Cisco Secure Intrusion Detection System (Version 3.1 und frühere Versionen) Häufig gestellte Fragen

Download-Optionen

  • PDF     (194.2 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (96.8 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (89.0 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:16. Juni 2008
Dokument-ID:4163

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einführung

Dieses Dokument enthält häufig gestellte Fragen (FAQs) zum Cisco Secure Intrusion Detection System (IDS), vormals NetRanger, Version 3.1 und früher.

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Allgemeines

F. Wo finde ich weitere Informationen zu Cisco Secure IDS?

Antwort: Weitere Informationen zu Cisco Secure IDS finden Sie in der vollständigen Produktdokumentation.

F. Wie aktualisiere ich die Signaturen für mein gesamtes IDS-System (IDS Sensor + IDS Management Software)?

Antwort: Sie müssen die Sensor- und Management Platform-Signaturen separat aktualisieren. Beachten Sie, dass die Management-Software vom Sensor keine Signaturen erlernen kann, daher muss sie auch aktualisiert werden. Laden Sie die aktuelle Signatur-Update-Datei für jede Anwendung von den Cisco Secure Downloads herunter (nur registrierte Kunden). Die am gleichen Speicherort verfügbaren Readme-Dateien enthalten Anweisungen zum Aktualisierungsverfahren.

F. Wo finde ich eine vollständige Liste der Unterschriften?

Antwort: Die Liste der IDS-Signaturen ist über die Cisco Secure Encyclopedia verfügbar (nur registrierte Kunden).

F. Welches ist das Standardkennwort für Benutzer des UNIX IDS und des Standalone-Sensors?

Antwort: Auf der UNIX IDS-Standalone-Sensor- und IDS-Management-Software lautet das Standardkennwort "Angriff" für Benutzer-Netzwerk und Root. Wenn Sie den Befehl su eingeben, um der Root-Benutzer zu werden, lautet das Standardkennwort "attack". Auf dem IDSM-Blade (Intrusion Detection System Module) lautet das Standardkennwort "Attack" für ciscoids mit dem Benutzernamen.

F. Wie erhalte ich einen IDSM-Blade (Intrusion Detection System Module) zum Auslesen der Konfigurationen?

Antwort: Sie benötigen einen lokalen FTP-Server, damit Sie die Konfigurationen hochladen können.

  1. Geben Sie diesen Befehl aus dem Diagnosemodus auf dem Blade ein. 
    report systemstatus site  
           
user  
           dir
  2. Geben Sie y ein, um fortzufahren, wenn Sie dazu aufgefordert werden, den Systembericht weiter zu generieren.
  3. Geben Sie bei Aufforderung das FTP-Kennwort Ihres angegebenen Benutzers ein. Wenn der Vorgang abgeschlossen ist, erhalten Sie eine Meldung, die angibt, ob der Vorgang fehlgeschlagen ist oder die Datei gesendet wurde.

F. Wo befinden sich bei der Installation/Deinstallation von IDS die Protokolldateien?

Antwort: Die Installations-/Aktualisierungsprotokolle finden Sie an folgenden Stellen:

  • Die Installationsprotokolle des Direktors befinden sich unter /var/adm/nrInstall.log.

  • Die Aktualisierungsprotokolle für das Sensor Service Pack befinden sich in /usr/nr/sp-update/.

  • Signature-Update-Protokolle sind in /usr/nr/sig-update/.

F. Welche Signaturen sind auf dem PIX für IDS verfügbar?

Antwort: IDS ist nur für PIX 6.0 und höher verfügbar. Die Signaturen sind in den Syslog-Meldungen 40000 bis 400051 enthalten, die als Cisco Secure IDS-Signaturnachrichten bezeichnet werden. Weitere Informationen zu jeder Signatur finden Sie in der Dokumentation der PIX-Systemprotokollmeldungen.

F. Kann ich benachrichtigt werden, wenn Signatur-Updates veröffentlicht werden?

Antwort: Melden Sie sich für Cisco IDS-Benachrichtigungen über aktive Updates an, um E-Mail-Benachrichtigungen zu Produktneuigkeiten im Zusammenhang mit Cisco Secure IDS zu erhalten.

