Cybersecurity
DevOps Cloud
IT Operations Cloud
ESMのアップグレードについてお問い合わせを受けることがあります。
次の資料は ESM 6.9.1 から ESM 7.5 へアップグレードするESMのアップグレードに関する資料になります。
ArcSight ESM Upgrading Guide
https://content.microfocus.com/upgrade-arcsight-today/arcsight-esm-upgrade-guide?lx=n6oR8Z#page=1
こちらの資料にありますように、ESMをアップグレードするにはアップグレードパスがあり、
例えば、次の様に順にアップグレードしていただく必要があります。また、途中でOSのアップグレードも必要になります。
ESM 6.9.1 -> ESM 6.9.1 Patch 3 -> ESM 6.11 -> ESM 6.11 Patch 3 -> ESM 7.0 Patch 1 -> ESM 7.2 -> ESM 7.4 -> ESM 7.5
(ちなみにコネクタはアップグレードパスがなく、例えば 7.15 から 8.3へ直接アップグレードしていただくことが可能です)
ESMを最新版に移行するという観点では次の2つの方法が考えられますが、それぞれ次の様なメリットとデメリットが考えられます。
1.既存のESM(例えば 6.9.1)をアップグレードする方法
メリット:
カスタマイズしたリソース(ルールやフィルターなど)を新規に構築する必要がない(動作確認は必要)
イベントデータも同時に移行される
デメリット:
アップグレードパスに従ってアップグレードが必要だが時間と手間がかかる
カスタマイズしたリソースやイベントデータが多い場合にアップグレード時に問題が発生することがある
サーバーのハードウエアの移行には別途考慮が必要になる
アップグレード時にダウンタイムが発生する
ESM 7.2 から導入されたデフォルトコンテンツがアップグレード時にはデフォルトでは有効にならないため別途考慮が必要
2.新規にESMをインストールする方法
メリット:
インストールが比較的容易
サーバーなどのスペックを更新できる
新旧のサーバーの移行時のダウンタイムを最小化できる
デメリット:
新規にサーバーを立てる必要がある(ホスト名やIPアドレスが変更になる)
イベントデータが移行できない(データ保持期限によってコネクタから同じイベントを新旧2つのESMへ送るなど並行運用(3カ月など)が必要となる。その際のライセンスについては弊社営業にお問い合わせください。)
カスタマイズしたリソースを新規で構築する必要がある(パッケージは同じバージョン同士での移行しかサポートされないため、パッケージでは移行できない)
コネクタ側で新規に新ESMへの宛先を追加する必要がある(移行後は旧ESMへの宛先を削除する必要がある)
ESM 7.3 からのTLSサポートがデフォルトでは 1.2 のみとなり、またサポートする Cipher Suites の違いによりコネクタの古いバージョンでは接続に問題が発生するため、ESM側の設定変更が必要になることがある
なお、ESM 7.0以降の Upgrade Guideは次のコミュニティサイトから入手可能ですが、
ESM 6.9.1やESM 6.11などの古いVersionのドキュメント、インストーラーや Patch は
サポートにお問い合わせいただければと考えます。
https://www.microfocus.com/documentation/arcsight/#gsc.tab=0