Este documento responde às perguntas mais frequentes (FAQs) relacionadas ao Cisco Secure Intrusion Detection System (IDS) 4.0, Advanced Inspection and Prevention Security Services Module (AIP SSM) e ao Cisco Intrusion Prevention System (IPS) 5.0 e posterior.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
A. A maneira mais fácil de fazer isso é ativar seu novo servidor VMS e depois descobrir os sensores com essa nova caixa.
Observação: ao adicionar o sensor, não adicione-o manualmente. Marque a caixa de configurações de descoberta.
Quando o sensor for descoberto, importe-o para SecMon. Todas as configurações são salvas no sensor. As configurações de assinatura, filtros e assim por diante devem aparecer depois que você criar seu novo servidor. Certifique-se de atualizar o IDS MC para as assinaturas mais recentes.
A. Esta é uma questão de manufatura. Alguns clientes receberam IDS-4215s com uma imagem básica incorreta (4.0). Siga estas etapas.
- Baixe a imagem da partição de recuperação (somente clientes registrados) .
- Aplique a atualização da imagem da partição de recuperação através da CLI:
sensor#configure terminal sensor(config)#upgrade METHOD://USERNAME@SERVER/PATH/ IDS-4215-K9-r-1.1-a-4.1-1-S47.tar.pkg- Depois que a imagem da partição de recuperação for aplicada, o 4215 será restaurado para uma base 4.1(1) 4215 em execução normal.
sensor(config)#recover application-partition
Observação: os clientes de VMS e CLI da Cisco não enfrentam esse problema.
A causa do problema é a lógica de classificação usada quando o nome do arquivo é analisado. É uma classificação alfanumérica quando deve ser numérica. A solução alternativa é usar CLI (ou VMS) para atualizar para pacotes de nível de assinatura de 3 dígitos, como S100 ou posterior. Quando isso for concluído, a atualização automática começará a funcionar novamente. Consulte o bug da Cisco ID CSCef07999 (somente clientes registrados) para obter mais informações.
A. Para resolver esse problema, use a senha padrão (cisco) duas vezes e altere a senha do modo de configuração. O IDS exige que a senha padrão seja digitada duas vezes.
Por exemplo:
login:cisco Password:cisco Enter current password:cisco Enter new password: *** Re-enter new password: ***
A. O módulo deve ser removido somente depois que você desabilitar a alimentação. Conclua estes passos:
- Na CLI do sensor, emita o comando reset powerdown.
- Quando o sensor concluir o desligamento, a partir da CLI do switch, execute o comando no power enable module (module_number) para o Cisco IOS ou o comando set module power down (module_number) para CatOS.
- Pressione o botão de desligar na lâmina.
- Desligue fisicamente o chassi. Quando a luz de status exibir um verde maior, você poderá remover o módulo com segurança.
A. Bloquear host bloqueia todos os pacotes desse endereço de origem. Bloquear conexão bloqueia apenas uma conexão baseada em IP/porta origem e destino. O PIX funciona de maneira ligeiramente diferente. Para shuns automáticos, o sensor envia o IP de origem, o IP de destino, a porta de origem e a porta de destino. O PIX bloqueia todos os pacotes que se originam desse endereço IP. As informações adicionais são usadas pelo PIX para remover essa conexão das tabelas de conexão. Se a conexão não tiver sido removida da tabela de conexão, então é teoricamente possível que, se o shun for removido logo após a aplicação, a conexão original ainda não tenha expirado. Isso permite que o invasor continue o ataque na conexão original. A remoção da conexão da tabela garante que a conexão original não possa ser usada para continuar o ataque após a remoção do shun. O sensor não pode executar uma única conexão no PIX porque o PIX não suporta o uso do comando shun para executar uma única conexão. O comando PIX shun sempre envia o endereço de origem independentemente de as informações adicionais de conexão serem fornecidas ou não.
A. Esse erro significa que o gateway padrão está incorreto ou uma mensagem de erro genérica que significa que o IP, a máscara de rede ou o gateway padrão estão incorretos. A parte fatal da mensagem significa que, após a primeira falha, a configuração anterior foi aplicada e também falhou. O sensor emite os comandos ifconfig e route e um ou ambos falham.
A. Esse problema pode ser o recurso de atualização automática, que não funciona, porque está definido para download em uma hora exata. Tente definir a atualização automática para uma hora aleatória; mesmo um pequeno desvio de oito ou minutos noturnos pode corrigir esse problema.
