Ajout manuel de la vitesse du port de gestion pris en charge pour les capteurs NS-9500 et NS-7500 ?à la section « matériel ».
5 février 2021
Modifié pour mettre à jour les termes, lier la présentation.
19 octobre 2020
Ajout de « pourquoi la Sensor envoyer une requête DNS pour résoudre www.google.com dans la serveur DNS configurée ? » dans la section « général ».
23 septembre, 2020
Modifications mineures.
Le 3 juillet 2020
Ajout de la question suivante à la section matériel :
«Est-il possible d’utiliser un câble avec un SR SFP+ connexion à une extrémité et LR SFP+ a l’autre avec le McAfee Sensor ?»
Table des matières
Cliquez pour développer la section que vous souhaitez afficher :
Quel est le jeu de signature NSP Lite ?
Le jeu de signatures NSP Lite est une version légère du signature définie, modérée par McAfee chercheurs en entreprise. Cet ensemble exclut les signatures les plus anciennes sans vous exposer à un risque notable de la part des attaques de jour moderne. L’exclusion des signatures plus anciennes vous permet de continuer à mettre à jour vos capteurs avec les dernières signatures d’attaque et de conserver Sensor utilisation de la mémoire relativement faible. Le premier jeu de signatures Lite a été 9.8.19.102.lite, publié le 11 avril 2018.
L’alerte de basculement d’adresse MAC ARP : MAC s’affiche uniquement au niveau de l’interface CIDR. Pourquoi cette alerte n’affiche-t-elle pas le nom de la sous-interface ?
La recherche basée sur CIDR pour la prise en charge de la sous-interface est effectuée uniquement pour les paquets IPv4 (PTYPE = 0x800). Etant donné que le protocole ARP ne relève pas de cette catégorie, seule l’interface classification basée sur le port et le niveau de réseau local virtuel (VLAN) est enregistrée pour les paquets ARP. Ce comportement est attendu.
Est-il possible de bloquer un transfert de fichiers FTP ?
Aucun. Le Sensor ne peut pas bloquer les transferts de fichiers FTP. Pour FTP, le blocage est effectué de manière optimale et est le résultat d’une limitation dans le protocole FTP.
Les informations sur la taille du fichier ne sont pas disponibles pour le transfert FTP. Par conséquent, le Sensor ne sait pas de manière fiable la fin du transfert.
La seule façon dont la Sensor peut déterminer la taille est lorsque la connexion de données est interrompue (TCP FIN est reçu). Mais lorsque la connexion est interrompue, le fichier a déjà été transféré.
Quelle que soit l’attaque générée dans Threat Analyzer, le blocage n’est pas pris en charge dans les transferts de fichiers FTP. Ce manque de support est une limitation du protocole FTP. Le Sensor extrait tout de même le fichier, l’analyse à la recherche de logiciels malveillants et déclenche des alertes.
Je souhaite supprimer, puis réinstaller un Sensor sur le Network Security Manager (NSM). Est-il possible de conserver l’ancienne adresse IP, mais de modifier le nom de l’Sensor ? Quelles précautions et quelles étapes dois-je effectuer avant de rajouter le Sensor à NSM ?
Oui. Vous pouvez conserver l’ancienne adresse IP et modifier le nom de l’Sensor. Après l’exécution de la désinstallation sur le Sensor, NSM conserve les informations d’État et l’adresse IP associées à ce nom de Sensor.
Prévu Ajouter et supprimer des équipements, vous devez supprimer l’ancienne entrée de l’Sensor de NSM avant de rajouter le Sensor à NSM. La suppression de l’ancienne entrée supprime les informations d’État et l’adresse IP associées à l’ancien nom de Sensor.
VeuillezSi vous ne supprimez pas l’ancienne entrée, vous voyez des problèmes. Par exemple, la trace Sensor générée sous l’ancienne entrée Sensor dans NSM.
Qu’arrive-t-il aux alertes lorsque NSM est indisponible ou NSM et NTBA ne parviennent pas à communiquer ? Quelle est la capacité du journal des alertes dans ces scénarios ?
