Loading...

Network Security Platform に関する FAQ
技術的な記事 ID:   KB75269
最終更新:  2017/08/03
評価:


環境

McAfee Network Security Platform (NSP) 8.x

概要

目次
全般 製品情報およびその他のトピック
互換性 他の製品とソフトウェア間の相互の影響
インストール/アップグレード インストール、アップグレード、移行、削除に関する情報
構成 ベスト プラクティス、最適化、設定およびカスタマイズに関する情報
機能 製品の特徴および機能。
共有秘密鍵 SSL キーの更新を含む共有秘密鍵と SSL に関するよくある質問
NSP および GTI NSP と Global Threat Intelligence(GTI)の機能と相互の影響に関するよくある質問
攻撃対象 特定の攻撃の対象に関する情報
NSP および NAC 協調動作する NSP とネットワーク アクセス コントロール(NAC)に関する質問と回答
異種のシグネチャ セット 異種のシグネチャ セットに関する情報
影響のない Sensor の再起動 Sensor サイクルの影響を減らす機能 
高度なマルウェア検出 高度なマルウェア検出に関する質問
Network Security Platform 8.3 NSP 8.3 に追加された機能に関する質問


全般

Sensor と Manager は、Sensor が稼動していることを確認するために情報をどれくらいの頻度で交換しますか?
ポーリング間隔は通常 2 分間隔です。ただし、EMS が障害を検出すると、ポーリング間隔は 30 秒間隔になります。 これは、パケットの損失などの障害アラートを引き起こす問題を回避するために行われます。 10 分後に Sensor に到達できない場合、ポーリングの頻度は通常の 2 分に戻ります。


このポーリングによってどれくらいのデータ転送が行われますか?
ポーリングは SNMP UDP パケット経由で実行され、4 つの MIB 変数がポーリングされます。 SNMP アプリケーション要求のペイロード全体は約 100 バイトです。


Manager がシステムの正常性により切断されたとフラグを立てるまでには、どれくらいの時間がかかりますか?
最初のポーリングは 2 分間隔で行われ、通常のタイムアウトは 60 秒であるため、最短で 60 秒ですが、最長 180 秒(120 + 60)になる可能性があります。


フェイルオープン キットは Auto-MDIX を実行しますか?
いいえ。これは、Sensor にインストールされた McAfee SFP の Auto-MDIX の機能です。


銅線フェイルオープン キットは、光バイパスのシングル モード(SM)およびマルチ モード(MM)のフェールオープン キットと同様に動作しますか?
FO キット(ファイバ バイパス スイッチ)は、TX/RX ペアをクロス接続しません。 Sensor/Sensor ソフトウェアのバージョンについては、「ギガビット オプティカル フェールオープン バイパス キット クイック ガイド」を参照してください。 このガイドには、適切なインストールと追加インストールおよび接続の詳細図が含まれています。


10/100/1000 銅線アクティブ フェールオープン(AFO)バイパス キット モードをインライン モードから TAP モードに変更すると、AFO の電源が再投入されます。再起動時に、TAP モードは無効になりました。 なぜですか?
AFO は正常に動作しています。 TAP モードの設定は AFO に保存されません。 AFO の電源を入れ直すと、デフォルト設定の TAP モード オフ に戻ります。これは設計上によるものです。


ARP:MAC アドレス フリップフロップ アラートは、CIDR インターフェース レベルでのみ表示されます。このアラートでサブインターフェース名が表示されないのはなぜですか?
サブインターフェース サポートの CIDR ベース検索は、IPv4 パケット(PTYPE = 0x800)に対してのみ実行されます。 ARP はこのカテゴリに該当しないため、ポートと VLAN レベルに基づくインターフェース分類だけが ARP パケット用に記録されます。 この動作は、設計に基づいた動作です。


Sensor のログ ファイルが暗号化されているのはなぜですか?
Sensor のログ ファイルは、テクニカルサポート チームと開発チームがトラブルシューティングに必要な情報を必要に応じて記録するように設計されています。 これらのファイルを主に必要とする人はマカフィー社内の担当者のため、ファイルには社内向けまたはマカフィー固有の性質をもつ詳細情報が含まれることがあります。 そのため、暗号化されています。 NSP は、知る必要がある重要なイベントをすべて Sensor CLI コマンドを使用して提供します。 マカフィーは、現在は入手できない必要な情報について PER を提出することを歓迎します。 これらのリクエストは、今後の NSP メンテナンス リリースに反映されます。


NSP は時刻同期中のネットワーク待ち時間を補償しますか?
いいえ。NSPは、時刻同期中のネットワーク待ち時間の問題に対処するための補償をしません。

Sensor と Manager の間に 100 ミリ秒のネットワーク遅延がある場合、Sensor の時間は Manager の実際の時間よりも 100 ミリ秒遅くなります。 Sensor には内部時間が設定されており、その時間設定を Manager から取得して、Sensor と Manager が同期した状態に保たれます。 Sensor と Manager の接続が失われた場合、内部クロックは Sensor の時間を定期的に更新します。 Sensor と Manager の間の時間遅延は、特定の Sensor と Manager の間のネットワーク遅延になります。 Manager と他の配備された Sensor との間には、より長いまたはより短い遅延がある場合があります。

Sensor にはバッテリ バックアップ クロックがないため、Sensor は独自のフラッシュ メモリに時間を書き込みます。 停電が発生した場合、Sensor が再起動してオンラインに戻ると、Sensor が関連する Manager に直ちに接続できなくなる可能性があります。 この場合、Sensor は最後にフラッシュに保存された時間を使用します。 これは、Sensor がフラッシュから時間を取得する唯一の時間です。それ以外には、フラッシュに保存された時間は無関係です。


隔離されたホストのトラフィックはどのように処理されますか?
IPS 隔離機能を使用すると、Sensor はポリシーに準拠していないホストを隔離できますが、修復目的でのアクセスを提供します。 IPS 隔離を有効にすると、Sensor のインライン モニタリング ポートで攻撃が検出されると、ホストが NAC 除外リストに記載されていない場合にのみ、Sensor はホストの送信元 IP アドレスの隔離ルールを作成します。 Sensor は、NAC 除外リスト中のホストからのトラフィックをブロックしません。 NAC 除外リストにないホストは、指定された時間、隔離テーブルに置かれます。

