Fale conosco
McAfee Enterprise Security Manager

McAfee Enterprise Security Manager

O Trellix ESM se destaca na detecção de ameaças e no monitoramento em tempo real.

Informações básicas

O Trellix Enterprise Security Manager (ESM), anteriormente conhecido como McAfee Enterprise Security Manager, é uma solução abrangente de Gerenciamento de Informações e Eventos de Segurança (SIEM). Ele serve como componente central da oferta SIEM da Trellix, fornecendo visibilidade em tempo real das atividades em sistemas, redes, bancos de dados e aplicativos.

  • Modelo: Trellix Enterprise Security Manager (ESM). Os modelos específicos de appliance incluem ESM-ELM-ERC-5700, ESM-ELM-ERC-6050 e ESM-ELM-ERC-6075.
  • Versão: A versão estável mais recente é a 11.6.12. As versões anteriores incluem 11.5.x, 11.4.x, 11.3.x, 11.0 e 9.1.
  • Data de lançamento: A versão 11.6.12 foi lançada em 4 de dezembro de 2024. A versão 11.5.0 foi lançada em 23 de maio de 2023. A versão 11.0 foi lançada por volta de outubro de 2018.
  • Requisitos mínimos:
    • Processador da máquina virtual: 8 núcleos de 64 bits (Dual Core2/Nehalem ou superior, ou AMD Dual Athlon64/Dual Opteron64 ou superior).
    • Memória RAM da máquina virtual: 16 GB ou mais.
    • Espaço em disco da máquina virtual: 500 GB ou mais, variando conforme o modelo.
    • Software de console: Internet Explorer 11+, Mozilla Firefox 42+, Google Chrome 48+ e Flash Player 11.2.xx ou posterior (observação: o Flash Player está amplamente obsoleto e versões mais recentes do ESM podem não exigi-lo).
  • Sistemas Operacionais Compatíveis:
    • Plataformas de Máquinas Virtuais: Amazon Web Services (AWS), Hyper-V VM, Linux KVM, Microsoft Azure (Ubuntu 18.x ou posterior), Oracle Cloud Infrastructure (OCI), VMware ESXi e Xen Hypervisor.
    • Console: Requer um navegador web compatível.
  • Última versão estável: 11.6.12.
  • Data de Fim do Suporte: As datas de Fim da Vida Útil (EOL) variam de acordo com a versão específica do ESM e o modelo do dispositivo. Por exemplo, o ESM-ELM-ERC-5700 e o ESM-ELM-ERC-6050 têm EOL em 30 de junho de 2025, enquanto o ESM-ELM-ERC-6075 tem EOL em 9 de abril de 2028.
  • Data de Fim de Vida Útil: Coincide com a data de fim de suporte para versões e modelos de equipamentos específicos.
  • Data de expiração da atualização automática: Não especificada explicitamente, mas o McAfee ESM Cloud oferece atualizações automáticas.
  • Tipo de licença: Normalmente, uma licença por assinatura, geralmente com duração de um ano, que inclui suporte de software. O licenciamento de máquinas virtuais costuma ser baseado em unidades de instância de VM (por exemplo, 8 núcleos).
  • Modelo de implantação: Disponível como um dispositivo físico, um dispositivo virtual para vários hipervisores e plataformas de nuvem, e uma oferta SIEM baseada em nuvem (McAfee ESM Cloud).

Requisitos técnicos

O Trellix ESM pode ser implementado como uma máquina virtual ou um dispositivo físico, com requisitos que variam de acordo com o componente específico e a escala da implementação.

