McAfee Active Response Installationshandbuch. (McAfee epolicy Orchestrator)

Transkript

1 McAfee Active Response Installationshandbuch (McAfee epolicy Orchestrator)

2 COPYRIGHT Copyright 2018 McAfee LLC MARKENZUORDNUNGEN McAfee und das McAfee Logo, McAfee Active Protection, epolicy Orchestrator, McAfee epo, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource, VirusScan sind Marken der McAfee LLC oder seiner Tochtergesellschaften in den USA und anderen Ländern. Andere Marken sind Eigentum der jeweiligen Inhaber. LIZENZINFORMATIONEN Lizenzvertrag HINWEIS AN ALLE BENUTZER: LESEN SIE SORGFÄLTIG DEN ZU DER VON IHNEN ERWORBENEN LIZENZ JEWEILS ZUGEHÖRIGEN RECHTSGÜLTIGEN VERTRAG, IN DEM DIE ALLGEMEINEN GESCHÄFTSBEDINGUNGEN FÜR DIE NUTZUNG DER LIZENZIERTEN SOFTWARE DARGELEGT SIND. DIE ART VON LIZENZ, DIE SIE ERWORBEN HABEN, ENTNEHMEN SIE DER VERKAUFSLIZENZGEWÄHRUNG SOWIE SONSTIGEN DAMIT ZUSAMMENHÄNGENDEN LIZENZGEWÄHRUNGEN ODER DEN BESTELLUNGEN, DIE SIE ZUSAMMEN MIT IHREM SOFTWAREPAKET ODER SEPARAT ALS TEIL IHRES KAUFES ERHALTEN HABEN (IN FORM EINER BROSCHÜRE, EINER DATEI AUF DER PRODUKT-CD ODER EINER DATEI AUF DER WEBSITE, VON DER SIE DAS SOFTWAREPAKET HERUNTERGELADEN HABEN). WENN SIE DEN IM VERTRAG DARGELEGTEN BESTIMMUNGEN NICHT ZUSTIMMEN, DÜRFEN SIE DIE SOFTWARE NICHT INSTALLIEREN. SOFERN DIES ERFORDERLICH IST, DÜRFEN SIE DAS PRODUKT AN MCAFEE ODER DIE VERKAUFSSTELLE ZURÜCKGEBEN UND ERHALTEN EINE VOLLE RÜCKERSTATTUNG. 2 McAfee Active Response Installationshandbuch

3 Inhaltsverzeichnis 1 Vorbereitung der Installation 5 Systemanforderungen für Active Response Active Response-Netzwerk-Ports Erstmaliges Installieren von Active Response 9 Installieren der Active Response-Erweiterungen Installieren des Active Response-Servers auf einem MLOS- oder CentOS-System Erhöhen der maximalen Upload-Größe von McAfee epo, bevor Sie den Active Response-Server installieren Installieren des Active Response-Servers auf einem MLOS-System Installieren des Active Response-Servers auf einem CentOS-System Erstellen eines McAfee Cloud-Kontos Änderung der Geolocation des Cloud-Speichers Verbinden eines bestehenden Cloud-Kontos Konfigurieren der DXL-Broker-Erweiterung Konfigurieren der McAfee epo-proxy-server-einstellungen (optional) Installieren von Aggregatoren (optional) Installieren der Active Response-Clients Deinstallieren der Active Response-Clients Fehlermeldungen bei der Installation Anzeigen des Active Response-Systemzustands Durchführen eines Upgrades von Active Response 23 Durchführen eines Upgrades der Active Response-Erweiterungen Durchführen eines Upgrades des Active Response-Servers Durchführen eines Upgrades der Clients Durchführen eines Upgrades der Inhaltspakete Durchführen eines Upgrades des Verfolgungsregel-Inhaltspakets Erste Schritte 29 Konfigurieren mehrerer McAfee epo-server Konfigurieren von DXL-Brokern zum Verbinden mehrerer McAfee epo-server Beispiele für die Konfiguration von McAfee epo-servern mit und ohne Bridge-Verbindung Konfigurieren von McAfee Advanced Threat Defense Konfigurieren des McAfee Advanced Threat Defense-Servers mit Active Response Konfigurieren von McAfee Advanced Threat Defense auf dem TIE-Server Fehlerbehebung bei Active Response 35 Zurücksetzen der Inhaltsregeln McAfee Active Response Installationshandbuch 3

4 Inhaltsverzeichnis 4 McAfee Active Response Installationshandbuch

5 1 Vorbereitung der Installation Inhalt Systemanforderungen für Active Response Active Response-Netzwerk-Ports Systemanforderungen für Active Response Vergewissern Sie sich, dass die Systemumgebung den folgenden Anforderungen entspricht und dass Sie über Administratorrechte verfügen. Eine Liste mit sämtlichen Komponenten, unterstützten Plattformen, Umgebungen und Betriebssystemen für McAfee Active Response finden Sie unter KB Mindestanforderungen für den Active Response-Server Der Server kann auf einem physischen Server oder einer virtuellen Maschine installiert werden. Minimum Anforderungen Version McAfee Linux Operating System (MLOS) Die aktuelle Version wird mit dem Active Response-Server-Paket installiert. CentOS Höhere Versionen wurde nicht getestet, sollten aber mit Endpunkten, auf denen eine 64-Bit-Version von McAfee Agent ausgeführt wird, funktionieren. Prozessor 1 CPU mit 4 Kernen 1 CPU mit 4 Kernen Arbeitsspeicher 8 GB RAM 8 GB RAM Festplatte 140-GB-SSD 140-GB-SSD ISO Ja Nein; wählen Sie eine ISO-Datei zum Bereitstellen aus. Abgesichert Ja Nein; befolgen Sie die Absicherungsanweisungen. Diese Empfehlungen variieren bei Systemen mit Meltdown-Aktualisierungen. Die neuesten Details finden Sie unter KB McAfee Active Response Installationshandbuch 5

6 1 Vorbereitung der Installation Active Response-Netzwerk-Ports Mindestanforderungen für den Active Response-Endpunkt-Client Produkt Windows Linux macos McAfee epo McAfee Agent (< RS2) (RS2/RS3) (El Capitan und Sierra) (High Sierra) Data Exchange Layer Endpoint Security Threat Prevention mit Threat Intelligence-Modul Endpoint Security mit Adaptive Threat Protection HF3 (< RS2) (RS2/RS3) (< RS2) (RS2) (RS3)* HF HF ** *** Microsoft Windows 10 (Version 1607) Anniversary Update (Redstone 1 [RS1]) Microsoft Windows 10 (Version 1703) Creators Update (Redstone 2 [RS2]) Microsoft Windows 10 (Version 1709) Fall Creators Update (Redstone 3 [RS3]) Microsoft Windows 10 (Version 1803) Spring Creators Update (Redstone 4 [RS4]) * Wenn Sie Redstone 3-Endpunkte haben, muss McAfee Endpoint Security in das Master-Repository eingecheckt werden, bevor Sie das Active Response-Client-Paket installieren können. **Installieren Sie McAfee Endpoint Security auf Linux-Endpunkten, bevor Sie Active Response installieren. ***Installieren Sie Endpoint Security für macos, bevor Sie Active Response installieren. Wenn auf einem Endpunkt derzeit keine Version von Endpoint Security oder McAfee VirusScan Enterprise vorhanden ist, wird die entsprechende Version der Endpoint Security-Module automatisch mit Active Response installiert. Wenn auf einem Endpunkt derzeit eine nicht unterstützte Version von Endpoint Security vorhanden ist, muss auf dem Endpunkt ein Upgrade der Module auf eine unterstützte Version durchgeführt werden. Siehe auch Fehlermeldungen bei der Installation auf Seite 19 Active Response-Netzwerk-Ports Active Response nutzt diese Ports für die Netzwerkkonnektivität. Stellen Sie sicher, dass Ihre Netzwerkeinstellungen nicht den Zugriff auf den Active Response-Server und die Clients über diese Ports blockieren. Tabelle 1-1 Server-Ports Port-Nummer Öffnen, um eine Verbindung zu Erweiterungen auf dem McAfee epo-server herzustellen den DXL-Broker mit dem DXL-Client auf dem McAfee epo-server zu verbinden. Eingehende Verbindungen Ja Ja Ausgehende Verbindungen Ja Ja 6 McAfee Active Response Installationshandbuch

