Introduction
Um sistema FireSIGHT gera eventos quando detecta um novo host em seu segmento de rede monitorado.Ele pode detectar um sistema operacional ou serviço incorretamente ou com menos confiança. Se um evento for marcado como Desconhecido, significa que o tráfego é analisado, mas os sistemas operacionais não correspondem a nenhuma das impressões digitais conhecidas. Este documento fornece uma lista de verificação e recomendações para minimizar eventos desconhecidos.
Prerequisites
As informações neste documento são baseadas nas seguintes versões de hardware e software:
- FireSIGHT System, dispositivos FirePOWER e dispositivos virtuais NGIPS
- Versão do software 5.2 ou posterior
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Troubleshooting de Listas de Verificação
Se o sistema FireSIGHT estiver gerando eventos que estão em estado pendente ou desconhecido, siga as etapas abaixo para começar a solucionar esse problema:
Note: Os hosts não identificados não são os mesmos hosts desconhecidos. Os hosts não identificados são hosts sobre os quais um sistema ainda não reuniu informações suficientes para identificar seus sistemas operacionais.
Lista de verificação de solução de problemas |
Recomendações |
1. Que versão do VDB está instalada no FireSIGHT Management Center? |
A versão mais recente do VDB tem mais informações de impressão digital. É sempre recomendável ter a versão mais recente instalada no FireSIGHT Management Center. |
2. Qual é o limite de host de sua licença do FireSIGHT? Quantos hosts foram detectados pelo FireSIGHT? |
Se o limite de host exceder, um sistema FireSIGHT removerá os dados mais antigos à medida que os novos dados forem entrando. Você pode configurar a Política do sistema para descartar novos hosts quando o limite de host for atingido. |
3. Quantos saltos de distância os hosts estão localizados do dispositivo gerenciado FireSIGHT? |
Quanto maior a contagem de saltos entre os hosts e um dispositivo gerenciado, mais distante o host fica do dispositivo e, portanto, maior a probabilidade de o tráfego ser modificado e não permitirá uma identificação precisa. |
4. Há algum dispositivo em linha entre os hosts e o dispositivo gerenciado? |
A presença de qualquer dispositivo em linha; como firewall, dispositivo NAT, balanceador de carga e servidor proxy podem modificar as informações originais do cabeçalho TCP ou IP que também podem ser as causas de coleta de informações mal identificadas ou não identificadas dos hosts. |
5. Os dispositivos gerenciados estão monitorando o tráfego em alguma rede de roteamento assíncrona? |
Se um sistema FireSIGHT monitorar o tráfego de roteamento assíncrono, talvez ele não consiga ver a sessão completa. |
6. Há alguma porta fora do padrão usada para qualquer serviço? Há algum decodificador personalizado configurado para endereçar as portas não padrão? |
Um decodificador personalizado configurado incorretamente pode entrar em conflito com os decodificadores padrão. |
Dados adicionais
Se todas as recomendações acima forem seguidas, mas ainda existirem hosts desconhecidos, pendentes ou não identificados, então precisaremos analisar os seguintes dados:
1. Tráfego de sessão completo
Tráfego de sessão completo dos hosts identificados incorretamente ou marcados como desconhecidos ou pendentes.
2. Solução de problemas de arquivos
Solucionando problemas de arquivos do FireSIGHT Management Center e do dispositivo gerenciado. O mapa da rede ou a topologia que mostra a localização do dispositivo gerenciado seria útil.
3. Captura de pacote (PCAP)
Os pacotes recebidos pelo dispositivo gerenciado podem ser diferentes dos pacotes originados nos hosts. Isso acontece se qualquer cabeçalho que modifique o dispositivo em linha existir entre os hosts e o dispositivo gerenciado. Portanto, é melhor capturar o PCAP de ambas as extremidades - hosts e dispositivos gerenciados, o que permite comparar os cabeçalhos dos dois PCAPs. Qualquer incompatibilidade entre os pacotes pode causar identificação incorreta de serviços ou hosts.