F. Welche Anwendungen sollte ich zum Verwalten meines IDS-Sensors verwenden, und worin besteht der Unterschied zwischen diesen?

Antwort: Vor Version 3.1 sind die Verwaltungsoptionen Cisco Secure Policy Manager (CSPM) oder UNIX Director. Der Hauptunterschied besteht darin, dass CSPM als unabhängige Anwendung auf einem Windows-Server ausgeführt wird, während UNIX Director auf einem UNIX Solaris-Server auf HP OpenView ausgeführt wird. Mit IDS 3.1 können die Sensoren auch über den auf einem PC installierten IDS Event Viewer (IEV) oder den IDS Device Manager, der Teil des Sensors der Version 3.1 ist, verwaltet werden. Der Gerätemanager wird standardmäßig mithilfe von Secure Socket Layer (SSL) aktiviert, nachdem Sie den Sensor eingerichtet haben.

F. Wo erhalte ich die Software Software Development Kit (SDK)?

Antwort: Die SDK-Software ist für die Öffentlichkeit nicht verfügbar.

IDS-Sensor

F. Worin besteht der Unterschied zwischen den Sensorversionen 3.x und 4.x?

Antwort: Version 4.0 bietet mehrere neue Funktionen. Die auffälligste neue Funktion ist eine Kommandozeile ähnlich wie Cisco IOS®.

F. Wie kann ich die Schnittstellengeschwindigkeit auf dem IDS festprogrammieren?

Antwort: Die harte Einstellung von Geschwindigkeit/Duplex in 3.x- und 4.0-Code wird nicht unterstützt, und es gibt einen Fehler bei der Funktionsanforderung (Cisco Bug ID CSCdy43054 (nur registrierte Kunden)). Die Funktion ist im 5.0-Code verfügbar, der jetzt unter Schnittstellenkonfiguration verfügbar ist.

F. Wie aktualisiere ich meine Sensor Software von Version 3.0 auf Version 3.1?

Antwort: Kunden können die Update-Datei für Version 3.1 von den Cisco Secure Downloads herunterladen (nur registrierte Kunden).

F. Wie aktualisiere ich meine Sensor Software von Version 2.5 auf Version 3.0?

Antwort: Kunden können die Update-Datei für Version 3.0 von den Cisco Secure Downloads herunterladen (nur registrierte Kunden). Installieren Sie das Software-Update auf die gleiche Weise wie Service Pack- und Signatur-Updates in Version 2.5. Das Verfahren wird ausführlich in der Cisco IDS Sensor Configuration Note Version 3.0 beschrieben.

F. Wie aktualisiere ich meine Sensor Software von Version 2.2 auf 3.0?

Antwort: Die 3.0-Upgrade-Datei kann von den Cisco Secure Downloads heruntergeladen werden (nur registrierte Kunden), jedoch kann diese Datei nicht vor 2.5 aktualisiert werden. Sie müssen die Upgrade-/Recovery-CD verwenden, die über das Product Upgrade Tool verfügbar ist (nur registrierte Kunden), um ein Upgrade von der Softwareversion 2.2 auf 3.0 durchzuführen. Die Teilenummer für diese CD ist IDS-SW-U.

Hinweis: Sie benötigen einen gültigen Support-Vertrag, um die Upgrade-/Recovery-CD zu bestellen.

F. Ich habe eine Tastatur und einen Monitor an meinen Sensor angeschlossen, der aber nicht richtig bootet. Was soll ich tun?

Antwort: Stellen Sie sicher, dass Sie eine unterstützte Tastatur und einen unterstützten Monitor verwenden. Einige Marken und Modelle sind nicht mit Cisco Secure IDS kompatibel und verhindern, dass der IDS-Sensor ordnungsgemäß bootet. Detaillierte Markeninformationen finden Sie unter Cisco Secure IDS Appliance Boot Failure.

F. Im IDS-Abschnitt der Cisco Secure Downloads sehe ich zwei Arten von Update-Dateien (Service Pack und Signatur). Was ist der Unterschied zwischen diesen Dateien?

Antwort: Jede dieser Dateien enthält eine bestimmte Gruppe von Software-Updates oder -Ergänzungen, die durch die hier erläuterten Benennungskonventionen angezeigt werden.

