简介
当FireSIGHT系统在监控网段上检测到新主机时,会生成事件。它可能会错误地检测操作系统或服务,或者信心不足。如果事件标记为Unknown,则意味着流量会被分析,但操作系统与任何已知指纹都不匹配。本文档提供核对表和建议,以尽量减少未知事件。
先决条件
本文档中的信息基于下列硬件和软件版本:
- FireSIGHT系统、FirePOWER设备和NGIPS虚拟设备
- 5.2 或更高软件版本
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
故障排除列表
如果FireSIGHT系统生成的事件处于挂起或未知状态,您可以按照以下步骤开始排除此问题:
Note:未识别主机与未知主机不同。未识别主机是系统尚未收集足够信息以识别其操作系统的主机。
| 排除检查表故障 |
建议 |
| 1. FireSIGHT管理中心上安装了哪个VDB版本? |
最新VDB版本包含更多指纹信息。始终建议在FireSIGHT管理中心上安装最新版本。 |
| 2. FireSIGHT许可证的主机限制是多少?FireSIGHT检测到多少台主机? |
如果主机限制超过,FireSIGHT系统会在新数据传入时删除最早的数据。您可以配置系统策略以在达到主机限制时丢弃新主机。 |
| 3.主机与FireSIGHT受管设备之间相距多少跳? |
主机和受管设备之间的跳数越高,主机离设备越远,因此流量被修改的可能性也就越大,因此无法进行准确识别。 |
| 4.主机和受管设备之间是否存在任何串接设备? |
存在任何串接设备;如防火墙、NAT设备、负载均衡器和代理服务器可以修改原始TCP或IP报头信息,这些信息也可能是主机错误识别或未识别信息收集的原因。 |
| 5.受管设备是否监控任何异步路由网络中的流量? |
如果FireSIGHT系统监控异步路由流量,它可能无法看到完整会话。 |
| 6.是否有任何非标准端口用于任何服务?是否配置了任何自定义解码器来为非标准端口提供地址? |
未正确配置的自定义解码器可能与默认解码器冲突。 |
其他数据
如果遵循上述所有建议,但仍然存在未知、待处理或未识别的主机,则需要分析以下数据和冒号;
1.完整会话流量
来自主机的完整会话流量,这些流量被错误识别,或标记为未知或挂起。
2.文件故障排除
从FireSIGHT管理中心和受管设备排除文件故障。网络映射或显示受管设备位置的拓扑将非常有用。
3.数据包捕获(PCAP)
受管设备接收的数据包可能与主机上产生的数据包不同。如果主机和受管设备之间存在任何修改内联设备的报头,则会发生这种情况。因此,最好从主机和受管设备两端捕获PCAP,以便比较两个PCAP的报头。数据包之间的任何不匹配都可能导致服务或主机的错误识别。
反馈