NTBA stocke les alertes si elles ne parviennent pas à communiquer avec NSM. NTBA effectue la différenciation en fonction du type d’alerte et des alertes générées. Si elle n’a pas été envoyée à NSM, elle est vidée dans un fichier local sur le NTBA.
La limite de la taille du fichier est de 10 Mo. Si la taille du fichier dépasse la limite, de nouvelles alertes sont supprimées. La taille moyenne des alertes est de 80 octets. le fichier peut donc contenir plus de 100 000 alertes.
Il existe un processus de continuité qui lit le fichier et envoie l’alerte à NSM. Lorsque la connexion avec NSM est rétablie, les alertes sont envoyées et l’entrée supprimée du fichier.
La tâche de sauvegarde dans tâches en cours d’exécution est répertoriée en tant que « réussite ». Mais si je sauvegarde puis restaure la configuration NSM, la tâche est remplacée par échec. Motifs?
Cette modification est telle qu’elle est conçue. Lors de la collecte des données de sauvegarde (toutes les tables ou toutes les tables d’audit), NSM ajoute une entrée audit pour backup-in-progress. Une fois la sauvegarde terminée, NSM marque cette entrée audit comme suit : backup-success. Toutefois, le fichier de sauvegarde inclut l’entrée audit qui est encore backup-in-progress. Au démarrage, NSM restauré marque toutes les entrées en cours comme ayant échoué. Veuillez Même en cas d’échec, il n’y a aucun impact fonctionnel sur le gestionnaire.
McAfee entreprise garantit-il que NSP extrait l’adresse IP correcte à partir du XFF en-tête dans les connexions HTTP avec traitement en pipeline ?
Aucun. NSP ne prend pas en charge la corrélation des demandes et des réponses lors de la gestion de la canalisation HTTP.
Pourquoi la Sensor envoie-t-elle une requête DNS pour résoudre www.google.com à la serveur DNS configurée ?
La Sensor utilise cette requête comme vérification de la disponibilité du serveur DNS. Cette requête doit être réussie pour utiliser les fonctionnalités liées à DNS.
Le kit de prévention de défaillances effectue-t-il un Auto-MDIX ?
Aucun. Cette action est une fonction de la fonctionnalité Auto-MDIX du McAfee Enterprise SFP installé sur le Sensor.
Le kit de pannes de cuivre fonctionne-t-il de la même manière que les kits de prévention des pannes optiques (SM) et multimode (MM) en mode de panne (FO) ?
Le kit FO (commutateur de contournement de fibre) ne croise pas TX/RX modules. Reportez-vous au Guide rapide du kit de contournement de défaillances Gigabit Optical pour votre version du logiciel Sensor/Sensor. Ce guide inclut un diagramme pour l’installation correcte et d’autres détails relatifs à l’installation et à la connectivité.
Après la modification d’un mode de contournement d’un kit de contournement actif en cas d’échec de 10/100/1000 cuivre (AFO), en mode de TARAUDage, le AFO est mis hors tension. Au redémarrage, le mode TARAUDage a été désactivé. Motifs?
Le AFO se comporte comme prévu. Les paramètres du mode TAP ne sont pas enregistrés dans AFO. Lors du cycle d’alimentation du AFO, le paramètre par défaut, en mode TAP, est rétabli.
Quels XFPs sont pris en charge sur les capteurs M-Series ?
Seuls les XFPs suivants sont pris en charge sur les capteurs M-Series :
Un dongle fermé est-il nécessaire pour configurer les ports de surveillance sur les capteurs M-1250 et M-1450 en mode de fermeture ou d’intervalle ?
Aucun. Contrairement aux capteurs de la série I-Series, il n’est pas nécessaire de placer des dongles en mode fermé sur les ports de surveillance des capteurs M-1250 et M-1450, même en mode de défaillance ou d’étalonnage. La fonctionnalité de clé d’adaptateur est désormais intégrée aux ports de surveillance eux-mêmes.
La consommation d’énergie maximale de NS7x00 Sensor est de 250 W ; Pourquoi le PSU fourni est-il évalué à 650 W ?
