Loading...

Perguntas frequentes sobre o Network Security Platform
Artigos técnicos ID:   KB75269
Última modificação:  03/08/2017
Classificação:


Ambiente

McAfee Network Security Platform (NSP) 8.x

Resumo

Conteúdo
Geral Informações sobre o produto e tópicos variados
Compatibilidade Interação entre outros produtos e software
Instalação/upgrade Informações sobre instalação, upgrade, migração e remoção
Configuração Inclui práticas recomendadas, otimização, configuração e personalização
Funcionalidade Recursos e funções do produto
Chave secreta compartilhada Perguntas comuns sobre a Chave secreta compartilhada e SSL, incluindo renovação da chave SSL
NSP e GTI Perguntas comuns sobre funcionalidade e interação do NSP e do GTI (Global Threat Intelligence)
Cobertura de ataque Informações sobre cobertura para ataques específicos
NSP e NAC Perguntas e respostas sobre o trabalho em conjunto do NSP e NAC (Network Access Control)
Conjunto de assinaturas heterogêneo Informações sobre o conjunto de assinaturas heterogêneo
Reinicialização do sensor sem impacto Um recurso que reduz o impacto dos ciclos do Sensor
Detecção de malware avançado Perguntas relacionadas à detecção de malware avançado
Network Security Platform 8.3 Perguntas sobre os recursos adicionados no NSP 8.3


Geral

Com que frequência o Sensor e o Manager trocam informações para verificar se o Sensor está funcionando?
O intervalo de sondagem geralmente é a cada dois minutos. No entanto, quando o EMS detecta uma falha, o intervalo de sondagem é reduzido para a cada 30 segundos. Isso é feito para evitar problemas como a perda de pacote que causa um alerta de falha. Se o Sensor continuar inacessível após 10 minutos, a frequência de sondagem será revertida para seu valor normal de dois minutos.

 
Qual a quantidade de transferência de dados gerada por essa sondagem?
A sondagem é realizada por meio de um pacote UDP SNMP e quatro variáveis MIB são sondadas. Toda a carga da solicitação do aplicativo SNMP gira em torno de 100 bytes.

 
Quanto tempo possivelmente leva para que o Manager sinalize um Sensor como desconectado na Integridade do sistema?
Como a sondagem inicial é feita a cada dois minutos e o tempo limite normal é de 60 segundos, o melhor caso para indicação de uma falha seria de 60 segundos, embora possa ser de 180 segundos (120 + 60).


O Kit de falha-abre executa Auto-MDIX?
Não. Essa é uma função do recurso Auto-MDIX do McAfee SFP instalada no Sensor.


O Kit de falha-abre de cobre funciona igual aos Kits de falha-abre de Desvio óptico monomodo (SM) e multimodo (MM)?
O Kit FO (switch de desvio de fibra) não cruza os pares TX/RX. Consulte o Guia rápido do Kit de desvio de falha-abre óptico de gigabit para sua versão do Sensor/Software de sensor. Esse guia inclui um diagrama para a instalação correta e instalação adicional, bem como detalhes de conectividade.

 
Depois de alterar o modo de um Kit de desvio AFO (Active Fail-Open - Falha-abre ativo) de cobre 10/100/1000 de inline para TAP, a AFO é desligada e religada. Na reinicialização, o modo TAP foi desativado. Por quê?
A AFO está se comportando conforme o planejado. As configurações do modo TAP não são salvas para a AFO. Quando a AFO entra no ciclo de energia, a configuração padrão, Modo TAP desativado, é restaurada. Isso é normal.


O alerta ARP: MAC Address Flip-Flop (ARP: flip-flop do endereço MAC) é exibido apenas no nível de interface CIDR; por que esse alerta não mostra o nome da subinterface?
A pesquisa baseada em CIDR para suporte à subinterface é realizada apenas para pacotes IPv4 (PTYPE = 0x800). Como o ARP não pertence a essa categoria, somente a classificação de interface baseada no nível de porta e VLAN será registrada para pacotes ARP. Esse é o comportamento esperado.


Por que os arquivos de log do Sensor são criptografados?
Os arquivos de log do Sensor foram basicamente projetados para registrar em log informações que o Suporte técnico e as equipes de desenvolvimento precisam para solucionar problemas, conforme a necessidade. Como o público principal desses arquivos é interno para a McAfee, os arquivos, às vezes, podem conter detalhes que são de natureza interna ou patenteada. Portanto, eles devem ser criptografados. O NSP fornece todos os eventos críticos que você precisa conhecer ao usar os comandos da interface de linha de comando do Sensor. A McAfee incentiva o envio de PERs para qualquer informação de que você necessite, mas que não esteja atualmente disponível. Essas solicitações são consolidadas em versões de manutenção subsequentes do NSP.


O NSP compensa a latência de rede durante a sincronização de hora?
Não. O NSP não é compensado para solucionar problemas de latência de rede durante a sincronização de hora.

Se houver um atraso na rede de 100 milissegundos entre o Sensor e o Manager, a hora do Sensor estará 100 milissegundos mais atrasada do que a hora atual no Manager. O Sensor tem um relógio interno que obtém sua configuração de hora do Manager para que ele e o Manager se mantenham sincronizados. Se o Sensor perder a conexão com o Manager, o relógio interno atualizará periodicamente a hora no Sensor. O atraso de hora entre o Sensor e o Manager seria o atraso da latência de rede entre esse Sensor específico e o Manager. Podem existir atrasos mais longos ou mais curtos entre o Manager e outros Sensores distribuídos.

O Sensor grava a hora em sua própria memória flash porque não tem um relógio de backup de bateria. No caso de queda de energia, quando o Sensor é reinicializado e volta a ficar online, existe a possibilidade de que o Sensor não seja capaz de se conectar imediatamente a seu Manager associado. Nesse caso, o Sensor usará a última hora que salvou na memória flash. Essa é a única ocasião em que o Sensor recupera a hora da memória flash. Do contrário, a hora salva na memória flash não teria relevância.


Como o Sensor trata o tráfego para hosts que foram colocados em quarentena?
O recurso Quarentena do IPS permite que o Sensor coloque em quarentena hosts fora de conformidade enquanto fornece acesso à correção. Com a Quarentena do IPS ativado, quando um ataque é detectado em uma porta de monitoramento inline do Sensor, o Sensor criará uma regra de quarentena para o endereço IP de origem do host apenas se o host não estiver listado na lista de exclusão NAC. O Sensor nunca bloqueará o tráfego de hosts na lista de exclusão NAC. Se o host não estiver na lista de exclusão NAC, ele será colocado na tabela de quarentena por um período especificado.

