Contáctanos
McAfee Enterprise Security Manager

McAfee Enterprise Security Manager

Trellix ESM destaca en la detección de amenazas y la monitorización en tiempo real.

Información básica

Trellix Enterprise Security Manager (ESM), anteriormente McAfee Enterprise Security Manager, es una solución integral de gestión de información y eventos de seguridad (SIEM). Constituye el componente principal de la oferta SIEM de Trellix, proporcionando visibilidad en tiempo real de las actividades en sistemas, redes, bases de datos y aplicaciones.

  • Modelo: Trellix Enterprise Security Manager (ESM). Los modelos de dispositivos específicos incluyen ESM-ELM-ERC-5700, ESM-ELM-ERC-6050 y ESM-ELM-ERC-6075.
  • Versión: La última versión estable es la 11.6.12. Las versiones anteriores incluyen 11.5.x, 11.4.x, 11.3.x, 11.0 y 9.1.
  • Fecha de lanzamiento: La versión 11.6.12 se lanzó el 4 de diciembre de 2024. La versión 11.5.0 se lanzó el 23 de mayo de 2023. La versión 11.0 se lanzó alrededor de octubre de 2018.
  • Requisitos mínimos:
    • Procesador de la máquina virtual: 8 núcleos de 64 bits (Dual Core2/Nehalem o superior, o AMD Dual Athlon64/Dual Opteron64 o superior).
    • Memoria RAM de la máquina virtual: 16 GB o más.
    • Espacio en disco de la máquina virtual: 500 GB o más, según el modelo.
    • Software de consola: Internet Explorer 11+, Mozilla Firefox 42+, Google Chrome 48+ y Flash Player 11.2.xx o posterior (nota: Flash Player está en gran medida obsoleto y es posible que las versiones más recientes de ESM no lo requieran).
  • Sistemas operativos compatibles:
    • Plataformas de máquinas virtuales: Amazon Web Services (AWS), Hyper-V VM, Linux KVM, Microsoft Azure (Ubuntu 18.x o posterior), Oracle Cloud Infrastructure (OCI), VMware ESXi y Xen Hypervisor.
    • Consola: Requiere un navegador web compatible.
  • Última versión estable: 11.6.12.
  • Fecha de fin de soporte: Las fechas de fin de vida útil (EOL) varían según la versión específica de ESM y el modelo del dispositivo. Por ejemplo, ESM-ELM-ERC-5700 y ESM-ELM-ERC-6050 tienen una fecha de fin de vida útil del 30 de junio de 2025, mientras que ESM-ELM-ERC-6075 tiene una fecha de fin de vida útil del 9 de abril de 2028.
  • Fecha de fin de vida útil: Coincide con la fecha de fin de soporte para versiones y modelos de electrodomésticos específicos.
  • Fecha de caducidad de la actualización automática: No se especifica explícitamente, pero McAfee ESM Cloud ofrece actualizaciones automáticas.
  • Tipo de licencia: Normalmente, una licencia de suscripción, generalmente anual, que incluye soporte de software. Las licencias para máquinas virtuales suelen basarse en unidades de instancia de VM (por ejemplo, 8 núcleos).
  • Modelo de implementación: Disponible como dispositivo físico, dispositivo virtual para varios hipervisores y plataformas en la nube, y una oferta SIEM basada en la nube (McAfee ESM Cloud).

Requisitos técnicos

Trellix ESM se puede implementar como una máquina virtual o un dispositivo físico, y los requisitos varían según el componente específico y la escala de implementación.

