Konfiguration | Server-Einstellungen | DXL-Topologie aus.
2
Wählen Sie auf der Seite DXL-Topologie die Option Bearbeiten aus.
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
3
Verwalten von Data Exchange Layer Verbinden von Data Exchange Layer-Fabrics über einen Bridge-Computer
3
Wählen Sie in der Topologiestruktur den Hub der obersten Ebene aus. Wählen Sie im Menü Aktionen die Option Ausgehende Bridge erstellen – Remote-ePO-Hub aus. Der Hub wird in Rot hervorgehoben (Status Ungültig), bis er über eine Bridge mit einem Hub auf einem Remote-System verbunden wird.
4
Klicken Sie auf Lokale Hub-Informationen exportieren, um eine Datei mit Informationen zu den Brokern des Hubs zu erstellen. Speichern Sie die Datei an einem Speicherort, der für Remote-Systeme verfügbar ist.
5
Führen Sie auf dem McAfee ePO-Remote-Server, zu dem Sie die Bridge erstellen, die folgenden Schritte aus:
6
a
Wählen Sie im Menü Aktionen die Option Eingehende Bridge erstellen – Remote-ePO-Hub aus.
b
Wählen Sie einen Hub für die Bridge zum ausgehenden Hub aus, klicken Sie dann auf Remote-Hub-Informationen importieren, und navigieren Sie zu der Datei. Dadurch wird eine eingehende Bridge erstellt.
c
Klicken Sie auf Lokale Hub-Informationen exportieren, um eine Datei mit Informationen zu den Brokern zu erstellen.
Klicken Sie auf dem lokalen System auf Remote-Hub-Informationen importieren, und navigieren Sie zu der durch das Remote-System erstellten Datei.
Der lokale Hub und der Remote-Hub verfügen nun über die Broker-Informationen, die zum Kommunizieren und zum gemeinsamen Nutzen von Informationen über das DXL-Framework notwendig sind.
Erstellen einer eingehenden Bridge Wenn Sie einen Hub als eingehende Bridge festlegen, können Broker, die von einem McAfee ePO-Remote-System verwaltet werden, mit lokalen DXL-Brokern verbunden werden. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1
Wählen Sie Menü | Konfiguration | Server-Einstellungen | DXL-Topologie aus.
2
Klicken Sie auf der Seite DXL-Topologie auf die Option Bearbeiten.
3
Wählen Sie in der Topologiestruktur den Hub der obersten Ebene aus. Wählen Sie im Menü Aktionen die Optionen Eingehende Bridge erstellen – Remote-ePO-Hub aus, um unterhalb des Hubs der obersten Ebene einen leeren Hub zu erstellen. Dieser dient als Platzhalter für die Informationen zur Broker-Topologie, die von McAfee ePO-Remote-Systemen empfangen werden, wenn diese über eine Bridge mit dem lokalen System verbunden werden. Der Hub ist in Rot hervorgehoben (Status ungültig), bis die Informationen von einem Remote-System hochgeladen werden.
4
Klicken Sie auf Remote-Hub-Informationen importieren, und navigieren Sie zu der vom McAfee ePO-Remote-Server erstellten Datei der ausgehenden Bridge. Die Datei enthält Informationen zu den zugehörigen Brokern. Sie können Dateien von verschiedenen McAfee ePO-Servern importieren.
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
33
3
Verwalten von Data Exchange Layer Importieren von Client-Zertifikaten
5
Klicken Sie auf Lokale Hub-Informationen exportieren, um eine Datei mit Informationen zu den Brokern im lokalen Hub zu erstellen. Diese Datei wird vom Remote-System (ausgehende Bridge) importiert. Beide Hubs verfügen nun über die Broker-Informationen, die zum Kommunizieren und zum gemeinsamen Nutzen von Informationen über die DXL-Fabric notwendig sind.
6
Zum Abschließen der Bridge führen Sie den Server-Task DXL-Zustandsereignis senden auf dem eingehenden und dem ausgehenden System aus.
Importieren von Client-Zertifikaten Wenn Sie für DXL-Clients ein Zertifikat eines Drittanbieters verwenden, müssen Sie für diese Clients eine Zertifizierungsstelle oder ein selbstsigniertes Zertifikat importieren. Von den DXL-Brokern werden Zertifikate zum Erkennen und Validieren von Clients verwendet. Nachdem Sie ein Zertifikat erstellt haben, importieren Sie dieses in McAfee ePO.