O Sensor verifica todo o tráfego que passa pelas portas em relação à tabela de quarentena e bloqueia todos os pacotes enviados dos hosts em quarentena. Isso impede que hosts fora de conformidade prejudiquem outros sistemas na rede. Você pode configurar uma Zona de acesso à rede do IPS com endereços IP específicos que o host tem permissão de acessar enquanto ele está em quarentena (por exemplo, o portal de correção ou servidor DNS). Isso permite que o host em quarentena acesse materiais de correção sem comprometer a segurança geral da rede. Um host pode ser adicionado à tabela de quarentena com a correspondência de uma política NAC ou de uma assinatura que tenha a opção de resposta de quarentena ativada.


Quando o NSM é instalado com dois Managers configurados no MDR (Manager Disaster Recovery - Recuperação de desastres do Manager), ambos os Managers devem ser atualizados com dados de alerta do Sensor. Como os Sensores se comunicam com o NSM para atualizar as informações de alerta?
O Sensor tenta enviar alertas aos dois NSMs em uma configuração MDR. Se o alerta foi enviado com êxito a um NSM, você poderá remover o alerta do buffer do Sensor. Se o Sensor não puder enviar o alerta a nenhum dos NSMs, ele será salvo no buffer do Sensor. Os Managers sincronizam seus bancos de dados um com o outro para atualizar todos os alertas que talvez não tenham sido recebidos no outro Manager quando eles se comunicam na próxima vez. Cada alerta é marcado com atributos exclusivos para ajudar na sincronização entre os Managers.


Em que os recursos Quarentena do IPS e ACL (Access Control List - Lista de controle de acesso) no NSP são diferentes?

  • As regras de quarentena do IPS são processadas independentemente das regras de ACL e avaliadas antes delas.
  • Uma regra de quarentena do IPS descarta todo o tráfego de um IP de origem, enquanto uma regra de ACL pode ser mais específica para o tipo de tráfego que é descartado.
  • As regras de quarentena do IPS são criadas dinamicamente. Você deve adicionar regras de ACL explicitamente quando cria uma política.
  • É possível remover dinamicamente as regras de quarentena do IPS após um período predefinido. É preciso remover regras de ACL explicitamente por meio de uma atualização de política.


Como os ataques de rede de bots são exibidos no Threat Analyzer?
Quando o tráfego é encontrado, os endereços são observados em relação ao arquivo DAT da rede de bots para determinar se um IP ou nome de domínio é um endereço de rede de bots conhecido.

Se os dados forem correspondidos, um alerta será disparado e o IP ou domínio do C&C (Command and Control - Comando e controle) será marcado como um atacante. O endereço do atacante será colocado na coluna de IP da origem dentro do Threat Analyzer. O endereço do host que está se conectando ao endereço C&C será rotulado como uma vítima. A vítima aparecerá na coluna de IP do destino no Threat Analyzer.

A direção do fluxo é baseada em quem iniciou a conexão e indicará se o fluxo inicial era de entrada ou saída.


Por que as configurações de ação do Manager são ativadas imediatamente sem uma atualização de configuração?
Quando um administrador do sistema muda as configurações de qualquer ação para o Manager (como o Reconhecimento automático, SNMP, e Syslog) no Editor de políticas, uma atualização de configuração é necessária. No entanto, essas configurações são ativadas imediatamente sem ela. Esse comportamento ocorre conforme projetado. O design atual do NSP rastreia alterações de configuração na granularidade da política e todas as alterações na política indicam que um envio por push do arquivo de assinatura é necessário para o Sensor. Esforços consideráveis foram feitos no NSP para melhorar a atualização do arquivo de assinatura para o Sensor com a introdução da atualização incremental e do armazenamento em cache. O plano atual é se concentrar no aprimoramento da eficiência do envio por push do arquivo de assinatura, e não em rastrear alterações de política em uma granularidade mais alta.

Itens imediatamente ativados Gravidade do ataque*; Notificações; E-mail, Script, Reconhecimento automático, Pager, SNMP, Syslog
Itens necessários para atualização da configuração Gravidade do ataque*; Ações do Sensor; Registro em log

*As alterações na Gravidade do ataque são usadas pelo Manager e pelo Sensor. A parte do Manager, como as alterações na gravidade, mostrada no Threat Analyzer, entram em vigor imediatamente. A parte do Sensor, como para o NAC, exige uma atualização do Sensor.


Por que os alertas de Informações e Baixos não são mostrados no RTTA (Real Time Threat Analyzer)?
Isso é normal. Use o Historical Threat Analyzer para exibir alertas de Informações e Baixos. 


Posso configurar ataques para serem bloqueados no Editor de políticas, então, por que o Sensor envia um alerta ao Manager mesmo se a opção "Send Alert to the Manager" (Enviar alerta ao Manager) estiver desmarcada para o ataque?
Isso é normal. Como o ataque é bloqueado, o Sensor envia o alerta independentemente da configuração Send alert to the Manager (Enviar alerta ao Manager), de modo que o administrador é notificado sobre qual Sensor bloqueou o ataque.


No RTTA, a seção DoS Analysis (Análise do Dos) da tela de detalhes para os alertas Volume muito alto do pacote UDP de entrada/saída mostra a Faixa de IP do DoS e As 3 principais faixas de IP de ataque. Por que às vezes essa seção está em branco, isto é, sem exibir informações da Faixa de IP?
Isso é normal. Quando o Sensor visualiza o ataque, ele inicia imediatamente a coleta do endereço IP. O Sensor aguarda um período antes de gerar o alerta para reportar também as informações do endereço IP. No entanto, se o ataque parar imediatamente depois, o Sensor não obterá quaisquer informações do endereço IP e gerará um alerta sem o endereço IP.


Quais são as configurações padrão para meu Sensor NSP ou outro hardware?
Hardware Taxa de baud Dados Paridade Parada Controle do fluxo Usuário padrão Senha padrão Porta SSH
Série I 9600 8 nenhuma 1 nenhum administrador admin123 22
Série M 38400 8 nenhuma 1 nenhum administrador admin123 22
Série N 38400 8 nenhuma 1 nenhum administrador admin123 22
Série NS 115200 8 nenhuma 1 nenhum administrador admin123 22
NTBA 9600 8 nenhuma 1 nenhum administrador admin123 22
XC240 115200 8 nenhuma 1 nenhum administrador admin123 22
Kit AFO 19200 8 nenhuma 1 nenhum McAfee McAfee  


Por que o cookie SYN não funciona quando há tráfego de MPLS na rede?
O cookie SYN não pode ser suportado no tráfego de MPLS porque o NSP não sabe qual Marca MPLS usar na direção de retorno quando o proxy do Sensor responde aos pacotes SYN.

 
O Sensor impedirá um SYN flood (ataque SYN) quando você ativar o cookie SYN em um Sensor, onde uma porta está configurada na extensão para ver o tráfego de MPLS e a outra é configurada inline e não vê o tráfego de MPLS?
Sim. O cookie SYN continuará funcionando para o tráfego normal no par de portas inline.