  • Das Service Pack-Update für die IDS Sensor Appliance-Software beinhaltet Verbesserungen an der IDS Sensor Core-Anwendungssoftware sowie Bugfixes. Beispielsweise enthält eine Datei mit dem Namen IDSk9-sp-3.0-5-S17.bin Updates für die Softwareversion 3.0(5) sowie die Signaturensatznummer 17.

  • Die Signatur-Update-Datei enthält nur Updates der Signaturen (Angriffs-Fingerprints). Beispielsweise enthält eine Datei mit dem Namen IDSk9-sig-3.0-5-S18.bin die Signaturensatznummer 18 für die 3.0(5) Sensor-Software.

Kunden können diese Dateien von der Cisco Secure Downloads (nur registrierte Kunden) Website herunterladen.

F. Wie kann ich feststellen, ob ein Sensor korrekt konfiguriert ist, um einen Router zu schließen?

Antwort: Melden Sie sich als Benutzerbereich beim Sensor an, und führen Sie den folgenden Befehl aus:

nrgetbulk

Sie sollten eine Antwort erhalten, die ähnlich wie "<IP_address> Active" ist und die die IP-Adresse des Shunning-Geräts anzeigt, das zur Blockierung von Angriffen verwendet wird. Diese Ausgabe zeigt ein Beispiel für die Befehlssyntax und die erwartete Antwort: 

netrangr@sensor:/usr/nr
>nrgetbulk 10003 38 1000 1 NetDeviceStatus
10.48.66.68 Active
Success

Sie können sich auch beim Router anmelden und den Befehl Who eingeben, um festzustellen, ob der Sensor angemeldet ist.

F. Ich erhalte eine Fehlermeldung, die auf "value not set" hinweist, wenn ich den Befehl nrconns ausstelle. Wie kann ich dieses Problem beheben?

Antwort: Diese Fehlermeldung weist auf potenzielle Probleme mit den Dateien /usr/nr/etc/routen und/oder /usr/nr/etc/hosts auf Ihrem Sensor hin. Die .../routen-Dateien definieren die vertrauliche Kommunikation zwischen dem Sensor und dem Director. Die .../hosts-Dateien definieren die Namen und IP-Adressen von Sensoren und Directors.

Sie können sich auch als Benutzer-Root anmelden, den Befehl sysconfig-sensor ausführen und Ihre IDS Communications Infrastructure-Informationen erneut eingeben.

F. Wie kann ich FTP verwenden, um Protokolldateien vom Sensor zu kopieren und an anderer Stelle zu speichern?

Antwort: Weitere Informationen zu diesem Verfahren finden Sie unter Kopieren von zu sichtenden IP-Protokolldateien.

F. Was ist mit dem konfigurierten Daemon in den Sensor-Softwareversionen 2.5 und 3.1 passiert?

Antwort: Configd ist der Daemon, der alle Befehle sowohl auf UNIX Directors als auch auf Sensoren in der 2.2.x-Codebasis verarbeitet. In der 2.5- und 3.0-Codebasis wurde diese Funktionalität in die anderen Daemons übernommen, und der konfigurierte Daemon existiert nicht mehr.

F. Wenn ich die Signaturen für den Sensor aktualisiere, erhalte ich den FEHLER: Der NetRanger-Typ konnte aus der Daemon-Datei nicht bestimmt werden. Aktualisierung nicht möglich." fehl. Was sollte ich dagegen tun?

Antwort: Bearbeiten Sie die Datei /usr/nr/etc/daemons auf dem Sensor, um sicherzustellen, dass nr.packetd in der Daemon-Liste enthalten ist. Beenden und starten Sie dann die Services.

F. Auf der IDS 4210: Welche ist die Steuerungsschnittstelle und welche die Sniffing-Schnittstelle?

Antwort: Die Steuerschnittstelle oben ist iprb1: und die Sniffing-Schnittstelle unten ist iprb0:.