Em geral, o problema é resolvido e o erro: resposta de erro http: Uma mensagem de erro 500 é exibida se você alterar o tempo de recuperação para um limite de hora diferente.
Observação: o IPS falha na atualização automática de assinaturas e retorna com esta mensagem de erro:
Exceção de AutoUpdate: Falha na conexão HTTP [1.110] name=errSystemError
Verifique esses itens para resolver o problema:
Verifique se um firewall está impedindo que o sensor acesse Cisco.com.
Verifique se o roteamento se torna um problema.
Verifique se o NATing está configurado corretamente no dispositivo de gateway para o dispositivo downstream.
Verifique se as credenciais do usuário estão corretas.
Alterar a hora de início da atualização para horas ímpares.
A. Para resolver esse problema, tente recarregar o sensor ou recriar o sensor.
A. Conclua estas tarefas para resolver este problema:
Desative a correlação global.
Adicione a configuração de proxy/dns.
A. O IPS não consegue chegar à Internet devido a um problema de porta, por exemplo, um firewall em um caminho que não tem as portas certas abertas para o acesso à Internet ou pode ser um problema de NAT.
Para que a correlação global funcione completamente, o sensor primeiro entra em contato através de https update-manifestests.ironport.com para autenticar o usuário e depois uma conexão HTTP para fazer download de atualizações de GC. Os arquivos que o sensor faz download do HTTP (updates.ironport.com) são os dados de reputação que a correlação global usa. O arquivo https update-manifestests.ironport.com deve sempre ser resolvido para o endereço X.X.82.127, mas o endereço IP http updates.ironport.com pode ser alterado, dependendo da Internet que você acessa. Portanto, você deve verificar o endereço IP. Se a filtragem de URL estiver habilitada, adicione uma exceção para o IP da interface de gerenciamento de IPS no filtro de URL, para que o IPS possa se conectar à Internet.
Este erro ocorre quando há corrupção em uma atualização de GC anterior:
collaborationApp[459] rep/E Falha na atualização da correlação global: Falha no download de ibrs/1.1/drop/default/1296529950 : O URI não contém um endereço IP válido
Normalmente, esse problema pode ser corrigido desligando o serviço GC e ligando-o novamente. No IDM, escolha Configuration > Policies > Global Correlation > Inspection/Reputation, defina Global Correlation Inspection (e Reputation Filtering, se On) como Off, aplique as alterações, aguarde 10 minutos, ligue os recursos e monitore.
A. Verifique estes itens:
Você deve ter uma licença IPS válida para permitir que os recursos de correlação global funcionem.
Você deve ter um servidor proxy HTTP ou um servidor DNS configurado para permitir que os recursos de correlação global funcionem.
Como as atualizações de correlação global ocorrem através da interface de gerenciamento do sensor, os firewalls devem permitir o tráfego tcp 443/80 e udp 53.
Certifique-se de que seu sensor suporta os recursos de correlação global. Se você não quiser isso, desative o recurso de colaboração global do IDM:
Vá para Configuration > Policies > Global Correlation > Inspection/Reputation e defina Global Correlation Inspection (and Reputation Filtering if On) como Off.
A. Se você usar correlação global (GC), verifique se a resolução de nome funciona, por exemplo, se o DNS está acessível. Verifique também se há uma porta bloqueada de firewall 53. Caso contrário, você poderá desligar o recurso GC se quiser se livrar desta mensagem.
A. Esse problema geralmente ocorre quando o cliente tenta executar o IME em sistemas operacionais não suportados, como o Windows 7.
A. Limpe o cache do navegador para resolver esse problema.
A. Na versão 6.0, o modo assimétrico no IPS é configurável usando somente CLI e não está disponível na GUI. Mas, na versão 6.1, esse recurso também está disponível na GUI.
A. Para resolver esse problema, ative o processamento do modo assimétrico para permitir que o sensor sincronize o estado com o fluxo e mantenha a inspeção para os motores que não exigem ambas as direções. Use esta configuração:
IPS_Sensor#configure terminal IPS_Sensor(config)#service analysis-engine IPS_Sensor(config-ana)#virtual-sensor vs0 IPS_Sensor(config-ana-vir)#inline-TCP-evasion-protection-mode asymmetricO problema de latência ocorre quando a ação de negação em linha e o pacote de negação são ativados para cada assinatura em VS0. Habilitar todas as assinaturas resultará em latência, à medida que o IPS inspeciona cada pacote que passa. É bom ativar apenas a assinatura específica necessária de acordo com o fluxo de tráfego de rede para resolver o problema de latência.
