Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

FireSIGHT peut identifier un hôte de manière incorrecte ou marquer un événement comme étant en attente ou inconnu

Options de téléchargement

  • PDF     (86.2 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (92.7 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (77.5 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:21 juillet 2014
ID du document:118039
À propos des traductions

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

 

Introduction

Un système FireSIGHT génère des événements lorsqu'il détecte un nouvel hôte sur votre segment de réseau surveillé.Il peut détecter un système d'exploitation ou un service incorrectement, ou avec moins de confiance. Si un événement est marqué comme Inconnu, cela signifie que le trafic est analysé, mais que les systèmes d'exploitation ne correspondent à aucune des empreintes connues. Ce document fournit une liste de contrôle et des recommandations pour minimiser les événements Inconnus.

Conditions préalables

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Appareils virtuels FireSIGHT System, FirePOWER et NGIPS
  • Version de logiciel 5.0 ou ultérieure

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Listes de contrôle de dépannage

Si votre système FireSIGHT génère des événements en attente ou dans un état inconnu, suivez les étapes ci-dessous pour commencer à résoudre ce problème :

Note: Les hôtes non identifiés ne sont pas identiques aux hôtes inconnus. Les hôtes non identifiés sont des hôtes sur lesquels un système n'a pas encore recueilli suffisamment d'informations pour identifier leurs systèmes d'exploitation.

Dépanner la liste de contrôle Recommandations
1. Quelle version VDB est installée sur FireSIGHT Management Center ? La dernière version de VDB contient plus d'informations d'empreinte digitale. Il est toujours recommandé d'installer la dernière version sur FireSIGHT Management Center.
2. Quelle est la limite d'hôte de votre licence FireSIGHT ? Combien d'hôtes ont été détectés par FireSIGHT ? Si la limite de l'hôte dépasse, un système FireSIGHT exécute les données les plus anciennes au fur et à mesure que les nouvelles données entrent. Vous pouvez configurer la stratégie système pour supprimer de nouveaux hôtes lorsque la limite d'hôtes est atteinte.
3. Combien de sauts séparent les hôtes du périphérique géré FireSIGHT ? Plus le nombre de sauts entre les hôtes et un périphérique géré est élevé, plus l’hôte est éloigné du périphérique, ce qui augmente la probabilité que le trafic ait été modifié et ne permette pas une identification précise.
4. Existe-t-il des périphériques en ligne entre les hôtes et les périphériques gérés ? La présence de tout dispositif en ligne ; tels que le pare-feu, le périphérique NAT, l'équilibreur de charge et le serveur proxy peuvent modifier les informations d'en-tête TCP ou IP d'origine, qui peuvent également être la cause d'une collecte d'informations non identifiées ou non provenant des hôtes.
5. Les périphériques gérés surveillent-ils le trafic sur un réseau de routage asynchrone ? Si un système FireSIGHT surveille le trafic de routage asynchrone, il peut ne pas voir la session complète.
6. Existe-t-il des ports non standard utilisés pour des services ? Existe-t-il des décodeurs personnalisés configurés pour traiter les ports non standard ? Un décodeur personnalisé mal configuré peut entrer en conflit avec les décodeurs par défaut.

 

Données supplémentaires


Si toutes les recommandations ci-dessus sont suivies, mais qu’il existe toujours des hôtes inconnus, en attente ou non identifiés, nous devrons analyser les données et les deux-points suivants :

1. Trafic de session complète

Trafic de session complète en provenance des hôtes identifiés incorrectement ou marqués comme inconnus ou en attente.

2. Dépannage des fichiers

Dépannage des fichiers à partir de FireSIGHT Management Center et du périphérique géré. La carte réseau ou la topologie indiquant l'emplacement du périphérique géré serait utile.

3. Capture de paquets (PCAP)

Les paquets reçus par le périphérique géré peuvent être différents des paquets provenant des hôtes. Cela se produit si un en-tête modifiant un périphérique en ligne existe entre les hôtes et le périphérique géré. Par conséquent, il est préférable de capturer PCAP des deux extrémités - hôtes et périphériques gérés, ce qui permet de comparer les en-têtes des deux PCAP. Toute non-correspondance entre les paquets peut entraîner une mauvaise identification des services ou des hôtes.

Revision History

Revision Publish Date Comments
1.0
21-Jul-2014
Initial Release
TAC Authored

Contribution d’experts de Cisco

  • Nazmul Rajib
    Cisco TAC Engineer.

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits

Suivez-nous
Salle de presseÉvénementsBloguesCommunauté
À propos de nous
Communiquer Avec Nous
Travailler Avec Nous