Sensor は、ポートを通過するすべてのトラフィックを隔離テーブルと照合して、隔離されたホストから送信されたすべてのパケットをブロックします。 これにより、準拠していないホストがネットワーク上の他のシステムに害を加えることを防ぎます。 IPS ネットワーク アクセス ゾーンは、ホストが隔離されている間にアクセスできる特定の IP アドレス(たとえば、修復ポータルまたは DNS サーバー)に設定できます。 これにより、隔離されたホストは、ネットワークの全体的なセキュリティを損なうことなく修復に必要なリソースにアクセスできます。 ホストは、NAC ポリシーに照合するか、または隔離応答オプションが有効になっているシグネチャを照合することによって、隔離テーブルに追加できます。


NSM に Manager Disaster Recovery(MDR)で設定された 2 つの Manager がインストールされている場合、両方の Manager を Sensor のアラート データで更新する必要があります。アラート情報を更新するために Sensor が NSM と通信する方法は?
Sensor は、MDR 設定の両方の NSM にアラートを送信しようとします。 1 つの NSM にアラートが正常に送信された場合は、Sensor バッファーからアラートを削除できます。 Sensor がいずれかの NSM にアラートを送信できない場合、アラートは Sensor バッファーに保存されます。 Manager は、データベースを互いに同期して、次回の通信時に他の Manager で受信されなかったアラートを更新します。 各アラートには、Manager 間の同期を支援する固有の属性が付いています。


NSP の IPS 隔離とアクセス コントロール リスト(ACL)機能の違い?

  • IPS 隔離ルールは、ACL ルールとは独立して処理され、ACL ルールの前に評価されます。
  • IPS 隔離ルールは送信元 IP からのすべてのトラフィックを廃棄しますが、ACL ルールでは廃棄するトラフィックをタイプで指定できます。
  • IPS 隔離ルールは動的に作成されます。 ポリシーを作成する場合、ACL ルールを明示的に追加する必要があります。
  • 事前に設定された時間が経過すると、IPS 隔離ルールを動的に削除できます。 ポリシーの更新によって明示的に ACL ルールを削除する必要があります。


ボットネット攻撃は Threat Analyzer でどのように表示されますか?
トラフィックが発生すると、IP アドレスまたはドメイン名が既知のボットネット アドレスかどうかを判断するために、ボットネット DAT ファイルに対してアドレスが検索されます。

データが一致すると、アラートがトリガーされ、コマンドと制御(C&C)の IP またはドメインが攻撃者としてマークされます。 攻撃者のアドレスは、Threat Analyzer 内の送信元 IP 列に入力されます。 C&C アドレスに接続しているホストのアドレスは、攻撃対象として表示されます。 攻撃対象は、Threat Analyzer 内の送信先 IP 列に入力されます。

フローの方向は、接続の開始元に基づいており、開始フローがインバウンドかアウトバウンドかを示します。


設定の更新なしで Manager のアクション設定をすぐに有効にするのはなぜですか?
システム管理者がポリシー エディターで Manager のアクション設定(Auto ACK、SNMP、および Syslog など)を変更する場合、設定の更新が必要です。 ただし、これらの設定はすぐに有効になります。 動作は設計どおりのものです。現在の NSP 設計では、ポリシーで設定された細かさで構成の変更が追跡され、ポリシーの変更によって、Sensor にシグネチャ ファイルのプッシュが必要であることが示されます。 キャッシングと差分アップデートの導入により、Sensor のシグネチャ ファイルのアップデートを改善するために NSP に多くの努力が払われました。 現在の計画は、シグネチャ ファイルのプッシュの効率向上に集中することであり、ポリシーの変更をより詳細に追跡することではありません。

直ちに有効にされる項目 攻撃の重大度*、通知、電子メール、スクリプト、Auto Ack、ページャー、SNMP、Syslog
設定の更新が必要な項目 攻撃の重大度*、Sensor アクション、ロギング

*攻撃重大度の変更は、Manager と Sensor の両方で使用されます。 Threat Analyzer に表示される重大度の変更など、Manager の部分はすぐに有効になります。 Sensor の部分(NAC など)には、Sensor の更新が必要です。


Real Time Threat Analyzer(RTTA)に重大度低および情報警告のアラートが表示されないのはなぜですか?
これは設計上によるものです。 ヒストリカル Threat Analyzer を使用して、重大度低および情報警告のアラートを表示します。


ポリシー エディターで攻撃をブロックするように設定することができます。攻撃に対して[アラートを Manager に送信]が選択解除されていても、Sensor が Manager にアラートを送信するのはなぜですか?
これは設計上によるものです。攻撃がブロックされているため、[アラートをマネージャーに送信]の設定に関係なくアラートを送信し、どの Sensor が攻撃をブロックしたかを管理者に通知します。


RTTA では、[インバウンド/アウトバウンドの UDP パケットの量が多すぎる]アラートのアラート詳細画面の DoS 分析セクションに、DoS IP 範囲および上位 3 つの攻撃 IP 範囲が表示されます。このセクションに IP 範囲情報が表示されず、空白になることがあるのはなぜですか?
これは設計上によるものです。Sensor は攻撃を検出すると、すぐに IP アドレスの収集を開始します。 Sensor は、アラートを発生する前に一定期間待機し、IP アドレス情報もレポートします。 ただし、攻撃が直ちに停止した場合、Sensor は IP アドレス情報を取得せず、IP アドレスなしでアラートを生成します。


NSP Sensor または他のハードウェアのデフォルト設定は?
ハードウェア ボーレート データ パリティ 停止 フロー制御 デフォルト ユーザ デフォルトのパスワード SSH ポート
I シリーズ 9600 8 なし 1 なし admin admin123 22
M シリーズ 38400 8 なし 1 なし admin admin123 22
N シリーズ 38400 8 なし 1 なし admin admin123 22
NS シリーズ 115200 8 なし 1 なし admin admin123 22
NTBA 9600 8 なし 1 なし admin admin123 22
XC240 115200 8 なし 1 なし admin admin123 22
AFO キット 19200 8 なし 1 なし マカフィー マカフィー


ネットワーク上に MPLS トラフィックがあるときに SYN Cookie が機能しないのはなぜですか?
Sensor プロキシが SYN パケットに応答するときに、NSP が戻り方向で使用する MPLS タグを認識しないため、SYN Cookie は MPLS トラフィックでサポートされません。

Sensor 上で、1 つのポートがスパンで MPLS トラフィックを表示するように設定され、もう 1 つがインラインで設定され、MPLS トラフィックが表示されない場合、SYN Cookie を有効にすると、Sensor が SYN フラッドを防止しますか?
はい。 SYN Cookie は、インライン ポート ペアの通常のトラフィックに対して引き続き機能します。