 
É possível usar o cookie SYN se eu usar uma marca VLAN no tráfego? Por exemplo, se todo o tráfego contiver uma marca VLAN e o Sensor visualizar apenas o tráfego de uma VLAN, mas não receber tráfego de qualquer outra VLAN, o cookie SYN continuará funcionando ou a marca VLAN não deve estar presente no tráfego inline para que o cookie SYN funcione?
O cookie SYN funciona para o tráfego marcado pela VLAN. Mesmo uma combinação de tráfego marcado por VLAN e não VLAN funcionará. Haverá algumas restrições se os pacotes forem retornados pela mesma interface novamente.


Quando as interfaces do Sensor forem configuradas como Inline, haverá alguma conversa paralela entre as portas quando o tráfego passar pelo Sensor?
Não. O Sensor não realiza nenhuma troca nem roteamento do tráfego. As duas interfaces que são agrupadas como um par de interfaces (1A/1B, 2A/2B, e assim por diante) são vinculadas uma a outra de maneira fixa. O tráfego de entrada em uma interface (por exemplo, 1A) pode deixar o Sensor apenas na interface correspondente (por exemplo, 1B) do par. Esse é um fator de design fundamental no software do Sensor e, uma vez que o Sensor não toma decisões de roteamento nem troca, não há suporte no Sensor para encaminhamento de pacotes a qualquer outra interface no dispositivo.


Pode a soma total de todo o tráfego, de Entrada e Saída, em qualquer determinada instância no tempo ser maior que os recursos de inspeção em um determinado Sensor (por exemplo, o desempenho do IPS no NS9100 é 10 Gbps)?
Não. Os recursos de inspeção serão comuns/compartilhados com todas as portas do Sensor.  São esses recursos de inspeção que determinam a capacidade classificada do Sensor.


Como posso forçar/alterar a detecção de DOS do Sensor no modo de aprendizado?
Selecione Denial of Service (Negação de serviço), Data Management (Gerenciamento de dados) e Rebuild DoS Profile (Recriar perfil de DoS) (iniciar o aprendizado do zero).


Qual é a diferença entre“Ataque de correlação de reconhecimento” e “Ataque de assinatura de reconhecimento”? Ambos os ataques de reconhecimento fazem parte da “Política padrão de reconhecimento”?
Isso depende da versão do NSP/NSM que estiver sendo usada. Na 8.1 e anteriores, as políticas de IPS e de reconhecimento são usadas. As políticas de IPS contêm ataques baseados em assinatura e as políticas de reconhecimento contêm ataques baseados em correlação. No entanto, da versão 8.2 em diante, as políticas de reconhecimento não existem mais e ambos os ataques de reconhecimento, baseados em assinatura e correlação, são encontrados nas políticas de IPS.
Para diferenciá-los no editor de políticas do IPS, a McAfee introduziu Categorias de ataque específicas (Reconhecimento de ataque de correlação e Reconhecimento de ataque de assinatura) para cada um.


O consumo máximo de energia do Sensor NS7x00 é de 250 W; por que a PSU fornecida é classificada em 650 W?
A McAfee usa essa PSU de 650 W devido aos requisitos de fator forma para os appliances da série NS7x00.


O navegador da Web de um host colocado em quarentena manualmente não exibe uma mensagem nem recomendações sobre a quarentena, assim como não oferece um redirecionamento para o portal de correção. Por que não?
Quando você configura um Sensor para exibir uma mensagem de navegador em um cliente em quarentena ou para redirecioná-lo a um portal de correção, ele é implementado apenas para hosts colocados em quarentena automaticamente pelo Sensor. Isso é normal. Quando um usuário coloca um host do Threat Analyzer em quarentena manualmente, nem a mensagem de navegador nem o portal de correção são oferecidos, e a única ação executada é a colocação do host na zona de quarentena correspondente.

Voltar ao conteúdo

 

Compatibilidade

Quais XFPs são suportados em Sensores da série M?
Somente os seguintes XFPs são suportados em Sensores da série M:

  • IAC-1550-CG1 (XFP de Alcance estendido, Modo único, 1550nm)
  • IAC-1310-CG1 (XFP de Longo alcance, Modo único, 1310nm)
  • IAC-X850-CG1 (XFP de Alcance curto, Modo múltiplo, 850nm)

IMPORTANTE: XFPs de terceiros não são suportados.


Um dongle falha-fecha é necessário para configurar as portas de monitoramento nos Sensores M-1250 e M-1450 no modo falha-fecha ou SPAN?  
Não. Diferentemente dos Sensores da série I, você não precisa colocar dongles falha-fecha nas portas de monitoramento dos Sensores M-1250 e M-1450, mesmo no modo SPAN ou falha-fecha. A funcionalidade do dongle agora está incorporada nas próprias portas de monitoramento.


Por que não posso acessar o NSM de um dispositivo móvel cujo idioma não seja o inglês?
O NSM não funcionará corretamente se você o acessar de um dispositivo móvel em outro idioma, pois somente dispositivos definidos para o idioma inglês são suportados. Para acessar o Manager, altere a configuração de idioma do sistema operacional para Inglês.


A qual versão do Nessus o NSM dá suporte?
Os relatórios do Nessus gerados usando os mecanismos de varredura do Nessus 4 e Nessus 5.x são importados com êxito no NSM. Se o relatório gerado contiver IPs de host como FQDNs (Fully Qualified Domain Names - Nomes de domínio totalmente qualificados) ou nomes NetBIOS, o NSM não poderá resolver os IPs de host do destino no relatório, assim como não poderá importar as vulnerabilidades desses hosts para o banco de dados do Manager. Um relatório do Nessus 4 ou Nessus 5.x no formato .nessus, contendo endereços IP válidos de host com pontos, será importado com êxito para o banco de dados do Manager.


Por que o Sensor não pode detectar ataques quando o tráfego é encapsulado em PPPoE? 
O PPPoE não é suportado. Todos os pacotes encapsulados em PPPoE são encaminhados pelo Sensor sem qualquer detecção. Isso é normal.


Quando o NSM é configurado para distribuir automaticamente os conjuntos de assinaturas baixados a todos os dispositivos, a distribuição automática funciona para Sensores NSP, mas não para Sensores NTBA (Network Threat Behavior Analysis). Por quê?
A distribuição automática para NTBA é suportada no NSM 8.1 e posterior. Para implementar a distribuição automática, faça upgrade para o NSM 8.1.3.6 ou posterior.


A análise GTP é suportada em Sensores da série M?
Não. A análise GTP é suportada apenas em Sensores da série NS.

 
O NSP pode inspecionar ataques de detecção de tráfego encapsulados por GRE usando esse protocolo? 
O NSP pode inspecionar ataques de detecção e tráfego encapsulados por GRE. No entanto, esse recurso deve ser ativado, pois a configuração padrão do Sensor é não inspecionar o tráfego em túnel GRE.

