Introdução
Um sistema de FireSIGHT gera eventos quando detecta um host novo em seu segmento de rede monitorado. Pode detectar um sistema operacional ou um serviço incorretamente, ou com menos confiança. Se um evento é marcado como o desconhecido, significa que o tráfego está analisado, mas os sistemas operacionais não combinam algumas das impressões digitais conhecidas. Este documento fornece uma lista de verificação e recomendações minimizar eventos desconhecidos.
Pré-requisitos
As informações neste documento são baseadas nas seguintes versões de hardware e software:
- Sistema de FireSIGHT, dispositivos da potência de fogo, e dispositivos virtuais NGIPS
- Versão de software 5.2 ou mais atrasado
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Troubleshooting de Listas de Verificação
Se seu sistema de FireSIGHT está gerando os eventos que estão no estado pendente ou desconhecido, você pode seguir as etapas abaixo para começar pesquisar defeitos esta edição:
Nota: Os anfitriões não identificados não são os mesmos que host desconhecidos. Os anfitriões não identificados são os anfitriões sobre que um sistema não recolheu ainda bastante informação para identificar seus sistemas operacionais.
| Pesquise defeitos a lista de verificação |
Recomendações |
| 1. Que versão VDB é instalada no centro de gerenciamento de FireSIGHT? |
A versão a mais atrasada VDB tem mais informação da impressão digital. Recomenda-se sempre ter a versão a mais atrasada instalada no centro de gerenciamento de FireSIGHT. |
| 2. Que é o limite do host de sua licença de FireSIGHT? Quantos anfitriões foram detectados por FireSIGHT? |
Se o limite do host excede, um sistema de FireSIGHT poda os dados os mais velhos enquanto os dados novos entram. Você pode configurar a política de sistema para deixar cair anfitriões novos quando o limite do host alcançou. |
| 3. Quantos saltos afastado os anfitriões são ficados situados do dispositivo gerenciado de FireSIGHT? |
Mais alto o contagem de saltos entre os anfitriões e um dispositivo gerenciado, mais distante o host é do dispositivo, e a probabilidade assim aumentada o tráfego foi alterada e não permitirá a identificação exata. |
| 4. Há alguma em-linha dispositivos entre os anfitriões e o dispositivo gerenciado? |
A presença de alguma em-linha dispositivo; como o Firewall, o dispositivo NAT, o equilibrador da carga e o servidor proxy podem alterar a informação original TCP ou de cabeçalho IP que pode igualmente ser as causas da coleção de informação interpretada mal ou não identificada dos anfitriões. |
| 5. Os dispositivos gerenciado estão monitorando o tráfego em alguma rede assíncrona do roteamento? |
Se um tráfego assíncrono do roteamento dos monitoramentos de sistema de FireSIGHT, ele não pode poder considerar a sessão completa. |
| 6. Há alguma porta não padronizada usada para algum serviços? Há algum decodificador feito sob encomenda configurado para endereçar as portas não padronizadas? |
Um decodificador feito sob encomenda impropriamente configurado pode opor aos decodificadores do padrão. |
Dados adicionais
Se todas as recomendações acima estão seguidas, mas ainda há desconhecido, durante ou os anfitriões não identificados encontrados, a seguir nós precisaremos de analisar o seguinte data:
1. Tráfego de sessão completo
Tráfego de sessão completo dos anfitriões que são identificados incorretamente, ou marcados como desconhecido ou pendente.
2. Pesquisando defeitos arquivos
Pesquisar defeitos arquiva do centro de gerenciamento e do dispositivo gerenciado de FireSIGHT. O mapa de rede ou a topologia que mostram o lugar do dispositivo gerenciado seriam útil.
3. Captura de pacote de informação (PCAP)
Os pacotes recebidos pelo dispositivo gerenciado podem ser diferentes do que os pacotes originados nos anfitriões. Acontece se qualquer encabeçamento que altera o dispositivo inline existe entre os anfitriões e o dispositivo gerenciado. Consequentemente, é melhor capturar PCAP do ambas as extremidades - anfitriões e dispositivos gerenciado, que reserva comparar os encabeçamentos dos dois PCAPs. Toda a má combinação entre os pacotes pode causar o misidentification dos serviços ou dos anfitriões.
Feedback