Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

FireSIGHT pode identificar um host incorretamente, ou marque um evento como durante ou o desconhecido

Opções de download

  • PDF     (83.0 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (76.7 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (76.0 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:21 de Julho de 2014
ID do documento:118039
Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

 

Introdução

Um sistema de FireSIGHT gera eventos quando detecta um host novo em seu segmento de rede monitorado. Pode detectar um sistema operacional ou um serviço incorretamente, ou com menos confiança. Se um evento é marcado como o desconhecido, significa que o tráfego está analisado, mas os sistemas operacionais não combinam algumas das impressões digitais conhecidas. Este documento fornece uma lista de verificação e recomendações minimizar eventos desconhecidos.

Pré-requisitos

As informações neste documento são baseadas nas seguintes versões de hardware e software:

  • Sistema de FireSIGHT, dispositivos da potência de fogo, e dispositivos virtuais NGIPS
  • Versão de software 5.2 ou mais atrasado

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Troubleshooting de Listas de Verificação

Se seu sistema de FireSIGHT está gerando os eventos que estão no estado pendente ou desconhecido, você pode seguir as etapas abaixo para começar pesquisar defeitos esta edição:

Nota: Os anfitriões não identificados não são os mesmos que host desconhecidos. Os anfitriões não identificados são os anfitriões sobre que um sistema não recolheu ainda bastante informação para identificar seus sistemas operacionais.

Pesquise defeitos a lista de verificação Recomendações
1. Que versão VDB é instalada no centro de gerenciamento de FireSIGHT? A versão a mais atrasada VDB tem mais informação da impressão digital. Recomenda-se sempre ter a versão a mais atrasada instalada no centro de gerenciamento de FireSIGHT.
2. Que é o limite do host de sua licença de FireSIGHT? Quantos anfitriões foram detectados por FireSIGHT? Se o limite do host excede, um sistema de FireSIGHT poda os dados os mais velhos enquanto os dados novos entram. Você pode configurar a política de sistema para deixar cair anfitriões novos quando o limite do host alcançou.
3. Quantos saltos afastado os anfitriões são ficados situados do dispositivo gerenciado de FireSIGHT? Mais alto o contagem de saltos entre os anfitriões e um dispositivo gerenciado, mais distante o host é do dispositivo, e a probabilidade assim aumentada o tráfego foi alterada e não permitirá a identificação exata.
4. Há alguma em-linha dispositivos entre os anfitriões e o dispositivo gerenciado? A presença de alguma em-linha dispositivo; como o Firewall, o dispositivo NAT, o equilibrador da carga e o servidor proxy podem alterar a informação original TCP ou de cabeçalho IP que pode igualmente ser as causas da coleção de informação interpretada mal ou não identificada dos anfitriões.
5. Os dispositivos gerenciado estão monitorando o tráfego em alguma rede assíncrona do roteamento? Se um tráfego assíncrono do roteamento dos monitoramentos de sistema de FireSIGHT, ele não pode poder considerar a sessão completa.
6. Há alguma porta não padronizada usada para algum serviços? Há algum decodificador feito sob encomenda configurado para endereçar as portas não padronizadas? Um decodificador feito sob encomenda impropriamente configurado pode opor aos decodificadores do padrão.

 

Dados adicionais


Se todas as recomendações acima estão seguidas, mas ainda há desconhecido, durante ou os anfitriões não identificados encontrados, a seguir nós precisaremos de analisar o seguinte data:

1. Tráfego de sessão completo

Tráfego de sessão completo dos anfitriões que são identificados incorretamente, ou marcados como desconhecido ou pendente.

2. Pesquisando defeitos arquivos

Pesquisar defeitos arquiva do centro de gerenciamento e do dispositivo gerenciado de FireSIGHT. O mapa de rede ou a topologia que mostram o lugar do dispositivo gerenciado seriam útil.

3. Captura de pacote de informação (PCAP)

Os pacotes recebidos pelo dispositivo gerenciado podem ser diferentes do que os pacotes originados nos anfitriões. Acontece se qualquer encabeçamento que altera o dispositivo inline existe entre os anfitriões e o dispositivo gerenciado. Consequentemente, é melhor capturar PCAP do ambas as extremidades - anfitriões e dispositivos gerenciado, que reserva comparar os encabeçamentos dos dois PCAPs. Toda a má combinação entre os pacotes pode causar o misidentification dos serviços ou dos anfitriões.

TAC Authored

Colaborado por engenheiros da Cisco

  • Nazmul Rajib
    Cisco TAC Engineer.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Discussões relacionadas com comunidade da Cisco

Este documento se refere a estes produtos

Sobre a Cisco
Fale Conosco
Trabalhe Conosco