Agregado "está configurando de forma manual la velocidad del puerto de administración compatible con los sensores NS-9500 y NS-7500?"a la sección "hardware".
5 de febrero de 2021
Se ha editado para actualizar los términos, la presentación del vínculo.
19 de octubre de 2020
Se ha agregado "¿por qué el Sensor envía una consulta DNS para resolver www.google.com en la servidor DNS configurada?" en la sección "general".
23 de septiembre de 2020
Cambios secundarios.
3 de julio de 2020
Se ha agregado la siguiente pregunta a la sección de hardware:
"¿Puedo utilizar un cable con un SR SFP+ conexión en un extremo y un LR SFP+ en el otro con el McAfee Sensor? "
Contenido
Haga clic para expandir la sección que desee ver:
¿Qué es el conjunto de firmas de NSP Lite?
El conjunto de firmas NSP Lite es una versión ligera del conjunto de firmas, moderada por los investigadores de McAfee Enterprise. Este conjunto excluye las firmas más antiguas sin exponerle al riesgo de sufrir ataques de día moderno. La exclusión de las firmas antiguas le permite seguir actualizando los sensores con las firmas de ataque más recientes y conservando Sensor memoria un uso relativamente bajo. El primer conjunto de firmas Lite era 9.8.19.102.lite, publicado el 11 de abril de 2018.
La alerta ARP: dirección MAC de orientación horizontal solo se muestra en el nivel de interfaz CIDR. ¿Por qué esta alerta no muestra el nombre de la subinterfaz?
La búsqueda basada en CIDR para la compatibilidad con subinterfaces solo se realiza para paquetes IPv4 (PTYPE = 0x800). Dado que ARP no pertenece a esta categoría, solo se registra la clasificación de la interfaz basada en el nivel de puerto y VLAN para los paquetes ARP. Se espera este comportamiento.
¿Es posible bloquear una transferencia de archivos FTP?
No. El Sensor no puede bloquear de forma coherente las transferencias de archivos FTP. En el caso de FTP, el bloqueo se realiza en función de un mejor esfuerzo y es el resultado de una limitación del protocolo FTP.
La información de tamaño de archivo no está disponible para la transferencia FTP. Por lo tanto, el Sensor no sabe de forma fiable Cuándo finaliza la transferencia.
La única forma en que el Sensor puede determinar el tamaño es cuando finaliza la conexión de datos (se recibe el FIN de TCP). Sin embargo, cuando finaliza la conexión, el archivo ya se ha transferido.
Independientemente del resultado del ataque Threat Analyzer, el bloqueo no es compatible con las transferencias de archivos FTP. Esta falta de compatibilidad es una limitación del protocolo FTP. El Sensor todavía extrae el archivo, lo analiza para malware y genera alertas.
Quiero eliminar y, a continuación, volver a instalar un Sensor en el Network Security Manager (NSM). ¿Puedo mantener la dirección IP antigua, pero cambiar el nombre del Sensor? ¿Qué precauciones se deben tomar antes de volver a agregar el Sensor a la NSM?
Sí. Puede mantener la dirección IP antigua y cambiar el nombre del Sensor. Tras ejecutar la desinstalación en el Sensor, NSM conservará la información de estado y la dirección IP asociadas al nombre de ese Sensor.
Rúbrica Agregar y quitar dispositivos, debe eliminar la entrada antigua del Sensor de NSM antes de volver a agregar la Sensor a la NSM. Al eliminar la entrada anterior, se elimina la información de estado y la dirección IP asociadas con el nombre de la Sensor anterior.
SEÑALARSi no elimina la entrada antigua, se mostrarán problemas. Por ejemplo, el Sensor traza generado bajo la entrada antigua Sensor en la NSM.
Qué ocurre con las alertas cuando el NSM no está disponible o las NSM y NTBA ¿no puede comunicarse? ¿Cuál es la capacidad del registro de alertas en estos casos?
NTBA almacena las alertas si no puede comunicarse con la NSM. NTBA realiza la diferenciación según el tipo de alerta y cualquier alerta generada. Si no se envía correctamente a la NSM, se vuelca en un archivo local del NTBA.
El límite del tamaño del archivo es de 10 MB. Si el tamaño del archivo supera el límite, se eliminan nuevas alertas. Un tamaño medio de alerta es de unos 80 bytes, por lo que el archivo puede contener más de 100.000 alertas.
Existe un proceso de continuidad que lee el archivo y envía la alerta a la NSM. Cuando se crea una copia de seguridad de la conexión con NSM, se envían las alertas y se elimina la entrada del archivo.
La tarea Copia de seguridad de las tareas en ejecución se muestra como "correcto". Sin embargo, si se realiza una copia de seguridad y, a continuación, se restaura la configuración de NSM, la tarea cambia a error. Causa?
Este cambio está diseñado. Al recopilar datos de copia de seguridad (todas las tablas o tablas de auditoría), NSM agrega una entrada de auditoría para backup-in-progress. Cuando se completa la copia de seguridad, NSM marca esta entrada de auditoría como backup-success. No obstante, el archivo de copia de seguridad incluye la entrada de auditoría que todavía está backup-in-progress. Al iniciar, la NSM restaurada marca todas las entradas en curso como error. SEÑALAR Aunque se haya marcado como error, el administrador no tiene un impacto funcional.
¿Garantiza McAfee empresa que el NSP Extraiga la dirección IP correcta de la XFF ¿encabezado en conexiones HTTP con canalización?
No. El NSP no admite la correlación de solicitudes y respuestas al gestionar la canalización HTTP.
¿Por qué el Sensor envía una consulta DNS para resolver www.google.com en la servidor DNS configurada?
El Sensor utiliza esta consulta como comprobación de disponibilidad de la servidor DNS. Esta consulta debe ser correcta para utilizar las funciones relacionadas con DNS.
¿El kit de error de apertura realiza las implementaciones de MDIX automático?
No. Esta acción es una función de la función de MDIX automático del SFP de McAfee Enterprise instalado en el Sensor.
¿Funciona el kit de error de apertura de cobre de la misma forma que los kits de modo único de omisión óptica (SM) y de modo múltiple (MM) FAIL-Open (FO)?
El kit de FO (conmutador de omisión de fibra) no cruza TX/RX pares. Consulte la guía rápida del kit de omisión de apertura de fallos ópticos Gigabit para la versión del software Sensor/Sensor. Esta guía incluye un diagrama para la instalación correcta y otros detalles de instalación y conectividad.
Tras cambiar un modo de omisión de error de apertura (AFO) de juego activo de cobre de 10/100/1000 de modo en línea a TAP, el AFO se recorre. Al reiniciar, se ha desactivado el modo de PUNTEo. Causa?
El AFO se comporta según lo diseñado. La configuración del modo de PUNTEo no se guarda en AFO. Cuando se hace un ciclo de alimentación del AFO, se restaura la configuración predeterminada, desactivar modo desactivado.
¿Qué XFPs son compatibles con los sensores de la serie M?
Solo se admiten los siguientes XFPs en los sensores de la serie M:
IAC-1550-CG1 (alcance extendido, modo único, 1550 nm XFP)
IAC-1310-CG1 (alcance largo, modo único, 1310 nm XFP)
¿Se trata de un dispositivo de protección por error necesario para configurar los puertos de supervisión de los sensores M-1250 y M-1450 en el modo de error de cierre o de expansión?
No. A diferencia de los sensores de la serie I, no tiene que introducir llaves de fallos de cierre en los puertos de supervisión de los sensores M-1250 y M-1450, incluso en el modo de fallo de cierre o de extensión. La funcionalidad del dispositivo de protección se incorpora ahora a los puertos de supervisión.
El consumo máximo de energía del Sensor de NS7x00 es de 250 W; ¿por qué se califica la fuente de alimentación suministrada en 650 W?
McAfee empresa utiliza esta fuente de alimentación 650W debido a los requisitos de factor de forma para los Appliances de la serie NS7x00.
¿Cuál es el estado inicial del vínculo de los puertos M-8000 Sensor interconexión?
El M-8000 tiene tres interconexiones presentes en los sensores principal y secundario:
Sensor principal: XC1 (interfaz de cobre), XC2 (interfaz de 10G) y XC3 (interfaz de la 10G)
Sensor secundario: XC4 (interfaz de cobre), XC5 (interfaz de 10G) y XC6 (interfaz 10G)
Cuando se inicia la Sensor por primera vez, los vínculos XC1 y XC4 están en funcionamiento. Los vínculos XC2, XC5 y XC3 y XC6 están inactivos hasta que se descarga el primer Sigset.
Cuando las interfaces de Sensor están configuradas como en línea, ¿existe algún cruce entre los puertos cuando el tráfico pasa por el Sensor?
No. El Sensor no realiza ningún cambio ni enrutamiento de tráfico. Las dos interfaces que se agrupan como par de interfaz, como 1A/1B o 2A/2B, están enlazadas entre sí de forma fija. El tráfico entrante de una interfaz, por ejemplo, 1A, puede dejar el Sensor solo en la interfaz coincidente, por ejemplo, 1B, del par. Este hecho es un factor de diseño fundamental en el software Sensor. Dado que la Sensor no toma ninguna decisión de enrutamiento o conmutación, no es compatible con la Sensor para reenviar paquetes a ninguna otra interfaz del dispositivo.