A. O PIX/ASA não pode bloquear o tráfego do Skype. O Skype tem a capacidade de negociar portas dinâmicas e usar tráfego criptografado. Com o tráfego criptografado, é virtualmente impossível detectá-lo, pois não há padrões para procurar.
Você pode eventualmente usar um Cisco IPS (Intrusion Prevention System)/AIP-SSM. Ele tem algumas assinaturas capazes de detectar um Cliente Skype Windows que se conecta ao servidor Skype para sincronizar sua versão. Isso geralmente é feito quando o cliente é iniciado na conexão. Quando o sensor capta a conexão inicial do Skype, você pode encontrar a pessoa que usa o serviço e bloquear todas as conexões iniciadas em seu endereço IP.
A. Durante uma atualização de assinatura e reconfigurações, o sensorApp para para processar pacotes à medida que processa as novas assinaturas na atualização. O controlador de rede detecta que o sensorApp parou e retira quaisquer novos pacotes do buffer. O driver de rede faz coisas diferentes, dependendo da configuração e do modelo do sensor:
Interface promissora — ativa o link nas interfaces e ativa o link novamente quando o sensorApp começa a monitorar novamente.
Interface em linha ou Par de Vlan em linha—Depende da configuração de desvio:
Ignorar Automático —O driver mantém o link ativo e começa a passar pacotes sem análise. Em seguida, ele volta a enviar os pacotes através do sensorApp quando o sensorApp começa a monitorar novamente.
Desvio —O driver desativa o link nas interfaces, que é o mesmo que no modo promíscuo, e os ativa novamente quando o sensorApp começa a monitorar novamente.
Assim, se o aplicativo do sensor não extrair pacotes do buffer, o que possivelmente ocorre porque não há interface configurada para processar pacotes, o driver pode colocar a interface em um estado inativo.
Esses registros são vistos quando a interface de detecção oscila:
28Jun2011 09:03:09.483 6050.885 interface[409] Cid/W errWarning Inline databypass has started. 28Jun2011 09:03:13.639 4.156 interface[409] Cid/W errWarning Inline databypass has stopped. 28Jun2011 09:19:23.922 970.283 interface[409] Cid/W errWarning Inline databypass has started. 28Jun2011 09:19:27.486 3.564 interface[409] Cid/W errWarning Inline databypass has stopped.
A. Não, o sensor não mantém um histórico de senha. As senhas não podem ser vistas a qualquer momento.
A. No.
A. O evento local do sensor armazena somente 30 MB e começa a se sobrescrever quando o limite de 30 MB é atingido. Este limite não é configurável.
A. Use STRING.TCP para gravar uma assinatura que detecte o anexo. Procure algo semelhante a este:
Engine STRING.TCP Enabled True Severity informational AlarmThrottle Summarize CapturePacket False Direction ToService MinHits 1 Protocol =TCP RegexString [Ff][Ii][Ll][Ee][Nn][Aa][Mm][Ee][=]["][Ff][Oo] [Tt][Oo][a-zA-Z][.][Zz][Ii][Pp]["] ResetAfterIdle 15 ServicePorts 25 StorageKey =STREAM
A. Execute estes comandos:
configure terminal service host networkParams ftpTimeout 300 <timeout is in seconds>
A. Esta saída é uma representação decimal da hora atual desde a epoc UNIX. Use uma calculadora UNIX epoc, como a localizada no UNIX Date/Time Calculator. Insira os 10 primeiros dígitos porque essa calculadora é granular a apenas segundos e o IDS armazena nanossegundos. Isso significa que os últimos nove dígitos foram removidos. A partir da hora de início nesta saída, 1084798479 = Seg 17 de maio 12:54:39 2004 (GMT) é o que você recebe.
Na CLI, insira iplog-status para receber esta saída:
" Log ID: 138343946 IP Address: xxx.xxx.xxx.xxx Group: 0 Status: completed Start Time: 1084798479512524000 End Time: 1084798510136582000 Bytes Captured: 2833 Packets Captured: 14 "
A. Para resolver essa mensagem de erro, faça login no AIP-SSM e emita o comando tls generate-key no modo EXEC privilegiado, como mostrado neste exemplo:
sensor#tls generate-keyObservação: essa resolução de usar o comando tls generate-key também resolve o problema de AIP-SSM não conseguir se conectar ao IME.