  • BATER:
    • Memória VM geral: 16 GB ou mais.
    • Componentes específicos (VM): O Event Receiver (ERC) requer 8 GB, o Enterprise Log Manager (ELM) requer 8 GB, o Advanced Correlation Engine (ACE) requer 32 GB e o Data Streaming Bus (DSB) requer 96 GB.
  • Processador:
    • Requisitos gerais da máquina virtual: 8 núcleos de 64 bits (Dual Core2/Nehalem ou superior, ou AMD Dual Athlon64/Dual Opteron64 ou superior).
    • Interface ESM (Cliente Web): 4 núcleos de 64 bits.
  • Armazenar:
    • VM geral: 500 GB ou mais, dependendo do modelo específico e das necessidades de retenção de dados.
    • Máquina virtual Data Streaming Bus (DSB): 6 TB de espaço em disco.
  • Exibição: É necessário um monitor com recursos padrão para acessar o console por meio de um navegador da web.
  • Portas: Várias portas TCP são necessárias para a comunicação entre dispositivos e integrações externas. As portas comuns incluem 22 (todos os dispositivos), 9092 (Kafka para vários componentes), 1119 (EDB Secure), 1210-1212 (Snowflex/Snowman para ESMs), 8103-8104 (Snowclient/JDBC), 2181 (gerenciamento do barramento de dados) e 443 (comunicação ESM-para-ESM em ambientes clusterizados).
  • Sistema Operacional: O núcleo do dispositivo ESM geralmente é executado em uma distribuição Linux reforçada. Para VMs do Azure, o Ubuntu 18.x ou posterior é compatível. O console requer um navegador web compatível executado em um sistema operacional padrão.

Análise dos Requisitos Técnicos

Os requisitos técnicos do Trellix ESM são substanciais, refletindo seu papel como uma solução SIEM de nível empresarial projetada para processar e armazenar grandes volumes de dados de segurança. Os diferentes requisitos de RAM e armazenamento para os diversos componentes (ERC, ELM, ACE, DSB) indicam uma arquitetura modular que permite o dimensionamento de funções específicas com base nas necessidades da organização. Os requisitos de processador sugerem a necessidade de poder computacional significativo para análise e correlação em tempo real. A largura de banda da rede é crucial, com um mínimo de 1 Gbps recomendado para a rede ESM e pelo menos 100 Mbps para conexões remotas via WAN, além de uma latência máxima de rede de 200 ms (75 ms para conexões Heartbeat). O amplo suporte a plataformas de máquinas virtuais destaca a flexibilidade de implantação, permitindo que as organizações aproveitem a infraestrutura de virtualização existente ou ambientes de nuvem. Os requisitos do console são relativamente leves, utilizando navegadores web padrão, o que simplifica a implantação no lado do cliente. No geral, os requisitos enfatizam recursos dedicados para garantir desempenho e estabilidade ideais para uma função de segurança crítica.

Suporte e compatibilidade

O Trellix ESM oferece ampla compatibilidade e opções de suporte, cruciais para seu papel em diversos ambientes corporativos.

  • Última versão: A versão mais recente disponível é a 11.6.12.
  • Suporte a sistemas operacionais: O Trellix ESM suporta a implantação em uma ampla variedade de plataformas de máquinas virtuais, incluindo Amazon Web Services (AWS), Hyper-V VM, Linux KVM, Microsoft Azure, Oracle Cloud Infrastructure (OCI), VMware ESXi e Xen Hypervisor. O console é acessado por meio de navegadores da web padrão.
  • Data de Fim do Suporte: As datas de Fim de Vida (EOL, na sigla em inglês) são específicas para versões de produtos e modelos de dispositivos. Por exemplo, os modelos ESM-ELM-ERC-5700 e ESM-ELM-ERC-6050 têm EOL até 30 de junho de 2025, enquanto o ESM-ELM-ERC-6075 tem suporte até 9 de abril de 2028. Recomenda-se fortemente que os clientes atualizem para as versões mais recentes para manter o suporte.
  • Localização: A documentação e as interfaces do produto estão disponíveis principalmente em inglês.
  • Drivers disponíveis: Como um dispositivo de software e solução SIEM, o Trellix ESM normalmente não requer drivers de hardware tradicionais. Sua compatibilidade se concentra na integração com uma vasta gama de fontes de dados e produtos de segurança. Ele suporta mais de 460 produtos para coleta de dados, com novos conectores adicionados regularmente.