¿Puedo utilizar un GBIC de fibra y un GBIC de cobre en línea en el mismo par de interfaces de la Sensor?
No. No puede utilizar distintos GBIC en el mismo par de interfaces.
¿El Sensor es compatible con un EtherChannel compuesto de dos conexiones de módulos SFP + (conexiones de fibra SR y LR)?
Sí. El Sensor puede ser compatible con un EtherChannel compuesto por estas conexiones.
¿El Sensor admite la configuración del interruptor de omisión de cobre externo en los puertos RJ-45?
Sí. Actualmente, el interruptor de omisión de cobre externo se puede configurar en los puertos RJ-45. Sin embargo, siempre que el puerto esté configurado para el modo de error de cierre en los siguientes modelos de Sensor:
NS9300
NS9200
NS9100
M-2950
M-2850
M-1450
M-1250
Siga estos pasos para configurar el modo de error de cierre:
En el Manager, seleccione Lista de dispositivos, Nombre de Sensor, Sensor físico, Configuración del puerto.
Del Supervisión de puertos, seleccione el puerto numerado que desee configurar.
Verá la ventana Configurar puerto de supervisión que muestra la configuración del puerto actual.
En Modo de funcionamiento lista desplegable, seleccione Error en línea: cerrado (par de puertos).
SEÑALAR El estado del interruptor de omisión de cobre externo no se muestra en la Manager. De forma similar, el estado no se muestra al ejecutar la presentación intfport comando desde la CLI de Sensor.
¿Puedo obtener el número de serie de la fuente de alimentación de Sensor (escriba) desde la línea de comandos (CLI)?
No. Actualmente, no hay ningún comando que incluya el número de serie de Sensor.
Después de desconectar el cable de red de un puerto de Sensor, el puerto está desactivado. ¿Es necesario volver a activar el puerto a través de la Manager?
Sí. Este diseño es intencionado. Dado que el Sensor no conoce el motivo del puerto "Failure", se marca como desactivado. Una vez resuelto el fallo del vínculo, puede volver a activar el puerto.
Si el Sensor intentaba activar automáticamente el puerto, podría experimentar una ligera de red. El puerto se desplegará, fallará y se volverá a activar sin que se resuelva el problema subyacente.
¿Puedo cambiar este comportamiento?
Puede cambiar este comportamiento si hay un kit de error de apertura pasivo en uso (externo o integrado).
Para obtener más información, consulte la información sobre la setfailopencfg restore-inline en la guía de CLI para su versión.
¿Puede la Sensor la conmutación en caso de error en una instalación activa/activa o funciona en modo activo-en espera con el latido que activa la acción de conmutación en caso de error?
Los sensores NSP siempre están activos. El cable de conmutación en caso de error siempre copia todo el tráfico de cada Sensor a otro, lo que permite que el tráfico siempre fluya, incluso si se produce un error.
¿Enruta el sensor el tráfico?
No. Los sensores no participan en el enrutamiento ni en la conmutación en caso de error del tráfico. la arquitectura de conmutación y enrutamiento de red lleva a cabo esta acción.
¿Puedo convertir una appliance de conmutación en caso de error en una reserva?
No. Esta acción no es posible. Puede ampliar un modelo de FO a un modelo estándar, pero no puede retroceder un modelo de FO a un repuesto. Para obtener más información, hable con el contacto de ventas.
¿Cuál es la configuración predeterminada de mi Sensor NSP u otro hardware?
Equipos
Velocidad en baudios
Datos
Paridad
Final
Control de flujo
Usuario predeterminado
Contraseña predeterminada
Puerto SSH
Serie M
38400
8
Ninguna
1
Ninguna
admin
admin123
22
N-Series
38400
8
Ninguna
1
Ninguna
admin
admin123
22
NS-Series
115200
8
Ninguna
1
Ninguna
admin
admin123
22
NTBA
9600
8
Ninguna
1
Ninguna
admin
admin123
22
XC240
115200
8
Ninguna
1
Ninguna
admin
admin123
22
Kit de AFO
19200
8
Ninguna
1
Ninguna
McAfee
McAfee
N/D
¿Está activada auto-MDIX para la serie NS RJ-45 para todas las configuraciones de puertos de supervisión?
No. Si ha desactivado la opción de negociación automática en una velocidad de puerto de 10 Mbps o 100 Mbps, no funcionará auto-MDIX. El diseño actual de la interfaz de NIC provoca este problema.
¿Puedo utilizar un cable con una conexión SR SFP + en un extremo y una LR SFP + en la otra con la McAfee Sensor?
Sí. El Sensor admite conexiones a dispositivos del mismo nivel que utilizan estos cables.
¿Está configurando manualmente la velocidad del puerto de administración compatible con los sensores NS-9500 y NS-7500?
No, solo se admite la negociación automática de estos sensores.
¿Qué es hitless Sensor reiniciar?
El NSP admite ahora el reinicio y la ampliación de hitless. Estas funciones reducen el tiempo necesario para que un Sensor se reinicie y se evite la interrupción del tráfico.
¿Cómo funciona un hitless de reinicio?
Un reinicio de hitless se reiniciará únicamente para seleccionar los procesos del Sensor. El Sensor entra en el modo de paso a través de la capa 2 y se reinicia mientras la ruta de datos sigue pasando el tráfico. El tiempo de reinicio también se reduce considerablemente, ya que no se deja de funcionar todo el Sensor.
¿En qué condiciones se produce un reinicio de hitless?
El Sensor siempre prueba un reinicio de hitless si tiene que recuperarse de errores internos. También puede iniciar un hitless reinicie desde la línea de comandos Sensor o la NSM. Si no es posible un reinicio de hitless, se envía una notificación al Manager y se produce un reinicio completo.
¿Todas Sensor amplían las ampliaciones de hitless?
Depende de si el cambio del software Sensor requiere un reinicio completo. Cuando finalice la ampliación de la Sensor, verá la opción de un reinicio de hitless en función de la versión del software.
¿Cuáles son las limitaciones de un reinicio de hitless?
El reinicio de hitless no se admite en las ampliaciones cuando hay un cambio interno o de nivel kernel en el código de software. Además, si el Sensor no puede recuperarse de errores internos y se realizan tres intentos de recuperación automática en un intervalo de 15 minutos, ocurrirá una de las dos cosas. En el siguiente intento de recuperación automática, el Sensor permanece en la capa 2 o realiza un reinicio completo.
¿Cuáles son algunas de las causas comunes de errores de reinicio de hitless?
El reinicio de hitless falla si las rutas de datos del Sensor no se inicializan y no notifican un estado de preparación.
¿Con qué frecuencia comprueban la información de Sensor e Manager Exchange para verificar que el Sensor está activo?
El intervalo de sondeo suele ser cada dos minutos. sin embargo, cuando el Sensor detecta un error, el intervalo de sondeo se reduce a cada 30 segundos. Esta reducción se realiza para evitar problemas como un paquete perdido que provoca una alerta de error. Si el Sensor sigue siendo inaccesible transcurridos 10 minutos, la frecuencia de sondeo se revierte a su valor normal de dos minutos.
¿Qué cantidad de transferencia de datos provoca este sondeo?
El sondeo se realiza a través de un paquete UDP de SNMP y se sondean cuatro variables MIB. La carga de solicitud de la aplicación SNMP completa es de unos 100 bytes.
¿Cuánto tiempo puede tardar antes que la Manager marca una Sensor como desconectada en Salud del sistema?
Dado que el sondeo inicial se realiza cada dos minutos y el tiempo de espera normal es de 60 segundos, el mejor caso para indicar que un error es de 60 segundos. No obstante, podría ser tan alta como 180 segundos (120 + 60).
¿Por qué se ha activado la configuración de acciones de Manager inmediatamente sin una actualización de configuración?
Cuando un administrador del sistema cambia la configuración de la acción para el Manager (como ACK automático, SNMP y syslog) en el editor de directivas, se requiere una actualización de la configuración. No obstante, esta configuración se activa inmediatamente sin ella. Este es el comportamiento previsto. Los cambios de configuración realizados en el diseño de NSP actual tienen una granularidad de la Directiva. Cualquier cambio en la Directiva indica que se requiere una inserción de archivo de firma para el Sensor. Se han realizado importantes esfuerzos en NSP para mejorar la actualización del archivo de firmas para la Sensor con la introducción del almacenamiento en caché y la actualización incremental. El plan actual es centrarse en mejorar la eficiencia de inserción de archivos de firmas y no en rastrear los cambios de las directivas con una granularidad superior.
Elementos necesarios de actualización de configuración
Gravedad del ataque *; Sensor acciones; Inicia
* Los cambios de gravedad de los ataques se utilizan tanto en el Manager como en Sensor. La parte Manager, como los cambios de gravedad que se muestran en Threat Analyzer, surte efecto de forma inmediata. La parte Sensor, como por ejemplo, para NAC, requiere una actualización Sensor.
¿Puedo instalar el software NSM appliance mediante el software appliance RMM?
No. No se admite el uso del DVD de instalación de NSM appliance con el software appliance RMM. Si utiliza el DVD de instalación de NSM appliance con el software de Intel® RMM suministrado con la appliance, podría ver resultados inesperados y no deseados.
Se debe acceder a la interfaz de medios de instalación mediante un teclado y un ratón conectados directamente al servidor en la ubicación del servidor.