 
O NSP dá suporte à varredura do novo protocolo HTTP/2 (HTTP 2.0)?
Atualmente, o NSP não dá suporte ao HTTP/2. No entanto, o suporte está agendado para uma versão futura do NSP.


Quando um switch de rede dá suporte ao AutoMDI/MDI-X, um Sensor pode usar o AutoMDI/MDI-X para estabelecer um link entre o switch e o Sensor?
Sim. No entanto, o AutoMDI/MDI-X não funcionará corretamente se a Autonegociação estiver desativada na porta do Sensor.  É preciso ativar a Autonegociação na porta do Sensor antes de configurar o link entre o switch e o Sensor usando o AutoMDI/MDI-X.

Voltar ao conteúdo

 

Instalação/upgrade

Posso realizar uma instalação do software do appliance NSM usando o software RMM do appliance?
Não. Usar o DVD de instalação do appliance NSM por meio do software RMM do appliance não é suportado. Ao tentar usar o DVD de instalação do appliance NSM por meio do software RMM Intel fornecido com o appliance, os resultados gerados podem ser inesperados ou indesejáveis. A interface da mídia de instalação deve ser acessada por meio de um teclado e um mouse conectados diretamente ao servidor no local do servidor.

Posso agregar ou combinar várias licenças do NSM em uma única instalação? Por exemplo, se eu tiver uma licença padrão, posso comprar um pacote starter para abranger 8 dispositivos gerenciados? 
Não, pois as licenças do NSM não são cumulativas. Para gerenciar mais de 6 Sensores de um único NSM, você deve comprar uma licença Global do NSM.


Depois de fazer upgrade do Manager, vejo um processo de atualização do Sensor que não foi acionado manualmente. Os sensores não mostram nenhum download ativo quando o comando downloadstatus é executado e o Conjunto de assinaturas está presente no Manager. Se eu reinicializar o Manager, o processo de atualização será reiniciado após um período, o Ems.log não mostrará nenhum envio por push claro e o log Sudit não mostrará qualquer atividade do usuário de enviar por push uma configuração atualizada aos Sensores. Qual é a causa desse processo de atualização?
Após um upgrade do Manager, o NSM compila o Conjunto de assinaturas mais recente e o envia por push automaticamente aos Sensores.

NOTA: essa atualização falhará se os Sensores já tiverem o Conjunto de assinaturas mais recente.
 
Voltar ao conteúdo



Configuração

Posso executar um par de failover do Sensor com as portas do monitor no modo SPAN?
Não. Você pode criar um par de failover somente quando as portas do monitor forem colocadas no modo inline. Depois de criar o par, não será possível alterar nem modificar o modo da porta.


Quais políticas de Controle de acesso baseado em identidade não podem ser excluídas do NSM?
Não é possível excluir as seguintes políticas, mas você pode editar as respectivas configurações para especificar se a Integridade do sistema será considerada ao conceder acesso à rede e o nível real de acesso a ser concedido:

  • Padrão
  • Usuário convidado
  • Registro automático

Posso criar uma regra de desvio e não adicionar nenhum nome de ataque?
Não. As regras de desvio devem ter um nome de ataque, pois o Sensor não consegue entender esse tipo de filtro de alerta. 


Como posso excluir um endereço IP específico da inspeção?
Adicione uma regra de firewall com a ação definida como Stateless Ignore (Sem estado Ignorar). Isso encaminhará todos os pacotes que corresponderem à regra sem executar qualquer inspeção, exceto a pesquisa/correspondência da regra de encaminhamento .


Posso implementar a Alta disponibilidade ativo-ativo usando os Sensores do NSP?
O Sensor é sempre de Alta disponibilidade ativo-ativo; trata-se de dispositivos de rede pares que determinam se o Sensor está sendo usado como ativo-passivo (um caminho de rede é bloqueado) ou ativo-ativo.


Como bloqueio TOR e variantes de TOR?
A McAfee recomenda o uso de política de firewall para criar Regras de acesso a fim de definir aspectos/objetos para bloqueio, permissão ou não inspeção. Nos objetos da Regra existente, há vários aplicativos TOR e variantes de TOR já definidos. Você pode criar seu próprio Grupo de aplicativos com eles e qualquer OUTRO aplicativo P2P que não queira permitir.

Use esse grupo de aplicativos com suas configurações de origem/destino para interromper a maioria das conexões TOR e variantes.


Crio regras de desvio para ignorar ataques de Reconhecimento (varreduras de mecanismos de varredura de vulnerabilidades) com a rede interna como origem (atacante) e qualquer um como destino. No entanto, ainda vejo alertas no RTTA. Por quê? 
Usar Regras de desvio é a maneira incorreta de abordar mecanismos de varredura de vulnerabilidades. Em vez disso, adicione uma Regra de acesso à Política de firewall para ignorar todo o tráfego (use Stateless Ignore) para o Mecanismo de varredura de vulnerabilidades e outra regra para todo o tráfego do mecanismo de varredura (duas regras).



Funcionalidade

O UDS Editor do NSP dá suporte à operação NOT?
Não. O UDS Editor não dá suporte à operação NOT. O hardware de aceleração de correspondência padrão do Sensor teria que executar a correspondência de cadeia em todas as cadeias que não fossem a especificada com a expressão NOT.
A McAfee recomenda não realizar esse tipo de pesquisa porque ela pode causar graves problemas de desempenho, além de não ser uma solução eficaz.


O UDS Editor dá suporte à pesquisa de caractere curinga?
Não. Isso não é possível porque o uso de apenas um caractere curinga em uma pesquisa poderia recuperar todos os registros do banco de dados.


O serviço DCOM pode ser desativado no servidor que hospeda o NSP?
Sim. O DCOM pode ser desativado sem afetar a execução do o Manager do NSP. Para obter informações sobre como desativar o serviço DCOM e as implicações em outros programas e serviços, acesse https://support.microsoft.com/pt-br/help/825750/how-to-disable-dcom-support-in-windows.


Como você detecta um único caractere de espaço usando o UDS Editor?
Se precisar detectar um único espaço em uma expressão (por exemplo, xyz xyz), você poderá realizar a pesquisa de cadeia digitando xyz xyz. A McAfee recomenda não pesquisar apenas por um único espaço ou cadeias muito curtas, pois isso pode gerar problemas de desempenho e falsos positivos.


Posso usar um GBIC de fibra e um GBIC de cobre inline no mesmo par de interfaces do Sensor?
Não. Não é possível usar diferentes GBICs no mesmo par de interfaces.


O Sensor pode dar suporte a um canal Etherchannel composto por duas conexões de diferentes módulos SFP+ (conexões de fibra SR e LR)?
Sim, o Sensor pode dar suporte a um Etherchannel com essas conexões.