7 Vorbereitung der Installation Active Response-Netzwerk-Ports 1 Tabelle 1-1 Server-Ports (Fortsetzung) Port-Nummer Öffnen, um McAfee Agent mit dem McAfee epo-server zu verbinden. 22 per Remote-Zugriff über SSH eine Verbindung herzustellen und Verwaltungsaufgaben durchzuführen. Eingehende Verbindungen 123 UDP Network Time Protocol (NTP) Ja Ja Tabelle 1-2 Client-Ports Ja Ja Ausgehende Verbindungen Ja Ja Port-Nummer Öffnen, um McAfee Agent mit einem McAfee epo-server zu verbinden den DXL-Client mit einem DXL-Broker zu verbinden. Eingehende Verbindungen Ja Ja Ausgehende Verbindungen Ja Ja McAfee Active Response Installationshandbuch 7

8 1 Vorbereitung der Installation Active Response-Netzwerk-Ports 8 McAfee Active Response Installationshandbuch

9 2 Erstmaliges 2 Installieren von Active Response Um Active Response erfolgreich zu installieren, müssen Sie die Erweiterungen, Komponenten und Client-Pakete in einer bestimmten Reihenfolge installieren. In dieser Übersicht finden Sie die Aufgaben, die Sie ausführen müssen, wenn Sie Active Response erstmals installieren. Detaillierte Anweisungen zu den einzelnen Aufgaben finden Sie in den folgenden Abschnitten. 1 Erhöhen Sie unter den McAfee epo Orion-Eigenschaften das Upload-Limit für die Dateigröße, bevor Sie das Active Response-Server-Paket einchecken. Für diese Aktualisierung ist ein Neustart des McAfee epo-servers erforderlich. Während des Neustartvorgangs haben Benutzer keinen Zugriff. 2 Installieren Sie die Erweiterungen und Client-Pakete. 3 Installieren Sie den DXL-Broker. Anweisungen finden Sie im Installationshandbuch des Produkts. 4 Installieren Sie den TIE-Server. Anweisungen finden Sie im Installationshandbuch des Produkts. Empfohlene : Wenn Sie den TIE-Server und den Active Response-Server erstmals installieren, installieren Sie zuerst den TIE-Server. Führen Sie den TIE-Server einige Tage lang in Ihrer Umgebung aus, bevor Sie die Verfolgung auf Endpunkten aktivieren. a b Für Dateien, die keine verdächtigen Aktivitäten und eine hohe Verbreitung aufweisen, weil sie auf einem Großteil der Endpunkte ausgeführt werden, wird automatisch die Reputation Möglicherweise vertrauenswürdig festgelegt. Das bedeutet, dass Sie Vorkommen dieser Reputationen später nicht manuell im Arbeitsbereich Active Response ändern müssen. Sie können eine Feinabstimmung an der TIE-Reputationsdatenbank vornehmen und die Reputationen für Ihre unternehmenseigenen Dateien und Zertifikate auswählen, bevor Active Response mit der Überprüfung ausgeführter Prozesse beginnt und nach potenziellen Gefahren sucht. 5 Installieren Sie den Active Response-Server (MLOS oder CentOS), indem Sie die ISO-Datei in einer unterstützten virtuellen Infrastruktur bereitstellen oder das Active Response-Server-Paket auf einem unterstützten CentOS-Computer bereitstellen. 6 Erstellen und konfigurieren Sie ein Cloud Bridge-Konto, und konfigurieren Sie dann die DXL-Broker-Erweiterung. 7 Konfigurieren Sie die McAfee epo-proxy-einstellungen. 8 Stellen Sie die Endpunkte bereit. 9 Überprüfen Sie die Seite Active Response-Systemzustand oder Bedrohungsereignisprotokoll auf Installationsfehler. Inhalt Installieren der Active Response-Erweiterungen Installieren des Active Response-Servers auf einem MLOS- oder CentOS-System Erstellen eines McAfee Cloud-Kontos Verbinden eines bestehenden Cloud-Kontos McAfee Active Response Installationshandbuch 9

10 2 Erstmaliges Installieren von Active Response Installieren der Active Response-Erweiterungen Konfigurieren der DXL-Broker-Erweiterung Konfigurieren der McAfee epo-proxy-server-einstellungen (optional) Installieren von Aggregatoren (optional) Installieren der Active Response-Clients Deinstallieren der Active Response-Clients Fehlermeldungen bei der Installation Anzeigen des Active Response-Systemzustands Installieren der Active Response-Erweiterungen Installieren Sie die Active Response-Erweiterungen auf dem McAfee epo-server, der vom Software-Manager verwaltet werden soll. Bevor Sie beginnen Vergewissern Sie sich, dass die Systemanforderungen für Active Response erfüllt sind. Stellen Sie sicher, dass McAfee Agent installiert ist und dass Endpoint Security im Master-Repository eingecheckt und auf den Endpunkten installiert ist. Bereiten Sie die virtuellen Maschinen für den DXL-Broker und den TIE-Server vor. Anweisungen finden Sie in den entsprechenden Installationshandbüchern. 1 Melden Sie sich bei McAfee epo als Administrator an. 2 Wählen Sie Menü Software Software-Manageraus. 3 Suchen Sie die folgenden Erweiterungen und Client-Pakete, und checken Sie sie ein. a DXL-Broker-Verwaltungserweiterung b c d e f TIE-Server-Verwaltungserweiterung Active Response-Erweiterung/-Pakete DXL-Client-Paket Active Response-Arbeitsbereichserweiterung Active Response-Client-Paket 4 Wählen Sie in der Dropdown-Liste Aktionen die Option Einchecken aus. Akzeptieren Sie dann den Lizenzvertrag für jedes Paket. 5 Installieren Sie den DXL-Broker-Server. Anweisungen finden Sie im Installationshandbuch dieses Produkts. 6 Installieren Sie den TIE-Server. Anweisungen finden Sie im Installationshandbuch dieses Produkts. Installieren des Active Response-Servers auf einem MLOS- oder CentOS- System Inhalt Erhöhen der maximalen Upload-Größe von McAfee epo, bevor Sie den Active Response-Server installieren Installieren des Active Response-Servers auf einem MLOS-System 10 McAfee Active Response Installationshandbuch