¿Puedo agregar o combinar varias licencias de NSM en una sola instalación? Por ejemplo, si tengo una licencia estándar, ¿puedo comprar un paquete de inicio para conseguir 8 dispositivos gestionados?
No. Las licencias de NSM no son acumulativas. Para gestionar más de seis sensores desde una sola NSM, debe adquirir una licencia global de NSM.
Tras ampliar el Manager, veo un proceso de actualización de Sensor que no se ha accionado de forma manual. Los sensores no muestran ninguna descarga activa cuando downloadstatus se ejecuta el comando y el conjunto de firmas más reciente está presente en el Manager. Si reinicio el Manager, el proceso de actualización se reinicia finalmente, el Ems.log el archivo no muestra una inserción limpia, y el registro de auditoría no muestra ninguna actividad de usuario al insertar una configuración actualizada en los sensores. ¿Cuál es la causa de este proceso de actualización?
Tras una ampliación de Manager, NSM compila el conjunto de firmas más reciente y lo inserta automáticamente en los sensores.
SEÑALAR Esta actualización falla si los sensores ya tienen el conjunto de firmas más reciente.
¿Cómo puedo establecer una proxy para las actualizaciones de Yum en una appliance NSM basada en MLOS?
Abra una sesión de línea de comandos de NSM.
Escriba sudo vi /etc/yum.conf y pulse Intro.
Desplácese hasta la sección [Main].
Agregue las siguientes líneas en la sección [Main]: proxy = http://: 8080
proxy_username = proxy_password =
Escriba :wq
¿Puedo hacer una copia de seguridad y restaurar la NSM mediante la función Windows Copia de seguridad?
McAfee empresa no ha comprobado el uso de Windows copia de seguridad para crear copias y restaurar una instalación de NSM y no puede garantizar que funcione. Si esta función de copia de seguridad no funciona correctamente, póngase en contacto con el soporte Microsoft.
¿Por qué es necesaria una actualización de configuración al activar o desactivar la supervisión del estado del puerto?
Para mejorar el rendimiento, se aplica o se elimina la configuración de filtrado de alertas interno al activar o desactivar el estado del puerto. Se requiere la inserción de configuración porque este cambio debe aplicarse a la Sensor. El filtrado de alertas interno se encarga de los ataques omitidos. Por lo tanto, si no se inserta el cambio de configuración, la NSM recibe alertas no deseadas.
Del 10.1 y posteriores, ¿por qué no se ejecuta la actualización de la configuración a menos que estén disponibles los dos sensores de conmutación en caso de error?
NSM 10.1 admite dos tipos de motores de Snort en la Sensor. Se debe elegir una Sensor mediante la NSM. NSM valida que ambos sensores de un par de conmutación en caso de error ejecuten el mismo motor de Snort durante el despliegue de configuración. Si se produce un error en esta validación, no se inserta la actualización de la configuración.
¿Cómo activar la Threat Analyzer en tiempo real?
Ella Explorer ha sustituido el Threat Analyzer en tiempo real (RTTA). Si debe activar la Threat Analyzer en tiempo real, siga estos pasos:
En el servidor de Manager, utilice Windows Explorer para desplazarse a:C:\Program Files\McAfee\Network Security Manager\App\config. SEÑALAR Esta ruta puede ser diferente si ha instalado NSM en otra ubicación.
Localice la ems.properties archivo y abrirlo mediante Windows Bloc de notas.
Agregue la siguiente entrada:
iv.ui.ta.display.isEnabled=true
Guarde el archivo y reinicie el servicio NSM.
SEÑALAR Ahora, RTTA se admite parcialmente en NSM. McAfee empresa no mejorará los problemas de analizador ni corrección. Esta parte del producto es la que se suministra.
¿Cómo se importan las reglas de omisión exportadas previamente?
Para importar reglas de omisión previamente exportadas, seleccione Políticas, Prevención de intrusiones, Advanced, Importación de directivas, Omitir reglas.
Para importar ataques personalizados previamente exportados, seleccione Políticas, Tipos de directivas, Directivas de IPS, Ataques personalizados, Otras acciones, Importe.
¿Puede enviar el Sensor netflows ¿a los analizadores de NetFlow de terceros o solo NTBA?
No. Los datos de NetFlow generados por los sensores no son estándar NetFlow; se encuentran en un formato propio de McAfee Enterprise y, por lo tanto, solo NTBA pueden procesarlas.
¿Puedo cambiar los usos del puerto NSM para la comunicación con el servidor de correo electrónico configurado?
No. De forma predeterminada, NSM utiliza puerto TCP 25 para la comunicación con el servidor de correo electrónico. No se puede cambiar este puerto.
¿Por qué se cifran los archivos de registro de Sensor?
Los archivos de registro de Sensor se han diseñado principalmente para registrar información que necesitan los equipos de Soporte técnico y de desarrollo para solucionar problemas, según sea necesario. Dado que la audiencia principal de estos archivos es interna para McAfee empresa, los archivos a veces pueden contener detalles internos o decoros de la naturaleza. Por lo tanto, deben estar cifrados. El NSP ofrece todos los eventos críticos que debe conocer con los comandos de Sensor CLI. McAfee empresa le da la bienvenida a enviar PERs para cualquier información que necesite, pero no está disponible en este momento. A continuación, estas solicitudes se consolidan en versiones de mantenimiento de NSP posteriores.
¿Cómo controla el Sensor el tráfico de los hosts que se han puesto en cuarentena?
La función de cuarentena de IPS permite al Sensor poner en cuarentena los hosts no conformes a la vez que se proporciona acceso a la corrección. Con la cuarentena de IPS activada, cuando se detecta un ataque en un puerto de supervisión en línea Sensor, el Sensor crea una regla de cuarentena para la dirección IP de origen del host. Sin embargo, solo crea una regla de cuarentena si la host no aparece en la lista de exclusión de NAC. La Sensor nunca bloquea el tráfico procedente de los hosts de la lista de exclusiones de NAC. Si la host no está en la lista de exclusión de NAC, se coloca en la tabla de cuarentena durante un período de tiempo especificado.
La Sensor comprueba todo el tráfico que pasa por los puertos en la tabla de cuarentena y bloquea los paquetes enviados desde los hosts en cuarentena. Esta comprobación impide que los hosts no conformes dañen otros sistemas de la red. Puede configurar una zona de acceso a la red IPS con direcciones IP específicas a las que el host tenga permitido el acceso mientras se pone en cuarentena. (Por ejemplo, el portal de corrección o el servidor DNS). Este hecho permite al host en cuarentena acceder a materiales de corrección sin comprometer la seguridad global de la red. Es posible agregar un host a la tabla de cuarentena haciendo coincidir una directiva de NAC o coincidentendo con una firma que tenga activada la opción de respuesta de cuarentena.
¿Cómo puedo forzar o cambiar la detección de DOS de Sensor en el modo de aprendizaje?
Seleccione denegación de servicio, administración de datos y seleccione reconstruir DoS perfil (inicie el aprendizaje desde cero).
¿Compensa NSP la latencia de la red durante la sincronización de hora?
No. NSP no compensa los problemas de latencia de la red durante la sincronización temporal.
Si hay 100-ms de retraso de red entre el Sensor y el Manager, el tiempo de Sensor sería 100 milisegundos más lento que el tiempo real del Manager. El Sensor tiene un reloj interno que obtiene la configuración de tiempo del Manager para que el Sensor y el Manager permanezcan sincronizados. Si el Sensor pierde la conexión con el Manager, el reloj interno actualiza periódicamente la hora del Sensor. El tiempo de espera entre el Sensor y el Manager sería el retraso de latencia de red entre ese Sensor específico y el Manager. Podrían existir retrasos más largos o cortos entre el Manager y otros sensores desplegados.
El Sensor escribe la hora en su propia memoria Flash porque el Sensor no dispone de un reloj de respaldo de batería. Si se produce un corte del suministro eléctrico, cuando el Sensor se reinicia y vuelve a estar en línea, existe la posibilidad de que el Sensor podría no ser capaz de conectarse a su Manager asociada inmediatamente. En este caso, la Sensor utiliza la última vez que se guardó en Flash. Esta situación es la única vez que la Sensor recupera la hora de Flash; de lo contrario, el tiempo que se guarda en el Flash no tiene relevancia.
Cuando se instala la NSM con dos administradores configurados en Manager recuperación de desastres (MDR), ambos administradores deben actualizarse con Sensor datos de alerta. ¿Cómo se comunican los sensores a la NSM para actualizar la información de alerta?
El Sensor intenta enviar alertas a NSMs en una configuración de MDR. Si la alerta se ha enviado correctamente a una NSM, puede eliminar la alerta del búfer de Sensor. Si el Sensor no puede enviar la alerta a ninguno de los NSMs, se guarda en el búfer de Sensor. Los administradores sincronizan sus bases de datos entre sí para actualizar las alertas que podrían no haberse recibido en el otro Manager cuando se comuniquen la próxima vez. Cada alerta se etiqueta con atributos exclusivos para ayudar en la sincronización entre los administradores.
¿Cómo difieren las funciones de cuarentena de IPS y lista de control de acceso (ACL) en NSP?
Las reglas de cuarentena de IPS se procesan de forma independiente y se evalúan antes que las reglas de la ACL.