Como verifico os códigos de erro do MySQL?
No MySQL, você pode verificar os códigos de erro gerados usando o comando perror. Abra uma sessão de linha de comando (clique em Iniciar, Executar, digite CMD e clique em OK). No diretório mysql\bin, digite o comando perror <código de erro> e pressione ENTER. Por exemplo, perror 28 Error code 28: No space left on device (perror 28 Código de erro 28: Não espaço disponível no dispositivo).


Como o Manager ou Sensor do NSP define endereços internos ou externos para filtros de alerta?
Os endereços internos ou externos são definidos de acordo com o modo configurado:

  • Modo TAP/INLINE: na configuração da porta, especifique qual porta está dentro e qual está fora. Os filtros de alerta usam as mesmas especificações para definir interno ou externo, respectivamente.
  • Modo SPAN: para detectar e marcar interno/externo para SPAN, o usuário deve configurar VIDS com base no CIDR. Se não houver VIDS com base no CIDR, o Sensor marcará os pacotes como desconhecidos.

Por que Alertas de DoS bidirecionais não incluem uma guia Taxa de pacote?
A guia Taxa de pacote não está presente para Alertas de DoS estatísticos categorizados como bidirecionais porque:
  • Esses alertas estatísticos envolvem mais de um tipo de pacote.
  • O volume do pacote que flui nas duas direções é diferente.


Qual é a diferença entre Successful (Bem-sucedido) e Maybe Successful (Talvez bem-sucedido) no Attack Result Status (Status do resultado do ataque) do Threat Analyzer?
Para determinar se um ataque foi bem-sucedido ou não, o NSP cobre os aspectos de detecção e pós-detecção do ataque. O NSP identifica se o ataque foi bem-sucedido com base nas respostas vistas na rede:

Successful (Bem-sucedido) O ataque foi bem-sucedido
Maybe Successful (Talvez bem-sucedido) Resultados desconhecidos; o NSP não pode determinar se o ataque foi bem-sucedido ou não


O Sensor dá suporte à configuração de switch de desvio de cobre nas portas RJ-45?
Sim. Atualmente, o switch de desvio de cobre externo pode ser configurado nas portas RJ-45, desde que a porta esteja configurada para o modo falha-fecha nos seguintes modelos de Sensor:
  • NS9300
  • NS9200
  • NS9100
  • M-2950
  • M-2850
  • M-1450
  • M-1250
Use as seguintes etapas para configurar o modo falha-fecha:
  1. No Manager, selecione Device List (Lista de dispositivos), Sensor Name (Nome do sensor), Physical Sensor (Sensor físico), Port Settings (Configurações de porta).
  2. Nas portas de monitoramento, selecione a porta numerada a ser configurada.
    Você vê a janela Configure Monitoring Port (Configurar porta de monitoramento) exibindo as configurações de porta atuais.
  3. Na lista suspensa Modo de operação, selecione In-line Fail-Closed(Port Pair) (Falha-fecha inline[par de portas]).

    NOTA: o status do switch de desvio de cobre externo não é exibido no Manager. De modo semelhante, o status não será exibido com a execução do comando show intfport na interface de linha de comando do Sensor.
O Network Security Platform pode identificar o endereço IP de cliente verdadeiro na Rede de entrega de conteúdo como o Akamai?
Sim. Ao ativar as opções XFF (X-forwarded-for), o Network Security Sensor pode detectar e bloquear ataques com base no IP de cliente verdadeiro.
NOTA: essa funcionalidade se aplica somente para HTTP.


O NSP dá suporte ao uso de chave privada incorporada no certificado assinado SHA-2?  
Sim. Os certificados assinados SHA-2 são suportados. O recurso de descriptografia SSL de entrada executa apenas uma correspondência de dados brutos do certificado de servidor e não valida o certificado; portanto, o NSP pode descriptografar usando as chaves privadas incorporadas no certificado assinado SHA-2.


Quando você executa o comando clrstat para limpar as estatísticas do Sensor e, em seguida, executa o comando show sensor-load, Sensor-load lista uma valor muito alto, como 90%, mesmo quando quase não há tráfego passando pelo Sensor. Por quê? 
Isso é normal. Os contadores usados para calcular a carga no Sensor são limpos pelo comando clrstat. Para permitir que o Sensor gere contadores atualizados e a carga precisa seja refletida, aguarde cerca de 20 a 30 segundos e execute show sensor-load novamente.


A integração TIE/DXL é suportada em todos os modelos de Sensor?
Não. Esses recursos são suportados apenas em Sensores da série NS.
 

Posso obter o número de série da fonte de alimentação (PSU) do Sensor da linha de comando (CLI)?
Não. Atualmente, não há comando que liste o número de série do Sensor.


Posso bloquear arquivos fazendo upload de hashes do arquivo MD5 no NSP?
Sim. Esse é um recurso inerente ao NSP e não exige a criação de uma definição de ataque personalizada. O Sensor do NSP mantém uma lista negra e uma lista branca de hashes e os aplica aos arquivos extraídos de fluxos HTTP, SMTP e FTP quando instruído pela política de malware. Para obter instruções sobre como importar um valor de hash, consulte o capítulo Políticas de malware avançado do Guia de administração da sua versão.


Posso usar uma porta de resposta do Sensor para conectar o Sensor ao meu NTBA Appliance?
Não. Não é possível usar a porta de resposta como uma porta de monitor.


O NSP pode bloquear o tráfego do Skype?
Atualmente, o NSP não bloqueia o tráfego do Skype. No entanto, uma versão futura conterá essa funcionalidade.


Como o NSP determina o tipo de arquivo para a Política de malware avançado?
O NSP usa uma combinação de tipo de conteúdo, extensão de arquivo, propriedades de arquivo e tecnologia patenteada da McAfee.


Depois de desconectar o cabo de rede de uma porta do Sensor, a porta é desativada e deve ser reativada por meio do Manager. Isso está correto?
Sim. Isso é normal. Como o Sensor não sabe o motivo para a "falha" da porta, ela é marcada como desativada e, depois que a falha de link é resolvida, você pode reativar a porta.
Se o Sensor tentou trazer a porta de volta automaticamente, você poderá sentir uma oscilação na rede, a porta será reavivada, falhará e será reativada sem o problema subjacente que está sendo resolvido.


Posso modificar esse comportamento?
Você poderá modificar esse comportamento se houver um kit de falha-abre passivo em uso (externo ou interno).
Para obter outras informações, consulte as informações do comando setfailopencfg restore-inline no guia da interface de linha de comando da sua versão.


Quando um pacote de ataques é bloqueado pelo Sensor, por que o NSP não recupera suas informações de cabeçalho XFF (X-Forwarded-For)?
Quando o Sensor do NSP bloqueia um pacote de ataques, ele não pode exibir as informações da Camada 7 encaminhada. Isso é normal.