McAfee Enterprise utilise ce bloc d’alimentation 650W en raison des exigences de facteur de forme pour les appliances NS7x00 Series.
Quel est l’état de liaison initiale des ports d’interconnexion de M-8000 Sensor ?
Le M-8000 possède trois interconnexions présentes sur les capteurs principal et secondaire :
Sensor principal : XC1 (interface cuivre), XC2 (interface 10G) et XC3 (interface 10G)
Lorsque le Sensor démarre pour la première fois, les liens XC1 et XC4 sont OPÉRATIONNELs. XC2 et XC5, et les liens XC3 et XC6 sont inactifs jusqu’à ce que le premier sigset soit téléchargé.
Lorsque les interfaces Sensor sont configurées en tant qu’interfaces en ligne, existe-t-il une communication croisée entre les ports lorsque le trafic passe par le Sensor ?
Aucun. Le Sensor n’effectue aucune commutation ni routage du trafic. Les deux interfaces qui sont regroupées en tant que paire d’interfaces, par exemple 1A/1B ou 2A/2B, sont liées les unes aux autres de manière fixe. Le trafic entrant sur une interface, par exemple 1 a, peut laisser le Sensor uniquement sur l’interface correspondante, par exemple 1B, de la paire. Ce fait est un facteur de conception fondamental dans le logiciel Sensor. Etant donné que le Sensor n’effectue aucune décision de routage ou de changement, il n’y a aucune prise en charge dans le Sensor pour le transfert des paquets vers une autre interface de l’équipement.
Puis-je utiliser un GBIC fibre et un GBIC en ligne cuivre sur la même paire d’interfaces du Sensor ?
Aucun. Vous ne pouvez pas utiliser plusieurs GBIC sur la même paire d’interfaces.
Est-il possible que Sensor prenne en charge un EtherChannel composé de deux connexions de modules SFP + différents (connexions de la fibre de secours et d’une connexion GD) ?
Oui. Le Sensor peut prendre en charge un EtherChannel composé de ces connexions.
Le Sensor prend-il en charge la configuration du commutateur de contournement de cuivre externe sur les ports RJ-45 ?
Oui. Actuellement, le commutateur de contournement du cuivre externe peut être configuré sur les ports RJ-45. Toutefois, à condition que le port soit configuré en mode de fermeture en mode arrêt sur les modèles de Sensor suivants :
NS9300
NS9200
NS9100
M-2950
M-2850
M-1450
M-1250
Suivez la procédure ci-dessous pour configurer le mode de fermeture en cas d’échec :
Dans la Manager, sélectionnez Liste des équipements, Nom du Sensor, Sensor physique, Paramètres de port.
Au Ports de surveillance, sélectionnez le port numéroté à configurer.
La fenêtre Configurer le port de surveillance qui affiche les paramètres actuels du port s’affiche.
Dans la Mode de fonctionnement liste déroulante, sélectionnez En ligne-fermé (paire de ports).
Veuillez L’état du commutateur de contournement du cuivre externe n’est pas affiché dans la Manager. De même, l’État n’est pas affiché en exécutant l’affichage intfport à partir de l’interface de commande de Sensor.
Est-il possible d’obtenir le numéro de série de l’alimentation Sensor (PSU) à partir de la ligne de commande (CLI) ?
Aucun. Il n’existe actuellement aucune commande répertoriant le numéro de série du Sensor.
Après avoir rebranché le câble réseau à partir d’un port Sensor, le port est désactivé. Est-il nécessaire de réactiver le port via la Manager ?
Oui. Cette conception est intentionnelle. Etant donné que le Sensor ne connaît pas la raison du « échec » du port, il est marqué comme désactivé. Une fois le problème de liaison résolu, vous pouvez réactiver le port.
Si le Sensor a essayé d’ouvrir automatiquement le port, il se peut que vous rencontriez un volet réseau. Le port a été mis en place, échoue, puis réactivé sans que le problème sous-jacent soit résolu.
Est-il possible de modifier ce comportement ?
Vous pouvez modifier ce comportement si un kit d’ouverture de défaillance passif est en cours d’utilisation (externe ou intégrée).