トラフィックに VLAN タグを使用すると、SYN Cookie を使用できますか? たとえば、すべてのトラフィックに VLAN タグが含まれていて、Sensor が 1 つの VLAN からのトラフィックだけを表示し、他の VLAN からのトラフィックを受信しない場合、SYN Cookie は機能しますか? それとも、SYN Cookie が機能するためには、インライン トラフィックに VLAN タグがあってはなりませんか?
SYN Cookie は、VLAN タグ付きのトラフィックに対して機能します。 VLAN タグありとタグなしのトラフィックが混在していても機能します。 パケットが同じインターフェース経由で再び返される場合は、いくつかの制限があります。


Sensor インターフェースがインラインとして設定されている場合、トラフィックが Sensor を通過する際にポート間にクロストークが発生しますか?
いいえ。Sensor は、トラフィックのスイッチングやルーティングを実行しません。 インターフェースのペア(1A/1B、2A/2B など)としてグループ化された 2 つのインターフェースは、固定された方法で互いにバインドされています。 インターフェース上の着信トラフィック(1A など)は、Sensor のペアのマッチング インターフェ-ス(1B など)からのに送信できます。 これは Sensor ソフトウェアの基本的な設計要素であり、Sensor はルーティングやスイッチングの決定を行わないため、デバイス上の他のインターフェースにパケットを転送するサポートは Sensor にありません。


すべてのトラフィック(Ingress と Egressの両方)の合計が、指定された Sensor での検査機能(たとえば、NS9100 は 10 Gbps IPS パフォーマンス)よりも大きい場合がありますか?
いいえ。検査機能は、Sensor のすべてのポートに共通で共有されます。  Sensor の定格容量を決定するのは、これらの検査機能です。


どのようにすれば、Sensor の DoS 検出を学習モードに強制/変更できますか?
サービス拒否データ管理 を選択し、DoS プロファイルの再構築(最初から学習を開始する)を選択します。


「偵察相関攻撃」と「偵察シグネチャ攻撃」の違いは何ですか? これらの偵察攻撃の両方が「デフォルトの偵察ポリシー」の一部ですか?
これは、使用されている NSP/NSM のバージョンによって異なります。 8.1 以前の場合は、IPS ポリシーと偵察ポリシーの両方が使用されます。 IPS ポリシーにはシグネチャ ベースの攻撃が含まれ、偵察ポリシーには相関ベースの攻撃が含まれます。ただし、8.2 以降では、偵察ポリシーは存在しなくなり、IPS ポリシーではシグネチャ ベースおよび相関ベースの両方の偵察攻撃が検出されます。
IPS ポリシー エディターでこれらを区別するために、マカフィーはそれぞれに特定の攻撃カテゴリ(偵察相関攻撃と偵察シグネチャ攻撃)を導入しました。


Ns7x00 Sensor の最大消費電力は 250W です。提供された PSU の定格は 650W ですか?
マカフィーはこの 650W PSU を Ns7x00 シリーズ アプライアンスの形状に合わせて使用しています。


手動で隔離されたホストの Web ブラウザーには隔離されたメッセージまたはアドバイザリが表示されず、修復ポータルにリダイレクトされません。なぜですか?
隔離されたクライアントにブラウザー メッセージを表示するか、または修復ポータルにリダイレクトするように Sensor を設定すると、Sensor によって自動的に隔離されたホストに対してのみ実装されます。 これは設計上の仕様です。ユーザーが Threat Analyzer からホストを手動で隔離すると、ブラウザーのメッセージも修復ポータルも表示されず、対応する隔離ゾーンにホストが置かれるだけです。

目次に戻る

互換性

M シリーズ Sensor ではどのような XFP がサポートされていますか?
M シリーズ Sensor では以下の XFP のみがサポートされています。

  • IAC-1550-CG1 (エクステンデッド リーチ、シングル モード、1550nm XFP)
  • IAC-1310-CG1 (ロング リーチ、シングル モード、1310nm XFP)
  • IAC-X850-CG1 (ショート リーチ、マルチモード、850nm XFP)

重要:サードパーティ XFP はサポートされていません。


M-1250 および M-1450 Sensor のモニタリング ポートをフェールクローズまたは SPAN モードに設定するには、フェールクローズド ドングルが必要ですか?
いいえ。I シリーズ Sensor とは異なり、フェールクローズまたは SPAN モードの場合でも、M-1250 および M-1450 Sensor のモニタリング ポートにはフェールクローズド ドングルを取り付ける必要はありません。 ドングル機能は現在、モニタリング ポート自体に組み込まれています。


英語以外のモバイル デバイスから NSM にアクセスできないのはなぜですか?
英語以外のモバイルデバイスから NSM にアクセスすると、英語に設定されたデバイスのみがサポートされるため、NSM は正しく機能しません。 Manager にアクセスするには、オペレーティング システムの言語設定を英語に変更します。


どのバージョンの Nessus で NSM をサポートしていますか?
Nessus 4 および Nessus 5.x スキャナーを使用して生成された Nessus レポートは NSM に正常にインポートされます。 生成されたレポートにホスト IP が完全修飾ドメイン名(FQDN)または NetBIOS 名として含まれている場合、NSM はレポート内のターゲット ホスト IP の解決に失敗し、これらのホストの脆弱性を Manager データベースにインポートできません。 有効なホスト IP アドレスをドット形式で格納している Nessus 4 または Nessus 5.x の .nessus 形式のレポートは、正常に Manager データベースにインポートされます。


トラフィックが PPPoE でカプセル化されていると、Sensor が攻撃を検出できないのはなぜですか?
PPPoE はサポートしていません。すべての PPPoE カプセル化パケットは、検出されずに Sensor によって転送されます。 これは設計上の仕様です。


ダウンロードしたシグネチャをすべてのデバイスに自動配備するように NSM が設定されている場合、Network Discovery Behavior Analysis(NTBA)Sensor ではなく NSP Sensor で自動配備が機能します。なぜですか?
NTBA の自動配備は、NSM 8.1 以降でサポートされています。 自動配備を実装するには、NSM 8.1.3.6 以降にアップグレードします。


M シリーズ Sensor では GTP 解析がサポートされていますか?
いいえ。GTP 解析は NS シリーズ Sensor でのみサポートされています。


NSP カプセル化トラフィックがこのプロトコルを使用して攻撃を検出するかどうかを検査できますか?
NSP は、カプセル化された GRE トラフィックを検査し、攻撃を検出できます。 ただし、デフォルトの Sensor 設定では GRE トンネリング トラフィックを検査しないため、この機能を有効にする必要があります。


NSP は新しい HTTP/2 プロトコル(HTTP 2.0)のスキャンをサポートしていますか?
NSP は現在 HTTP/2 をサポートしていません。サポートは現在、NSP の今後のリリースで予定しています。