11 Erstmaliges Installieren von Active Response Installieren des Active Response-Servers auf einem MLOS- oder CentOS-System 2 Installieren des Active Response-Servers auf einem CentOS-System Erhöhen der maximalen Upload-Größe von McAfee epo, bevor Sie den Active Response-Server installieren Damit Sie das Active Response-Server-Paket installieren können, müssen Sie zuvor unter den McAfee epo-servereigenschaften die maximale Upload-Größe erhöhen. Für diese Aktualisierung ist ein Neustart des McAfee epo-servers erforderlich. Während des Neustartvorgangs haben Benutzer keinen Zugriff. 1 Melden Sie sich als Administrator bei McAfee epo an. 2 Navigieren Sie zu C:\Programme (x86)\mcafee\epolicy Orchestrator\Server\conf\orion. 3 Klicken Sie mit der rechten Maustaste auf die Datei orion.properties, und bearbeiten Sie sie mit Note++ oder einem ähnlichen Editor. 4 Suchen Sie nach orion.upload.max.size, und ändern Sie den Wert zu Speichern Sie die Änderung, und starten Sie die McAfee epo-serveranwendung auf Ihrer virtuellen Maschine oder dem physischen Server neu. Während des Neustartvorgangs können Benutzer nicht auf McAfee epo-dienste zugreifen. Sie können jetzt das Active Response-Server-Paket einchecken. Installieren des Active Response-Servers auf einem MLOS-System Installieren und konfigurieren Sie den Active Response-Server auf einem virtuellen oder physischen Server. Bevor Sie beginnen Vergewissern Sie sich, dass die Mindestanforderungen erfüllt sind. Vergewissern Sie sich, dass die Active Response-Erweiterungen installiert sind. Vergewissern Sie sich, dass DXL-Broker-Server und TIE-Server installiert sind. Anweisungen finden Sie in den entsprechenden Installationshandbüchern. Der Active Response-Server wird als ISO-Image in einem Paket mit einer McAfee Linux Operating System (MLOS)-Instanz bereitgestellt. 1 Melden Sie sich bei McAfee epo als Administrator an. 2 Wählen Sie Menü Software Software-Manager aus und laden Sie die Active Response-Server-ISO-Datei herunter. 3 Stellen Sie die ISO-Datei in einem unterstützten System für die virtuelle Infrastruktur bereit. Eine Liste der unterstützten Systeme finden Sie im Artikel KB McAfee Active Response Installationshandbuch 11

12 2 Erstmaliges Installieren von Active Response Installieren des Active Response-Servers auf einem MLOS- oder CentOS-System 4 Starten Sie das System, auf dem Sie den Active Response-Server installieren möchten. Stellen Sie sicher, dass das System von dem ISO-Image für den Active Response-Server gestartet wird. Beim Hochfahren werden die Active Response-MLOS-Installation und die eigentliche Installation des Servers gestartet. Bei diesem automatisierten Vorgang werden alle Pakete für das Basisbetriebssystem installiert. Für Bash, Sage und die Partitionierung des Datenträgers sind keine Interaktionen mit der VM erforderlich. Nach Abschluss der Installation wird die VM heruntergefahren, und Sie können die ISO-Datei entfernen. 5 Starten Sie das System neu. Stellen Sie sicher, dass das installierte System gestartet wird, nicht das ISO-Image. 6 Konfigurieren Sie den Active Response-Server. a Lesen Sie den Lizenzvertrag und geben Sie J ein, um die Bedingungen zu akzeptieren. b c d e Legen Sie ein Root-Kennwort fest, und bestätigen Sie es. Erstellen Sie ein Betriebskonto. Verwenden Sie dieses Konto, um über ssh eine Verbindung mit dem System herzustellen, und su, um Root-Berechtigungen zu erhalten. Wählen Sie die Hauptnetzwerkschnittstelle für das System aus, die zum Verbinden des Active Response-Servers mit McAfee epo und Data Exchange Layer verwendet wird. Konfigurieren Sie die Netzwerkschnittstelle. Geben Sie D für DHCP-Konfiguration ein. Geben Sie M ein, um die Netzwerkadressen manuell festlegen zu können. f g h i Legen Sie einen Host-Namen und einen Domänennamen für das System fest. Wenn Sie keinen Domänennamen haben, können Sie diese Einstellung leer lassen. Legen Sie den Zeitserver für das System fest. Konfigurieren Sie McAfee Agent, um die Verbindung zu McAfee epo einzurichten. Wählen Sie aus, welche Dienste auf dem System ausgeführt werden müssen. DXL Broker Installiert einen Data Exchange Layer-Broker. Wenn in Ihrer Umgebung bereits mindestens ein DXL-Broker der Version oder höher vorhanden ist, können Sie sich dafür entscheiden, keine neue Instanz des Brokers zu installieren. AR-Server Installiert den Active Response-Server. FIPS-Modus: Aktiviert die OpenSSL-Bibliothek. Der Active Response-Server wird nach der Installation automatisch im FIPS-Modus neu gestartet. Weitere Informationen finden Sie unter j (Optional) Legen Sie Proxy-Variablen fest. Die http_proxy- und https_proxy-definitionen sind kommagetrennte Listen von Hostnamen und IP-Adressen. Die no_proxy-definition ist eine kommagetrennte Liste von Hostnamen, Domänen oder IP-Adressen. Proxy-Einstellungen beziehen sich ausschließlich auf die Betriebssystemverwaltung. Active Response verwendet keine Proxys für die Kommunikation mit McAfee epo oder Netzwerkendpunkten. k Richten Sie den Kommunikations-Port des DXL-Brokers ein. 12 McAfee Active Response Installationshandbuch