Análise do estado geral de suporte e compatibilidade

O Trellix ESM demonstra forte compatibilidade com as principais plataformas de virtualização e nuvem, oferecendo flexibilidade na implementação. O lançamento contínuo de atualizações e correções, como as da versão 11.5.x, indica desenvolvimento e manutenção ativos. No entanto, as datas de fim de vida útil escalonadas para diferentes modelos e versões de appliances exigem um planejamento cuidadoso para as atualizações, a fim de garantir suporte contínuo e acesso aos recursos e correções de segurança mais recentes. A extensa lista de fontes de dados suportadas (mais de 460 produtos) é um ponto forte significativo, permitindo ampla visibilidade em toda a infraestrutura de segurança de uma empresa. Embora os detalhes específicos de localização não sejam amplamente destacados, a natureza global da Trellix (anteriormente McAfee) sugere suporte a vários idiomas em seu amplo portfólio de produtos, embora a interface principal do ESM e a documentação estejam normalmente em inglês. A ausência de "drivers" tradicionais é esperada para uma solução SIEM, já que sua integração depende de protocolos e APIs, em vez de interação direta com o hardware.

Estado de segurança

O Trellix ESM foi projetado como um componente fundamental para uma estrutura de segurança eficaz, com foco na detecção, análise e resposta a ameaças.

  • Recursos de segurança:
    • Monitoramento e análise de eventos de segurança em tempo real.
    • Feeds avançados de inteligência contra ameaças e dados de reputação.
    • Regras de correlação para identificar tendências e atividades suspeitas.
    • Gerenciamento de alarmes e alertas com gatilhos personalizáveis.
    • Gerenciamento de listas de observação para monitoramento de métodos de ataque e Indicadores de Comprometimento (IoCs).
    • Capacidades de investigação de incidentes, incluindo ferramentas com inteligência artificial em versões mais recentes.
    • Monitoramento e geração de relatórios de conformidade automatizados, com integração a estruturas como a UCF.
    • Configuração da lista de bloqueio.
    • Suporte para comandos remotos para ações de resposta.
    • Atualizações de geolocalização para contexto de ameaças.
  • Vulnerabilidades conhecidas: Atualizações e correções de segurança resolvem regularmente problemas e vulnerabilidades conhecidas. Vulnerabilidades específicas são geralmente detalhadas nas notas de versão e nos avisos de segurança.
  • Status da lista negra: O sistema suporta a configuração e o uso de listas de bloqueio para gerenciar e responder a ameaças identificadas.
  • Certificações: O McAfee Enterprise Security Manager 9.1 obteve a certificação de configuração avaliada pelos Critérios Comuns.
  • Suporte à criptografia: Suporta TLS v1.2 para encaminhamento de eventos ESM. O modo FIPS também é mencionado nos guias de implantação, indicando suporte aos Padrões Federais de Processamento de Informações.
  • Métodos de autenticação: Embora não sejam detalhados explicitamente nos resultados de pesquisas públicas, as soluções SIEM corporativas normalmente se integram a métodos de autenticação padrão, como LDAP, Active Directory e SAML, para controle de acesso do usuário.
  • Recomendações gerais: A Trellix recomenda consistentemente a atualização para a versão mais recente para garantir que todos os recursos e correções, incluindo melhorias de segurança, sejam aplicados.

Análise da classificação geral de segurança

O Trellix ESM oferece um conjunto robusto de recursos de segurança essenciais para uma solução SIEM moderna, incluindo detecção de ameaças em tempo real, análises avançadas e gerenciamento de conformidade. Sua capacidade de coletar e correlacionar dados de uma ampla gama de fontes, combinada com feeds de inteligência de ameaças, aprimora sua capacidade de identificar e responder a diversos métodos de ataque, incluindo ataques "lentos e de baixa intensidade" e indicadores de comprometimento (IoCs). A certificação Common Criteria para versões anteriores demonstra um compromisso com rigorosos padrões de segurança. O suporte para TLS 1.2 e modo FIPS indica a adesão a padrões de comunicação segura e criptografia. Embora vulnerabilidades específicas conhecidas sejam corrigidas por meio de atualizações, o processo contínuo de aplicação de patches é padrão para softwares de segurança complexos. O feedback dos usuários destaca sua eficácia na detecção e prevenção de ameaças. No entanto, a eficácia desses recursos depende fortemente da configuração adequada, do gerenciamento contínuo e de atualizações oportunas, o que pode exigir conhecimento especializado significativo.