Importieren eines Zertifikats Importieren Sie Zertifikate für Drittanbieter-Clients in McAfee ePO, um die Clients zur Verwendung mit DXL zu validieren. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen. 1
Wählen Sie Menü | Konfiguration | Server-Einstellungen | DXL-Zertifikate aus.
2
Klicken Sie auf der Seite Client-Zertifikate auf Bearbeiten.
3
Klicken Sie auf Importieren, um zu dem Zertifikat zu navigieren, und klicken Sie dann auf OK.
Das Zertifikat wird zu der von DXL verwendeten Liste der Client-Zertifikate hinzugefügt.
Erstellen einer Liste der von DXL verwendeten Zertifikate Erstellen Sie eine Datei, in der die von DXL-Clients verwendeten Zertifikate aufgeführt sind. Sie können eine Liste der zurzeit verwendeten Broker-Zertifikate oder eine Liste der verwalteten DXL-Broker, von denen Broker-Informationen angezeigt werden, erstellen. Vorgehensweise Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen.
34
1
Wählen Sie Menü | Konfiguration | Server-Einstellungen | DXL-Zertifikate aus.
2
Klicken Sie auf der Seite Client-Zertifikate auf Bearbeiten.
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
Verwalten von Data Exchange Layer Erstellen von DXL-Abfragen
3
3
Erstellen Sie eine Datei: •
Zum Erstellen einer Liste der zurzeit verwendeten Broker-Zertifikate klicken Sie auf Alle exportieren neben Broker-Zertifikate. Die erstellte Datei heißt brokerlist.properties. Die Broker-Informationen werden im folgenden Format angezeigt: Broker‑GUID=Broker ‑GUID;Port;Host‑Name;IP‑Adresse. Mithilfe dieser Datei können Sie Broker validieren, mit denen Clients verbunden sind.
•
Zum Erstellen einer Liste der verwalteten Broker klicken Sie auf Alle exportieren neben Broker-Liste. Die erstellte Datei heißt brokerlist.properties. Die Broker-Informationen werden im folgenden Format angezeigt: Broker‑GUID=Broker‑GUID;Port;Host‑Name;IP ‑Adresse. Beim Herstellen einer Verbindung zwischen einem Client und der DXL-Broker-Fabric kann die Liste dem Client übergeben werden.
Erstellen von DXL-Abfragen Sie können Abfragen in McAfee ePO erstellen, um Informationen zu Eigenschaften von DXL-Broker-Systemen, -Client-Systemen und SGX-Systemen abzurufen. Verwenden Sie die Funktion Abfragen und Berichte in McAfee ePO, um Abfragen für verwaltete Systeme zu erstellen. Wählen Sie anschließend Spaltenüberschriften aus den Kategorien DXL-Broker-Systeme und DXL-Client-Systeme aus, um sie in die Abfrage aufzunehmen. Details hierzu finden Sie im McAfee ePolicy Orchestrator-Produkthandbuch.
DXL-Server-Tasks Server-Tasks sind konfigurierbare Aktionen, die zu geplanten Zeiten oder in geplanten Intervallen in McAfee ePO ausgeführt werden. Mit Server-Tasks können Sie sich wiederholende Tasks automatisieren. Jeder Task verfügt über Aktionen und kann so geplant werden, dass er in bestimmten Intervallen ausgeführt wird. Details hierzu finden Sie im McAfee ePolicy Orchestrator-Produkthandbuch. DXL enthält die folgenden Server-Tasks. Server-Task
Beschreibung
DXL-Broker verwalten
Weist das DXLBROKER-Tag allen vollständig konfigurierten DXL-Brokern zu und aktualisiert die DXL-Broker-Richtlinien. Verwenden Sie diesen Task, wenn Sie einen neuen Broker installieren und diesen sofort in der DXL-Fabric identifizieren möchten.
DXL-Zustandsereignis senden
DXL-Client-Status aktualisieren
McAfee Data Exchange Layer 3.0.0
Sendet das aktuelle DXL-Zustandsereignis an die DXL-Fabric. Verwenden Sie diesen Task, wenn Sie Änderungen an über eine Bridge verbundenen Brokern vornehmen möchten, um diese Änderungen auf der Seite für die DXL-Fabric zu integrieren. Aktualisiert den DXL-Client-Verbindungsstatus für alle Systeme, auf denen DXL installiert ist. Der Task wird standardmäßig einmal täglich ausgeführt.