A. Para resolver esta mensagem de erro, escolha Painel de Controle > Ferramentas Admin > Serviços e reinicie os serviços IME.
A. Isso indica uma comunicação interrompida entre o sensor IME e o IPS. Certifique-se de que não haja nenhum software que bloqueie o SDEE.
A. Para resolver essa mensagem de erro, verifique se o endereço IP correto é usado quando você adiciona IPS no IME e também verifique qualquer firewall de software que esteja em execução no computador IME, que pode bloquear a conexão.
A. O sensor IDS não pode enviar alertas por e-mail sozinho. O Security Monitor quando usado com IDS pode enviar notificações por e-mail quando uma regra de evento é acionada pelo sensor.
Consulte Configurar Notificações por Email para obter mais informações sobre como configurar notificações por email com o Security Monitor.
O Cisco IPS Manager Express (IME) pode ser configurado para enviar a mensagem de notificação por e-mail (alertas) quando as regras de evento são disparadas pelos sensores Cisco IPS. Consulte o IPS 6.X e posterior: Notificações por e-mail usando o Exemplo de Configuração do IME para obter mais informações.
A. Reinicialize o sensor para resolver esse problema.
A. Retire as assinaturas que não estão em uso para resolver esse problema e também reduza o número de assinaturas do cliente com regexes. Além disso, não se recomenda a utilização de * e + metacárteres em regex.
A. O problema de latência pode ocorrer devido ao roteamento assimétrico. Tente desabilitar a assinatura 1330 para resolver esse problema.
A. No momento, não é possível desabilitar o SSHv1 e deixar somente o SSHv2 habilitado. O SSHv1 e o SSHv2 são ativados juntos e não podem ser desabilitados individualmente.
A. Essa mensagem de erro ocorre devido à memória insuficiente no sensor.
Conclua estas tarefas para resolver este problema:
- Efetue login na conta de serviço e se torne raiz
- Remova os seguintes diretórios conforme mostrado abaixo:
# rm -rf /usr/cids/idsRoot/var/updates/files/S69 # rm -rf /usr/cids/idsRoot/var/updates/files/common # rm /usr/cids/idsRoot/var/virtualSensor/* # rm /usr/cids/idsRoot/var/.tmp/*- Agora tente atualizar o sensor. Consulte o bug da Cisco ID CSCsb81288 (somente clientes registrados) para obter mais informações.
A. A chamada mainApp[396] cplane/E Error - accept() retornou -1 mensagem de erro indica que o servidor Web não pode ler o arquivo e o programa accept() falhou, o que resulta em descritores de arquivo quando existem conexões TLS. Mas esse arquivo não é necessário para o comportamento normal. É inofensivo.
A. Esta mensagem de erro indica que o certificado não é mais válido no módulo. Siga estas etapas para resolver o problema:
Regenerar o certificado da CLI:
Faça login na linha de comando do sensor.
Emita o comando tls generate e pressione enter. Observe as impressões digitais exibidas.
Receba o novo certificado no IME:
Abra o IME e localize o nome do sensor na lista na página inicial.
Clique com o botão direito do mouse no sensor e clique em Editar.
Quando você acessar a tela Editar dispositivo, clique em OK. Ignore qualquer aviso sobre a impossibilidade de recuperar o tempo do sensor.
Você receberá o novo certificado de segurança (o que acabou de gerar). Verifique se as impressões digitais correspondem e clique em Sim.
Depois de alguns segundos, o sensor deve mostrar "Conectado" no Event Status novamente.
A. Para resolver esse erro, use o comando reset para reinicializar o IPS.
A. Para resolver esse problema, use o servidor NTP para sincronizar a hora no Cisco Adaptive Security Appliance(ASA) e no AIP-SSM.
Consulte Configuração de NTP em sensores IPS para obter mais informações.
A. Os sensores virtuais no AIP-SSM não podem ser aplicados por interface porque o AIP-SSM tem apenas uma interface. Ao criar vários sensores virtuais, você deve atribuir essa interface a apenas um sensor virtual. Você não precisa designar uma interface para os outros sensores virtuais.
Depois de criar sensores virtuais, você deve mapeá-los para um contexto de segurança no Adaptive Security Appliance (ASA) usando o comando Allocation-ips. Você pode mapear vários contextos de segurança para vários sensores virtuais. Consulte a seção Atribuindo Sensores Virtuais aos Contextos do Adaptive Security Appliance de Configuração do AIP-SSM para obter mais informações.