13 Erstmaliges Installieren von Active Response Installieren des Active Response-Servers auf einem MLOS- oder CentOS-System 2 7 Vergewissern Sie sich, dass der Active Response-Server installiert ist und richtig funktioniert. a Melden Sie sich als Administrator bei McAfee epo an, und vergewissern Sie sich, dass ein Active Response-Server in der Systemstruktur auf der Registerkarte Produkte aufgeführt ist. b Vergewissern Sie sich, dass die integrierten Erfassungen im Active Response-Katalog angezeigt werden. Dies gilt als Bestätigung, dass zwischen dem Active Response-Server und dem McAfee epo-server Kommunikation stattfindet. 8 Wählen Sie Menü Konfiguration Registrierte Server aus, um die IP-Adresse und Versionsnummer des Active Response-Servers anzuzeigen. Die Registrierung des Active Response-Servers erfolgt bei der Installation. Installieren des Active Response-Servers auf einem CentOS-System Zum Installieren des Active Response-Servers auf einem CentOS-System müssen Sie zunächst CentOS absichern. Bevor Sie beginnen Vergewissern Sie sich, dass die Mindestanforderungen erfüllt sind. Vergewissern Sie sich, dass die Active Response-Erweiterungen installiert sind. Vergewissern Sie sich, dass DXL-Broker-Server und TIE-Server installiert sind. Anweisungen finden Sie in den entsprechenden Installationshandbüchern. Vergewissern Sie sich, dass auf mindestens einem Endpunkt CentOS ausgeführt wird. Laden Sie das Benchmark-Handbuch unter herunter, und lesen Sie es. Sie sind für die FIPS-Compliance von CentOS auf dem Active Response-Server verantwortlich. Sie müssen die OpenSSL-FIPS-Version installieren und den FIPS-Modus für den Betriebssystem-Kernel aktivieren. Vor der Installation des Active Response-Server-Pakets müssen Sie CentOS absichern. Diese Anweisungen gelten für die Erstinstallation des Active Response-Servers, nicht für Upgrades des Active Response-Servers. 1 Richten Sie Ihre virtuelle Maschine ein, und installieren Sie diese Pakete auf einem CentOS-System. epel-release yum -y install epel-release iptables-services yum -y install iptables-services java openjdk yum -y install java openjdk 2 Installieren Sie die 64-Bit-Version von McAfee Agent auf den Linux-Endpunkten. Wenn der installierte Agent nicht x64 entspricht, schlägt die Installation des Active Response-Servers fehl. [root@centos7-x64 admin]# rpm -qa grep MFE MFErt i686 MFEcma x86_64 McAfee Active Response Installationshandbuch 13

14 2 Erstmaliges Installieren von Active Response Erstellen eines McAfee Cloud-Kontos 3 Konfigurieren Sie die Kommunikation zwischen dem McAfee epo-server und McAfee Agent auf den Endpunkten. iptables -A INPUT -p tcp -m tcp --dport [EPO_WAKEUP_PORT] -j ACCEPT service iptables save service iptables restart Wenn Sie die Kommunikation mit dem Reaktivierungsport nicht ändern, lautet der Wert von EPO_WAKEUP_PORT standardmäßig Melden Sie sich bei McAfee epo als Administrator an. 5 Wählen Sie auf dem McAfee epo-server die Optionen Menü Systeme Systemstruktur aus, wählen Sie den Endpunkt zum Anzeigen der Übersicht aus, und klicken Sie dann auf Agenten reaktivieren. 6 Wählen Sie Menü Software Software-Manager aus und prüfen Sie das Active Response-Server-Paket. 7 Bereitstellen des Server-Pakets a Wählen Sie Menü Software Produktbereitstellung aus, und klicken Sie anschließend auf Neue Bereitstellung. b c d Wählen Sie in der Dropdown-Liste Paket das Server-Paket aus. Klicken Sie auf Systeme auswählen, um den CentOS-Server in Ihrem Netzwerk auszuwählen. Wählen Sie Sofort ausführen aus, und klicken Sie auf Speichern, um die Bereitstellung zu starten. 8 Vergewissern Sie sich, dass der Active Response-Server installiert ist und richtig funktioniert. a Melden Sie sich als Administrator bei McAfee epo an, und vergewissern Sie sich, dass ein Active Response-Server in der Systemstruktur auf der Registerkarte Produkte aufgeführt ist. b Vergewissern Sie sich, dass die integrierten Erfassungen im Active Response-Katalog angezeigt werden. Dies gilt als Bestätigung, dass zwischen dem Active Response-Server und dem McAfee epo-server Kommunikation stattfindet. 9 Wählen Sie Menü Konfiguration Registrierte Server aus, um die IP-Adresse und Versionsnummer des Active Response-Servers anzuzeigen. Die Registrierung des Active Response-Servers erfolgt bei der Installation. 10 Auf der Seite Zustand werden der richtige Endpunktname und die richtige IP-Adresse des mit CentOS geschützten Active Response-Servers angezeigt. Erstellen eines McAfee Cloud-Kontos Erstellen Sie ein McAfee Cloud-Konto, und verbinden Sie es mit dem Cloud Bridge-Dienst. McAfee epo Cloud Bridge ist eine Erweiterung, die Sie auf Ihrem lokalen McAfee epo-server installieren und über die Sie McAfee epo Cloud Bridge mit Ihrem McAfee Cloud-Konto verbinden können, in dem Sie Bedrohungsdaten speichern. Sie können ein neues Cloud-Konto registrieren oder Ihr Cloud-Konto mithilfe des Links Konfiguration im Arbeitsbereich konfigurieren. Klicken Sie in der Leiste des Arbeitsbereichs auf Konfiguration, um den Status Ihres McAfee Cloud-Kontos anzuzeigen. 14 McAfee Active Response Installationshandbuch

15 Erstmaliges Installieren von Active Response Erstellen eines McAfee Cloud-Kontos 2 Wenn Ihr McAfee Cloud-Konto nicht konfiguriert ist, wählen Sie einen Cloud-Datenspeicherort oder eine Geolocation aus der Dropdown-Liste aus. Wenn Sie ein Upgrade auf Active Response 2.3 durchführen, bleibt die vorherige Geolocation aus Active Response 2.2 standardmäßig ausgewählt. Wenn Sie ein McAfee Cloud-Konto haben, klicken Sie auf den Link, um sich bei Ihrem Konto anzumelden. Stellen Sie sicher, dass Ihr Konto mit McAfee epo Cloud Bridge verbunden ist. Wenn Sie kein McAfee Cloud-Konto haben, klicken Sie auf den Link, um ein Konto zu erstellen. Da ein hohes Risiko für Datenverlust besteht, wird ein Wechseln zwischen verschiedenen Geolocations weder unterstützt noch empfohlen. Diese Einstellung sollte dauerhaft sein. 1 Erstellen Sie ein Cloud-Konto im Bereich Konfiguration, oder registrieren Sie sich für ein Cloud-Konto unter 2 Vervollständigen Sie die Unternehmens- und Kontaktinformationen. Die von Ihnen angegebene -Adresse ist die Adresse, die zur Erstellung des McAfee Cloud-Kontos für Ihr Unternehmen verwendet wird. 3 Lesen und akzeptieren Sie den Lizenzvertrag, um die Registrierung abzuschließen und klicken Sie auf Übermitteln. 4 Nach dem Übermitteln des Formulars erhalten Sie in Kürze eine , über die Sie das McAfee Cloud-Konto aktivieren und das Kennwort festlegen können. 5 Nachdem Sie das McAfee Cloud-Konto erfolgreich aktiviert haben, müssen Sie es mit McAfee epo Cloud Bridge verbinden. a Melden Sie sich als Administrator bei McAfee epo an. b c d Wählen Sie Menü Konfiguration Server-Einstellungen McAfee epo Cloud Bridge aus. Klicken Sie auf Bearbeiten. Geben Sie die Anmeldeinformationen für das Konto ein, akzeptieren Sie den Lizenzvertrag, und klicken Sie auf Speichern. Änderung der Geolocation des Cloud-Speichers Ändern Sie den Standort des Cloud-Speichers für Ihre Bedrohungsdaten. Klicken Sie dazu im Arbeitsbereich auf Konfiguration, um eine andere Geolocation aus der Dropdown-Liste Cloud-Konto auszuwählen. Es folgen Richtlinien zur Auswahl verschiedener Geolocations. Da ein hohes Risiko für Datenverlust besteht, wird ein Wechseln zwischen verschiedenen Geolocations weder unterstützt noch empfohlen. Diese Einstellung sollte dauerhaft sein. Die ausgewählte Geolocation-Quelle aus dem vorherigen Release von Active Response bleibt nach einem Upgrade als Standard ausgewählt. Wenn Sie McAfee epo-server mit Bridge-Computern haben, müssen Sie eine Geolocation und ein McAfee-Cloud-Konto auswählen. Sie können McAfee epo-server mit Bridge-Computern nicht verschiedenen Geolocations zuweisen. Überprüfen Sie die Seite Systemzustand auf Warnungen. Wenn Sie mehrere McAfee epo-server haben, die nicht verbunden sind, können Sie verschiedene Geolocations auswählen, aber Sie müssen dasselbe McAfee Cloud Bridge-Konto verwenden. McAfee Active Response Installationshandbuch 15