Pour plus d’informations, reportez-vous aux informations relatives à setfailopencfg restore-inline dans le Guide de l’interface de commande de mise à jour de votre version.
Le basculement Sensor peut-il fonctionner dans une configuration active-active ou fonctionne-t-il dans Active-Standby avec la pulsation déclenchant l’action de basculement ?
Les capteurs NSP sont toujours actifs et actifs. Le câble de basculement copie toujours tout le trafic de chaque Sensor vers l’autre, ce qui permet au trafic de circuler en permanence, même en cas d’échec.
Les capteurs acheminent-ils le trafic ?
Aucun. Les capteurs ne participent pas au routage ou au basculement du trafic. l’architecture de commutation et de routage réseau effectue cette action.
Est-il possible de convertir un appliance de reprise automatique (FO) en un disque de secours ?
Aucun. Cette action n’est pas possible. Vous pouvez mettre à niveau un modèle FO vers un modèle standard, mais vous ne pouvez pas rétrograder un modèle FO en un modèle de secours. Pour plus d’informations, contactez votre contact commercial.
Quels sont les paramètres par défaut de ma NSP Sensor ou d’un autre matériel ?
Périphériques
Débit en bauds
Datacenter
Parity
Arrêtez
Contrôle de flux
Utilisateur par défaut
Mot de passe par défaut
Port SSH
M-Series
38400
8
Aucun
1
Aucun
admin
admin123
22
N-Series
38400
8
Aucun
1
Aucun
admin
admin123
22
NS-Series
115200
8
Aucun
1
Aucun
admin
admin123
22
NTBA
9600
8
Aucun
1
Aucun
admin
admin123
22
XC240
115200
8
Aucun
1
Aucun
admin
admin123
22
Kit AFO
19200
8
Aucun
1
Aucun
McAfee
McAfee
N/A
L’Auto-MDIX est-il activé pour la série NS RJ-45 pour tous les paramètres de la surveillance des ports ?
Aucun. Si vous avez désactivé le paramètre de négociation automatique sur une vitesse de port de 10 Mbit/s ou 100-Mbit/s, Auto-MDIX ne fonctionne pas. La conception actuelle de l’interface NIC est à l’origine de ce problème.
Est-il possible d’utiliser un câble avec une connexion SR-SFP + à une extrémité et un SFP + LR à l’autre avec le McAfee Sensor ?
Oui. Le Sensor prend en charge les connexions aux équipements homologues à l’aide de ces câbles.
La définition manuelle de la vitesse du port de gestion est-elle prise en charge pour les capteurs NS-9500 et NS-7500 ?
Non, seule la négociation automatique est prise en charge pour ces capteurs.
Qu’est-ce que Hitless Sensor redémarrage ?
NSP prend désormais en charge le redémarrage et la mise à niveau Hitless. Ces fonctionnalités réduisent le temps nécessaire à un Sensor pour redémarrer et empêcher l’interruption du trafic.
Comment le redémarrage Hitless fonctionne-t-il ?
Un redémarrage Hitless redémarre uniquement les processus sélectionnés sur le Sensor. Le Sensor passe en mode de transfert de couche 2 et redémarre alors que le chemin d’accès aux données continue de passer le trafic. L’heure de redémarrage est également considérablement réduite, car l’ensemble du Sensor n’est pas mis hors tension.
Dans quelles conditions un redémarrage Hitless se produit-il ?
Le Sensor tente toujours un redémarrage Hitless s’il doit effectuer une récupération à partir d’erreurs internes. Vous pouvez également lancer un redémarrage Hitless à partir de la ligne de commande Sensor ou de NSM. Si un redémarrage Hitless n’est pas possible, un notification est envoyé à la Manager et un redémarrage complet se produit.
Tous les Sensor sont-ils mis à niveau avec les mises à niveau Hitless ?
Cela dépend du fait que la modification du logiciel Sensor nécessite un redémarrage complet. Lorsque la mise à niveau de Sensor est terminée, vous voyez s’afficher une option de redémarrage Hitless en fonction de la version du logiciel.
Quelles sont les limitations d’un redémarrage Hitless ?