ネットワーク スイッチが AutoMDI/MDI-X をサポートしている場合、Sensor は AutoMDI/MDI-X を使用してスイッチと Sensor の間のリンクを確立できますか?
はい。ただし、オート ネゴシエーションが Sensor ポートで無効になっている場合、AutoMDI/MDI-X は正常に動作しません。AutoMDI/MDI-X を使用してスイッチと Sensor の間のリンクを設定する前に、Sensor ポートでオート ネゴシエーションを有効にする必要があります

目次に戻る

インストール/アップグレード

アプライアンス RMM ソフトウェアを使用して NSM アプライアンス ソフトウェアのインストールを実行できますか?
いいえ。アプライアンス RMM ソフトウェアを使用した NSM アプライアンスのインストール DVD の使用はサポートされていません。 アプライアンスに付属の Intel RMM ソフトウェアを使用して NSM アプライアンスのインストール DVD を使用しようとすると、予期せず望ましくない結果が生じる場合があります。 インストール メディア インターフェースには、キーボードとマウスを使用してアクセスする必要があります。

1 回のインストールで複数の NSM ライセンスを集約または組み合わせることはできますか? たとえば、標準のライセンスを持っている場合、8 台の管理対象デバイスを実現するためのスターターパ ックを購入できますか?
いいえ。これは、NSMライセンスが累積的ではないためです。 1 つの NSM から 6 つ以上の Sensor を管理するには、グローバル NSM ライセンスを購入する必要があります。


Manager をアップグレードすると、手動で処理していない Sensor のアップデート プロセスが表示されます。downloadstatus コマンドが実行され、Manager に最新のシグネチャ セットが存在する場合、Sensor はアクティブなダウンロードを表示しません。 Manager を再起動すると、一定期間経過後に更新プロセスが再開され、Ems.log にクリア プッシュが表示されず、Sudit ログには、更新された構成を Sensor にプッシュするユーザー アクティビティが表示されません。 この更新プロセスの原因は何ですか?
Manager のアップグレード後、NSM は最新のシグネチャ セットをコンパイルし、自動的に Sensor にプッシュします。

注:Sensor に最新のシグネチャ セットが既にある場合、このアップデートは失敗します。
目次に戻る



構成

SPAN モードでモニター ポートと Sensor フェールオーバー ペアを実行できますか?
いいえ。モニター ポートがインライン モードに設定されている場合のみ、フェールオーバー ペアを作成できます。 ペアを作成した後は、ポート モードを変更することはできません。


NSM で、削除できないデフォルトの ID ベースのアクセス コントロール ポリシーはどれですか?
次のポリシーは削除することはできませんが、ネットワーク アクセスを許可するときにシステムの正常性を考慮するかどうか、およびアクセス許可の実際のアクセス レベルを指定するように、設定を編集できます。

  • デフォルト
  • ゲスト ユーザー
  • 自己登録

無視するルールを作成して、攻撃名を追加しないということができますか?
いいえ。Sensor は、このタイプのアラート フィルターを他の方法で理解できないため、無視ルールには攻撃名が必要です。


検査から特定の IP アドレスを除外する方法は?
アクションが「ステートレスの無視」に設定されたファイアウォール ルールを追加します。これにより、FW ルール検索/一致を除いて、検査を実行することなくルールに一致するすべてのパケットが転送されます。


NSP Sensor を使用してアクティブ - アクティブの高可用性システムを実現できますか?
Sensor は常にアクティブ - アクティブの高可用性システムです。Sensor がアクティブ - パッシブ(1 つのネットワーク パスがブロックされている)またはアクティブ - アクティブとして使用されているかどうかは、ピア ネットワーク デバイスが判断します。


TOR と TOR のバリアントをブロックするにはどうしたらいいですか?
マカフィーでは、ファイアウォール ポリシーを使用して、アクセス ルールを作成し、ブロック、許可、または非検査のアスペクト/オブジェクトを定義することをお勧めします。 既存のルール オブジェクトの下には、すでに定義されている TOR および TOR バリアント アプリケーションがいくつかあります。 これらのアプリケーションと、許可しないその他の P2P アプリケーションを使用して、独自のアプリケーション グループを作成することができます。

そのアプリケーション グループを、ソース/宛先の設定とともに使用して、大部分の TOR 接続とバリアントを停止します。


ソース(攻撃者)としての内部ネットワーク、および任意のターゲットとしての偵察攻撃(脆弱性スキャナからのスキャン)を無視するルールを作成しても、まだ RTTA に警告が表示されます。なぜですか?
無視するルールを使用することは、脆弱性スキャナーに対処する間違った方法です。代わりに、ファイアウォール ポリシーアクセス ルールを追加して、脆弱性スキャナーへのすべてのトラフィック(ステートレス無視を使用)とスキャナーからのすべてのトラフィックに対する別のルール(2 つのルール)を無視します。



機能

NSP UDS エディターは NOT 演算をサポートしていますか?
いいえ。UDS エディターは NOT 演算をサポートしていません。 Sensor のパターン マッチング アクセラレーター ハードウェアは、NOT 式で指定する文字列以外のすべての文字列で文字列一致を実行する必要があります。
マカフィーでは、このタイプの検索は、パフォーマンスに重大な問題を引き起こす可能性があり、効率的なソリューションではないため、実行しないことをお勧めします。


ワイルドカード文字の検索は UDS エディターでサポートされていますか?
いいえ。検索でワイルドカードのみを使用すると、データベースからすべてのレコードが取得されるため、これはサポートされていません。


NSP をホスティングしているサーバーで DCOM サービスを無効にすることはできますか?
はい。DCOM は、NSP Manager の実行に影響を与えずにオフにすることができます。 DCOM サービスの無効化と他のプログラムやサービスへの影響については、http://support.microsoft.com/default.aspx?kbid=825750 を参照してください。


UDS エディターを使用して単一のスペース文字をどのように検出しますか?
式の中の単一のスペース(xyz xyz など)を検出する必要がある場合は、xyz xyz と入力して文字列検索を実行できます。単一のスペースまたは非常に短い文字列を検索すると、パフォーマンスの問題を引き起こし誤検出を引き起こす可能性があるため、お勧めしません。


Sensor の同じインターフェース ペアで、ファイバー GBIC と銅線 GBIC をインラインで使用できますか?
いいえ。同じインターフェース ペア上で異なる GBIC を使用することはできません。


Sensor は、異なる SFP+ モジュール(SR&LR ファイバー接続)の 2 つの接続で構成される EtherChannel をサポートできますか?
はい。Sensor はこれらの接続で構成された EtherChannel をサポートできます。