Una regla de cuarentena de IPS elimina todo el tráfico de una dirección IP de origen, mientras que una regla de ACL puede ser más específica para el tipo de tráfico que se descarta.
Las reglas de cuarentena de IPS se crean dinámicamente. Debe agregar explícitamente las reglas de ACL al crear una directiva.
Puede eliminar dinámicamente las reglas de cuarentena de IPS tras un período de tiempo predefinido. Debe eliminar las reglas de ACL de forma explícita mediante una actualización de directivas.
¿Cómo se muestran los ataques de bots en la Threat Analyzer?
Cuando se encuentra el tráfico, las direcciones se buscan en el archivo DAT de botnets. Esta acción es determinar si una dirección IP o un nombre de dominio es una dirección de botnets conocida.
Si los datos coinciden, se activa una alerta y la dirección IP o el dominio del comando y el control (C&C) se marcan como atacante. La dirección del atacante se coloca en la columna IP de origen de la Threat Analyzer. La dirección del host que se conecta a la dirección de C&C se etiqueta como víctima. La víctima aparece en la columna dirección IP de destino de la Threat Analyzer.
La dirección del flujo se basa en quién ha iniciado la conexión e indica si el flujo de inicio fue entrante o saliente.
¿Por qué no se muestran las alertas informativas y bajas en el Real Time Threat Analyzer (RTTA)?
Este es el comportamiento previsto. Utilice el Threat Analyzer histórico para ver las alertas informativas y bajas.
Puedo configurar los ataques que se deben bloquear en el editor de directivas, por lo que el Sensor envía una alerta al Manager incluso si se anula la selección de ' Enviar alerta a la Manager ' para el ataque.
Este es el comportamiento previsto. Dado que el ataque está bloqueado, el Sensor envía la alerta con independencia de la alerta de envío a la configuración de Manager. De esta forma, se notifica al administrador de qué Sensor bloqueado el ataque.
En RTTA, la sección Análisis de DoS de la pantalla detalles de alerta correspondiente al volumen de paquetes UDP entrante/saliente demasiado alto muestra el intervalo de direcciones IP DoS y los tres intervalos IP de ataque principales. ¿Por qué a veces esta sección está en blanco sin que aparezca información de intervalo de direcciones IP?
Este es el comportamiento previsto. Cuando el Sensor detecta el ataque, inicia inmediatamente la recopilación de direcciones IP. La Sensor espera durante un periodo de tiempo antes de generar la alerta para informar también de la información de la dirección IP. No obstante, si el ataque se detiene inmediatamente después, el Sensor no obtiene ninguna información de dirección IP y genera una alerta sin dirección IP.
¿Por qué no funciona el SYN cookie cuando hay tráfico MPLS en la red?
La cookie SYN no se admite en el tráfico MPLS. El motivo es que el NSP no conoce qué etiqueta MPLS utilizar en la dirección de devolución cuando el Sensor proxy responde a los paquetes SYN.
¿La Sensor evitar un posible desbordamiento de SYN al activar la cookie SYN en una Sensor en la que un puerto está configurado en span para ver el tráfico de MPLS y el otro se configura en línea y no ve el tráfico MPLS?
Sí. El cookie SYN sigue funcionando para el tráfico normal en el par de puertos en línea.
¿Puedo utilizar el cookie SYN si utilizo una etiqueta VLAN en el tráfico? Por ejemplo, si todo el tráfico contiene una etiqueta VLAN y la Sensor solo ve tráfico de una VLAN pero no recibe tráfico de ninguna otra VLAN, ¿sigue funcionando el cookie SYN? O, ¿debe la etiqueta VLAN no estar presente en absoluto en el tráfico en línea para que funcione el cookie SYN?
El cookie SYN funciona para el tráfico etiquetado de VLAN. Incluso se utiliza una mezcla de tráfico con etiquetas VLAN y no VLAN. Si los paquetes vuelven a través de la misma interfaz de nuevo, existen algunas restricciones.
¿Es posible que el total de todo el tráfico, tanto de entrada como de salida, en cualquier momento dado sea mayor que las capacidades de inspección en una Sensor determinada (por ejemplo, NS9100 es un rendimiento de IPS de 10 Gbps)?
No. Las capacidades de inspección son comunes o se comparten en todos los puertos del Sensor. Estas son las capacidades de inspección que determinan la capacidad calificada de la Sensor.
¿Cuál es la diferencia entre "ataque de correlación de Concils" y "ataque de firma de concil."? ¿Ambos ataques de Conciln forman parte de "Directiva de conciliación predeterminada"?
Depende de la versión de NSP/NSM que se utilice. Las 8.1, se utilizan las directivas IPS y las directivas de concil. Las directivas IPS contienen los ataques basados en firmas y las directivas de concil contienen los ataques basados en correlación.
Pero, desde 8.2 en adelante, las directivas de conciliación ya no existen y los ataques de reconocimiento basados en la firma y en la correlación se encuentran en las directivas de IPS.
Para diferenciarlos en el editor de directivas IPS, McAfee empresa ha introducido categorías de ataque específicas (ataque de correlación de reconocimiento y de firma de reconocimiento) para cada una.
El navegador web de una host puesta en cuarentena manual no muestra un mensaje o aviso en cuarentena y no ofrece una redirección al portal de corrección. ¿Por qué no?
Cuando configura un Sensor para mostrar un mensaje del navegador en un cliente en cuarentena o redirigirlo a un portal de corrección, se implementa únicamente para los hosts puestos en cuarentena automáticamente por el Sensor. Este comportamiento es por diseño. Cuando un usuario pone en cuarentena manualmente un host de Threat Analyzer, no se ofrece el mensaje del navegador o el portal de corrección, y la única acción que se lleva a cabo es que la host se coloca en la zona de cuarentena correspondiente.
¿El Sensor detectará un archivo de prueba EICAR descargado a través de HTTP?
Sí. NSP detecta el último archivo de prueba antimalware EICAR. Debe descargar el eicarcom2 probar archivo de: http://www.eicar.org/. SEÑALAR Es posible que no se detecten las versiones anteriores del archivo de prueba.
¿Qué pérdida de paquetes de red se observa cuando se utiliza la Sensor error de apertura, si se reinicia el Sensor o sufre una fluctuación de energía?
Cuando se reinicia un Sensor o se produce algún otro error, se rompe el vínculo que conecta los dispositivos en cualquiera de los dos lados del Sensor. Esta ruptura del vínculo provoca que algunos dispositivos de red se renegocien y, dependiendo de los dispositivos de red, esta renegociación puede tardar en completarse.
Durante el tiempo de negociación, no existe ningún vínculo y las aplicaciones que no reenvíen los paquetes o que tengan un breve tiempo de espera podrían no comunicarse. Por lo general, se produce una pequeña pérdida de paquetes porque el relevo empieza a cambiar a error de apertura. En función del equipo de red específico de su entorno, la interrupción puede oscilar entre un par de segundos y más de un minuto. Lo mismo ocurre al mover un Sensor de nuevo al modo en línea, después de que se haya producido un error al abrirlo.
¿Qué es el intervalo de latido del kit de error de apertura de Network Security Platform y qué ocurre cuando se pierde la señal?
Durante la operación normal Sensor error de apertura en línea, el controlador de error de apertura o el puerto de control integrado proporciona el latido y la señal de alimentación al interruptor de omisión. La señal está preprogramada con un intervalo de cuatro segundos. Si la señal no se presenta en el intervalo de cuatro segundos, el kit de error de apertura elimina el Sensor de la ruta de datos y pasa al modo de omisión.
¿Cuál es el proceso de sincronización entre el Manager NSP y el Sensor?
El Sensor envía periódicamente una solicitud de tiempo sobre el control o el canal de alerta, con fines de sincronización.
El Sensor utiliza el puerto 8502 o 8507, el canal de alerta.
El Sensor solicita la hora de la NSM cada 30 segundos. SEÑALAR El Sensor solo solicita si el canal de alerta no tiene alertas ni eventos del sistema que enviar a NSM durante la duración anterior. Si el canal está activo, la sincronización de hora ya se mantiene.
Cada 10 minutos, este tiempo sincronizado se escribe en la memoria flash del Sensor.
¿Puedo eliminar o desinstalar Java del servidor NSM?
No. Aún se requiere Java en el servidor que aloja la NSM. El servidor ejecuta una java.exe proceso que lleva 2 GB de memoria o más, dependiendo de la configuración de la instalación.
¿Ofrece NSP informes de conformidad integrados con HIPAA?
No existe ningún informe basado en la conformidad integrado en la plataforma NSP. McAfee Enterprise recomienda la Event Reporter Appliance, ya que se suministra con los informes preconfigurados.
Puede obtener más información sobre el Appliance de Event Reporter de su McAfee contacto de ventas de la empresa.
¿Qué cambios se realizan en la configuración de Sensor cuando se vuelve a agregar un ataque a la firma de NSP (Sigset)?
La firma devuelta conserva la configuración aplicada antes de eliminar la firma.
Por ejemplo, si cambia la gravedad a media de alta antes de que se elimine el ataque, verá que esta configuración se ha recuperado y aplicado una vez que se ha vuelto a agregar el ataque. SEÑALAR El ataque se activa aunque lo desactive.