Se eu criar um UDS personalizado, ele será colocado acima de todas as outras assinaturas ou estará no fim de todas as outras assinaturas?
Um UDS personalizado auxilia com a definição de ataque/assinatura e é adicionado à lista de todos os ataques. Entretanto, não há ordem para a detecção de ataque, diferentemente das regras de ACL de firewall.


Posso converter um appliance FO (Failover) em um Sobressalente?
Não, isso não é possível. Você pode fazer upgrade de um modelo FO para um modelo Padrão, mas não pode fazer downgrade de um modelo FO para um Sobressalente. Para obter mais informações, fale com seu contato de vendas.
 

No relatório Os 10 principais países de origem de ataques, uma das entradas é intitulada AP — o que isso significa?
Isso é usado quando o país específico de origem não é conhecido. Para obter outras informações, consulte http://dev.maxmind.com/geoip/legacy/codes/iso3166/


O Sensor de failover pode funcionar em uma configuração ativa-ativa ou ele funciona no modo ativo-em espera com a pulsação disparando a ação de failover?
Os Sensores do NSP estão sempre no modo ativo-ativo; o cabo de failover copia todo o tráfego de cada Sensor para o outro continuamente. Isso permite que o tráfego sempre flua, mesmo no caso de uma falha.


Os Sensores roteiam o tráfego?
Não, os Sensores não participam do roteamento/failover de tráfego, isso é realizado inteiramente pela arquitetura de troca/roteamento de rede.

O NSP pode enviar arquivos PNG, JPG ou outros arquivos de tipo de imagem ao ATD para varredura?
O NSP não pode extrair arquivos de imagem dos fluxos. Esses arquivos podem fazer parte de um arquivo zip que o NSP extrai e envia ao ATD. No entanto, o NSP não extrai arquivos de imagem independentes.

Voltar ao conteúdo


Chave secreta compartilhada

 

Sob quais condições uso a reimportação para importar chaves SSL no Manager?
Use Reimportar quando você reimporta uma chave que já existe no Manager. É possível usar Reimportar várias vezes para substituir a chave existente no Manager quando as atualizações de SSL ainda não foram enviadas por push ao Sensor. Não use Reimportar para substituir uma chave SSL antiga por uma nova chave.


O procedimento de renovação correto é excluir a chave SSL antiga do Sensor e importar uma nova chave SSL após a exclusão manual?
Sim. A McAfee recomenda importar a nova chave SSL para o Manager e, em seguida, enviar por push a atualização de SSL ao Sensor depois que a chave SSL antiga tiver sido excluída.


É necessária uma reinicialização do Sensor depois que uma nova chave SSL tiver sido importada/reimportada e enviada por push do Manager ao Sensor?
Uma reinicialização do Sensor será necessária somente se você ativar ou desativar a funcionalidade de SSL no Sensor. Ela não é necessária após importação/reimportação das chaves SSL.


Por que vejo 'SSL: Bad State Transition alerts(0x00006000)' (SSL: alertas de transição em estado inválido [0x00006000]) no Alert Manager depois que uma chave SSL é substituída?
Você poderá ver esses alertas no Alert Manager se houver fluxos HTTP ativos quando o novo certificado SSL estiver sendo enviado por push ao Sensor. Contate o Suporte técnico se esse comportamento persistir e envie capturas do pacote durante e após a importação/renovação da chave SSL.

 
Por que vejo 'SSL: Bad State Transition alerts(0x00006000)' (SSL: alertas de transição em estado inválido [0x00006000]) no Alert Manager? É uma detecção de falso positivo? 
Colete relatórios de evidência dos alertas fornecidos, conforme explicado no artigo KB55743, em seguida, abra o log de pacotes gerado nesses relatórios com um sniffer de pacote, como o Wireshark, e verifique a versão de TLS/SSL usada. Atualmente, os Sensores não dão suporte ao TLS v1.1 e v1.2 e dispararão esse alerta. Crie um filtro de ataque para ignorar esse tráfego ou use uma versão suportada do SSL/TLS (SSLv2, SSLv3, TLSv1.0).
 

Há um limite de tamanho para a Chave secreta compartilhada quando definido por meio do comando Sharedsecretkey?
A Chave secreta compartilhada do NSP deve ter um mínimo de 8 caracteres e um máximo de 25 caracteres. A chave não pode começar com um ponto de exclamação nem ter espaços.

Voltar ao conteúdo
 

NSP e GTI

O que é GTI?
GTI é um mecanismo de correlação de ameaça global e uma base de inteligência de comportamento global de mensagens e comunicação, que permite a proteção de clientes contra ameaças eletrônicas conhecidas e emergentes em todas as áreas de ameaça.


Quais portas o GTI usa?
 
Descrição
Protocolo
Iniciador
Porta de origem
Porta de destino
Para envio de informações de participação 
TCP
Manager
Aleatória
HTTPS/443
 
 
Descrição
Protocolo
Iniciador
Porta de origem
Porta de destino
Endereço de destino
Para envio de consultas de Reputação de IP da McAfee
TCP
Manager e/ou Sensor
Aleatória
HTTPS/443
tunnel.web.trustedsource.org
Para envio de consultas de Reputação de arquivo da McAfee  UDP Sensor Aleatória DNS/53 avqs.mcafee.com

NOTAS:
  • Antigamente, a Reputação de IP era chamada de TrustedSource.
  • Antigamente, a Reputação de arquivo era chamada de Artemis.

Quais informações o Sensor usa em uma consulta do GTI?
As 5 tuplas de conexão (IP de origem, IP de destino, porta de origem, porta de destino e protocolo).


Quais informações o Manager do NSP usa em uma consulta do GTI?
A 5 tuplas e todas as informações adicionais de ataque que possam estar disponíveis: Nome do ataque, Hora do ataque, Categoria, Contagem, Sistema operacional de destino, Mecanismo de detecção, Direção do ataque, URL do malware, ID de ataque do NSP, Resultado, ID da assinatura, Sistema operacional de origem, Subcategoria e Tipo de ataque.

NOTA: consulte a página de participação do GTI no Manager para obter uma visão detalhada do que é enviado. Selecione Configurar, Integração, GTI Participation (Participação do GTI).
 
Onde estão as consultas do GTI enviadas?
O Sensor executa uma consulta especializada de DNS em mcafee.com. As consultas do Manager são dirigidas para https://tunnel.web.trustedsource.org.
 
 
Como posso ver qual reputação um site ou endereço específico tem?
Use a ferramenta de pesquisa disponível em www.trustedsource.org.
 
 
Por que o endereço que procuro está mostrando uma reputação diferente?
O GTI usa muitos fatores para determinar a reputação de uma conexão específica. Se a conexão for na porta 80 ou 8080, a reputação na Web será usada. Se a conexão for na porta 25, a reputação de e-mail será usada. Todas as outras portas usam a reputação de IP, que pode ser uma combinação da reputação na Web e de e-mail, e que ao longo do tempo terá um valor exclusivo, à medida que mais dados forem coletados.
 