MySQL からのエラー コードをチェックするにはどうしたらいいですか?
MySQL では、perror コマンドを使って生成されたエラー コードを確認することができます。コマンドライン セッションを開きます(スタートファイル名を指定して実行 の順にクリックし、CMD と入力して OK をクリック)mysql\bin ディレクトリから perror <エラー コード> を入力して Enter を押します。例:perror 28 エラーコード 28:デバイス上にスペースが残っていません。


NSP Manager または Sensor は、アラート フィルターの内部または外部アドレスをどのように定義しますか?
内部または外部アドレスは、設定されたモードに従って定義されます。

  • TAP/INLINE モード:ポート構成の下で、どちらのポートが内側にあり、どちらが外側にあるかを指定します。アラート フィルターは、同じ指定方法を使用してそれぞれ内部または外部を定義します。
  • SPAN モード:SPAN の内部/外部を検出してマークするには、CIDR ベースの VIDS を設定する必要があります。CIDR ベースの VIDS がない場合、Sensor はパケットを未知のものとしてマークします。

双方向 DoS アラートにパケット レート タブが表示されないのはなぜですか?
次の理由により、統計的な DoS アラートが双方向に分類されている場合は、パケット レート タブは表示されません。
  • これらの統計的アラートには、複数のパケット タイプが含まれます。
  • 2 つの方向間のパケット フローの量は異なります。


Threat Analyzer の攻撃結果のステータスで、「成功」(Successful)と「成功の可能性」(Maybe Successful)の違いは何ですか?
攻撃が成功したかどうかを判断するために、NSP は攻撃の検出と検出後の両方をカバーします。 NSP は、ワイヤ上に見られる応答に基づいて攻撃が成功したかどうかを識別します。

成功 攻撃が成功
成功の可能性 不明な結果、NSP は、攻撃が成功したがどうか判断できない


Sensor は RJ-45 ポートの外部銅線バイパス スイッチの設定をサポートしていますか?
はい。現在、次の Sensor モデルでポートがフェールクローズ モードに設定されている場合、外部銅線バイパス スイッチを RJ-45 ポートに設定できます。
  • NS9300
  • NS9200
  • NS9100
  • M-2950
  • M-2850
  • M-1450
  • M-1250
フェールクローズ モードを設定するには、次の手順を実行します。
  1. Manager で、デバイス リストSensor 名物理 Sensorポート設定 を選択します。
  2. モニタリング ポートでは、設定する番号つきのポートを選択します。
    現在のポート設定を表示する モニタリング ポートの設定 ウィンドウが表示されます。
  3. 操作モード ドロップダウンリストで、インライン フェールクローズ(ポート ペア)を選択します。

    注:外部銅線バイパス スイッチのステータスは、Manager に表示されません。同様に、Sensor の CLI から show intfport コマンドを実行すると、ステータスは表示されません。
Network Security Platform は、Akamai などのコンテンツ配信ネットワークからのトラフィックの True-Client-IP アドレスを特定できますか?
はい。X-Forward-for(XFF)オプションを有効にすることで、Network Security Sensor は True-Client-IP に基づく攻撃を検出してブロックできます。
注:この機能は HTTP のみに適用されます。


NSP は SHA-2 署名付き証明書に埋め込まれた秘密鍵の使用をサポートしていますか?
はい。SHA-2 の署名付き証明書がサポートされています。 受信 SSL デコード機能は、サーバー証明書の生データ照合のみを実行し、証明書は検証しません。したがって、NSP は SHA-2 署名付き証明書に埋め込まれた秘密鍵を使用して解読できます。


clrstat コマンドを実行して Sensor の統計情報をクリアした後、show sensor-load コマンドを実行すると、Sensor を通過するトラフィックがほとんどない場合でも Sensor 負荷によって 90% などの非常に高い値が表示されます。なぜですか?
これは設計上の仕様です。Sensor の負荷を計算するために使用されるカウンタは、clrstat によってクリアされます。 Sensor に最新のカウンタを生成させ、正確な負荷を反映させるには、約 20 〜 30 秒待ってから再度 show sensor-load を実行します。


TIE/DXL 統合はすべての Sensor モデルでサポートされていますか?
いいえ。これらの機能は NS シリーズ Sensor でのみサポートされています。


コマンドライン(CLI)から Sensor 電源装置(PSU)のシリアル番号を取得できますか?
いいえ。現在、Sensor のシリアル番号を一覧表示するコマンドはありません。


MD5 ファイル ハッシュを NSP にアップロードしてファイルをブロックできますか?
はい。これは NSP 固有の機能であり、カスタム攻撃定義を作成する必要はありません。 NSP Sensor は、ハッシュのブラックリストとホワイトリストの両方を保持し、マルウェア ポリシーによって指示されたときに HTTP、SMTP、および FTP フローから抽出されたファイルに適用します。 ハッシュ値をインポートする方法については、ご使用のリリースの IPS 管理ガイドの 高度なマルウェアポリシー の章を参照してください。


Sensor 応答ポートを使用して Sensor を NTBA アプライアンスに接続できますか?
いいえ。応答ポートをモニター ポートとして使用することはできません。


NSP は Skype トラフィックをブロックできますか?
NSP は現在 Skype トラフィックをブロックしていません。ただし、将来のリリースにはこの機能が含まれます。


NSP は高度なマルウェア ポリシーのファイル タイプをどのように決定しますか?
NSP は、コンテンツ タイプ、ファイル拡張子、ファイル プロパティ、およびマカフィー独自の技術の組み合わせを使用します。


Sensor ポートからネットワーク ケーブルのプラグを抜くと、ポートは無効になり、Manager を介して再度有効にする必要があります。これは正しいですか?
はい。これは設計上の仕様です。Sensor はポートのエラーの原因を認識しないため、無効とマークされ、リンク障害が解決された後でポートを再度有効にすることができます。
Sensor がポートを自動的に起動しようとすると、ネットワーク フラップが発生し、問題が解決されずにポートが起動され、失敗した後、再び有効になります。


この動作を変更できますか?
パッシブ フェールオープン キット(外部または内蔵)が使用されている場合、この動作を変更できます。
詳細は、ご使用のリリースの CLI ガイドの setfailopencfg restore-inline コマンドに関する情報を参照してください。


攻撃パケットが Sensor によってブロックされると、NSP が X-Forward-For(XFF)ヘッダー情報を取得しないのはなぜですか?
NSP センサーが攻撃パケットをブロックすると、転送されたレイヤー 7 情報は表示されません。 これは設計上によるものです。