Le redémarrage Hitless n’est pas pris en charge lors de mises à niveau en cas de modification d’un commutateur ou d’un niveau du noyau interne dans le code logiciel. De plus, si le Sensor ne peut pas récupérer à partir d’erreurs internes et que trois tentatives de récupération automatique sont effectuées dans une période de 15 minutes, l’une des deux situations suivantes se produit. Lors de la prochaine tentative de récupération automatique, le Sensor reste dans la couche 2 ou effectue un redémarrage complet.
Quelles sont les causes les plus courantes des échecs de redémarrage de Hitless ?
Le redémarrage Hitless échoue si les chemins d’accès aux données du Sensor ne s’initialisent pas et s’ils ne signalent pas un statut Ready.
Quelle est la fréquence à laquelle les Sensor et Manager échanger des informations pour vérifier que la Sensor est opérationnelle ?
L’intervalle d’interrogation est en général toutes les deux minutes. Toutefois, lorsque le Sensor détecte un échec, l’intervalle d’interrogation est réduit à toutes les 30 secondes. Cette réduction est effectuée pour éviter des problèmes tels qu’un paquet perdu provoquant une alerte d’échec. Si le Sensor est toujours injoignable au bout de 10 minutes, la fréquence d’interrogation revient à sa valeur normale de deux minutes.
Quel est le nombre de transferts de données provoqués par cette interrogation ?
L’interrogation est effectuée via un paquet UDP SNMP et quatre variables MIB sont interrogées. L’intégralité de la charge utile de la demande SNMP application est d’environ 100 octets.
Combien de temps cela peut-il se faire avant que le Manager marque un Sensor comme déconnecté du système Santé ?
Etant donné que l’interrogation initiale est effectuée toutes les deux minutes et que le délai d’expiration normal est de 60 secondes, le meilleur cas pour indiquer un échec est de 60 secondes. Toutefois, il peut s’agir d’une durée de 180 secondes (120 + 60).
Pourquoi les paramètres d’action Manager-ils activés immédiatement sans mise à jour de configuration sont-ils activés ?
Lorsqu’un administrateur système modifie un paramètre d’action pour l’Manager (par exemple, ACK automatique, SNMP et syslog) dans l’Editeur de stratégies, une mise à jour de la configuration est requise. Toutefois, ces paramètres sont activés immédiatement sans celui-ci. Il s'agit du comportement prévu. La conception NSP actuelle assure le suivi des modifications de configuration à la granularité de la stratégie. Toute modification apportée à la stratégie indique qu’une diffusion de fichier signature est requise pour le Sensor. NSP a fait des efforts considérables pour améliorer la mise à jour des fichiers signature pour le Sensor avec l’introduction de la mise en cache et la mise à jour incrémentielle. Le plan actuel est de se concentrer sur l’amélioration de l’efficacité de diffusion des fichiers signature et non sur les modifications de stratégie de suivi à un niveau de granularité plus élevé.
Mise à jour de la configuration éléments nécessaires
Gravité de l’attaque *; Sensor actions ; Journalisation
* Les changements de gravité des attaques sont utilisés par les Manager et Sensor. La partie Manager, telle que les modifications de gravité affichées dans Threat Analyzer, est appliquée immédiatement. La partie Sensor, par exemple pour la fonction NAC, nécessite une mise à jour Sensor.
Est-il possible d’installer le logiciel NSM appliance à l’aide du logiciel appliance RMM ?
Aucun. L’utilisation du DVD d’installation de appliance NSM avec le logiciel appliance RMM n’est pas prise en charge. Si vous utilisez le DVD d’installation de NSM appliance avec le logiciel Intel® RMM fourni avec le appliance, des résultats inattendus et indésirables peuvent apparaître.
L’interface du support d’installation doit être accessible à l’aide d’un clavier et d’une souris directement connectés au serveur à l’emplacement du serveur.
Est-il possible d’agréger ou de combiner plusieurs licences NSM en une seule installation ? Par exemple, si je dispose d’une licence standard, puis-je acheter un Starter Pack pour obtenir 8 équipements managés ?