A. Um número máximo de quatro sensores virtuais pode ser suportado.
A. Não é possível com um servidor TACACS+, mas o RADIUS é suportado a partir da versão IPS 7.0.(4)E4. Consulte as seções Informações Novas e Alteradas e Restrições e Limitações das Notas de Versão do Cisco Intrusion Prevention System 7.0(4)E4 para obter mais informações. Consulte também IPS 7.X: Autenticação de login do usuário usando o ACS 5.X como exemplo de configuração do servidor Radius para uma configuração de exemplo.
A. O único impacto que uma licença expirada tem no sensor é que ele interrompe as atualizações de assinatura.
A. Não. As atualizações de assinatura de IPS não têm impacto nos serviços ou na conectividade de rede.
A. O link necessário para permitir que o módulo IPS seja atualizado automaticamente com a assinatura mais recente é: https://198.133.219.25/cgi-bin/front.x/ida/locator/locator.pl.
Você deve usar sua ID de usuário e senha da Cisco para concluir a atualização do módulo IPS.
Observação: na versão 6.x do código, as atualizações automáticas do Cisco.com não são suportadas. Você deve fazer o download manual dos arquivos de assinatura e aplicá-los ao sensor. Há uma função de atualização automática no código 6.x; no entanto, isso só é possível a partir de um servidor de arquivos local no qual os arquivos de assinatura também devem ser baixados manualmente.
A. Não. Não é vulnerável por estes motivos:
O sensor não tem bibliotecas X11. Portanto, não há sessões para sequestrar.
O encaminhamento de portas X11 não está ativado na configuração SSH.
O IPv6 não está compilado no kernel do sensor. Isso é necessário para explorar a vulnerabilidade.
A. Isso acontece porque quando o ASA bloqueia algo, ele não é passado ao IPS para inspeção duplicada. Portanto, você não pode ver registros duplicados no ASA e no IPS.
A. Esta é a mensagem de erro completa:
evError: eventId=1284051856322985135 vendor=Cisco severity=warning originator: hostId: vbintestids03 appName: sensorApp appInstanceId: 700 time: offset=-240 timeZone=GMT-05:00 1286305251136551000 errorMessage: name=errWarning invalidValue:Editing string-xl-tcp sig 21619 has NO effectEsse problema surge porque o mecanismo string-xl-tcp ou string-tcp-xl não é suportado no hardware. Para obter mais detalhes, consulte as Notas de versão do IPS Engine E4.
A. Esta saída mostra a mensagem de erro completa:
autoUpgradeServerCheck: uri: https://XX.XX.XX.XX//cgi-bin/front.x/ida/locator/locator.pl packageFileName: result: No installable auto update package found on server status=trueEsse erro foi gerado e as assinaturas não são atualizadas automaticamente porque a definição de assinatura é atualizada depois que o S479 exige o mecanismo E4. Para resolver isso, é necessário atualizar manualmente o Sensor para 7.0(2)E4.
Observação: o sensor não pode atualizar-se automaticamente para E4 porque requer 7.0(2) e uma reinicialização do sensor.
A. Esta saída mostra a mensagem de erro completa:
autoUpgradeServerCheck: uri: ftp://hfcu-inet01@192.168.1.12//ips-update/ packageFileName: result: No installable auto update package found on server status=trueEsse problema ocorre devido a um estilo de listagem de diretório incorreto com o servidor FTP. Para resolver isso, mude para as listagens de diretório no estilo UNIX a partir das listagens de diretório no estilo MS-DOS existentes.
Para modificar as configurações de listagem de diretório, selecione Iniciar > Arquivos de Programas > Ferramentas Administrativas para abrir o Gerenciador de Serviços de Internet. Em seguida, vá até a guia Home Diretory (Diretório inicial) e altere o estilo de listagem de diretório de MS-DOS para UNIX.
A. Esse problema é devido à falha do mecanismo de análise e é abordado no bug da Cisco ID CSCtb39179 (somente clientes registrados) . Atualize o sensor para a versão 7.0(4)E4 para corrigir esse problema.
A. Esse problema ocorre quando o arquivo de licença recebido é inválido. Para obter um arquivo de licença válido, faça login no Cisco.com como um usuário registrado e faça o download do arquivo de licença apropriado. Depois de obter o arquivo de licença válido, instale-o no sensor.