カスタム UDS を作成すると、この UDS は他のすべての署名の上に配置されますか、それとも他のすべての署名の最後に配置されますか?
カスタム UDS は、攻撃/シグネチャの定義を支援し、すべての攻撃のリストに追加されます。ただし、ファイアウォールの ACL ルールとは異なり、攻撃の検出の順序はありません。


フェイルオーバー(FOR)アプライアンスをスペアに変換できますか?
いいえ、できません。FO モデルを標準モデルにアップグレードすることはできますが、FO モデルをスペアにダウングレードすることはできません。 詳細は販売代理店にお問い合わせください。


攻撃元の上位 10 か国レポートでは、エントリの 1 つに AP というタイトルがあります。これは何を表していますか?
これは、特定の攻撃元の国がわからない場合に使用されます。 詳細は、http://dev.maxmind.com/geoip/legacy/codes/iso3166/ を参照してください。


フェールオーバー Sensor がアクティブ - アクティブな設定で機能しますか? また、アクティブ - スタンバイで機能して、ハートビートでフェールオーバー動作をトリガできますか?
NSP Sensor は常にアクティブ - アクティブです。 フェイルオーバー ケーブルは、各センサーからのトラフィックを常に他の Sensor にコピーします。 これにより、障害が発生した場合でも常にトラフィックが流れます。


Sensor はトラフィックをルーティングしますか?
いいえ。Sensor はトラフィックのルーティング/フェイルオーバーには関与しません。これは、ネットワークのスイッチング/ルーティング アーキテクチャによってすべて実行されます。

NSP はスキャンのために PNG、JPG またはその他の画像タイプのファイルを ATD に送信できますか?
NSP はフローから画像ファイルを抽出できません。 これらのファイルは、NSP が抽出して ATD に送信する zip ファイルの一部である場合がありますが、NSP はスタンドアロンの画像ファイルを抽出しません。

目次に戻る


共有秘密鍵

どのような条件のときに、再インポートを使用して SSL キーを Manager にインポートしますか?
Manager にすでに存在するキーを再度インポートする場合にのみ再インポートを使用してください。SSL アップデートがまだ Sensor にプッシュされていない場合は、Manager で既存のキーを置き換えるために、再インポートを何度も使用することができます。 再インポートを使用して古い SSL キーを新しいキーで置き換えしないでください。


古い SSL キーを Sensor から手動で削除した後に新しい SSL キーをインポートするのは、正しい更新手順ですか?
はい。 新しい SSL キーを Manager にインポートし、古い SSL キーが削除された後に SSL アップデートを Sensor にプッシュすることをお勧めします。


Manager から新しい SSL キーをインポート/再インポートして Sensor にプッシュした後、Sensor を再起動する必要はありますか?
Sensor の再起動は、Sensor で SSL 機能を有効または無効にする場合にのみ必要です。 SSL キーのインポート/再インポート後には再起動の必要はありません。


SSL キーを交換した後で、Alert Manager で「SSL:状態遷移アラートが不正(0x00006000)」と表示されるのはなぜですか?
新しい SSL 証明書が Sensor にプッシュされているときにアクティブな HTTP フローがある場合、Alert Manager にこれらのアラートが表示されます。 この現象が続く場合は、テクニカルサポートに連絡し、SSL キーのインポート/更新の実行中および実行後のパケット キャプチャを送信してください。


Alert Manager で「SSL:状態遷移アラートが不正(0x00006000)」と表示されるのはなぜですか?これは誤検知ですか?
KB55743 で説明されているように、指定されたアラートのエビデンス レポートを収集し、証拠レポートで生成されたパケット ログを Wireshark などのパケット収集ツールで開き、使用されている TLS/SSL バージョンを確認します。 NSP Sensor は、現在 TLS v1.1 および v1.2 をサポートしていないため、このアラートをトリガーします。 このトラフィックを無視する攻撃フィルターを作成するか、サポートされているバージョンの SSL/TLS(SSLv2、SSLv3、TLSv1.0)を使用してください。

Sharedsecretkey コマンドで設定した共有秘密鍵のサイズ制限はありますか?
NSP 共有秘密鍵は、8 ~ 25 文字で入力する必要があります。 鍵は感嘆符で開始したりスペースを入れることはできません。

目次に戻る

NSP および GTI

GTI とは何ですか?
GTI は、グローバルな脅威相関エンジンであり、世界中のメッセージングおよび通信動作の情報ベースであり、すべての脅威の領域で既知と新規の両方の電子的脅威からお客様を保護することができます。


GTI はどのポートを使用しますか?
説明
プロトコル
イニシエーター
送信元ポート
宛先ポート
参加情報を送信する場合 
TCP
Manager
ランダム
HTTPS/443
説明
プロトコル
イニシエーター
送信元ポート
宛先ポート
宛先アドレス
マカフィー IP レピュテーション クエリーを送信する場合
TCP
Manager および/または Sensor
ランダム
HTTPS/443
tunnel.web.trustedsource.org
マカフィー ファイル レピュテーション クエリーを送信する場合 UDP Sensor ランダム DNS/53 avqs.mcafee.com

注:
  • IP レピュテーションは、以前 TrustedSource と呼ばれていました。
  • ファイル レピュテーションは、以前 Artemis と呼ばれていました。

GTI クエリで Sensor はどのような情報を使用しますか?
接続 5 タプル(送信元 IP、宛先 IP、送信元ポート、宛先ポート、およびプロトコル)です。


GTI クエリで NSP Manager はどのような情報を使用しますか?
5 タプルと利用可能な追加の攻撃情報は次のとおりです。攻撃名、攻撃時間、カテゴリ、カウント、宛先 OS、検出メカニズム、攻撃方向、マルウェア URL、NSP 攻撃 ID、結果、シグネチャ ID、送信元 OS、サブカテゴリ、および攻撃のタイプ。

注:送信される内容の詳細については、Manager の GTI 参加ページを参照してください。設定統合GTI 参加 を選択します。
GTI クエリーはどこに送信されますか?
Sensor は、mcafee.com に特殊な DNS クエリーを実行します。 Manager のクエリーの宛先は次のアドレスです:https://tunnel.web.trustedsource.org
特定のサイトやアドレスのレピュテーションはどうすればわかりますか?
www.trustedsource.org で利用可能な検索ツールを使用してください。
検索したアドレスで異なる評判を示しているのはなぜですか?
GTI は、特定の接続のレピュテーションを決定するためにさまざまな要素を使用します。 ポート 80 または 8080 への接続の場合、Web レピュテーションが使用されます。 ポート 25 への接続の場合、メール レピュテーションが使用されます。 他のすべてのポートでは、Web とメールのレピュテーションが組み合わされた IP レピュテーションが使用され、より多くのデータが収集されるため、時間が経つとユニークな値になります。
マカフィーは、特定の IP アドレスのレピュテーションを調整することができますか?
www.trustedsource.org でクエリーを実行した後、脅威のフィードバックのオプションがあります。このフォームを使用してレビューをリクエストしてください。 また、特定の IP のレビューを電子メールで要求することもできます。 Web レピュテーションについては、sites@mcafee.com までお問い合せください。ネットワークとメールのレピュテーションについては、trusign-feedback@mcafee.com までお問い合せください。IP アドレス、ポート、および使用されているトラフィックの種類を必ず含めてください。
GTI に関する詳しい情報はどこにありますか?
ご使用の製品バージョンの Network Security Platform 統合ガイド または www.trustedsource.org を参照してください。