16 2 Erstmaliges Installieren von Active Response Verbinden eines bestehenden Cloud-Kontos Zulässig ist eine Geolocation pro DXL-Fabric. Sie müssen dasselbe McAfee Cloud Bridge-Konto für alle verbundenen McAfee epo-server verwenden. Da ein hohes Risiko für Datenverlust besteht, wird ein Wechseln zwischen mehreren Cloud-Konten weder unterstützt noch empfohlen. Wir empfehlen die Verwendung von McAfee epo-servern mit Bridge-Computern und die Nutzung eines Cloud-Kontos für die Verwaltung Ihrer Cloud-Geolocation. Endpunkt-Roaming wird nicht unterstützt. Daten können nicht von den Cloud-Geolocations gemeinsam genutzt werden. Neue Geolocations werden ohne erneute Installation oder Upgrade von Active Response zum Auswahlmenü hinzugefügt, sobald sie verfügbar sind. Zum Abrufen von Verfolgungsinformationen kann nur auf eine Geolocation zur selben Zeit zugegriffen werden. Wenn Sie beispielsweise eine Änderung von Geolocation X zu Geolocation Y durchführen, kann auf keine der zuvor vorhandenen Bedrohungsdaten zugegriffen werden, die über Geolocation X verfügbar waren. Wenn Sie zu Geolocation X zurückwechseln, sind die alten Verfolgungsinformationen verfügbar, aber auf die neuen Verfolgungen über Geolocation Y kann nicht mehr zugegriffen werden. Sie gehen das Risiko ein, Daten zu verlieren, wenn Sie zwischen zwei Geolocations hin- und herwechseln. Verbinden eines bestehenden Cloud-Kontos Verbinden Sie ein bestehendes Cloud-Konto mit McAfee epo Cloud Bridge. Bevor Sie beginnen Vergewissern Sie sich, dass Sie über die -Adresse und das Kennwort für das McAfee Cloud-Konto verfügen. Wenn Sie Ihr Kennwort vergessen haben, klicken Sie im Arbeitsbereich auf Konfiguration und dann auf Kennwort zurücksetzen. Wenn Sie die Verbindung zwischen einem bestehenden McAfee Cloud-Konto und den McAfee epo Cloud Bridge-Einstellungen trennen und das Konto mit einem anderen McAfee Cloud-Konto verbinden, geht der Zugang zu den Bedrohungsdaten aus dem vorherigen McAfee Cloud-Konto verloren. 1 Melden Sie sich als Administrator bei McAfee epo an. 2 Wählen Sie Menü Konfiguration Server-Einstellungen McAfee epo Cloud Bridge aus. 3 Klicken Sie auf Bearbeiten. 4 Geben Sie die -Adresse und das Kennwort ein, die Sie zum Erstellen des McAfee Cloud-Kontos verwendet haben, akzeptieren Sie den Lizenzvertrag, und klicken Sie auf Speichern. Konfigurieren der DXL-Broker-Erweiterung Broker-Erweiterungen sind zusätzliche Funktionen, die auf einem Data Exchange Layer-Broker aktiviert werden können. Damit können neue Funktionalitäten, die von anderen verwalteten Produkten erstellt werden, hinzugefügt werden. Aktivieren Sie die von Active Response verwendete Verfolgungs-Broker-Erweiterung. Für Active Response 2.1 oder höher ist mindestens ein DXL-Broker der Version oder höher erforderlich. Die Verfolgungserweiterung ist für frühere Broker-Versionen nicht verfügbar. 16 McAfee Active Response Installationshandbuch

17 Erstmaliges Installieren von Active Response Konfigurieren der McAfee epo-proxy-server-einstellungen (optional) 2 1 Wählen Sie Menü Konfiguration Server-Einstellungen DXL-Topologie aus. 2 Klicken Sie auf Bearbeiten. 3 Wählen Sie in der Dropdown-Liste Aktionen die Option Hub erstellen aus. 4 Wählen Sie in der Topologiestruktur die Option Hub aus, und legen Sie Broker 1 auf den DXL-Broker fest. 5 Wählen Sie Stellt Verfolgungsdaten für den MAR-Arbeitsbereich in der Cloud bereit aus. 6 Legen Sie Broker 2 auf den Active Response-Server fest. 7 Klicken Sie auf Speichern. 8 Vergewissern Sie sich, dass die Broker verbunden sind, indem Sie Menü Systeme Data Exchange Layer-Fabric auswählen. Die Broker werden als durch eine Linie verbundene grüne Kreise dargestellt. Konfigurieren der McAfee epo-proxy-server-einstellungen (optional) Geben Sie die IP-Adresse für den Active Response-Server in den McAfee epo-proxy-einstellungen ein, wenn Ihr Unternehmen Proxy-Adressen verwendet. 1 Melden Sie sich als Administrator bei McAfee epo an. 2 Wählen Sie Menü Konfiguration Server-Einstellungen Proxy-Einstellungen aus. 3 Klicken Sie auf Bearbeiten. 4 Geben Sie die Informationen zum Proxy ein. 5 Klicken Sie auf Speichern. Installieren von Aggregatoren (optional) Es ist nicht erforderlich, dass Sie einen Aggregator installieren, um Active Response zu verwenden. Allerdings reduziert sich mit Aggregatoren die benötigte DXL-Bandbreite und die Anzahl der verwalteten Endpunkte, die unterstützt werden, erhöht sich. Installieren Sie die Active Response-Aggregatoren in DXL-Broker-Systemen in Ihrer Struktur. Wir empfehlen die Installation eines Aggregators in jedem System Ihrer Struktur, auf dem nur ein DXL-Broker ausgeführt wird. Aggregatoren können nicht auf Active Response- oder TIE-Serversystemen installiert werden. Installieren Sie den DXL-Client nicht vor oder installieren Sie ein DXL-Client-Upgrade-Paket von McAfee epo auf dem DXL-Broker. Verwenden Sie immer das Active Response-Aggregator-Paket, um den DXL-Client auf dem DXL-Broker zu installieren. Sie können das Aggregator-Paket aus dem Master-Repository installieren. 1 Melden Sie sich bei McAfee epo als Administrator an. 2 Wählen Sie Menü Software Software-Manager aus und prüfen Sie das Active Response-Aggregator-Paket. McAfee Active Response Installationshandbuch 17