 
A McAfee pode ajustar a reputação em um endereço IP específico?
Após realização de uma consulta em www.trustedsource.org, há uma opção para fazer comentários sobre a ameaça. Use esse formulário para solicitar revisão. Se preferir, você pode solicitar uma revisão para um IP específico por e-mail. Para reputações na Web, entre em contato pelo e-mail sites@mcafee.com. Para reputações de rede e e-mail, entre em contato pelo e-mail trusign-feedback@mcafee.com. Sempre inclua o endereço IP, a porta e o tipo de tráfego estava sendo usado.
 
Onde posso encontrar mais informações sobre o GTI?
Consulte o Guia de integração do Network Security Platform para a versão do seu produto ou acesse www.trustedsource.org


O Sensor do NSP realiza uma pesquisa de IP no GTI para todo o tráfego que ele vê?
Não por padrão. Você pode configurar o Sensor para realizar uma pesquisa no GTI para todo o tráfego ativando o recurso Análise de reputação do ponto de extremidade.
 
 
NOTA: Atualmente, o NSP pode aproveitar as informações de reputação de IP com os recursos Bloqueio inteligente e Limitação de conexão. No momento, o NSP não tem a capacidade de detectar retorno de chamada com reputação de IP.


Não consigo abrir um arquivo detectado pelo GTI no NSP para análise detalhada. Por que isso e como posso abrir arquivos condenados pelo GTI?
Esses arquivos são criptografados, mesmo quando exportados por meio da GUI. Você deve usar o utilitário MalwareDecrypter.bat para descriptografá-los. O local do arquivo para esse utilitário é: 

<NSM_INSTALL_DIR>/diag/MalwareUtil/MalwareDecrypter.bat

NOTA: se você executar o arquivo sem parâmetros, ele exibirá as opções disponíveis.
 
 
Onde posso encontrar mais informações sobre descriptografia de arquivos?
Consulte as informações sobre o utilitário MalwareDecryptor na seção "Arquivar arquivos de malware" do Guia de administração do Network Security Platform e o Guia de administração de IPS do Network Security Platform para a versão do seu produto.
Cobertura de ataque
A vulnerabilidade é descrita na VU922681 (SSDP libupnp de Universal Plug and Play solicita execução remota de código) detectada pelas assinaturas de IPS do NSP ?
Sim. A VU922681 é coberta pelo ataque: 0x47a00100 “UPnP: estouro de buffer genérico”.

Voltar ao conteúdo
 

NSP e NAC

Quando a política padrão de Controle de acesso baseado em identidade é usada no NSP?
A política IBAC (Identity Based Access Control - Controle de acesso baseado em identidade) é usada nas seguintes situações quando o IBAC é configurado no NSP:
  • Quando o nome de usuário em questão não corresponde a nenhuma outra política IBAC (não padrão) definida.
  • Em um caso especial se a conectividade entre o Sensor e o Manager for perdida.
     


O que é NAC e implementação 802.11Q no NSP?
A implementação atual do NAC no NSP dá suporte ao NAC no tráfego de várias VLANs vistas na porta de monitoramento NAC. A porta de monitoramento NAC do Sensor é configurada com uma VLAN. No entanto, a infraestrutura local deve dar suporte a comunicação Inter-VLANs (Roteamento Inter-VLANs) entre a VLAN na porta de monitoramento NAC do Sensor e todas as outras VLANs que tenham hosts que exigem monitoramento ou imposição de NAC.


Quais são os hosts implicitamente confiáveis do NAC no NSP?
Os seguintes endereços IP são excluídos automaticamente da imposição do NAC pelo Network Security Sensor:

  • IP da porta de monitoramento do Sensor
  • IP da porta de gerenciamento do Sensor
  • IP do NSM (se no modo MDR, ambos os Managers forem adicionados)
  • IP do servidor NAC da McAfee
  • IP do portal do cliente convidado
  • IP do portal de correção
  • IP do concentrador de VPN
     

Quais implementações do servidor DHCP são suportadas pelo modo NAC DHCP do NSP?
Há dois tipos de abordagem de implementação do servidor DHCP disponíveis quando o NSP é configurado para operar no modo NAC DHCP:

  • Servidor DHCP integrado
    Nessa implementação, um único servidor DHCP atribui endereços IP a hosts íntegros e não íntegros. O Servidor DHCP é configurado com classes de usuário e atribui endereços IP com base no campo de classe de usuário no pacote de descoberta do DHCP. Cada classe de usuário pode ter parâmetros definidos que são exclusivos para a classe de usuário, como IP do DNS, gateway padrão e rotas estáticas. As classes de usuário podem ser definidas para a produção, a quarentena e redes de pré-admissão, cada um com seus próprios parâmetros e pool de IPs definidos.
     
  • Servidor DHCP separado
    Com essa abordagem, dois servidores DHCP separados são configurados para os hosts íntegros (pool de IPs de produção) e não íntegros (pré-admissão e quarentena). Cada servidor DHCP terá informações de configuração independentes. Um para os hosts íntegros e outro para hosts não íntegros.
Voltar ao conteúdo
 

Conjunto de assinaturas heterogêneo

O que é um Conjunto de assinaturas (sigset) heterogêneo?
Versões mais antigas do NSP exigiam que você executasse a mesma versão pontual do software NSM (8.x, 7.x) que seu Sensor. Se você gerenciava várias versões pontuais de software do Sensor, precisa de um NSM separado para cada versão pontual de software do Sensor. Para resolver esse problema, a McAfee adicionou ao NSM a funcionalidade de gerenciar versões anteriores de software do Sensor. Por exemplo, o NSM 8.3 pode gerenciar Sensores com o software 8.x e 7.x instalados. Para dar suporte a essa funcionalidade, a McAfee desenvolveu o sigset heterogêneo, que contém todas as assinaturas de cada versão de software do Sensor.

O sigset heterogêneo é um formato que inclui todos os importantes lançamentos de versão em um único sigset unificado. Os administradores baixam e aplicam um único sigset que o Manager usará para controlar qualquer um dos Sensores. 

O NSM 7.x e posterior aceita somente sigsets heterogêneos e não dá suporte a sigsets homogêneos (versão única).


Todos os sigsets serão heterogêneos? 
A McAfee parou de lançar sigsets homogêneos?
Sim. A McAfee parou de lançar sigsets homogêneos; todos agora são heterogêneos.


O que um sigset heterogêneo contém, o que é o esquema de numeração e quais outras informações você pode obter do número do sigset?
O sigset heterogêneo contém dois ou mais sigsets individuais de versão principal em um novo formato unificado. O esquema de numeração é este: sigsetW.X.Y.Z, em que:
  • W indica a versão mais alta suportada de software do Sensor.
  • X indica a versão mais baixa suportada de software do Sensor.
  • Y indica o número de versão da versão do sigset.
  • Z indica a versão da compilação.