NSP Sensor は、検出されたすべてのトラフィックに対して GTI IP 検索を実行しますか?
デフォルトでは実行しません。 エンドポイント レピュテーション分析を有効にすると、すべてのトラフィックに対して GTI 検索を実行するように Sensor を設定できます。
注:現在 NSP は、スマート ブロッキング接続制限機能で IP レピュテーション情報を活用することができます。 NSP には現在、IP レピュテーションでコールバックを検出する機能がありません。


さらに分析するために、NSP 内の GTI によって検出されたファイルを開くことができません。これはなぜですか? GTI が検出したファイルを開くにはどうすれば良いですか?
これらのファイルは、GUI 経由でエクスポートされた場合でも暗号化されています。 MalwareDecrypter.bat ユーティリティを使用して復号化する必要があります。このユーティリティは以下の場所にあります。 

<NSM_INSTALL_DIR>/diag/MalwareUtil/MalwareDecrypter.bat

注:パラメーターなしでファイルを実行すると、使用可能なオプションが表示されます。
ファイルの復号化に関する詳細情報はどこで参照できますか?
Network Security Platform Manager管理ガイド の「マルウェア ファイルのアーカイブ」セクション、およびご使用の製品バージョンの Network Security Platform IPS管理ガイド の MalwareDecryptor ユーティリティに関する情報を参照してください。
攻撃対象
VU922681(ユニバーサル プラグ アンド プレイ libupnp SSDP 要求のリモートコード実行)で NSP IPS シグネチャにより脆弱性が検出されていますか?
はい。VU922681 は次の攻撃の対象となります:0x47a00100 "UPnP:一般的なバッファー オーバーフロー"

目次に戻る

NSP および NAC

デフォルトの ID ベースのアクセス コントロール ポリシーはいつ NSP で使用されますか?
デフォルトの ID ベースのアクセス コントロール(IBAC)ポリシーは、IBAC が NSP で設定されている場合、次のシナリオで使用されます。
  • 問題のユーザー名が他の定義済みの(デフォルト以外の)IBAC ポリシーと一致しない場合。
  • 特殊なケースでは、Sensor と Manager の間の接続が失われた場合。


NSP の NACと802.11Q の実装は何ですか?
NSP 上の NAC の現在の実装は、NAC モニタリング ポートに見られる複数の VLAN からのトラフィックに基づいて NAC をサポートします。 Sensor NAC モニタリング ポートは 1 つの VLAN で設定されています。ただし、ローカルのインフラストラクチャでは、Sensor NAC モニタリング ポート上の VLAN と、NAC モニタリングまたは強制が必要なホストがある他のすべての VLAN 間で、VLAN 間通信(VLAN 間ルーティング)をサポートする必要があります。


NSP NAC Implicitly Trusted Hosts とは何ですか?
次の IP アドレスは、Network Security Sensor による NAC の強制から自動的に除外されます。

  • Sensor のモニタリング ポートの IP
  • Sensor 管理ポートの IP
  • NSM IP(MDR モードの場合、両方の Managers が追加されます)
  • McAfee NAC サーバー IP
  • Guest Client Portal の IP
  • 修復ポータルの IP
  • VPN コンセントレータの IP

NSP DHCP NAC モードでは、どの DHCP サーバーの実装がサポートされているますか?
NSP が DHCP NAC モードで動作するように設定されている場合、DHCP サーバー実装のアプローチには 2 種類の方法があります。

  • 統合DHCPサーバ
    この実装では、単一の DHCP サーバーが、正常なホストと正常ではないホストに IP アドレスを割り当てます。 DHCP サーバーはユーザー クラスで構成され、DHCP ディスカバリ パケットのユーザー クラス フィールドに基づいて IP アドレスを割り当てます。 各ユーザー クラスには、DNS IP、デフォルト ゲートウェイ、スタティック ルートなど、ユーザー クラスに固有のパラメーターを定義できます。 実稼働、隔離、未認証のネットワークの各ユーザー クラスは、それぞれ独自の IP プールとパラメータで定義できます。
  • 独立 DHCP サーバー
    この方法では、正常な(実稼働用 IP プール)ホストと正常でない(未認証および隔離)ホスト用に 2 つの別個の DHCP サーバーが構成されます。 各 DHCP サーバーには独立した設定情報があります。 1 つは正常なホスト用で、もう 1 つは正常ではないホスト用です。
目次に戻る

異種のシグネチャ セット

異種のシグネチャ セット(sigset)とは何ですか?
古いバージョンの NSP では、Sensor と同じバージョンの NSM ソフトウェア(8.x、7.x)を実行する必要がありました。 Sensor ソフトウェアの複数ポイント バージョンを管理していた場合は、各ポイント バージョンの Sensor ソフトウェアに別々の NSM が必要でした。 この問題を解決するために、マカフィーは以前のバージョンの Sensor ソフトウェアを管理する機能を NSM に追加しました。 たとえば、NSM 8.3 では、ソフトウェア 8.x および 7.x がインストールされた Sensor を管理できます。 この機能をサポートするために、マカフィーでは Sensor ソフトウェアの各バージョンのすべてのシグネチャを含む異種のシグネチャ セットを開発しました。

異種のシグネチャ セットは、単一の統一された sigset 内のメジャー バージョン リリースのすべてを含むフォーマットです。 管理者は、Manager が Sensor の制御に使用する単一の sigset をダウンロードして適用します。

NSM 7.x 以降では、異種の sigset のみを受け入れ、同種の(シングル バージョン)sigset はサポートしません。


すべての sigset が異種対応になりますか?
マカフィーは、同種の sigset のリリースを停止しましたか?
はい。 マカフィーは同種 sigset のリリースを停止し、すべての sigset は現在異種です。