Produkthandbuch
35
3
Verwalten von Data Exchange Layer DXL-Server-Tasks
36
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
Index
A Abfragen von Data Exchange Layer-Eigenschaften 35 Aufführen von Client-Zertifikaten 34
B Bereitstellung Data Exchange Layer-Client 20 Betriebssysteme, unterstützte 11 Broker für Data Exchange Layer Anordnen 27 Anzeigen von Broker-Eigenschaften 35 Auswählen des richtigen Brokers 28 Broker-Status 30 Erstellen von Dienstzonen 28 Erweiterungen 9 Fabric 27, 30 Gekennzeichnet in McAfee ePO 21 Hinzufügen 29 Hinzufügen von Brokern zu einer DMZ 29 Informationen 7 Konfigurieren von Richtlinien 28 Verbinden mit mehreren McAfee ePO-Servern 31 Verbinden über einen Bridge-Computer 32, 33 Verbindungen der Broker 30 Broker-Appliance 15
C Client-Zertifikate Erstellen einer von DXL verwendeten Liste 34 Importieren 34 Cloud-Datenbus 9
D
Dokumentation Produktspezifisch, suchen 6 Typografische Konventionen und Symbole 5 Zielgruppe dieses Handbuchs 5 Drittanbieter-Clients Importieren einer Zertifizierungsstelle 34 Zertifizierungsstelle 34 DXL-Cloud-Datenbus 9 DXL-Upgrade von einer früheren Version 23
E Erweiterungen 9, 30 Exportieren von Client-Zertifikaten 34
F Fabric Anzeigen 30 Erweiterungsstatus 30 Informationen 7, 30 Failover-Schutz, Anordnen von Brokern 27 Fehlerbehebung Installation 22
H Handbuch, Informationen 5 Hubs Anordnen von Brokern 27 Auswählen des richtigen Hubs 28 Erstellen 27 Informationen 7 Verbinden über einen Bridge-Computer 32, 33
I
Data Exchange Layer Anzeigen von Client- und Broker-Eigenschaften 35 Bereitstellen 20 Dienstzonen Anordnen von Brokern 27 Erstellen 28 Informationen 7 DMZ Hinzufügen von Data Exchange Layer-Brokern 29
McAfee Data Exchange Layer 3.0.0
Importieren von Client-Zertifikaten 34 Installation Anforderungen 11 Broker, mithilfe der Appliance 15 Erstinstallation 13 Fehlerbehebung 22 Herunterladen der Software 14 Protokolldateien für Fehlerbehebung 22 Überprüfen der Installation 21
Produkthandbuch
37
Index
Installation (Fortsetzung) Upgrade von einer früheren Version 23 Intel Software Guard Extensions 9 Überprüfen des SGX-Status auf einem Computer 22
K Konfiguration Auswählen des richtigen Brokers 28 Broker 27 Mithilfe von Skripts 22 Konventionen und Symbole in diesem Handbuch 5
M McAfee Agent Installationsanforderungen 11 McAfee ePO und Data Exchange Layer 31 McAfee ServicePortal, Zugriff 6
ServicePortal, Quellen für Produktinformationen 6 SGX 9 Anzeigen von Eigenschaften für SGX-Systeme 35 Überprüfen des SGX-Status auf einem Computer 22 Skripts Neukonfigurieren der Installation 22 Software Guard Extensions 9 Systemanforderungen 11
T Technischer Support, Produktdokumentation finden 6 Topologie, Broker 30
U Überprüfen der Installation 21 SGX-Status 22 Unterstützte Betriebssysteme 11
N
V
Netzwerkübersicht 12 Neukonfiguration mithilfe von Skripts 22
Verbinden von Data Exchange Layer-Broker-Fabrics 31 Verbinden von Data Exchange Layer-Brokern über eine Bridge
P
Verwenden von Data Exchange Layer mit mehreren McAfee ePO-Servern 31 Verwendete Ports 12 Verwendete Protokolle 12 VMware vSphere Bereitstellen der OVF-Vorlage 15
Protokolldateien, Fehlerbehebung der Installation 22
R Richtlinien, Konfigurieren für Data Exchange Layer 28
31
S Server-Tasks 35
38
McAfee Data Exchange Layer 3.0.0
Produkthandbuch
0-15