    Por exemplo, sigset 8.7.1.1 significa que esse sigset dá suporte aos Sensores 8.x e 7.x .
     
Como a McAfee testa o sigset heterogêneo?
A McAfee tem metodologias abrangentes de teste para testar sigsets heterogêneos, a fim de garantir compatibilidade com todas as versões de software do Sensor. Além de toda a gama de testes que é realizada com sigsets normais, a McAfee executa casos de teste adicionais para garantir que o sigset heterogêneo funcione bem em um ambiente heterogêneo, onde várias versões de software do Sensor são usadas.


Preciso alterar a configuração do Manager para usar o sigset heterogêneo?
Não.


Haverá um sigset heterogêneo diferente para cada versão principal (por exemplo: 7.x, 8.x)?
Haverá apenas um sigset heterogêneo que contém todas as assinaturas para todas as versões do Sensor atualmente suportadas. (Por exemplo, 8.7.1.1 dará suporte a todos os Sensores que executarem as versões 8.x e 7.x)

Voltar ao conteúdo
 


Reinicialização do sensor sem impacto
O que é reinicialização do Sensor sem impacto?
O NSP agora dá suporte à reinicialização e ao upgrade sem impacto. Isso reduz o tempo necessário para a reinicialização de um Sensor e impede a interrupção do tráfego.


Como uma reinicialização sem impacto funciona?
Uma reinicialização sem ênfase reinicia somente processos selecionados no Sensor. O Sensor entra no modo de passagem da Camada 2 e reinicializa enquanto o caminho de dados continua passando o tráfego. O tempo de reinicialização também é consideravelmente reduzido porque o Sensor não é desativado por completo.


Sob quais condições uma reinicialização sem impacto ocorre?
O Sensor sempre tenta fazer uma reinicialização sem impacto se tiver que se recuperar de erros internos. Você também pode iniciar uma reinicialização sem impacto na linha de comando do Sensor ou no NSM. Se uma reinicialização sem impacto não for possível, uma notificação será enviada ao Manager e ocorrerá uma reinicialização completa.


Todos os upgrades do Sensor serão sem impacto?
Isso dependerá da exigência da alteração feita no software do Sensor; que pode exigir uma reinicialização completa. Quando o upgrade do Sensor estiver concluído, você verá a opção para uma reinicialização sem impacto, dependendo da versão do software.


Quais são as limitações de uma reinicialização sem impacto?
A reinicialização sem impacto não é suportada em upgrades quando há uma alteração no nível de kernel ou switch interno no código do software. Além disso, se o Sensor não puder se recuperar de erros internos e forem feitas três tentativas de recuperação automática em um intervalo de 15 minutos, na próxima tentativa de recuperação automática, o Sensor permanecerá na Camada 2 ou será desativado para uma reinicialização completa.


Quais são algumas das causas comuns das falhas de reinicialização sem impacto?
A reinicialização sem impacto falhará se houver falha na inicialização dos caminhos de dados no Sensor e se eles não reportarem o status "pronto".
 
 

Detecção de malware avançado

Uma transferência de arquivo por FTP pode ser bloqueada?
Não, o Sensor não pode bloquear de modo consistente as transferências de arquivos por FTP. No FTP, um bloqueio é realizado na base do melhor esforço e é o resultado de uma limitação no protocolo FTP.

As informações de tamanho do arquivo não estão disponíveis para a transferência por FTP, de modo que o Sensor não sabe com segurança quando a transferência é concluída.
O Sensor só consegue determinar o tamanho quando a conexão de dados é encerrada (FIN de TCP é recebido). No entanto, isso significa que o arquivo já foi transferido.

Independentemente do resultado do ataque no Threat Analyzer, o bloqueio não é suportado nas transferências de arquivo por FTP. Isso não é considerado um problema, mas uma limitação devido ao protocolo FTP. O Sensor ainda vai extrair o arquivo, analisá-lo em busca de malware e gerar alertas.

Voltar ao conteúdo


Network Security Platform 8.3
Como ativo o Real Time Threat Analyzer no NSM 8.3?
No NSM 8.3 e posteriores, o Real-time Threat Analyzer foi substituído pelo Threat Explorer. Se for preciso ativar o Real Time Threat Analyzer, execute as seguintes etapas:
  1. No servidor do Manager, use o Windows Explorer para navegar até: C:\Arquivos de programas\McAfee\Network Security Manager\App\config.
    NOTA: esse caminho poderá ser diferente se você tiver instalado o NSM em outro local.
  2. Localize o arquivo ems.properties e abra-o usando o Bloco de Notas do Windows.
  3. Adicione a seguinte entrada:

    iv.ui.ta.display.isEnabled=true
     
  4. Salve o arquivo e reinicie o serviço do NSM.

Quais modelos de Sensor são suportados pelo NSM 8.3 e quais modelos de Sensor dão suporte à distribuição do conjunto de assinaturas pelo NSM 8.3? 
O NSM 8.3 dá suporte e está apto a distribuir automaticamente os segmentos de assinatura mais recentes aos Sensores da série M, série NS e série VM.
NOTA: os Sensores da série I não são suportados e estão no EOL.


Como importo regras de desvio anteriormente exportadas?
Essa funcionalidade foi atualizada no NSM 8.3 e as etapas para importar regras de desvio foram alteradas em relação às versões anteriores. Para importar regras de desvio anteriormente exportadas para o NSM 8.3, selecione PolíticaIntrusion Prevention (Prevenção de intrusão), Advanced (Avançado), Policy Import (Importação de política), Ignore Rules (Regras de desvio).


Como importo ataques personalizados anteriormente exportados?
Essa funcionalidade foi atualizada no NSM 8.3. Para importar ataques personalizados anteriormente exportados, selecione Policy (Política), Policy Types (Tipos de política), IPS Policies (Políticas de IPS), Custom Attacks (Ataques personalizados), Other Actions (Outras ações), Import (Importar).


Depois que eu fizer upgrade para o NSM 8.3, o log de ataques não exibirá nenhum alerta antigo. Como posso exibir alertas antigos?
Se for exibido um prompt de aviso para executar scripts adicionais (isso acontecerá se o banco de dados ultrapassar um milhão de alertas) quando você estiver executando o upgrade, execute os scripts conforme documentado na seção "Executar scripts adicionais" do Guia de instalação do Network Security Platform 8.3 (PD26343); caso contrário, você não verá os logs de ataques antigos.
 
Se nenhum aviso for exibido sobre o excesso de dados de alerta e/ou você enfrentar problemas na exibição de logs de ataques, abra um caso com o Suporte técnico para obter mais ajuda para resolver o problema.
 
  

Aviso de isenção de responsabilidade

O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.

Classificar este documento