F. Warum sehe ich nur eine Schnittstelle, wenn ich den Befehl ifconfig -a auf meinem Sensor ausstelle?

Antwort: Der Befehl ifconfig sollte nur die Steuerungsschnittstelle anzeigen. Die andere Schnittstelle (die Sniffing-Schnittstelle) wird noch vom Sensor verwendet, aber Benutzer sollen sie nicht sehen können. Wenn Sie diese Schnittstelle anzeigen möchten, melden Sie sich als root an und geben den Befehl ifconfig -a ein, um die Schnittstellennamen zu bestimmen. Geben Sie den Befehl ifconfig <interface> plumb ein, um den Status einer bestimmten Schnittstelle zu überprüfen.

F. Wie kann ich die Schnittstellengeschwindigkeit auf dem Sensor hardcodieren?

Antwort: Die Härtung der Schnittstellengeschwindigkeit am Sensor sollte nicht erforderlich sein und wird vom technischen Support von Cisco nicht unterstützt. Wenn der Switch für die automatische Aushandlung festgelegt ist, handelt die Schnittstelle die Geschwindigkeit mit dem Switch aus, an den er angeschlossen ist. Der Datenverkehr vom Netzwerk zum Sensor verläuft unidirektional (d. h. der Sensor empfängt). Daher ist es im Allgemeinen ausreichend, wenn der Switch anzeigt, dass 100 Halbduplex ausgehandelt wurden (unter der Annahme, dass der Switch-Port 100 m beträgt).

UNIX Director

F. Kann ich den neuen 3.0-Sensor mit einer 2.2.x-Version von Director verwenden?

Antwort: Ja, aber Sie sollten ein Upgrade Ihrer Director-Software auf Version 2.2.3 oder höher durchführen. Registrierte Kunden können diese Dateien von den Cisco Secure Downloads herunterladen (nur registrierte Kunden).

F. Wie kann ich feststellen, welche Version des Director Daemon ich verwende?

Antwort: Geben Sie den Befehl cat /usr/nr/VERSION ein, und überprüfen Sie die Versionsnummer, die die Ausgabe enthält.

Hinweis: Ausgabe des nrvers-Befehls auf dem Director teilt Ihnen die Version der Daemons mit, die auf dem Director ausgeführt werden, aber sie sagt Ihnen nicht die Version der Director-Software selbst.

F. Wie kann ich einen Director dazu bringen, seine Konfiguration zu löschen?

Antwort: Melden Sie sich als user netrangr an, und führen Sie das Skript /usr/nr/bin/Director/nrCollectInfo aus, um Konfigurationsinformationen an eine Datei mit dem Namen /usr/nr/var/tmp/Report_For_Director.html zu senden.

F. Ich habe viele Fehler (möglicherweise mehr als 1.000) auf meinem HP OpenView-Display. Ich lösche sie, aber sie kommen immer wieder zurück. Warum?

Antwort: Wenn IDS Director mit Fehlern überflutet wird und nicht alle angezeigt werden kann, wird eine Pufferung auf eine Datei gestartet. Beenden Sie die IDS-Daemons und beenden Sie alle OpenView-Karten, die Sie geöffnet haben, um die Datei loszuwerden. Löschen Sie die Datei /usr/nr/var/nrDirmap.buffer.default, starten Sie dann die IDS-Daemons und Ihre OpenView-Zuordnung neu.

F. Ich habe Probleme, Alarme auf der HP OpenView-Karte abzurufen. Ich erhalte immer wieder Fehler in /usr/nr/var/errors.nrdirmap. Was soll ich tun?

Antwort: In IDS-Versionen vor 2.2.2 ist es am einfachsten, die OpenView-Datenbank zu löschen. Die Datenbank ist in /var/opt/OV/share/database/openview gespeichert. Führen Sie diese Schritte aus, um die OpenView-Datenbank zu löschen.

  1. Schließen Sie alle offenen OpenView-Maps mit dem Befehl ovstop, und beenden Sie dann die IDS-Dienste mit dem Befehl nrstop.
  2. Melden Sie sich als Benutzer-Root und Problem/Benutzer/nr/bin/Director/nrDeleteOVwDb an.
  3. Entfernen Sie alle "error.*"-Dateien im Verzeichnis /usr/nr/var (z. B. errors.configd).
  4. Starten Sie die Dienste mit dem Befehl nrstart neu, und starten Sie OpenView mit dem Befehl ostart neu.