Desempenho e indicadores de desempenho

O Trellix ESM foi projetado para alto desempenho e escalabilidade, de forma a lidar com a enorme quantidade de dados gerados em ambientes de segurança corporativa.

  • Pontuações de referência: As pontuações de referência específicas e disponíveis publicamente não são detalhadas nas informações fornecidas.
  • Métricas de desempenho no mundo real:
    • Ingestão de eventos: os receptores de eventos sintonizados (ERCs) podem suportar até 90.000 eventos por segundo (EPS).
    • Escalabilidade: A arquitetura SIEM foi projetada para escalabilidade horizontal, permitindo desempenho de ingestão e consulta praticamente ilimitado.
    • Desempenho em cluster: Um cluster de quatro ESMs pode ingerir coletivamente uma média de 2 milhões de eventos por segundo.
    • Desempenho das consultas: Consultas em um banco de dados com 2 bilhões de eventos podem retornar resultados em até 15 segundos.
  • Consumo de energia: Não especificado explicitamente nas informações fornecidas.
  • Pegada de carbono: Não detalhada explicitamente nas informações fornecidas.
  • Comparação com soluções similares: O Trellix ESM se destaca consistentemente no Quadrante Mágico do Gartner para SIEM, ficando atrás de concorrentes como IBM, Splunk e LogRhythm. É reconhecido por sua abordagem de appliance pronta para uso e compras simplificadas, tornando-o adequado para usuários de outros produtos McAfee/Trellix devido às integrações nativas. No entanto, observa-se que fica atrás da concorrência em áreas como análise automatizada, automação e orquestração.

Análise do Estado Geral de Desempenho

O Trellix ESM demonstra forte capacidade de desempenho, particularmente em sua habilidade de ingerir e processar um grande volume de eventos e fluxos de segurança. A arquitetura suporta escalabilidade significativa por meio de expansão horizontal e clustering, permitindo atender às demandas de ambientes corporativos grandes e dinâmicos. O alto desempenho de consultas em conjuntos de dados massivos é uma vantagem crucial para investigações forenses e busca de ameaças em tempo real. Embora pontuações de benchmark específicas não estejam disponíveis, as métricas do mundo real ilustram sua capacidade de alto rendimento. O ponto forte da plataforma reside em seu robusto sistema de gerenciamento de dados, reconhecido por analistas do setor. No entanto, sua relativa fragilidade em análises avançadas orientadas por máquina, automação e orquestração sugere que, embora se destaque na coleta e correlação de dados, pode exigir mais intervenção manual ou integração com outras ferramentas para operações de segurança avançadas em comparação com alguns concorrentes.

Avaliações e comentários dos usuários

As avaliações e comentários dos usuários sobre o Trellix Enterprise Security Manager destacam sua eficácia nas principais funções de SIEM, embora também apresentem alguns desafios.

  • Pontos fortes:
    • Detecção e prevenção de ameaças: Os usuários elogiam seus recursos de segurança por abrangerem todos os aspectos da detecção e prevenção de ameaças, permitindo a identificação e resposta rápidas a elas.
    • Monitoramento e análise em tempo real: Oferece visibilidade imediata dos eventos de segurança, ajudando a detectar ameaças assim que elas ocorrem.
    • Gestão centralizada: Oferece uma plataforma unificada para monitorar, analisar e responder a ameaças em toda a organização, simplificando o gerenciamento de ameaças.
    • Inteligência Avançada contra Ameaças: Diferencia-se por sua forte inteligência contra ameaças e análises em tempo real, correlacionando eventos e identificando tendências para detectar ameaças internas e de pequena escala.
    • Facilidade de configuração (para funções principais): Alguns usuários consideram o SIEM fácil de configurar, adicionar fontes de dados e obter resultados utilizáveis em poucas horas.
    • Escalabilidade: A arquitetura permite que as organizações lidem com volumes crescentes de dados de segurança de forma eficaz.
    • Ampla coleta de dados: integra-se com mais de 460 produtos para analisar e mapear eventos de segurança.
  • Pontos fracos:
    • Interface e curva de aprendizado: A interface e a curva de aprendizado podem ser frustrantes para os usuários.
    • Complexidade de implementação: Implementar e gerenciar o Trellix ESM exige tempo, recursos e conhecimento especializado consideráveis, principalmente para equipes menores.
    • Automação e Orquestração: A Gartner observou que o ESM está atrás dos concorrentes em recursos de análise orientada por máquina, automação e orquestração.
  • Casos de uso recomendados:
    • Priorizar, investigar e responder a ameaças ocultas.
    • Atendimento aos requisitos de conformidade por meio de monitoramento e geração de relatórios automatizados.
    • Obtenha visibilidade e inteligência através do monitoramento de usuários, aplicativos, redes e dispositivos.
    • Proteção contra ameaças avançadas e desconhecidas, incluindo phishing, ameaças internas e exfiltração de dados.
    • Investigação de ataques "lentos e discretos" e busca por Indicadores de Comprometimento (IoCs).