¿Qué directivas de control de acceso basadas en la identidad predeterminadas no se pueden eliminar en NSM?
No se pueden eliminar las siguientes directivas. No obstante, puede editar su configuración para especificar si el Salud del sistema se tiene en cuenta a la hora de conceder acceso a la red y el nivel real de acceso a la concesión:
Predeterminado
Usuario Guest
Con registro automático
¿Puedo crear una regla de omisión y no agregar ningún nombre de ataque?
No. Las reglas de omisión deben tener un nombre de ataque, ya que la Sensor no puede comprender este tipo de filtro de alerta.
¿Cómo puedo excluir una dirección IP específica de la inspección?
Agregue una regla de Firewall con la acción definida como sin estado ignorar. Esta acción reenvía todos los paquetes que coinciden con la regla sin realizar ninguna inspección, excepto en el caso de la búsqueda/coincidencia de la regla de FW.
¿Puedo implementar la disponibilidad alta activa-activa mediante sensores NSP?
El Sensor siempre está activo-disponibilidad alta. Se trata de los dispositivos de red del mismo nivel que determinan si el Sensor se está utilizando como activo-pasivo (se bloquea una ruta de red) o activo-activo.
He creado reglas de omisión para omitir los ataques de reconocimiento (análisis de los analizadores de vulnerabilidades) con la red interna como origen (atacante) y cualquiera como destino; sin embargo, sigo viendo las alertas en el RTTA. Causa?
El uso de las reglas de omisión es la forma equivocada de abordar los analizadores de vulnerabilidades. En su lugar, agregue una regla de acceso a la Directiva Firewall para omitir todo el tráfico en la vulnerabilidad analizador (utilice ignore sin estado). Agregue también otra regla para todo el tráfico de la analizador (dos reglas).
¿Admite el editor de los NSP UDS la operación NOT?
No. El editor de UDS no es compatible con la operación NOT. El hardware de aceleración de coincidencia de patrones de Sensor tendría que realizar la coincidencia de cadenas en todas las cadenas distintas a la especificada con la expresión NOT.
McAfee empresa recomienda no realizar este tipo de búsqueda, ya que puede provocar graves problemas de rendimiento y no es una solución eficaz.
¿Admite el editor de UDS búsquedas de caracteres comodín?
No. No se admiten búsquedas de caracteres comodín porque el uso de un carácter comodín en una búsqueda haría que se recuperaran todos los registros de la base de datos.
¿Puede desactivarse el servicio DCOM en el servidor que aloja el NSP?
Sí. DCOM puede desactivarse sin afectar a la ejecución del Manager NSP. Para obtener información sobre cómo desactivar el servicio DCOM y las implicaciones de otros programas y servicios, vaya a http://support.microsoft.com/default.aspx?kbid=825750.
¿Cómo se detecta un único carácter de espacio mediante el editor de UDS?
Si tiene que detectar un único espacio en una expresión, por ejemplo, xyz xyz, puede realizar la búsqueda de cadenas escribiendo xyz xyz. McAfee Enterprise recomienda no buscar solo un espacio o cadenas cortas, ya que puede provocar problemas de rendimiento y generar falsos positivos.
¿Cómo puedo comprobar los códigos de error de MySQL?
En MySQL, puede comprobar los códigos de error generados mediante la perror mando. Abra una sesión de línea de comandos (haga clic en Inicio, ejecutar, escriba CMD y haga clic en Aceptar) y, en la sección mysql\bin directorio, escriba el comando perror y pulse Intro. Por ejemplo, perror 28 Error code 28: No space left on device.
¿De qué modo el NSP Manager o Sensor define direcciones internas o externas para los filtros de alerta?
Las direcciones internas o externas se definen según el modo configurado:
Modo de toque/en línea: en configuración de puerto, especifique qué puerto está dentro y cuál está fuera. Los filtros de alerta utilizan las mismas especificaciones para definir la definición interna o externa, respectivamente.
Modo de extensión: para detectar y marcar interno/externo para intervalo, el usuario debe configurar los vid basados en CIDR. Si no hay ningún vid basado en CIDR, el Sensor marca los paquetes como desconocidos.
¿Por qué las alertas de DoS bidireccionales no incluyen una ficha de tasa de paquetes?
La ficha tasa de paquetes no está presente para alertas estadísticas DoS categorizadas como bidireccionales porque:
Estas alertas estadísticas implican más de un tipo de paquete.
El volumen del flujo de paquetes entre las dos direcciones es distinto.
¿Cuál es la diferencia entre el estado de resultado de ataque de Threat Analyzer y que funciona correctamente?
Para determinar si un ataque tiene éxito o no, NSP cubre tanto los aspectos de detección como de posterioridad del ataque. NSP identifica si el ataque se realiza correctamente en función de las respuestas observadas en el cable:
Correcto
Ataque es correcto
Quizás sea correcto
Resultados desconocidos, NSP no puede determinar si el ataque tiene éxito o no
¿Puede Network Security Platform identificar la dirección IP verdadera del cliente del tráfico de la red de entrega de contenido, como Akamai?
Afirmativa. Al activar X-forwardd-for (XFF), Network Security Sensor pueden detectar y bloquear ataques basados en la IP verdadera del cliente. SEÑALAR Esta funcionalidad solo se aplica a HTTP.
¿La compatibilidad con NSP utiliza las claves privadas incrustadas en el certificado SHA-2 firmado?
Sí. Se admiten los certificados firmados SHA-2. La función de descifrado de SSL entrante solo realiza una coincidencia de datos sin procesar del certificado del servidor y no valida el certificado. Por lo tanto, NSP puede descifrar utilizando las claves privadas incrustadas en el certificado SHA-2 firmado.
Al ejecutar el comando clrstat para borrar las estadísticas de Sensor, ejecute el comando Mostrar sensor-Load, el Sensor-Load muestra un valor alto, como 90%. Puede enumerar este valor incluso cuando apenas hay tráfico que pasa por el Sensor. Causa?
Este comportamiento es por diseño. Lo clrstat comando borra los contadores utilizados para calcular la carga del Sensor. Para permitir que la Sensor genere contadores actualizados y que se refleje la carga precisa, espere aproximadamente entre 20 y 30 segundos y ejecute show sensor-load vuelve.
¿Es compatible la integración de DXL y de la compatibilidad con todos los modelos de Sensor?
No. Estas funciones solo se admiten en sensores de la serie NS.
¿Puedo bloquear archivos mediante la carga de hashes de archivos MD5 en un NSP?
Sí. Esta función de NSP no requiere la creación de una definición de ataque personalizada. El Sensor NSP mantiene una lista de bloqueo y una lista de valores de hash permitidos. Aplica estos valores de hash a los archivos extraídos de flujos HTTP, SMTP y FTP cuando se lo indiquen malware Directiva.
Para obtener instrucciones sobre cómo importar un valor de hash, consulte la sección "directivas de malware avanzadas" de la guía de administración de IPS de su versión.
¿Puedo utilizar un puerto de Sensor respuesta para conectar el Sensor con mi NTBA Appliance?
No. No puede utilizar el puerto de respuesta como puerto de monitor.
¿Cómo determina NSP el tipo de archivo para la directiva avanzada de malware?
NSP utiliza una combinación de tipo de contenido, extensión de archivo, propiedades de archivo y tecnología de McAfee empresarial propia.
Cuando el Sensor bloquea un paquete de ataque, ¿por qué NSP no recupera su información de encabezado X-forwardd-for (XFF)?
Cuando el NSP Sensor bloquea un paquete de ataque, no puede ver la información de Layer7 reenviado. Este comportamiento está diseñado.
Si creo una UDS personalizada, ¿se colocan estas UDS sobre todas las demás firmas o se colocan al final de todas las demás firmas?
Un UDS personalizado ayuda a definir la definición del ataque/firma y se agrega a la lista de todos los ataques. No obstante, no hay ningún pedido para la detección de ataques, a diferencia de firewall las reglas de la ACL.
En los diez principales países de origen de ataque, una de las entradas tiene el título AP-¿qué significa?
Este título se utiliza cuando no se conoce el país de origen especificado. Para obtener más información, consulte: volvió/dev. maxmind.com/geoip/legacy/codes/iso3166/
¿Es NSP enviar archivos PNG, JPG u otro tipo de imagen a ATD para el análisis?
NSP no puede extraer archivos de imágenes de los flujos. Estos archivos pueden formar parte de una .zip archivo que NSP extrae y envía a ATD, pero NSP no extrae archivos de imágenes independientes.
¿Por qué veo las consultas DNS originadas en la Sensor?
Este tráfico se ve cuando se configura una regla de firewall y se especifica un nombre de host como dirección de origen o destino. El Sensor envía consultas DNS en el puerto UDP 53 al servidor DNS especificado asignado a la Sensor para estos nombres de host. Este comportamiento es por diseño.
¿Qué sensores admiten la integración con el servicio en la nube de McAfee Enterprise malware Analysis, Cloud Threat Detection (CTD)?
La serie de sensores de N/S es compatible con esta funcionalidad. Para obtener más información sobre la configuración de la integración de NSP con CTD, consulte: https://community.mcafee.com/docs/DOC-9444
¿Puedo importar un pcap ¿el archivo en la NSM o Sensor que deben analizar las directivas configuradas o simular el tráfico que pasa por ellos?