Aucun. Les licences NSM ne sont pas cumulatives. Pour gérer plus de six capteurs à partir d’un seul NSM, vous devez acheter une licence NSM globale.
Après la mise à niveau du Manager, je vois un processus de mise à jour Sensor qui n’a pas été exécuté manuellement. Les capteurs n’affichent aucun téléchargement actif lorsque le downloadstatus la commande est exécutée et le jeu de signatures le plus récent est présent sur le Manager. Si je redémarre le Manager, le processus de mise à jour finit par redémarrer. Ems.log le fichier n’affiche aucune diffusion en clair, et le journal d’audit ne montre aucune activité utilisateur envoyant une configuration mise à jour aux capteurs. Quelle est la cause de ce processus de mise à jour ?
Après une mise à niveau Manager, NSM compile le dernier jeu de signatures et l’envoie automatiquement aux capteurs.
Veuillez Cette mise à jour échoue si les capteurs disposent déjà du jeu de signatures le plus récent.
Comment puis-je définir une proxy pour les mises à jour yum sur un appliance NSM MLOS ?
Ouvrez une session de ligne de commande NSM.
Type sudo vi /etc/yum.conf et appuyez sur entrée.
Accédez à la section [main].
Ajoutez les lignes suivantes dans la section [main] : proxy = http://: 8080
proxy_username = proxy_password =
Type :wq
Est-il possible de sauvegarder et de restaurer NSM à l’aide de la fonctionnalité de sauvegarde Windows ?
McAfee entreprise n’a pas testé à l’aide de Windows sauvegarde pour sauvegarder et restaurer une installation NSM et ne peut pas garantir son fonctionnement. Si cette fonctionnalité de sauvegarde ne fonctionne pas correctement, contactez le support Microsoft.
Pourquoi une mise à jour de configuration est-elle nécessaire lorsque vous activez ou désactivez la surveillance de l’état des ports ?
Pour améliorer les performances, le paramètre filtrage des alertes internes est appliqué ou supprimé lorsque vous activez ou désactivez son état de port. La diffusion de la configuration est requise, car cette modification doit être appliquée à la Sensor. Le filtrage des alertes internes prend en charge les attaques ignorées. Par conséquent, si la modification de la configuration n’est pas diffusée en mode push, NSM reçoit des alertes indésirables.
Au 10.1 et versions ultérieures, pourquoi la mise à jour de configuration ne s’exécute-t-elle pas sauf si les deux capteurs de reprise sont disponibles ?
NSM 10.1 prend en charge deux types de moteurs snort dans le Sensor. Un Sensor doit être choisi à l’aide de NSM. NSM valide le fait que les deux capteurs d’une paire de reprise exécutent le même moteur snort pendant le déploiement de la configuration. En cas d’échec de cette validation, la mise à jour de la configuration n’est pas diffusée.
Comment puis-je activer la Threat Analyzer en temps réel ?
Permanente Explorer a remplacé la Threat Analyzer en temps réel (RTTA). Si vous devez activer la Threat Analyzer en temps réel, procédez comme suit :
Sur le serveur Manager, utilisez Windows Explorer pour accéder aux éléments suivants :C:\Program Files\McAfee\Network Security Manager\App\config. Veuillez Ce chemin d’accès peut être différent si vous avez installé NSM à un autre emplacement.
Recherchez le ems.properties fichier et ouvrez-le à l’aide du bloc-notes Windows.
Ajoutez l’entrée suivante :
iv.ui.ta.display.isEnabled=true
Enregistrez le fichier et redémarrez le service NSM.
Veuillez RTTA est désormais uniquement partiellement pris en charge dans NSM. McAfee Enterprise n’améliorera pas l’analyseur ou ne corrigera pas les problèmes. Cette partie du produit est telle qu’elle est fournie.
Comment importer des règles d’ignorement précédemment exportées ?
Pour importer des règles ignorées précédemment exportées, sélectionnez Approvisionnement, Prévention des intrusions, Complexes, Importation de stratégie, Ignorer les règles.
Comment importer des attaques personnalisées précédemment exportées ?