  • RAM:
    • Máquina virtual general: 16 GB o más.
    • Componentes específicos (VM): El receptor de eventos (ERC) requiere 8 GB, el administrador de registros empresariales (ELM) requiere 8 GB, el motor de correlación avanzado (ACE) requiere 32 GB y el bus de transmisión de datos (DSB) requiere 96 GB.
  • Procesador:
    • Máquina virtual general: 8 núcleos de 64 bits (Dual Core2/Nehalem o superior, o AMD Dual Athlon64/Dual Opteron64 o superior).
    • Interfaz ESM (cliente web): 4 núcleos de 64 bits.
  • Almacenamiento:
    • Máquina virtual general: 500 GB o más, dependiendo del modelo específico y las necesidades de retención de datos.
    • Máquina virtual de bus de transmisión de datos (DSB): 6 TB de espacio en disco.
  • Pantalla: Se requieren capacidades de visualización estándar para acceder a la consola a través de un navegador web.
  • Puertos: Se requieren varios puertos TCP para la comunicación entre dispositivos y las integraciones externas. Los puertos comunes incluyen 22 (todos los dispositivos), 9092 (Kafka para varios componentes), 1119 (EDB Secure), 1210-1212 (Snowflex/Snowman para ESM), 8103-8104 (Snowclient/JDBC), 2181 (gestión del bus de datos) y 443 (comunicación ESM a ESM en entornos en clúster).
  • Sistema operativo: El dispositivo ESM principal suele ejecutarse en una distribución Linux reforzada. Para las máquinas virtuales de Azure, se admite Ubuntu 18.x o posterior. La consola requiere un navegador web compatible que se ejecute en un sistema operativo estándar.

Análisis de los requisitos técnicos

Los requisitos técnicos de Trellix ESM son considerables, lo que refleja su función como solución SIEM de nivel empresarial diseñada para procesar y almacenar grandes volúmenes de datos de seguridad. Los distintos requisitos de RAM y almacenamiento para los diferentes componentes (ERC, ELM, ACE, DSB) indican una arquitectura modular que permite escalar funciones específicas según las necesidades de la organización. Los requisitos del procesador sugieren la necesidad de una potencia de cálculo significativa para el análisis y la correlación en tiempo real. El ancho de banda de la red es fundamental, con un mínimo recomendado de 1 Gbps para la red ESM y al menos 100 Mbps para conexiones remotas a través de WAN, junto con una latencia máxima de red de 200 ms (75 ms para conexiones Heartbeat). La amplia compatibilidad con plataformas de máquinas virtuales destaca la flexibilidad de implementación, lo que permite a las organizaciones aprovechar la infraestructura de virtualización o los entornos de nube existentes. Los requisitos de la consola son relativamente ligeros, ya que se basan en navegadores web estándar, lo que simplifica la implementación en el cliente. En general, los requisitos enfatizan la necesidad de recursos dedicados para garantizar un rendimiento y una estabilidad óptimos para una función de seguridad crítica.

Soporte y compatibilidad

Trellix ESM ofrece una amplia compatibilidad y opciones de soporte, cruciales para su función en diversos entornos empresariales.

  • Última versión: La versión más reciente disponible es la 11.6.12.
  • Compatibilidad con sistemas operativos: Trellix ESM admite la implementación en una amplia gama de plataformas de máquinas virtuales, incluidas Amazon Web Services (AWS), Hyper-V VM, Linux KVM, Microsoft Azure, Oracle Cloud Infrastructure (OCI), VMware ESXi y Xen Hypervisor. Se accede a la consola mediante navegadores web estándar.
  • Fecha de fin de soporte: Las fechas de fin de vida útil (EOL) son específicas para cada versión del producto y modelo del dispositivo. Por ejemplo, ESM-ELM-ERC-5700 y ESM-ELM-ERC-6050 tienen una fecha de fin de vida útil del 30 de junio de 2025, mientras que ESM-ELM-ERC-6075 la extiende hasta el 9 de abril de 2028. Se recomienda encarecidamente a los clientes que actualicen a las versiones más recientes para mantener el soporte.
  • Localización: La documentación y las interfaces del producto están disponibles principalmente en inglés.
  • Controladores disponibles: Como dispositivo de software y solución SIEM, Trellix ESM no suele requerir controladores de hardware tradicionales. Su compatibilidad se centra en la integración con una amplia gama de fuentes de datos y productos de seguridad. Admite más de 460 productos para la recopilación de datos y añade nuevos conectores con regularidad.