    Hinweis: In Director Version 2.2.2 können Sie nur den IDS-Teil der OpenView-Datenbank anstelle der gesamten Datenbank entfernen. Dieses Verfahren wird im IDS Director-Konfigurationshandbuch beschrieben.

F. Ich erhalte keine Alarme auf meiner OpenView-Karte. Die Datei /usr/nr/var/errors.postofficed im Director enthält Meldungen, dass nrdirmap nicht für die Ausführung auf diesem Computer lizenziert ist. Wie kann ich das beheben?

Antwort: Führen Sie diesen Befehl aus.

cp /usr/nr/etc/.lt/license-all.lic /usr/nr/etc/licenses

Stellen Sie sicher, dass das Benutzernetzwerk Eigentümer der Dateien ist, und starten Sie dann die IDS-Dienste neu.

F. Wenn ich das Dienstprogramm nrConfigure starte und auf Director doppelklicke, erhalte ich die folgende Meldung: "Der Sensortyp für <Director_name> kann nicht gefunden werden. Bitte überprüfen Sie, ob Postoffice und Packet ausgeführt werden". Was soll ich tun?

Antwort: Das Problem tritt auf, weil nrConfigure den gepackten Prozess in der Daemon-Datei des Direktors erkennt (was nicht der Fall sein sollte). Wenn nrConfigure den Director nach seiner Version fragt, als ob es sich um einen Sensor handele, kann der Director nicht mit einer Sensorversion antworten.

Führen Sie diese Schritte aus, um dieses Problem zu beheben.

  1. Bearbeiten Sie die Datei /usr/nr/etc/daemons, und entfernen Sie Einträge für nr.packetd, nr.sensord und nr.managed, da diese Prozesse nur auf dem Sensor ausgeführt werden sollen.
  2. Beenden Sie die Dienste mit dem Befehl nrstop, und starten Sie dann die Dienste mit dem Befehl nrstart neu.
  3. Stellen Sie sicher, dass nrConfigure heruntergefahren wurde.
  4. Starten Sie OpenView mit dem Befehl ovw.
  5. Wählen Sie Security > Advanced > nrConfigure DB > Delete aus, um die beschädigte nrConfigure-Datenbank zu löschen.
  6. Geben Sie yes ein, wenn Sie zum Fortfahren aufgefordert werden.
  7. Markieren Sie Ihren Director und alle Sensoren im Hauptfenster von OpenView.
  8. Wählen Sie Security > Advanced > nrConfigure DB > Create aus, um eine neue nrConfigure-Datenbank mit den aktuellen Konfigurationsversionen der Computer zu erstellen.

F. Wie kann ich verhindern, dass die nrdirmap-Anwendung in OpenView-Maps standardmäßig aktiviert wird?

Antwort: Benutzer, die die IDS-Anwendung auf UNIX Director ausführen, können auch andere Anwendungen auf OpenView ausführen. Dies wird nicht empfohlen, kann aber in einigen Fällen nicht vermieden werden. Das Problem ist, dass nrdirmap standardmäßig für jede OpenView-Map aktiviert ist, was nicht wünschenswert ist, wenn andere Anwendungen in OpenView ausgeführt werden.

Führen Sie diese Schritte auf UNIX Director aus, um die Standardeinstellung zu ändern, sodass Sie auswählen können, für welche Karten die Richtlinienkarte aktiviert ist.

  1. Melden Sie sich als Benutzer netrangr an.
  2. Geben Sie cd $OV_REGISTRATION/C ein. (OV_REGISTRATION ist Teil Ihrer Umgebungsvariablen. Der übliche Pfad ist /etc/opt/OV/share/registration/C.)
  3. Geben Sie su root ein.
  4. Bearbeiten Sie die Roadmap-Datei, und ändern Sie die Befehlszeile, wie in der Ausgabe gezeigt: 
    Command -Shared -Initial "nrdirmap"; 

!--- Changes to:

Command -Shared -Initial "nrdirmap -d";
  5. Speichern Sie die nrdirmap-Datei.
  6. Recyclen Sie OpenView. Wenn eine Karte mit dem Befehl ovw aufgerufen wird, geben Sie ps -ef ein. | grep dirmap sollte eine ähnliche Ausgabe wie hier gezeigt ergeben. Beachten Sie die Anleitung mit dem -d Switch. 
    >ps -ef | grep dirmap
netrangr 7175 6820 0 09:50:47 pts/2 0:00 grep dirmap
netrangr 7158 7152 0 09:50:21 ? 0:00 nrdirmap -d

Bei neuen Karten, die in OpenView erstellt wurden, ist nrdirmap jetzt nicht standardmäßig aktiviert. Wenn Sie eine Map mit installierter nrdirmap erstellen möchten, müssen Sie dies über die OpenView-GUI tun, wie in diesem Verfahren erläutert wird.

