소개
FireSIGHT System은 모니터링되는 네트워크 세그먼트에서 새 호스트를 탐지할 때 이벤트를 생성합니다. 운영 체제나 서비스가 잘못 탐지되거나 신뢰도가 떨어지는 경우도 있습니다.이벤트가 Unknown(알 수 없음)으로 표시된 경우 트래픽이 분석되지만 운영 체제는 알려진 핑거프린트와 일치하지 않습니다.이 문서에서는 Unknown 이벤트를 최소화하기 위한 체크리스트 및 권장 사항을 제공합니다.
사전 요구 사항
이 문서의 정보는 다음 하드웨어 및 소프트웨어 버전을 기반으로 합니다.
- FireSIGHT System, FirePOWER Appliance 및 NGIPS 가상 어플라이언스
- 소프트웨어 버전 5.2 이상
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
체크리스트 문제 해결
FireSIGHT System에서 보류 중이거나 알 수 없는 상태의 이벤트를 생성하는 경우 아래 단계에 따라 이 문제 해결을 시작할 수 있습니다.
참고:확인되지 않은 호스트는 알 수 없는 호스트와 동일하지 않습니다.식별되지 않은 호스트는 시스템이 운영 체제를 식별하기 위해 아직 충분한 정보를 수집하지 않은 호스트입니다.
| 문제 해결 체크리스트 |
권장 사항 |
| 1. FireSIGHT Management Center에 설치된 VDB 버전은 무엇입니까? |
최신 VDB 버전에는 더 많은 지문 정보가 있습니다.항상 최신 버전을 FireSIGHT Management Center에 설치하는 것이 좋습니다. |
| 2. FireSIGHT 라이센스의 호스트 제한은 어떻게 됩니까?FireSIGHT에서 탐지된 호스트 수는 몇 개입니까? |
호스트 제한이 초과되면 FireSIGHT System은 새 데이터가 들어올 때 가장 오래된 데이터를 정리합니다.호스트 제한에 도달하면 새 호스트를 삭제하도록 시스템 정책을 구성할 수 있습니다. |
| 3. FireSIGHT 관리 디바이스에서 호스트가 몇 홉이나 떨어져 있습니까? |
호스트와 관리되는 디바이스 간의 홉이 클수록 호스트가 디바이스에서 멀리 떨어져 있으므로 트래픽이 수정될 가능성이 높아지며 정확한 식별을 허용하지 않습니다. |
| 4. 호스트와 관리되는 디바이스 사이에 인라인 디바이스가 있습니까? |
인라인 장치의 존재방화벽, NAT 디바이스, 로드 밸런서 및 프록시 서버와 같은 경우 호스트에서 잘못 식별되거나 식별되지 않은 정보 수집의 원인이 될 수 있는 원래 TCP 또는 IP 헤더 정보를 수정할 수 있습니다. |
| 5. 관리되는 디바이스가 비동기 라우팅 네트워크에서 트래픽을 모니터링합니까? |
FireSIGHT System에서 비동기 라우팅 트래픽을 모니터링하는 경우 전체 세션을 볼 수 없을 수 있습니다. |
| 6. 서비스에 사용되는 비표준 포트가 있습니까?비표준 포트를 처리하도록 구성된 맞춤형 디코더가 있습니까? |
잘못 구성된 사용자 지정 디코더가 기본 디코더와 충돌할 수 있습니다. |
추가 데이터
위의 모든 권장 사항을 따르지만 여전히 알 수 없거나 보류 중이거나 확인되지 않은 호스트가 있는 경우 다음 data&colon을 분석해야 합니다.
1. 전체 세션 트래픽
잘못 식별되었거나 알 수 없거나 보류 중으로 표시된 호스트의 전체 세션 트래픽
2. 파일 문제 해결
FireSIGHT Management Center 및 관리되는 디바이스에서 파일을 트러블슈팅합니다.관리되는 디바이스의 위치를 보여주는 네트워크 맵 또는 토폴로지가 도움이 될 것입니다.
3. PCAP(패킷 캡처)
관리되는 디바이스에서 수신한 패킷은 호스트에서 시작된 패킷과 다를 수 있습니다.인라인 디바이스를 수정하는 헤더가 호스트와 관리되는 디바이스 간에 존재하는 경우 발생합니다.따라서 두 PCAP의 헤더를 비교할 수 있는 호스트 및 관리되는 디바이스 모두에서 PCAP를 캡처하는 것이 좋습니다.패킷이 일치하지 않으면 서비스 또는 호스트를 잘못 식별할 수 있습니다.
피드백