Análisis del estado general de soporte y compatibilidad

Trellix ESM demuestra una sólida compatibilidad con las principales plataformas de virtualización y nube, ofreciendo flexibilidad en su implementación. La publicación continua de actualizaciones y parches, como los de la versión 11.5.x, indica un desarrollo y mantenimiento activos. Sin embargo, las fechas de fin de soporte escalonadas para los diferentes modelos y versiones de dispositivos requieren una planificación cuidadosa de las actualizaciones para garantizar la asistencia continua y el acceso a las últimas funciones y correcciones de seguridad. La extensa lista de fuentes de datos compatibles (más de 460 productos) constituye una importante ventaja, ya que permite una amplia visibilidad de la infraestructura de seguridad de una empresa. Si bien no se destacan en detalle los aspectos específicos de localización, el carácter global de Trellix (anteriormente McAfee) sugiere la compatibilidad con varios idiomas en su amplio portafolio de productos, aunque la interfaz y la documentación principales de ESM suelen estar en inglés. La ausencia de controladores tradicionales es esperable en una solución SIEM, ya que su integración se basa en protocolos y API en lugar de la interacción directa con el hardware.

Estado de seguridad

Trellix ESM está diseñado como un componente fundamental para un marco de seguridad eficaz, centrándose en la detección, el análisis y la respuesta a las amenazas.

  • Características de seguridad:
    • Monitorización y análisis en tiempo real de incidentes de seguridad.
    • Fuentes de inteligencia sobre amenazas avanzadas y datos de reputación.
    • Reglas de correlación para identificar tendencias y actividades sospechosas.
    • Gestión de alarmas y alertas con activadores personalizables.
    • Gestión de listas de vigilancia para el monitoreo de métodos de ataque e indicadores de compromiso (IoC).
    • Capacidades de investigación de incidentes, incluyendo herramientas basadas en IA en las versiones más recientes.
    • Monitoreo y reporte automatizados del cumplimiento, integrándose con marcos como UCF.
    • Configuración de la lista de bloqueo.
    • Compatibilidad con comandos remotos para acciones de respuesta.
    • Actualizaciones de geolocalización para el contexto de la amenaza.
  • Vulnerabilidades conocidas: Las actualizaciones y los parches de seguridad solucionan periódicamente problemas y vulnerabilidades conocidos. Las vulnerabilidades específicas se detallan en las notas de la versión y los avisos de seguridad.
  • Estado de la lista negra: El sistema admite la configuración y el uso de listas de bloqueo para gestionar y responder a las amenazas identificadas.
  • Certificaciones: McAfee Enterprise Security Manager 9.1 ha obtenido la certificación de Criterios Comunes para una configuración evaluada.
  • Compatibilidad con cifrado: Admite TLS v1.2 para el reenvío de eventos ESM. En las guías de implementación también se menciona el modo FIPS, lo que indica compatibilidad con los Estándares Federales de Procesamiento de Información.
  • Métodos de autenticación: Si bien no se detallan explícitamente en los resultados de búsqueda pública, las soluciones SIEM empresariales suelen integrarse con métodos de autenticación estándar como LDAP, Active Directory y SAML para el control de acceso de los usuarios.
  • Recomendaciones generales: Trellix recomienda encarecidamente actualizar a la versión más reciente para garantizar que se apliquen todas las funciones y correcciones, incluidas las mejoras de seguridad.

Análisis de la calificación general de seguridad

Trellix ESM ofrece un sólido conjunto de funciones de seguridad esenciales para una solución SIEM moderna, incluyendo detección de amenazas en tiempo real, análisis avanzados y gestión del cumplimiento normativo. Su capacidad para recopilar y correlacionar datos de diversas fuentes, junto con fuentes de inteligencia sobre amenazas, mejora su capacidad para identificar y responder a distintos métodos de ataque, incluyendo ataques lentos y de baja prioridad e indicadores de compromiso (IoC). La certificación Common Criteria para versiones anteriores demuestra un compromiso con estándares de seguridad rigurosos. La compatibilidad con TLS 1.2 y el modo FIPS indica el cumplimiento de estándares de comunicación segura y criptográficos. Si bien las vulnerabilidades conocidas específicas se abordan mediante actualizaciones, el proceso continuo de aplicación de parches es estándar para el software de seguridad complejo. Los comentarios de los usuarios destacan su eficacia en la detección y prevención de amenazas. Sin embargo, la eficacia de estas funciones depende en gran medida de una configuración adecuada, una gestión continua y actualizaciones oportunas, lo que puede requerir una gran experiencia.

Rendimiento y puntos de referencia

Trellix ESM está diseñado para ofrecer un alto rendimiento y escalabilidad para gestionar las enormes cantidades de datos generados en entornos de seguridad empresarial.