18 2 Erstmaliges Installieren von Active Response Installieren der Active Response-Clients 3 Wählen Sie Menü Software Produktbereitstellung aus, und klicken Sie anschließend auf Neue Bereitstellung. 4 Wählen Sie in der Dropdown-Liste Paket den Active Response-Aggregator aus. 5 Klicken Sie auf Systeme auswählen und wählen Sie den DXL-Broker aus, auf dem der Aggregator installiert werden soll. 6 Wählen Sie Sofort ausführen aus, und klicken Sie auf Speichern, um die Bereitstellung zu starten. Installieren der Active Response-Clients Active Response-Clients sind sofort nach der Installation und Konfiguration einsatzbereit. Bevor Sie beginnen Vergewissern Sie sich, dass alle Active Response-Endpunkt-Client-Systeme die Mindestanforderungen erfüllen. Entfernen Sie McAfee VirusScan Enterprise von den Endpunkten, da die Installation sonst fehlschlägt. Wenn auf den Endpunkten McAfee Host Intrusion Prevention-Inhalte ausgeführt werden, stellen Sie sicher, dass es sich um Version oder höher handelt. Stellen Sie sicher, dass Fehler im Zusammenhang mit der Kompatibilität oder der Bereitstellung auf Endpunkten behoben sind (zeigen Sie die Seite Zustand an). Vergewissern Sie sich bei Redstone 3-Endpunkten, dass Endpoint Security oder im Master-Repository eingecheckt ist, bevor Sie das Active Response-Client-Paket installieren. 1 Melden Sie sich als Administrator bei McAfee epo an. 2 Wählen Sie Menü Software Produktbereitstellung aus, und klicken Sie anschließend auf Neue Bereitstellung. Während der Bereitstellung auf Windows-Systemen deaktiviert Active Response den Microsoft Schutzdienst vorübergehend, um die Installation abzuschließen. Endpunktbenutzern wird möglicherweise eine Warnung angezeigt, der zufolge dieser Dienst deaktiviert worden ist. Nach Abschluss der Installation wird Microsoft Protection Service wiederhergestellt, und die Warnung kann ignoriert werden. 3 Wählen Sie das Active Response-Client-Software-Paket McAfee Active Response für Windows, Linux und macos aus. Auf Linux-64-Bit-Systemen müssen kompatible 32-Bit-Bibliotheken auf Endpunkten installiert werden, damit Active Response ordnungsgemäß ausgeführt werden kann. Anweisungen finden Sie unter KB Klicken Sie auf Systeme auswählen, um die Endpunkte auszuwählen, die mit Active Response verwaltet werden sollen. 5 Wählen Sie Sofort ausführen aus, und klicken Sie auf Speichern, um die Bereitstellung zu starten. 6 Stellen Sie die Active Response-Clients bereit. Wenn bereits eine ältere Version installiert worden ist, wird der Active Response-Client mit der neueren Version aktualisiert. Außerdem können Sie bei der Bereitstellung auf einem älteren System, bei dem eine neue Bereitstellung mehr Zeit beansprucht, einen Client-Task erstellen und die Einstellung für die Zeitüberschreitung auf mehr als 20 Minuten (die Standardeinstellung) erhöhen. Damit stellen Sie sicher, dass bei der Bereitstellung keine Zeitüberschreitung auftritt, bevor der Vorgang abgeschlossen ist. 18 McAfee Active Response Installationshandbuch

19 Erstmaliges Installieren von Active Response Deinstallieren der Active Response-Clients 2 7 Vergewissern Sie sich, dass die Bereitstellung auf den Endpunkten richtig funktioniert. a Melden Sie sich als Administrator bei McAfee epo an. b Wählen Sie Systeme Active Response-Suche aus, und geben Sie HostInfo in das Suchfeld ein. Daraufhin wird eine Liste der bereitgestellten Endpunkte angezeigt. Stellen Sie nach der Bereitstellung der Active Response-Clients sicher, dass die entsprechenden McAfee epo-richtlinien konfiguriert werden. Deinstallieren der Active Response-Clients Entfernen Sie die Active Response-Clients von den Endpunkten. Durch dieses Verfahren wird kein Endpoint Security Threat Intelligence-Modul entfernt; auch der Endpoint Security Adaptiver Bedrohungsschutz und Data Exchange Layer werden nicht entfernt. 1 Melden Sie sich als Administrator bei McAfee epo an. 2 Wählen Sie Menü Software Produktbereitstellung Neue Bereitstellung aus. 3 Geben Sie die Informationen für die neue Bereitstellung ein, und speichern Sie sie für die Deinstallation. 4 Wählen Sie auf der Seite "Produktbereitstellung" in der Dropdown-Liste Aktion den Eintrag Deinstallieren aus. Starten Sie anschließend die Bereitstellung, um Active Response zu deinstallieren. Fehlermeldungen bei der Installation Im Bedrohungsereignisprotokoll erhalten Sie ausführliche Meldungen zu Installationsfehlern auf Endpunkten, die Sie über fehlende oder ungültige Abhängigkeiten informieren. Im Server-Task-Protokoll sind die Fehlermeldungen bei Fehlschlagen einer Installation hingegen allgemein und unspezifisch. Wählen Sie Menü Berichterstellung Bedrohungsereignisprotokoll aus, um ausführliche Fehlermeldungen zu den verschiedensten Bereitstellungsproblemen anzuzeigen. Tabelle 2-1 Fehlermeldungen Fehlercode Fehlermeldung Beschreibung 0 UNKNOWN Unbekannter Fehler 1 ESP_MISSING_PACKAGE_ON_EPO Fehlendes Endpoint Solutions Platform-Paket in McAfee epo 2 TP_MISSING_PACKAGE_ON_EPO Fehlendes Threat Prevention-Paket in McAfee epo 3 TIE_MISSING_PACKAGE_ON_EPO Fehlendes Threat Intelligence Exchange-Paket in McAfee epo 4 ATP_MISSING_PACKAGE_ON_EPO Fehlendes Adaptive Threat Protection-Paket in McAfee epo 5 DXL_MISSING_PACKAGE_ON_EPO Fehlendes Data Exchange Layer-Paket in McAfee epo 6 VSE_INSTALLED VirusScan Enterprise installiert 7 MA_INCOMPATIBLE_VERSION Inkompatible McAfee Agent-Version installiert 8 ESP_INCOMPATIBLE_VERSION Inkompatible Endpoint Solutions Platform-Version installiert 9 TP_INCOMPATIBLE_VERSION Inkompatible Threat Prevention-Version installiert 10 HIP_INCOMPATIBLE_VERSION Inkompatible Host Intrusion Prevention-Version installiert 11 ESP_INSTALLATION_FAILED Installation von Endpoint Solutions Platform fehlgeschlagen McAfee Active Response Installationshandbuch 19