No. Debe configurar un TCPReplay para capturar el ataque y reproducirlo.
¿Qué es la identificación de aplicaciones?
La funcionalidad de identificación de aplicaciones permite a los sensores de seguridad de red identificar las aplicaciones de la red y actuar sobre ellas. Esta función se puede activar en puertos Sensor específicos, incluido un puerto individual que forme parte de un par. Esta funcionalidad permite un mayor control sobre el tipo y la dirección del tráfico supervisado.
¿Cuál es el impacto en el rendimiento de Sensor?
Si se aplica la identificación de la aplicación a todo el tráfico que pasa por el Sensor, podría reducirse el rendimiento de Sensor en un 10%. El rendimiento real Sensor varía en función del tipo de tráfico.
Este proceso requiere muchos recursos y solo se debe activar cuando sea necesario. Para obtener más información sobre cómo activar esta funcionalidad, consulte la Guía de administración de Manager de Network Security Platform para su versión.
¿Cómo puedo comprobar los códigos de error de MariaDB?
Para comprobar los códigos de error generados, utilice el perror mando.
Abra una sesión de línea de comandos (haga clic en Inicio, ejecutar, escriba CMD y haga clic en Aceptar).
De la MariaDB\bin directorio, escriba el comando perror y pulse Intro. Por ejemplo, perror 28 Error code 28: No space left on device.
SEÑALAR En el caso de las ampliaciones, la ubicación predeterminada es el directorio de instalación de la base de datos anterior.
¿Por qué se muestra el recuento con la show wb stats ¿el comando aumenta aunque las listas permitir o bloquear están vacías?
El recuento de hash de WB aumenta debido a los hashes incluidos en el archivo DAT (detectores de devolución de llamada). Cuando se descarga a NSM, este archivo se inserta en la Sensor y aumenta el recuento de la hash WB.
McAfee Enterprise desarrolla estos hashes para solucionar los ataques y las vulnerabilidades, pero no se incluyen en la GUI de NSM. ASPECTO Este comportamiento está diseñado.
¿Por qué no puedo acceder a NSM desde un dispositivo móvil de idioma distinto del inglés?
NSM no funciona correctamente si accede a NSM desde un dispositivo móvil que no sea en inglés, ya que solo se admiten los dispositivos que se establecen en el idioma inglés. Para acceder a la Manager, cambie la configuración de idioma del sistema operativo a Inglés.
¿Qué versión de nessus es compatible con NSM?
Informes de nessus generados con nessus 4 y nessus 5.x los analizadores se importan correctamente en NSM. Si el informe generado contiene host IPs como nombres de dominio completos (FQDN) o nombres NetBIOS, NSM no puede resolver las IP de host de destino en el informe. Tampoco puede importar vulnerabilidades para esos hosts a la base de datos de Manager. Un nessus 4 o nessus 5.x Informe en .nessus formato, que contiene direcciones IP de host válidas en formato punteado, importa correctamente a la base de datos de Manager.
¿Por qué el Sensor no detecta ningún ataque cuando el tráfico está encapsulado con PPPoE?
No se admite PPPoE. El Sensor reenvía todos los paquetes de PPPoE encapsulados, sin ninguna detección. Este comportamiento es por diseño.
Cuando se configura NSM para desplegar automáticamente descargado sigsets para todos los dispositivos, el despliegue automático funciona con sensores NSP, pero no con sensores de NTBA. Causa?
El despliegue automático de NTBA es compatible con NSM 8.1 y posteriores. Para implementar el despliegue automático, amplíe a NSM 8.1.3.6 o posterior.
¿Es compatible el análisis de GTP con los sensores de la serie M?
No. El análisis de GTP solo se admite en sensores de la serie NS.
¿Es posible que NSP Inspeccione el tráfico encapsulado de GRE para detectar ataques mediante este protocolo?
NSP puede inspeccionar el tráfico encapsulado GRE y detectar ataques. No obstante, esta función debe estar activada porque la configuración predeterminada de Sensor no inspecciona el tráfico de túnel GRE.
¿Admite NSP el análisis del nuevo protocolo HTTP/2 (HTTP 2.0)?
El NSP actualmente no admite HTTP/2, pero está planificado para una futura versión de NSP.
Cuando un conmutador de red admite AutoMDI/MDI-X, ¿puede un Sensor utilizar AutoMDI/MDI-X para establecer un vínculo entre el conmutador y el Sensor?
Sí. No obstante, AutoMDI/MDI-X no funciona correctamente si la negociación automática está desactivada en el puerto Sensor. Debe activar la negociación automática en el puerto Sensor antes de configurar el vínculo entre el conmutador y el Sensor mediante AutoMDI/MDI-X.
¿Se admiten varios sensores con una dirección IP duplicada en la versión NSM?
No. No se admiten varios sensores con una dirección IP duplicada en la NSM.
Por ejemplo:
Sensor-A (IP:192.168.0.10) ya está instalado en una NSM.
Sensor-B (IP:192.168.0.10) debe agregarse a la NSM.
Si agrega la nueva Sensor a la Manager y asigna la misma dirección IP que la Sensor existente, las actualizaciones y los cambios de configuración se aplicarán de forma incorrecta sobre una base intermitente.
En este caso Sensor-A debe eliminarse del Manager, antes de agregar Sensor-B. La ejecución del comando de desinstalación en Sensor-A no es suficiente. Es necesario eliminar Sensor-A del Manager antes de agregar Sensor-B.
ASPECTO Existe una excepción para esta regla. Solo se puede Agregar una Sensor con la misma dirección IP si el nombre y el modelo de Sensor son idénticos a un Sensor antiguo que ya no está físicamente conectado a la Manager. Esta situación es similar a la sustitución de un Sensor roto.
¿Qué cobertura de Skype ofrece Network Security Platform? ¿Es posible bloquear el tráfico de Skype de NSP?
Actualmente, Network Security Platform no ofrece una cobertura de bloqueo del tráfico Skype, debido a la ocultación y el cifrado. Network Security Platform puede detectar tráfico Skype mediante las siguientes firmas P2P:
0x42c02600 P2P: Skype Logon Process Detected
0x40015f00 P2P: Skype-like Traffic Detected
0x40015e00 P2P: Skype Sweep Traffic Detected
Los ID de ataque 0x40015f00 y 0x40015e00 son un par de componente o ataque correlacionado, que no se puede bloquear.
El ID de ataque 0x42c02600 puede detectarse y bloquearse debido al texto no cifrado que contiene la sesión TCP.
Skype puede utilizar una sesión cifrada para iniciar sesión. La firma correlacionada de la plataforma de seguridad de red puede detectar este tráfico Skype, pero no se puede configurar para que se bloquee, debido al carácter de correlación. Por lo tanto, Network Security Platform no tiene cobertura de bloqueo en Skype.
¿Puedo ejecutar una Sensor par de conmutación en caso de error con los puertos monitor en el modo SPAN?
No. Solo se puede crear un par de conmutación en caso de error cuando los puertos monitor se colocan en modo en línea. Una vez que haya creado el par, no podrá cambiar el modo de puerto. Volver al principio
¿En qué condiciones utilizo volver a importar las claves SSL en el Manager?
Utilice volver a importar solo cuando vuelva a importar una clave que exista en la Manager. Puede utilizar volver a importar varias veces para sustituir la clave existente en el Manager cuando las actualizaciones de SSL aún no se hayan insertado en la Sensor. No utilice volver a importar para sustituir una clave SSL antigua por una nueva clave.
Es el procedimiento de renovación correcto para eliminar la clave de SSL antigua del Sensor e importar una nueva clave de SSL tras la eliminación manual.
Sí. McAfee Enterprise recomienda importar la nueva clave de SSL en la Manager y, a continuación, extraer la actualización de SSL a la Sensor después de eliminar la clave de SSL antigua.
¿Es necesario reiniciar el Sensor después de importar o volver a importar una nueva clave de SSL y insertarla en el Sensor desde la Manager?
Solo es necesario reiniciar Sensor si activar o desactiva la funcionalidad SSL en el Sensor. No es necesario después de importar/volver a importar las claves SSL.
¿Por qué veo ' SSL: alertas de transición de estado erróneas (0x00006000) ' en la Manager de alerta después de sustituir una clave SSL?
Puede ver estas alertas en la alerta Manager si hay flujos HTTP activos cuando el nuevo certificado SSL se inserta en la Sensor. Póngase en contacto con Soporte técnico si este comportamiento continúa y envíe las capturas de paquetes durante y después de la importación/renovación de la clave de SSL.
¿Por qué veo ' SSL: alertas de transición de estado erróneas (0x00006000) ' en la Manager de alerta? ¿Es una detección de falsos positivos?
Recopile informes de pruebas de las alertas dadas como se explica en KB55743-cómo enviar falsos positivos de Network Security Platform y detecciones incorrectas a Soporte técnico.
A continuación, abra el registro de paquetes generado en los informes de pruebas con un husmeador de paquetes como Wireshark y Compruebe la versión de TLS/SSL utilizada. Los sensores NSP no admiten actualmente TLS v1.1 y v1.2 y activar esta alerta. Para ignorar este tráfico, cree un filtro de ataque o utilice una versión compatible de SSL/TLS (SSLv2, SSLv3, TLSv1.0).
¿Existe un límite de tamaño para la clave secreta compartida cuando se establece mediante la Sharedsecretkey mando?