Resumo

O Trellix Enterprise Security Manager (ESM), uma evolução reformulada da oferta SIEM da McAfee, se destaca como uma solução robusta e escalável para gerenciamento de informações e eventos de segurança. Ele fornece visibilidade em tempo real e inteligência acionável em toda a infraestrutura de segurança de uma organização, coletando e analisando grandes volumes de dados de mais de 460 fontes diversas. O produto está disponível em vários modelos de implantação, incluindo appliances físicos e virtuais, além de uma oferta baseada em nuvem, atendendo às diversas necessidades corporativas. Seus requisitos técnicos são substanciais, principalmente para implantações de grande porte, exigindo RAM, poder de processamento e armazenamento significativos para lidar com altas taxas de eventos por segundo (EPS) e desempenho de consultas rápidas.

Pontos fortes: O ESM se destaca em suas principais funcionalidades de SIEM, oferecendo detecção abrangente de ameaças, monitoramento em tempo real e recursos avançados de correlação. Sua capacidade de integração com uma ampla gama de produtos de segurança e de aproveitar feeds de inteligência de ameaças é uma vantagem significativa para uma postura de segurança holística. Os usuários apreciam seu gerenciamento centralizado e fluxos de trabalho integrados que simplificam o gerenciamento de ameaças e a geração de relatórios de conformidade. A escalabilidade da plataforma garante que ela possa crescer com o volume de dados da organização.

Pontos fracos: Apesar de seus pontos fortes, o feedback dos usuários aponta para uma curva de aprendizado potencialmente íngreme e uma interface complexa que pode ser desafiadora para alguns. Além disso, análises do setor sugerem que o Trellix ESM pode estar atrás de alguns concorrentes em recursos avançados de análise automatizada, automação e orquestração, o que pode exigir mais esforço manual ou ferramentas complementares para operações de segurança altamente automatizadas. Os recursos e a expertise significativos necessários para a implementação e o gerenciamento contínuo também podem ser um obstáculo, especialmente para equipes de segurança menores.

Recomendações: O Trellix ESM é ideal para empresas que necessitam de uma solução SIEM robusta e escalável, com ampla integração de fontes de dados e fortes recursos de conformidade. Organizações que já investiram no ecossistema Trellix (anteriormente McAfee) encontrarão valor adicional devido às integrações nativas. Para maximizar sua eficácia, as organizações devem garantir que possuam recursos e expertise adequados para implantação, configuração e gerenciamento contínuo. Atualizações regulares para as versões mais recentes são cruciais para se beneficiar de melhorias contínuas, correções de segurança e suporte estendido. Para aqueles que priorizam automação avançada e análises orientadas por IA, recomenda-se uma avaliação completa em comparação com os concorrentes nessas áreas específicas ou o planejamento da integração com soluções complementares.

As informações fornecidas são baseadas em dados disponíveis publicamente e podem variar dependendo das configurações específicas do dispositivo. Para obter informações atualizadas, consulte os recursos oficiais do fabricante.

Simplifique o seu ecossistema IT com InvGate Asset Management

30 dias de teste gratuito - Não é necessário cartão de crédito

Comece

Preços claros

Sem surpresas nem taxas ocultas: somente preços claros que atendam às suas necessidades.

Ver Preços

Migração fácil

Nossa equipe garante que sua transição para a InvGate seja rápida, tranquila e sem complicações.

Ver Customer Experience