简介
FireSIGHT系统在检测到受监控网段上的新主机时生成事件。它可能会错误地或以不太可信的方式检测到操作系统或服务。如果事件标记为Unknown,则意味着分析流量,但操作系统不匹配任何已知指纹。此文档提供检查清单和建议,以尽量减少未知事件。
先决条件
本文档中的信息基于下列硬件和软件版本:
- FireSIGHT系统、FirePOWER设备和NGIPS虚拟设备
- 5.2 或更高软件版本
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
故障排除列表
如果FireSIGHT系统生成处于待处理或未知状态的事件,可以按照以下步骤开始解决此问题:
注意:未识别的主机与未知主机不相同。无法识别的主机是系统尚未收集到足够信息来识别其操作系统的主机。
检查表故障排除 |
建议 |
1. FireSIGHT管理中心安装了哪个VDB版本? |
最新的VDB版本包含更多指纹信息。始终建议在FireSIGHT管理中心安装最新版本。 |
2. FireSIGHT许可证的主机限制是多少?FireSIGHT检测到多少台主机? |
如果主机限制超过,FireSIGHT系统会在新数据传入时修剪最早的数据。可以将系统策略配置为在达到主机限制时丢弃新主机。 |
3.主机与FireSIGHT受管设备之间的距离为多少跳? |
主机和受管设备之间的跳数越高,主机离设备越远,因此流量被修改的可能性就越大,并且无法进行准确识别。 |
4.主机和受管设备之间是否存在任何内联设备? |
任何在线设备(如防火墙、NAT设备、负载均衡器和代理服务器)的存在都可以修改原始TCP或IP报头信息,这也可能是从主机收集信息被识别或无法识别的原因。 |
5.受管设备是否监控任何异步路由网络中的流量? |
如果FireSIGHT系统监控异步路由流量,它可能无法看到完整的会话。 |
6.是否有用于任何服务的非标准端口?是否有任何自定义解码器配置为对非标准端口进行编址? |
配置错误的自定义解码器可能与默认解码器冲突。 |
其他数据
如果遵循上述所有建议,但仍存在未知、待处理或未识别的主机,则需分析以下数据&冒号;
1.完整会话流量
来自被错误识别或标记为未知或挂起的主机的完整会话流量。
2.故障排除文件
从FireSIGHT管理中心和受管设备排除文件故障。显示受管设备位置的网络图或拓扑将很有用。
3.数据包捕获(PCAP)
受管设备接收的数据包可能与主机上发起的数据包不同。如果主机和受管设备之间存在任何对内联设备进行修改的报头,则会发生这种情况。因此,最好从两端(主机和受管设备)捕获PCAP,这样可以比较来自两个PCAP的报头。数据包之间的任何不匹配都可能导致服务或主机识别错误。