  1. Wählen Sie im Hauptmenü von OpenView Map > New aus und geben Sie einen Namen für die neue Karte ein.
  2. Unter den konfigurierbaren Anwendungen sollte NetRanger/Director angezeigt werden. Wählen Sie NetRanger/Director aus und klicken Sie auf Konfigurieren für diese Karte.
  3. Wählen Sie für die Option "Soll nrdirmap für diese Karte aktiviert werden?" die Option True aus, wenn Sie nrdirmap aktivieren möchten.
  4. Wählen Sie Prüfen und klicken Sie auf OK.

F. Ich habe ein Upgrade auf Director Version 2.2.3 durchgeführt, und jetzt kann ich den Schweregrad des Ereignisses nicht auf einen Wert von mehr als 5 festlegen, obwohl ich dies in früheren Versionen tun konnte. Warum ist das so?

Antwort: Die Schweregrade wurden in Version 2.2.3 des Direktors geändert, um nur den Bereich 1 bis 5 zu unterstützen.

IDS Cisco Secure Policy Manager (CSPM)

F. Welche Version von CSPM sollte ich verwenden, um meinen IDS-Sensor zu verwalten?

Antwort: Derzeit ist Version 2.3i von CSPM die Version, die IDS-Sensor verwalten kann, CSPM 3.0 hingegen nicht. Wenn Sie den Sensor und andere sichere Cisco Geräte (wie PIX, Router) mit CSPM verwalten, müssen Sie die beiden verschiedenen CSPM-Versionen (2.3i und 3.x) auf zwei separaten Windows-Servern installieren. Sie können jeden Server für die Verwaltung der entsprechenden Geräte verwenden: CSPM 2.3i für die Sensoren und CSPM 3.x für PIX, Router usw.

F. Wie konfiguriere ich CSPM, um meinen IDS-Sensor zu verwalten und sicherzustellen, dass die Kommunikation funktioniert?

Antwort: Unter Konfigurieren eines Cisco Secure IDS-Sensors in CSPM finden Sie weitere Informationen zur Konfiguration des CSPM für das Management Ihres IDS-Sensors und zur Sicherstellung der Kommunikation.

F. Kann ich die Signaturen für die Appliance mit CSPM abstimmen?

Antwort: Tuning beinhaltet die Änderung dessen, was erforderlich ist, damit eine Signatur ausgelöst wird (z. B. die Anzahl der Hosts in einer Sweep-Aktion), und bedeutet nicht, Aktionen und Schweregrade festzulegen.

CSPM kann keine Signaturen für die Appliance (in keiner Version) abstimmen. Sie kann nur die Aktionen und Schweregrade einer Signatur festlegen. Mit anderen Worten, CSPM kann festlegen, welcher Schweregrad und welche Aktion der Signatur zugeordnet werden soll, aber nicht festlegen, was diese Signatur auslöst. Das SigWizMenu auf dem Sensor muss zur Einstellung der Sensoren verwendet werden. SigWizMenu und CSPM können beide verwendet werden, um denselben Sensor zu konfigurieren, da sie verschiedene Bereiche der Konfiguration betreffen.

Hinweis: Wenn Sie UNIX Director, Version 2.2.3 oder höher, verwenden, kann das Dienstprogramm nrConfigure alles konfigurieren, was SigWizMenu konfiguriert. Nach dem Upgrade auf 2.2.3 sollten Sie nrConfigure anstelle von SigWizMenu verwenden, um die Signaturen zu optimieren.

Zugehörige Informationen

Beigetragen von

  • vijkrish
    Liebhaber

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.