20 2 Erstmaliges Installieren von Active Response Anzeigen des Active Response-Systemzustands Tabelle 2-1 Fehlermeldungen (Fortsetzung) Fehlercode Fehlermeldung Beschreibung 12 TP_INSTALLATION_FAILED Installation von Threat Prevention fehlgeschlagen 13 TIE_INSTALLATION_FAILED Installation von Threat Intelligence Exchange fehlgeschlagen 14 ATP_INSTALLATION_FAILED Installation von Adaptive Threat Protection fehlgeschlagen 15 DXL_INSTALLATION_FAILED Installation von Data Exchange Layer fehlgeschlagen 16 MAR_INSTALLATION_FAILED Installation von Active Response fehlgeschlagen 17 ENS_INCOMPATIBLE_VERSION Inkompatible Endpoint Security-Version installiert (nur für Nicht-Windows-Systeme) 18 ATP_INCOMPATIBLE_VERSION Inkompatible Adaptive Threat Protection-Version installiert 19 OS_INCOMPATIBLE_VERSION Nicht unterstützte Betriebssystemversion Die Fehlercodes werden in der Tabelle MarCustomEvent auf dem McAfee epo-server gespeichert. Die Ereignisse werden vom McAfee epo-server basierend auf dessen Konfiguration gesendet. Wenn Sie McAfee Agent ab Version verwenden, werden die Fehlercodenummern bei einem Installationsfehler in der Ausgabe der Ansicht "Ausgeführter Task" angezeigt. Siehe auch Anzeigen des Active Response-Systemzustands auf Seite 20 Systemanforderungen für Active Response auf Seite 5 Anzeigen des Active Response-Systemzustands Auf der Seite Active Response-Systemzustand werden Anzahl der Endpunkte, Status der Endpunktbereitstellungen, inkompatible und nicht unterstützte Versionen sowie Verbindungsprobleme mit Servern und Diensten. Auf der Seite Active Response-Systemzustand können Sie den Status von Endpunkten, Servern und Cloud Bridge-Verbindung zentral überprüfen. Um die Seite Active Response-Systemzustand anzuzeigen, wählen Sie Menü Systeme Active Response-Systemzustand aus oder klicken Sie auf den Link im Fenster Systemzustandswarnung, wenn dieses Fenster beim Öffnen des Arbeitsbereichs angezeigt wird. Das Fenster Systemzustandswarnung wird angezeigt, wenn die Endpunkte, Server oder Cloud-Dienste aufgrund von kritischen Problemen Aufmerksamkeit erfordern. Tabelle 2-2 Zustand von Clients Status Endpunkte insgesamt Active Response bereitgestellt Bereit für die Active Response-Bereitstellung Beschreibung Die Gesamtanzahl der Endpunkte in der Umgebung, auf denen Active Response bereitgestellt ist, die Bereitstellung aussteht oder die mit der Bereitstellung inkompatibel sind Die Anzahl der Endpunkte, auf denen aktuell Active Response ausgeführt wird und die Anzeige des von McAfee epo verwalteten Verfolgungsstatus. Wenn das Verfolgungs-Plug-In deaktiviert ist, wird eine Warnung angezeigt und der Status informiert Sie über die Anzahl der betroffenen Endpunkte. Klicken Sie auf den Link, um eine Liste der betroffenen Hosts anzuzeigen. Kompatible Endpunkte, auf denen die Bereitstellung aussteht. Es wird sowohl die Anzahl der neuen Endpunkte (macos, Windows, Linux), die eine Bereitstellung erfordern, als auch die der Endpunkte, die Updates erfordern, angezeigt. 20 McAfee Active Response Installationshandbuch

21 Erstmaliges Installieren von Active Response Anzeigen des Active Response-Systemzustands 2 Tabelle 2-2 Zustand von Clients (Fortsetzung) Status Inkompatibel mit Active Response Active Response-Bereitstellung fehlgeschlagen Beschreibung Inkompatible Endpunkte, auf denen die Bereitstellung aussteht. Für den Endpunkt gilt eine Active Response-Anforderung, die nicht erfüllt worden ist. Beim Status ist Folgendes aufgeführt: Nicht unterstützte Versionen eines Endpunkt-Clients, wie Endpoint Security oder McAfee Agent, sowie die Anzahl der betroffenen Endpunkte. Nicht unterstützte Clients, wie VirusScan Enterprise auf dem Endpunkt sowie die Anzahl der betroffenen Endpunkte. Endpunkte mit nicht unterstützten Betriebssystemversionen und die Anzahl der betroffenen Endpunkte. Auf Endpunkten mit einer nicht unterstützten Betriebssystemversion schlägt die Installation durch das Active Response-Installationsprogramm fehl. Daher wissen Sie, für welche Endpunkte ein Upgrade durchgeführt werden muss. Die Anzahl der fehlgeschlagenen Bereitstellungen auf Endpunkten Tabelle 2-3 Zustand von Servern Status Active Response Server 2.3 Advanced Threat Defense (Versionsnummer) DXL 4.0-Broker Threat Intelligence Exchange 2.1-Server Cloud-Speicher und -Dienste Beschreibung Zeigt die Version und den Status des Active Response-Servers und einen Link zur entsprechenden Konfigurationsseite an. Der Status zeigt an, ob der Server nicht erreichbar ist oder ein Update erforderlich ist. Klicken Sie auf den Link, um das Problem zu beheben. Zeigt den Namen und die IP-Adresse des McAfee Advanced Threat Defense-Servers an. Klicken Sie auf den Link, um die Konfiguration zu bearbeiten. Zeigt die Version und den Status des DXL-Broker an, der eine erfolgreiche oder fehlgeschlagene Verbindung anzeigt. Klicken Sie auf den Link, um das Problem zu beheben, wenn ein Broker nicht verfügbar ist. Zeigt die Version und den Status der TIE-Server und einen Link zur entsprechenden Konfigurationsseite an. Klicken Sie auf den Link, um das Problem zu beheben, wenn ein Server nicht verfügbar ist. Es gibt Verbindungs- oder Konfigurationsanforderungen, die nicht erfüllt sind. Beispielsweise ist die Cloud Bridge-Verbindung unterbrochen, oder es ist eine Zeitüberschreitung aufgetreten. Das Cloud-Konto ist nicht eingerichtet oder nicht richtig konfiguriert. Für McAfee epo-server mit Bridge-Computer sind verschiedene Geolocations konfiguriert. Sie können nur eine Geolocation pro DXL-Fabric auswählen. McAfee epo-server mit Bridge-Computer sind mit unterschiedlichen Cloud-Konten verbunden. Sie können für über eine Bridge verbundene McAfee epo-server nur ein Cloud-Konto konfigurieren. Siehe auch Durchführen eines Upgrades der Clients auf Seite 25 Fehlermeldungen bei der Installation auf Seite 19 McAfee Active Response Installationshandbuch 21

22 2 Erstmaliges Installieren von Active Response Anzeigen des Active Response-Systemzustands 22 McAfee Active Response Installationshandbuch

