Introducción
Un sistema FireSIGHT genera eventos cuando detecta un nuevo host en su segmento de red supervisado.Puede detectar un sistema operativo o servicio incorrectamente, o con menos confianza. Si un evento se marca como Desconocido, significa que se analiza el tráfico, pero los sistemas operativos no coinciden con ninguna de las huellas dactilares conocidas. Este documento proporciona una lista de verificación y recomendaciones para minimizar eventos Desconocidos.
Prerequisites
La información que contiene este documento se basa en estas versiones de software y hardware.
- FireSIGHT System, appliances FirePOWER y appliances virtuales NGIPS
- Software versión 5.2 o posterior
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Listas de Verificación de Resolución de Problemas
Si su sistema FireSIGHT está generando eventos que están pendientes o en estado desconocido, puede seguir los pasos que se indican a continuación para comenzar a solucionar este problema:
Nota: Los hosts no identificados no son los mismos que los hosts Desconocidos. Los hosts no identificados son hosts sobre los que un sistema todavía no ha reunido suficiente información para identificar sus sistemas operativos.
Solución de problemas de lista de comprobación |
Recomendaciones |
1. ¿Qué versión de VDB está instalada en FireSIGHT Management Center? |
La última versión de VDB tiene más información de huellas digitales. Siempre se recomienda tener instalada la última versión en FireSIGHT Management Center. |
2. ¿Cuál es el límite de host de su licencia de FireSIGHT? ¿Cuántos hosts ha detectado FireSIGHT? |
Si el límite del host excede, un sistema FireSIGHT borra los datos más antiguos a medida que ingresan los nuevos datos. Puede configurar la política del sistema para que descarte los nuevos hosts cuando se alcance el límite del host. |
3. ¿A cuántos saltos de distancia se encuentran los hosts del dispositivo administrado FireSIGHT? |
Cuanto mayor sea el conteo de saltos entre los hosts y un dispositivo administrado, más lejos estará el host del dispositivo y, por lo tanto, mayor probabilidad de que el tráfico se haya modificado y no permita una identificación precisa. |
4. ¿Hay algún dispositivo en línea entre los hosts y el dispositivo administrado? |
La presencia de cualquier dispositivo en línea; como firewall, dispositivo NAT, equilibrador de carga y servidor proxy puede modificar la información original del encabezado TCP o IP que también puede ser la causa de la recolección de información mal identificada o no identificada de los hosts. |
5. ¿Están los dispositivos administrados monitoreando el tráfico en cualquier red de ruteo asíncrono? |
Si un sistema FireSIGHT supervisa el tráfico de ruteo asincrónico, es posible que no pueda ver la sesión completa. |
6. ¿Hay puertos no estándar utilizados para algún servicio? ¿Hay descodificadores personalizados configurados para dirigir los puertos no estándar? |
Un descodificador personalizado configurado incorrectamente puede entrar en conflicto con los descodificadores predeterminados. |
Datos adicionales
Si se siguen todas las recomendaciones anteriores, pero todavía se encuentran hosts desconocidos, pendientes o no identificados, entonces tendremos que analizar los siguientes datos y puntos de conexión;
1. Tráfico de sesión completa
Tráfico de sesión completa de los hosts que se identifican incorrectamente o se marcan como desconocidos o pendientes.
2. Solución de problemas de archivos
Solución de problemas de archivos desde el FireSIGHT Management Center y el dispositivo administrado. El mapa de red o la topología que muestra la ubicación del dispositivo administrado serían útiles.
3. Captura de paquetes (PCAP)
Los paquetes recibidos por el dispositivo administrado pueden ser diferentes a los paquetes originados en los hosts. Ocurre si existe un encabezado que modifica el dispositivo en línea entre los hosts y el dispositivo administrado. Por lo tanto, es mejor capturar PCAP de ambos extremos: hosts y dispositivos administrados, lo que permite comparar los encabezados de los dos PCAP. Cualquier discordancia entre los paquetes puede causar la identificación errónea de servicios o hosts.