소개
FireSIGHT 시스템은 모니터링되는 네트워크 세그먼트에서 새 호스트를 탐지할 경우 이벤트를 생성합니다. 운영 체제나 서비스를 잘못 탐지하거나 신뢰도가 떨어질 수 있습니다. 이벤트를 Unknown으로 표시하면 트래픽이 분석되지만 운영 체제가 알려진 핑거프린트와 일치하지 않음을 의미합니다. 이 문서에서는 알 수 없는 이벤트를 최소화하기 위한 체크리스트 및 권장 사항을 제공합니다.
사전 요구 사항
이 문서의 정보는 다음 하드웨어 및 소프트웨어 버전을 기반으로 합니다.
- FireSIGHT System, FirePOWER 어플라이언스 및 NGIPS 가상 어플라이언스
- 소프트웨어 버전 5.2 이상
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
체크리스트 트러블슈팅
FireSIGHT 시스템에서 보류 중이거나 알 수 없는 상태의 이벤트를 생성하는 경우 다음 단계에 따라 이 문제를 해결할 수 있습니다.
참고: 확인되지 않은 호스트는 알 수 없는 호스트와 동일하지 않습니다. Unidentified hosts(확인되지 않은 호스트)는 시스템이 운영 체제를 식별하는 데 필요한 정보를 아직 충분히 수집하지 못한 호스트입니다.
문제 해결 체크리스트 |
권장 사항 |
1. FireSIGHT Management Center에 어떤 VDB 버전이 설치되어 있습니까? |
최신 VDB 버전에는 더 많은 지문 정보가 있습니다. 항상 FireSIGHT Management Center에 최신 버전을 설치하는 것이 좋습니다. |
2. FireSIGHT 라이센스의 호스트 제한은 얼마입니까? FireSIGHT에서 탐지된 호스트 수는 몇 개입니까? |
호스트 제한이 초과되면 FireSIGHT 시스템은 새 데이터가 들어올 때 가장 오래된 데이터를 삭제합니다. 호스트 제한에 도달하면 새 호스트를 삭제하도록 시스템 정책을 구성할 수 있습니다. |
3. 호스트가 FireSIGHT 관리 디바이스에서 몇 홉 떨어져 있습니까? |
호스트와 관리되는 디바이스 간의 홉 수가 많을수록 해당 호스트는 디바이스에서 더 멀리 떨어져 있으므로 트래픽이 수정되었을 가능성이 높으며 정확한 식별을 허용하지 않습니다. |
4. 호스트와 관리되는 디바이스 간에 인라인 디바이스가 있습니까? |
방화벽, NAT 장치, 로드 밸런서 및 프록시 서버와 같은 인라인 장치가 있으면 원래 TCP 또는 IP 헤더 정보를 수정할 수 있으며, 이는 호스트에서 잘못 식별되거나 식별되지 않은 정보 수집의 원인이 될 수도 있습니다. |
5. 관리되는 디바이스는 비동기 라우팅 네트워크에서 트래픽을 모니터링합니까? |
FireSIGHT System에서 비동기 라우팅 트래픽을 모니터링하는 경우 전체 세션을 보지 못할 수 있습니다. |
6. 서비스에 사용되는 비표준 포트가 있습니까? 비표준 포트를 처리하도록 구성된 맞춤형 디코더가 있습니까? |
부적절하게 구성된 커스텀 디코더는 기본 디코더들과 충돌할 수 있다. |
추가 데이터
위의 모든 권장 사항을 준수하지만 여전히 알 수 없거나 보류 중이거나 식별되지 않은 호스트가 발견되면 다음 데이터 및 콜론을 분석해야 합니다.
1. 전체 세션 트래픽
잘못 식별되었거나 알 수 없음 또는 보류 중으로 표시된 호스트의 전체 세션 트래픽입니다.
2. 파일 문제 해결
FireSIGHT Management Center 및 관리되는 디바이스에서 파일 문제 해결 관리되는 디바이스의 위치를 보여주는 네트워크 맵 또는 토폴로지가 유용합니다.
3. 패킷 캡처(PCAP)
관리되는 디바이스에서 수신하는 패킷은 호스트에서 시작된 패킷과 다를 수 있습니다. 호스트 및 관리되는 디바이스 간에 인라인 디바이스를 수정하는 헤더가 있을 경우 발생합니다. 따라서 두 PCAP의 헤더를 비교할 수 있는 호스트 및 관리되는 디바이스 양쪽 끝에서 PCAP를 캡처하는 것이 좋습니다. 패킷 간의 불일치로 인해 서비스 또는 호스트가 잘못 식별될 수 있습니다.