23 3 Durchführen 3 eines Upgrades von Active Response Bei einem vollständigen Upgrade werden ein neuer Active Response-Server, eine Erweiterung und Client-Pakete installiert. Installieren Sie die Komponenten in der folgenden Reihenfolge, um die Ausfallzeiten während des Upgrade-Vorgangs zu minimieren: 1 Active Response-Server: MAR-Server-Bundle_{version}.zip 2 Active Response-Erweiterungen: Active_Response_MAR_{version}.zip 3 Active Response-Aggregator 4 Active Response-Clients auf verwalteten Systemen Der Active Response-Aggregator ist inkompatibel mit dem Standard-DXL-Client. Für einen DXL-Broker mit installiertem Active Response-Aggregator sind alle DXL-Client-Aktualisierungen in einem neuen Active Response-Aggregator-Paket enthalten. Inhalt Durchführen eines Upgrades der Active Response-Erweiterungen Durchführen eines Upgrades des Active Response-Servers Durchführen eines Upgrades der Clients Durchführen eines Upgrades der Inhaltspakete Durchführen eines Upgrades des Verfolgungsregel-Inhaltspakets Durchführen eines Upgrades der Active Response-Erweiterungen Führen Sie ein Upgrade der Active Response-Erweiterungen auf dem McAfee epo-server durch. Bevor Sie beginnen Ein Active Response-Server derselben oder einer höheren Version muss installiert sein. 1 Melden Sie sich bei McAfee epo als Administrator an. 2 Wählen Sie Menü Software Software-Manager aus. 3 Wählen Sie Software nicht eingecheckt Lizensiert aus. McAfee Active Response Installationshandbuch 23

24 3 Durchführen eines Upgrades von Active Response Durchführen eines Upgrades des Active Response-Servers 4 Wählen Sie das Active Response-Erweiterungspaket aus, und führen Sie das Upgrade für die Erweiterungen in dieser Reihenfolge durch, um Kompatibilitätsprobleme zu vermeiden. a DXL-Broker-Verwaltungserweiterung b c d e f TIE-Server-Verwaltungserweiterung Active Response-Erweiterung/-Pakete DXL-Client-Paket Active Response-Arbeitsbereichserweiterung Active Response-Client-Paket 5 Wählen Sie in der Dropdown-Liste Aktionen die Option Einchecken aus. Akzeptieren Sie dann den Lizenzvertrag für jedes Paket. 6 Führen Sie bei Bedarf ein Upgrade des DXL-Brokers durch. Anweisungen finden Sie im Installationshandbuch dieses Produkts. 7 Führen Sie bei Bedarf ein Upgrade des TIE-Servers durch. Anweisungen finden Sie im Installationshandbuch dieses Produkts. 8 Führen Sie ein Upgrade des Active Response-Servers durch. 9 Führen Sie Upgrades der Active Response-Clients durch. Durchführen eines Upgrades des Active Response-Servers Installieren Sie die Update-Pakete für den Active Response-Server aus dem McAfee epo -Software-Manager. Damit Sie das Active Response-Server-Paket installieren können, müssen Sie zuvor unter den McAfee epo-servereigenschaften die maximale Upload-Größe erhöhen. Für diese Aktualisierung ist ein Neustart des McAfee epo-servers erforderlich. Während des Neustartvorgangs haben Benutzer keinen Zugriff. 1 Melden Sie sich bei McAfee epo als Administrator an. 2 Navigieren Sie zu C:\Programme (x86)\mcafee\epolicy Orchestrator\Server\conf\orion. a Klicken Sie mit der rechten Maustaste auf die Datei orion.properties, und bearbeiten Sie sie mit Note ++ oder einem ähnlichen Editor. b Suchen Sie nach orion.upload.max.size, und ändern Sie den Wert zu c Speichern Sie die Änderung, und starten Sie die McAfee epo-serveranwendungen auf Ihrer virtuellen Maschine oder dem physischen Server neu. 3 Wählen Sie Menü Software Software-Manager aus, und checken Sie das Active Response-Server-Paket ein. 4 Zur Bereitstellung des Aktualisierungspakets: a Wählen Sie Menü Software Produktbereitstellung aus, und klicken Sie anschließend auf Neue Bereitstellung. b c Wählen Sie in der Dropdown-Liste Paket das Server-Update-Paket aus. Klicken Sie auf das +-Symbol, um ein zusätzliches Paket hinzuzufügen. 24 McAfee Active Response Installationshandbuch

25 Durchführen eines Upgrades von Active Response Durchführen eines Upgrades der Clients 3 d e f Wählen Sie in der Dropdown-Liste Paket das Update-Paket für die Server-Plattform aus. Klicken Sie auf Systeme auswählen, um den Active Response-Server in Ihrem Netzwerk auszuwählen. Wählen Sie Sofort ausführen aus, und klicken Sie auf Speichern, um die Bereitstellung zu starten. Durchführen eines Upgrades der Clients Installieren Sie eine neuere Version des Active Response-Clients auf verwalteten Systemen, um ein Upgrade der Clients durchzuführen. Bevor Sie beginnen Vergewissern Sie sich, dass alle Active Response-Endpunkt-Client-Systeme die Mindestanforderungen erfüllen. Entfernen Sie McAfee VirusScan Enterprise von den Endpunkten, da die Installation sonst fehlschlägt. Wenn auf den Endpunkten McAfee Host Intrusion Prevention-Inhalte ausgeführt werden, stellen Sie sicher, dass es sich um Version oder höher handelt. Stellen Sie sicher, dass Fehler im Zusammenhang mit der Kompatibilität oder der Bereitstellung auf Endpunkten behoben sind (zeigen Sie die Seite Zustand an). Vergewissern Sie sich bei Redstone 3-Endpunkten, dass Endpoint Security oder im Master-Repository eingecheckt ist, bevor Sie das Active Response-Client-Paket installieren. 1 Melden Sie sich als Administrator bei McAfee epo an. 2 Wählen Sie Menü Software Produktbereitstellung aus, und klicken Sie anschließend auf Neue Bereitstellung. Während der Bereitstellung auf Windows-Systemen deaktiviert Active Response den Microsoft Schutzdienst vorübergehend, um die Installation abzuschließen. Endpunktbenutzern wird möglicherweise eine Warnung angezeigt, der zufolge dieser Dienst deaktiviert worden ist. Nach Abschluss der Installation wird Microsoft Protection Service wiederhergestellt, und die Warnung kann ignoriert werden. 3 Wählen Sie das Active Response-Client-Software-Paket McAfee Active Response für Windows, Linux und macos aus. Auf Linux-64-Bit-Systemen müssen kompatible 32-Bit-Bibliotheken auf Endpunkten installiert werden, damit Active Response ordnungsgemäß ausgeführt werden kann. Anweisungen finden Sie unter KB Klicken Sie auf Systeme auswählen, um die Endpunkte auszuwählen, die mit Active Response verwaltet werden sollen. 5 Wählen Sie Sofort ausführen aus, und klicken Sie auf Speichern, um die Bereitstellung zu starten. 6 Stellen Sie die Active Response-Clients bereit. Wenn bereits eine ältere Version installiert worden ist, wird der Active Response-Client mit der neueren Version aktualisiert. Erstellen Sie außerdem einen Client-Task und legen Sie in den Einstellungen für die Zeitüberschreitung einen höheren Wert als 20 Minuten (Standardwert) fest, wenn die Bereitstellung auf einem älteren System erfolgt, auf dem eine neue Bereitstellung mehr Zeit in Anspruch nimmt. Damit stellen Sie sicher, dass bei der Bereitstellung keine Zeitüberschreitung auftritt, bevor der Vorgang abgeschlossen ist. McAfee Active Response Installationshandbuch 25