  • Puntuaciones de referencia: Las puntuaciones de referencia específicas disponibles públicamente no se detallan en la información proporcionada.
  • Métricas de rendimiento en el mundo real:
    • Ingesta de eventos: Los receptores de eventos sintonizados (ERC) pueden admitir hasta 90.000 eventos por segundo (EPS).
    • Escalabilidad: La arquitectura SIEM está diseñada para la escalabilidad horizontal, lo que permite un rendimiento de ingesta y consulta prácticamente ilimitado.
    • Rendimiento en clúster: Un clúster de cuatro ESM puede ingerir colectivamente un promedio de 2 millones de eventos por segundo.
    • Rendimiento de las consultas: Las consultas a una base de datos de 2 mil millones de eventos pueden devolver resultados en 15 segundos.
  • Consumo de energía: No se detalla explícitamente en la información proporcionada.
  • Huella de carbono: No se detalla explícitamente en la información proporcionada.
  • Comparación con productos similares: Trellix ESM se posiciona constantemente como líder en el Cuadrante Mágico de Gartner para SIEM, por detrás de competidores como IBM, Splunk y LogRhythm. Destaca por su enfoque de dispositivo llave en mano y la simplicidad de sus compras, lo que lo hace idóneo para usuarios de otros productos de McAfee/Trellix gracias a sus integraciones nativas. Sin embargo, se ha observado que se queda atrás con respecto a la competencia en áreas como el análisis automatizado, la automatización y las capacidades de orquestación.

Análisis del estado general del desempeño

Trellix ESM demuestra un alto rendimiento, especialmente en su capacidad para ingerir y procesar un gran volumen de eventos y flujos de seguridad. Su arquitectura ofrece una escalabilidad significativa mediante la expansión horizontal y la agrupación en clústeres, lo que le permite satisfacer las demandas de entornos empresariales grandes y dinámicos. El rápido rendimiento de las consultas sobre conjuntos de datos masivos es una ventaja crucial para las investigaciones forenses y la búsqueda de amenazas en tiempo real. Si bien no se dispone de puntuaciones de referencia específicas, las métricas reales proporcionadas ilustran su capacidad de alto rendimiento. La fortaleza de la plataforma reside en su robusto sistema de gestión de datos, reconocido por los analistas del sector. Sin embargo, su relativa debilidad en análisis avanzados basados en aprendizaje automático, automatización y orquestación sugiere que, si bien destaca en la recopilación y correlación de datos, puede requerir mayor intervención manual o integración con otras herramientas para operaciones de seguridad avanzadas en comparación con algunos competidores.

Reseñas y comentarios de los usuarios

Las reseñas y comentarios de los usuarios sobre Trellix Enterprise Security Manager destacan su eficacia en las funciones básicas de SIEM, junto con algunos desafíos.

  • Fortalezas:
    • Detección y prevención de amenazas: Los usuarios elogian sus funciones de seguridad por cubrir todos los aspectos de la detección y prevención de amenazas, lo que permite una rápida identificación y respuesta ante las mismas.
    • Monitoreo y análisis en tiempo real: Proporciona visibilidad inmediata de los eventos de seguridad, ayudando a detectar las amenazas a medida que ocurren.
    • Gestión centralizada: Ofrece una plataforma unificada para supervisar, analizar y responder a las amenazas en toda la organización, simplificando la gestión de amenazas.
    • Inteligencia avanzada sobre amenazas: Se diferencia por su sólida inteligencia sobre amenazas y análisis en tiempo real, correlacionando eventos e identificando tendencias para detectar amenazas a pequeña escala y amenazas internas.
    • Facilidad de configuración (para funciones básicas): Algunos usuarios encuentran que el SIEM es fácil de configurar, agregar fuentes de datos y obtener resultados útiles en cuestión de horas.
    • Escalabilidad: La arquitectura permite a las organizaciones gestionar eficazmente volúmenes crecientes de datos de seguridad.
    • Amplia recopilación de datos: Se integra con más de 460 productos para analizar y mapear eventos de seguridad.
  • Debilidades:
    • Interfaz y curva de aprendizaje: La interfaz y la curva de aprendizaje pueden resultar frustrantes para los usuarios.
    • Complejidad de implementación: Implementar y gestionar Trellix ESM requiere mucho tiempo, recursos y experiencia, especialmente para equipos pequeños.
    • Automatización y orquestación: Gartner señaló que ESM se queda atrás de sus competidores en capacidades de análisis impulsado por máquinas, automatización y orquestación.
  • Casos de uso recomendados:
    • Priorizar, investigar y responder a las amenazas ocultas.
    • Cumplimiento de los requisitos normativos mediante la monitorización y la generación de informes automatizados.
    • Obtener visibilidad e inteligencia mediante la monitorización de usuarios, aplicaciones, redes y dispositivos.
    • Protección contra amenazas avanzadas y desconocidas, incluyendo phishing, amenazas internas y exfiltración de datos.
    • Investigar ataques "lentos y de bajo nivel" y buscar indicadores de compromiso (IoC).