Se você instalar o novo arquivo de licença e ainda receber um erro, pode haver um problema com o arquivo de licença inválido existente. Para resolver esse problema, faça o seguinte para excluir o arquivo de licença inválido existente:
Efetue login na conta de serviço digitando seu nome de usuário da conta de serviço.
Se você não tiver uma conta de serviço, abra a linha de comando do IPS, entre no modo de configuração e digite este comando
senha do serviço privilegiado nome de usuário senha
ciscoasa# session 1 Opening command session with slot 1. Connected to slot 1. Escape character sequence is 'CTRL-^X'. login: Password: IPS# IPS#conf t IPS(config)# username name privilege service password passwordDepois de iniciar sessão na sua conta de serviço, introduza o comando su para ir para raiz (utilizando a mesma senha da conta de serviço).
Exclua os arquivos no diretório /usr/cids/idsRoot/shared/.
Observação: não exclua o arquivo host.conf.
Insira o comando cd /usr/cids/idsRoot/shared/ para ir para o diretório compartilhado.
Insira o comando ls para exibir os arquivos no diretório.
Insira o comando rm file_name para remover os arquivos.
Observação: não exclua o arquivo host.conf.
Digite o comando /etc/init.d/cids restart para reiniciar o sensor.
Instale a nova licença.
Um bug da Cisco foi arquivado para tratar desse comportamento. Para obter mais informações, consulte CSCtg76339 (somente clientes registrados) .
A. Esse erro é causado por uma quantidade excessiva de pacotes no registro IP. Desative o recurso de registro de IP para resolver esse problema. O registro IP destina-se somente à solução de problemas; A Cisco recomenda que você não o habilite para todas as assinaturas.
A. A modificação da assinatura 23899.0 causa esse problema. Consulte o bug da Cisco ID CSCtn84552 (somente clientes registrados) para obter mais informações.
A. Verifique se há filtragem de URL, filtragem de conteúdo ou um servidor proxy presente que está bloqueando a execução do AutoUpdate. Verifique se o AutoUpdate não está sendo bloqueado e se as credenciais de usuário fornecidas estão corretas.
A. Este comportamento foi abordado pela ID de bug da Cisco CSCsq50873 (somente clientes registrados) . Esse é um problema superficial e não cria nenhuma sobrecarga operacional, exceto a quantidade excessiva de logs sendo recebidos. Uma solução temporária é remover a configuração relacionada ao NTP no sensor. Para uma solução permanente, faça o upgrade para uma versão na qual esse bug seja corrigido.
A. O IME funciona como dois serviços Windows e o cliente GUI. Quando o cliente é fechado, os dois serviços do Windows (Cisco IPS Manager Express e MySQL-IME) continuam a executar e coletar eventos dos sensores gerenciados e armazená-los no banco de dados local do MySQL; isso permite que relatórios históricos ocorram.
O cliente IME deve abrir uma única assinatura SDEE no sensor gerenciado e reutilizá-la para atividades de recuperação de eventos subsequentes. A conectividade constante da estação de trabalho IME com os sensores gerenciados é um comportamento esperado.
A. Não. O módulo AIP-SSM não pode ser usado como destino de SPAN, pois é usado somente para monitorar o tráfego que flui pela interface ASA.
A. Com as atualizações do mecanismo E3, o IPS usa um algoritmo diferente para gerenciar seu tempo ocioso e gasta mais tempo pesquisando pacotes para reduzir a latência. Esse aumento na verificação causa um aumento correspondente no uso da CPU. A maneira correta de medir a CPU em E3 não é pela utilização da CPU, mas pela porcentagem de carga do pacote que mostra a utilização correta da CPU.
A. Isso pode ocorrer devido a um certificado incorreto na estação de gerenciamento remoto, executando software como CS-MARS, CSM, IEV, VMS-IDS/IPSMC, etc. Para resolver esse problema, faça o seguinte:
Aplique o certificado TLS do sensor na estação de gerenciamento remoto.
Configure um servidor DNS válido.
A. Configurar o sensor para funcionar no modo assimétrico resolverá o problema. Para colocar o sensor na proteção do modo assimétrico, faça o seguinte:
Vá para Configuration > Policies > IPS policies.
Clique duas vezes em sensor virtual.
Vá para opções avançadas.
No modo de normalização, selecione Proteção do modo assimétrico.
Click OK.
Reinicie a unidade para que as alterações entrem em vigor.