La clave secreta compartida de NSP debe tener un mínimo de 8 caracteres y un máximo de 25 caracteres. La clave no puede comenzar con un signo de exclamación ni tener espacios.
¿Qué es GTI?
GTI es un motor global de correlación de amenazas y una base de inteligencia de la mensajería global y el comportamiento de comunicación. Permite la protección de los clientes contra amenazas electrónicas conocidas y emergentes en todas las áreas de amenazas.
¿Qué puertos utiliza GTI?
Descripción
Protocolo
Iniciador
Puerto de origen
Puerto de destino
Para enviar información de participación
TCP
Manager
Aleatoria
HTTPS/443
Descripción
Protocolo
Iniciador
Puerto de origen
Puerto de destino
Dirección de destino
Para enviar consultas de reputación de IP McAfee
TCP
Manager y Sensor
Aleatoria
HTTPS/443
tunnel.web.trustedsource.org
Para enviar consultas de reputación de archivos de McAfee
UDP
Sensor
Aleatoria
DNS/53
avqs.mcafee.com
Notas
La reputación de IP se llamaba anteriormente TrustedSource.
La reputación de archivos se llamaba anteriormente Artemis.
¿Qué información utiliza el Sensor en una consulta GTI?
La conexión 5-tuple (IP de origen, IP de destino, Puerto de origen, Puerto de destino y Protocolo).
¿Qué información utiliza el NSP Manager en una consulta GTI?
La tupla de 5 y cualquier información adicional de ataque que pueda estar disponible son:
Nombre del ataque, tiempo de ataque, categoría, recuento, so de destino, mecanismo de detección, dirección de ataque, URL de malware, ID de ataque de NSP, resultado, ID de firma, so de origen, subcategoría y tipo de ataque.
SEÑALAR Consulte la página de participación de GTI en la Manager para obtener una vista detallada de lo que se envía. Activa Define, Integración, Participación en GTI.
¿Por qué la dirección que busco muestra una reputación diferente?
GTI utiliza muchos factores para determinar la reputación de una conexión específica. Si la conexión es al puerto 80 o 8080, se utiliza la reputación Web. Si la conexión es al puerto 25, se utiliza la reputación de correo. Todos los demás puertos utilizan la reputación de IP, que puede ser un compuesto de la reputación Web y de correo. Con el tiempo, este valor tiene un valor exclusivo a medida que se recopilan más datos.
¿Puede McAfee empresa ajustar la reputación en una dirección IP específica?
Tras realizar una consulta en www.trustedsource.org, hay una opción para los comentarios sobre la amenaza. Utilice este formulario para solicitar la revisión. También puede solicitar una revisión para una IP específica por correo electrónico. Para las reputaciones Web, póngase en contacto con sites@mcafee.com. Para reputaciones de red y correo electrónico, póngase en contacto con trusign-feedback@mcafee.com. Incluya siempre la dirección IP, el puerto y el tipo de tráfico utilizado.
¿Dónde puedo encontrar más información sobre GTI?
Consulte la guía de integración de Network Security Platform para su versión del producto o visite www.trustedsource.org.
¿El NSP Sensor realizar búsquedas de IP de GTI para todo el tráfico que ve?
De forma predeterminada, no. Puede configurar el Sensor para realizar una búsqueda de GTI para todo el tráfico mediante la activación del análisis de reputación de Endpoint.
SEÑALARActualmente, NSP puede utilizar la información de reputación de IP con las funciones de bloqueo inteligente y limitación de conexiones. NSP no puede detectar actualmente la devolución de llamada con reputación de IP.
Por qué no puedo abrir un archivo detectado por GTI en el NSP para realizar un análisis más detallado; ¿Cómo puedo abrir archivos condenados por GTI?
Estos archivos están cifrados, incluso cuando se exportan mediante la interfaz de usuario. Debe utilizar la utilidad MalwareDecrypter. bat para descifrarlos. La ubicación del archivo para esta utilidad es la siguiente:
/diag/MalwareUtil/MalwareDecrypter.bat
SEÑALAR Si ejecuta el archivo sin parámetros, muestra las opciones disponibles.
¿Dónde puedo encontrar información adicional sobre el descifrado de archivos?
Consulte la información sobre la utilidad Decrypter de malware en la sección "archivar malware archivos" de la Guía de administración de Manager de Network Security Platform, y la Guía de administración de Network Security Platform IPS para su versión de producto.
¿Qué es un conjunto de firmas heterogéneas (Sigset)?
Las versiones anteriores del NSP requerían que se ejecutara la misma versión de software NSM (8.x, 7.x) como Sensor. Si administraba varias versiones de Sensor software, necesitaba un NSM distinto para cada versión puntual de software de Sensor. Para resolver este problema, McAfee Enterprise agregó la funcionalidad a NSM para administrar las versiones anteriores de software Sensor. Por ejemplo, NSM 8.3 puede administrar sensores con software 8.x así 7.x están. Para admitir esta funcionalidad, McAfee Enterprise desarrolló el Sigset heterogéneo, que contiene todas las firmas para cada versión de software de Sensor.
El Sigset heterogéneo es un formato que incluye todas las versiones principales en un solo Sigset unificado. Los administradores descargan y aplican un Sigset único que utiliza el Manager para controlar cualquiera de los sensores.
Son todos sigsets ¿va a ser heterogéneo? Ha dejado McAfee Enterprise liberando homogénea sigsets?
Sí, McAfee empresa ha dejado de liberar un homogéneo sigsets. Resto sigsets ahora son heterogéneos.
¿Qué contiene un Sigset heterogéneo, cuál es el esquema de numeración y qué información adicional puede obtener del número de Sigset?
El Sigset heterogéneo contiene dos o más versiones principales individuales sigsets en un nuevo formato unificado. El esquema de numeración es sigsetW.X.Y.Z lugar
W denota la versión más alta de Sensor software admitida.
X denota la versión de software Sensor más baja admitida.
Y denota el número de versión de Sigset.
Z denota la versión de compilación.
Por ejemplo, Sigset 9.8.1.1 significa que este Sigset admite 9.x así 8.x Detector.
¿Cómo prueba McAfee Enterprise el Sigset heterogéneo?
McAfee Enterprise cuenta con métodos de prueba integrales para probar la heterogénea sigsets para garantizar la compatibilidad con todas las versiones de software Sensor. Además de todas las pruebas realizadas con la operación normal sigsets, McAfee Enterprise realiza más casos de prueba. Esta prueba garantiza que el Sigset heterogéneo funciona bien en un entorno heterogéneo, donde se utilizan varias versiones de software Sensor.
¿Necesito cambiar la configuración de Manager para utilizar el Sigset heterogéneo?
No.
¿Existe un Sigset heterogéneo distinto para cada versión principal (por ejemplo: 8.x, 9.x)?
Solo hay un Sigset heterogéneo que contiene todas las firmas de todas las versiones de Sensor compatibles actualmente. Por ejemplo, 9.8.1.1 admite todos los sensores que ejecutan versiones 9.x así 8.x.
¿Qué es un Appliance de Manager basado en Linux?
El Appliance de Manager basado en Linux es un appliance de hardware empresarial de McAfee, que ejecuta un McAfee Linux Operating System preinstalado y reforzado. La appliance viene cargada previamente con el software NSM.
¿Cuál es la McAfee Linux Operating System (MLOS)?
MLOS es una plataforma McAfee de propietario y estándar basada en Linux en la que se construyen varios McAfee Appliances de seguridad empresarial.
¿Cuál es la versión de McAfee Linux Operating System (MLOS) utilizada en el Appliance Manager basado en Linux?
Actualmente, el Appliance de Manager basado en Linux está preinstalado con la versión MLOS 3.5.x (MLOS3).
¿Qué modelos de Sensor pueden administrar los Manager basados en Linux?
Un Manager basado en Linux puede administrar los siguientes modelos de Sensor:
M-series: M-8000, M-6050, M-4050, M-3050, M-2950, M-2850, M-1450 y M-1250
¿Cuál es el número total de sensores que se pueden administrar mediante una Manager basada en Linux?
El Manager basado en Linux puede administrar el mismo número de sensores que un Manager basado en Windows. El número máximo de sensores que puede gestionar un Manager basado en Linux varía según el tamaño de la base de datos, la tasa de alerta y el tráfico total inspeccionado por todos los sensores conectados a la Manager.
¿Puedo instalar el Manager/Central Manager basado en Linux como instancia virtual?
Puede desplegar la Manager o la Central Manager basada en Linux como máquina virtual en sus servidores de ESXi. El Manager/Central Manager virtual es una imagen ÓVULOs que despliega una instancia virtual de NSM/Central Manager que se ejecuta en un sistema Linux.
¿Desde dónde descargo la imagen de ÓVULOs de la Manager/Central Manager basada en Linux?
Las imágenes ÓVULOs de un Manager/Central Manager basado en Linux están disponibles en el sitio de descargas de productos y en McAfee Enterprise Update Server.
¿Dónde puedo descargar una imagen ISO del Manager o Central Manager basados en Linux?
McAfee Enterprise no proporciona una imagen ISO del Manager/Central Manager basados en Linux. SEÑALAR McAfee empresa recomienda utilizar una imagen ÓVULOs para la instalación basada en Linux Manager máquina virtual y la imagen de arranque compartidas por Soporte técnico para migrar desde Windows basados en Manager a Linux basados en Manager.