Resumen

Trellix Enterprise Security Manager (ESM), una versión renovada de la solución SIEM de McAfee, se presenta como una solución robusta y escalable para la gestión de información y eventos de seguridad (SIEM). Proporciona visibilidad en tiempo real e inteligencia práctica en toda la infraestructura de seguridad de la organización, recopilando y analizando grandes volúmenes de datos de más de 460 fuentes diversas. Está disponible en varios modelos de implementación, incluyendo dispositivos físicos y virtuales, así como una solución en la nube, para adaptarse a las diversas necesidades empresariales. Sus requisitos técnicos son considerables, especialmente para implementaciones de gran envergadura, exigiendo una cantidad significativa de RAM, potencia de procesamiento y almacenamiento para gestionar altas tasas de eventos por segundo (EPS) y un rendimiento de consultas rápido.

Fortalezas: ESM destaca en sus funcionalidades SIEM principales, ofreciendo detección integral de amenazas, monitorización en tiempo real y capacidades avanzadas de correlación. Su capacidad de integración con una amplia gama de productos de seguridad y el aprovechamiento de fuentes de inteligencia sobre amenazas representan una ventaja significativa para una postura de seguridad integral. Los usuarios valoran su gestión centralizada y sus flujos de trabajo integrados, que simplifican la gestión de amenazas y la generación de informes de cumplimiento. La escalabilidad de la plataforma garantiza su capacidad de crecer al ritmo del volumen de datos de la organización.

Debilidades: A pesar de sus fortalezas, los comentarios de los usuarios señalan una curva de aprendizaje potencialmente pronunciada y una interfaz compleja que puede resultar desafiante para algunos. Además, los análisis del sector sugieren que Trellix ESM podría estar por detrás de algunos competidores en cuanto a análisis avanzados basados en aprendizaje automático, automatización y funciones de orquestación, lo que podría requerir mayor esfuerzo manual o herramientas complementarias para operaciones de seguridad altamente automatizadas. Los importantes recursos y la experiencia necesarios para la implementación y la gestión continua también pueden representar un obstáculo, especialmente para equipos de seguridad pequeños.

Recomendaciones: Trellix ESM es ideal para empresas que requieren una solución SIEM potente y escalable con amplia integración de fuentes de datos y sólidas capacidades de cumplimiento normativo. Las organizaciones que ya utilizan el ecosistema de Trellix (antes McAfee) encontrarán un valor especial gracias a las integraciones nativas. Para maximizar su eficacia, las organizaciones deben asegurarse de contar con los recursos y la experiencia necesarios para la implementación, la configuración y la gestión continua. Las actualizaciones periódicas a las últimas versiones son cruciales para beneficiarse de las mejoras continuas, las correcciones de seguridad y el soporte extendido. Para aquellas empresas que priorizan la automatización avanzada y el análisis basado en IA, se recomienda una evaluación exhaustiva frente a la competencia en estas áreas específicas, o bien planificar la integración con soluciones complementarias.

La información proporcionada se basa en datos de dominio público y puede variar según la configuración específica del dispositivo. Para obtener información actualizada, consulte los recursos oficiales del fabricante.

Simplifica tu ecosistema IT con InvGate Asset Management

Pruébalo 30 días sin costo - No precisa tarjeta de crédito

Comienza ahora

Precios claros

Sin sorpresas ni cargos ocultos: solo precios claros que se adaptan a tus necesidades.

Ver Precios

Migración sencilla

Nuestro equipo garantiza que tu transición a InvGate sea rápida, fluida y sin complicaciones.

Ver Customer Experience