異機の sigset には何が含まれていますか? ナンバリング スキームはどのようになっていますか? また、sigset 番号からどのような詳細情報が得られますか?
異種の sigset は、新しい統一フォーマットの 2 つ以上の個別メジャー バージョン sigset を含みます。 ナンバリング スキームは次のとおりです:sigset W.X.Y.Z、ここで
  • W はサポートされている Sensor ソフトウェアの最も新しいリリースを示します。
  • X はサポートされている Sensor ソフトウェアの最も古いリリースを示します。
  • Y は sigset のリリース バージョン番号を示します。
  • Z はビルド バージョンを示します。

    たとえば、sigset 8.7.1.1は、この sigset が 8.x および 7.x Sensor をサポートしていることを意味します。
マカフィーでは異種の sigset をどのようにテストしていますか?
マカフィーには、異種の sigset をテストして、すべての Sensor ソフトウェア バージョンとの互換性を保証する包括的なテスト方法があります。 マカフィーは、通常の sigset で実行されるすべてのテストに加え、追加のテスト ケースを実行して、異種の sigset が複数の Sensor ソフトウェア バージョンが使用される異種環境で正常に動作することを保証します。


異種の sigset を使用するには Manager の設定を変更する必要がありますか?
いいえ。


メジャー リリース(例:7.x8.x)ごとに異なる異種の sigset 存在しますか?
現在サポートされているすべての Sensor バージョンのすべてのシグネチャを含む異種の sigset が 1 つのみ存在します。 (たとえば、8.7.1.1 はバージョン 8.x および 7.x を実行するすべての Sensor をサポートします)。

目次に戻る


影響のない Sensor の再起動
影響のない Sensor の再起動とは何ですか?
NSP は現在、影響のない再起動とアップグレードをサポートしています。 これにより、Sensor の再起動に要する時間が短縮され、トラフィックの中断を防ぐことができます。


影響のない再起動はどのように動作しますか?
影響のない再起動は、Sensor 上のプロセスを選択して再起動します。 Sensor がレイヤー 2 パススルー モードに移行し、データパスがトラフィックを通過し続ける間に再起動します。 Sensor 全体が停止しないため、再起動時間も大幅に短縮されます。


影響のない再起動はどのような条件下で行われますか?
内部エラーから回復する必要がある場合、Sensor は常に影響のない再起動を試みます。 Sensor コマンドラインまたは NSM から影響のない再起動を開始することもできます。 影響のない再起動が不可能な場合は、Manager に通知が送信され、フルリブートが発生します。


すべての Sensor のアップグレードが影響のないアップグレードになりますか?
これは、Sensor ソフトウェアの変更に完全再起動が必要かどうかによって異なります。 Sensor のアップグレードが完了すると、ソフトウェアのバージョンによっては、影響のない再起動のオプションが表示されます。


影響のない再起動の限界は何ですか?
ソフトウェアコードに内部スイッチまたはカーネル レベルの変更がある場合、アップグレードで影響のない再起動はサポートされません。 また、Sensor が内部エラーから回復できず、15 分以内に 3 回の自動回復試行が行われた場合、次回の自動回復試行で Sensor はレイヤー 2 に残るか、完全に再起動するために停止します。


影響のない再起動の失敗の一般的な原因にはどのようなものがありますか?
Sensor 上のデータ パスが初期化に失敗した場合、および準備完了ステータスが報告されない場合、影響のない再起動は失敗します。

高度なマルウェア検出

FTP ファイル転送をブロックできますか?
いいえ、Sensor は FTP ファイル転送を常時ブロックすることはできません。FTP の場合、ブロックはベスト エフォート ベースで実行されます。これは、FTP プロトコルの制限によるものです。

FTP 転送ではファイル サイズ情報を使用できないため、Sensor は転送が完了したことを確実に認識することができません。
Sensor がサイズを判別できる唯一の方法は、データ接続が終了したとき(TCP FIN が受信されたとき)です。 ただし、これはファイルが既に転送が完了したことを意味します。

Threat Analyzer の攻撃結果に関係なく、FTP ファイル転送ではブロックはサポートされていません。 これは問題とはみなされませんが、FTP プロトコルのために制限があります。 Sensor は引き続きファイルを抽出し、マルウェアを分析してアラートを生成します。

目次に戻る


Network Security Platform 8.3
NSM 8.3 で Real-time Threat Analyzer を有効にする方法は?
NSM 8.3 以降では、Real-time Threat Analyzer が Threat Explorer に置き換えられました。 Real-time Threat Analyzer を有効にする必要がある場合は、次の手順を実行します。
  1. Managerサーバーで、Windowsエクスプローラを使用して次の場所に移動します。C:\Program Files\McAfee\Network Security Manager\App\config
    注:NSM を別の場所にインストールした場合、このパスは異なる場合があります。
  2. ems.properties ファイルを探し、Windows メモ帳を使用して開きます。
  3. 以下のエントリを追加します。

    iv.ui.ta.display.isEnabled=true
  4. ファイルを保存して、NSM サービスを再起動します。

NSM 8.3 ではどの Sensor モデルがサポートされていますか? また NSM 8.3 ではどの Sensor モデルがシグネチャ セットの配備をサポートしていますか?
NSM 8.3 は、最新のシグネチャ セグメントをサポートし、M シリーズNS シリーズ、および VM シリーズ Sensor に自動的に配備することができます。
注:I シリーズ Sensor はサポートされておらずEOL となっています。


以前にエクスポートされた無視ルールをインポートするにはどうすればよいですか?
この機能は NSM 8.3 で更新され、無視ルールをインポートする手順が以前のバージョンから変更されました。 以前にエクスポートした無視ルールを NSM 8.3 にインポートするには、ポリシーIntrusion Prevention詳細ポリシーのインポート無視ルール の順に選択します。


以前にエクスポートされたカスタム攻撃をインポートするにはどうすればよいですか?
この機能は NSM 8.3 で更新されました。以前にエクスポートしたカスタム攻撃をインポートするには、ポリシーポリシー タイプIPS ポリシーカスタム攻撃その他のアクションインポート の順に選択します。


NSM 8.3 にアップグレードした後、攻撃ログに古いアラートは表示されません。古いアラートはどうすれば表示できますか?
追加のスクリプトを実行する警告プロンプトが表示された場合(これは、データベースでアラートが 100 万回を超えた場合に発生します)、Network Security Platform 8.3 インストール ガイドPD26343)の「追加スクリプトの実行」セクションに記載されているスクリプトを実行します。これを実行しないと、古い攻撃ログは表示されません。
警告データが超過しても警告が表示されない場合や、攻撃ログを表示する際に問題が発生した場合は、テクニカルサポートのケースを開いて問題を解決するための支援を得てください。
 

免責事項

この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。

このドキュメントを評価する