¿Puedo ejecutar el software de Manager basado en Linux en un hardware de Appliance de Manager basado en Windows?
Puedes migrar su appliance de un Manager basado en Windows a un Manager basado en Linux.
¿Cómo puedo migrar una Manager basada en Windows a una Manager basada en Linux?
Realice una copia de seguridad de la base de datos de la Manager basada en Windows y restáurela en un Manager nuevo basado en Linux. Consulte PD27843 para obtener los pasos completos. Notas
No es posible migrar desde una versión posterior de un Manager basado en Windows a una versión anterior de una Manager basada en Linux.
Por ejemplo, no puede migrar una versión de Manager basada en Windows 9.1.7.45 a una versión de Manager basada en Linux 9.1.7.39.
Asegúrese de que el servidor de Windows Manager se esté ejecutando en NSM 9.1 o posterior.
¿Qué es el shell de Manager?
Manager Shell es la interfaz de línea de comandos para la Manager basada en Linux y permite realizar muchas actividades de Manager/Central Manager.
¿Qué aplicación debo utilizar para la conexión SSH con la CLI basada en Linux Manager?
McAfee empresa recomienda utilizar la Tera Term bien Bitviseaplicaciones para la conexión SSH a la CLI de Manager basada en Linux. SEÑALAR Las conexiones SSH a la CLI de Manager basada en Linux son necesariamente admitido por la aplicación de PuTTy.
¿Cuáles son las credenciales para iniciar sesión en el shell de Manager?
Para Manager:
Nombre de usuario: admin
Contraseña MLOSnsmApp
Para Central Manager:
Nombre de usuario: admin
Contraseña MLOSnscmApp
¿Cómo puedo ampliar el Manager/Central Manager basados en Linux?
Puede ampliar su Manager o Central Manager basados en Linux mediante la función amplíe comando en el shell de Manager. Para obtener más información, consulte Guía de instalación de McAfee Network Security Platform para su versión.
¿Dónde puedo descargar el archivo de ampliación de Manager basado en Linux desde?
El archivo de ampliación de software basado en Linux Manager (Setup. bin) está disponible en el sitio de descargas de productos y McAfee Enterprise Update Server. SEÑALAR No es posible descargar directamente el archivo de ampliación de Manager basado en Linux (Setup. bin) a la Manager basada en Linux. Descargue el archivo de ampliación a un servidor independiente que ejecute el servicio SCP o TFTP en su red.
¿Los archivos de ampliación de una máquina virtual Manager basada en Linux y Manager Appliance son los mismos?
El archivo de ampliación (Setup. bin) es el mismo para la máquina virtual basada en Linux Manager y para Manager Appliance.
¿Cómo puedo crear una copia de seguridad de la base de datos de una Manager basada en Linux?
Puede revertir la base de datos mediante la interfaz gráfica de usuario Manager o el shell de Manager.
Para recopilar la copia de seguridad de la base de datos del shell de Manager, ejecute dbBackup.sh script. SEÑALAR
Si está ejecutando una versión de Manager basada en Linux 9.1.7.75 bien 9.2.7.31, McAfee Enterprise le recomienda que realice la copia de seguridad de la base de datos de Manager GUI.
Si está ejecutando Manager versión 9.1.7.77 o posterior, McAfee Enterprise recomienda detener el servicio de base de datos de Manager antes de realizar la copia de seguridad.
Véase la Guía de instalación de Network Security Platform Manager Appliance (Linux) para obtener más información.
¿Cómo puedo evitar daños en los datos al ampliar o migrar?
McAfee empresa le recomienda encarecidamente que realice una copia de seguridad de la base de datos antes de una ampliación o migración para evitar daños en la información.
¿Cómo migro de un Windows Manager la ejecución de MySQL base de datos a un Manager basado en Linux que ejecute una base de datos de MariaDB?
El proceso de ampliación de Manager migra la base de datos de MySQL a MariaDB. Los usuarios no necesitan realizar otros procedimientos para esta migración.
¿Puedo restaurar una copia de seguridad tomada de un Manager que está ejecutando MySQL base de datos en una versión de Manager superior que ejecuta MariaDB?
Sí. Puede restaurar la copia de seguridad de la base de datos tomada de un Manager que se esté ejecutando MySQL a una versión posterior de Manager que ejecute MariaDB. SEÑALAR Los primeros dígitos de ambos administradores deben ser idénticos (el mismo McAfee producto gestionado por la empresa). Por ejemplo, no se puede restaurar una copia de seguridad de base de datos tomada de la versión NSM 8.1.7.65 Para 9.1.7.75, pero puede restaurar 9.1.7.65 Para 9.1.7.75.
¿Cómo puedo acceder al shell de MariaDB?
Abrir una sesión de línea de comandos de Manager y ejecutar dbShell mando. SEÑALAR El nombre de usuario predeterminado para el MariaDB adminy la contraseña admin123según.
¿Cómo cambio la contraseña de la base de datos?
Abra una sesión de línea de comandos y ejecute el comando passwordchange.sh mando. SEÑALARLa contraseña raíz de la base de datos predeterminada es root123.
¿Puede un Central Manager ejecutar MariaDB administrar administradores que ejecuten MySQL base de datos y, a la inversa,?
La Central Manager en ejecución María no puede administrar los administradores que ejecutan MySQL base de datos y un Central Manager que ejecuta MySQL base de datos no puede administrar administradores que ejecuten MariaDB. SEÑALAR La versión Central Manager 9.2.7.31 y anteriores, y 9.2.9.8 y anteriores, no se puede administrar la versión Manager 9.1.7.77.
¿Cómo puedo transferir archivos de una Manager basada en Windows a una Manager basada en Linux?
Puede transferir archivos de un Manager basado en Windows a un Manager basado en Linux de forma segura mediante la Bitvise aplicaciones. SEÑALAR La aplicación WinSCP no admite la transferencia de archivos desde un Manager basado en Windows a un Manager basado en Linux debido a la discrepancia de cifrado.
¿Puedo utilizar el comando scpToRemote para copiar archivos desde una Manager basada en Linux a una host de Windows?
El comando scpToRemote solo se puede utilizar para copiar archivos a un host de Linux remoto.
¿Puedo crear un MDR con un Manager Windows y una combinación de Manager de Linux?
No se puede crear un par de MDR con un Manager Windows y un Manager de Linux. En un MDR, ambos administradores deben ejecutar el mismo sistema operativo.
¿Cómo puedo ampliar un par de MDR con administradores que ejecutan MySQL base de datos a administradores que ejecutan MariaDB base de datos?
McAfee empresa recomienda interrumpir el par MDR, ampliar los administradores individuales y volver a crear el par de MDR.
¿Puede una Central Manager basada en Linux administrar una Manager basada en Windows?
Un Central Manager basado en Linux solo puede administrar un Manager basado en Linux. El Central Manager basado en Linux no puede administrar un Manager basado en Windows y un Windows basado en Central Manager no puede administrar un Linux basado en Manager.
¿Qué hace el collect logs comando?
El comando recopilar registros se utiliza con fines de depuración. Recopila todos los registros de Manager. Por ejemplo, EMS. log, emsout. log, emssync. log y initdb. log.
¿Cuál es la diferencia entre los registros recopilados mediante el InfoCollector en contraposición a los registros recopilados mediante el comando recopilar registros.
El comando recopilar registros recopila solo los registros relacionados con el Manager. Lo InfoCollector utilidad recopila información del sistema, registros de Manager y copia de seguridad de la configuración.
¿Puede una Manager basada en Linux administrar un NTBA Appliance?
Sí, el Manager basado en Linux puede administrar un NTBA Appliance.
¿Es compatible McAfee Linux Operating System (MLOS) FIPS?
Sí, MLOS es conforme con FIPS. La Manager basada en Linux se basa en el sistema operativo conforme con FIPS. SEÑALAR El software Manager basado en el MLOS certificado por FIPS no es conforme a FIPS.
¿Sigue McAfee empresa la compatibilidad con el software de Manager basado en Windows?
El Appliance de Manager basado en Windows estaba a punto de caducar el 2020 de enero. Soporte técnico no soluciona los problemas del Appliance de Windows tras esta fecha.
¿Qué ocurre cuando se realiza una RMA con un Appliance de Manager basado en Windows?
Cuando se renueva una aplicación de Manager basada en Windows, se recibe un nuevo dispositivo de Manager basado en Linux. SEÑALAR El fin de venta (EOS) para el dispositivo Manager basado en Windows se anunció en el 2018 de enero. McAfee empresa ya no suministra ningún dispositivo Manager nuevo basado en Windows.
¿Puedo instalar el software de Manager de Linux basado en hardware de terceros?
McAfee Enterprise recomienda no instalar el software de Manager basado en Linux en un hardware de Linux de terceros.
¿McAfee Enterprise admite cualquier otra plataforma de Linux para el software de Manager?
Actualmente, el software de Manager basado en Linux solo se puede instalar en un McAfee Linux Operating System (MLOS).
¿Puedo configurar la segunda tarjeta de red del Appliance NSM en MLOS?
Actualmente, es posible utilizar solo la primera interfaz de NIC. No se admite el uso del segundo NIC.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