Pour importer des attaques personnalisées précédemment exportées, sélectionnez Approvisionnement, Types de stratégies, Stratégies IPS, Attaques personnalisées, Autres actions, Importer.
Les Sensor peuvent-ils être envoyés netflows aux analyseurs de flux NetFlow tiers ou juste NTBA ?
Aucun. Les données de flux de données générées par les capteurs ne sont pas des données NetFlow standard. ils sont au format propriétaire McAfee entreprise, mais seuls les NTBA peuvent les traiter.
Est-il possible de modifier le port utilisé par NSM pour la communication avec le serveur de messagerie configuré ?
Aucun. Par défaut, NSM utilise port TCP 25 pour la communication avec le serveur de messagerie. Vous ne pouvez pas modifier ce port.
Pourquoi les fichiers journaux Sensor sont-ils chiffrés ?
Les fichiers journaux Sensor sont principalement conçus pour consigner les informations dont Support technique et les équipes de développement ont besoin pour résoudre les problèmes, selon les besoins. Etant donné que le public principal de ces fichiers est interne à McAfee entreprise, les fichiers peuvent parfois contenir des détails internes ou propriétés par nature. Ils doivent donc être chiffrés. NSP fournit tous les événements critiques que vous devez connaître à l’aide des commandes CLI Sensor. McAfee entreprise vous invite à soumettre votre demande pour toute information dont vous avez besoin, mais qui n’est pas disponible actuellement. Ces demandes sont ensuite consolidées dans les versions de maintenance de NSP ultérieures.
Comment le Sensor gère-t-il le trafic des hôtes mis en quarantaine ?
La fonctionnalité de mise en quarantaine IPS permet à l’Sensor de mettre en quarantaine les hôtes non conformes tout en donnant accès à la correction. Lorsque la mise en quarantaine IPS est activée, lorsqu’une attaque est détectée sur un port de surveillance en ligne Sensor, le Sensor crée une règle de mise en quarantaine pour l’adresse IP source de l’hôte. Mais il crée une règle de quarantaine uniquement si l’hôte n’est pas répertorié dans la liste de exclusion NAC. Le Sensor ne bloque jamais le trafic provenant des hôtes de la liste de exclusion NAC. Si l’hôte ne figure pas dans la liste de exclusion NAC, il est placé dans la table de quarantaine pendant une durée spécifiée.
Le Sensor vérifie tout le trafic qui traverse les ports par rapport à la table de quarantaine et bloque tous les paquets envoyés à partir des hôtes mis en quarantaine. Cette vérification empêche les hôtes non conformes d’endommager les autres systèmes du réseau. Vous pouvez configurer une zone d’accès réseau IPS avec des adresses IP spécifiques auxquelles l’hôte est autorisé à accéder lorsqu’il est mis en quarantaine. (Par exemple, le portail de correction ou serveur DNS.) Ce fait, l’hôte mis en quarantaine peut accéder aux documents de correction sans compromettre la sécurité globale du réseau. Un hôte peut être ajouté à la table de quarantaine en faisant correspondre une stratégie NAC ou en faisant correspondre une signature pour laquelle l’option de réponse de la quarantaine est activée.
Comment puis-je forcer/modifier la détection Sensor DOS en mode d’apprentissage ?
Sélectionnez déni de service, gestion des données, puis sélectionnez reconstruire le profil DoS (démarrer l’apprentissage à partir de zéro).
NSP compense-t-il la latence du réseau lors de la synchronisation du temps ?
Aucun. NSP ne compense pas les problèmes de latence réseau pendant la synchronisation de temps.
En cas de délai d’attente du réseau de 100-msec entre le Sensor et le Manager, la Sensor temps 100 serait plus lent que la durée réelle de l’Manager. Le Sensor dispose d’une horloge interne qui obtient son paramètre de temps à partir de la Manager afin que les Sensor et les Manager soient synchronisés. Si le Sensor perd la connexion avec le Manager, l’horloge interne met à jour l’heure de la Sensor de manière périodique. Le délai entre le Sensor et le Manager correspondrait au délai de latence du réseau entre ce Sensor spécifique et le Manager. Des délais plus longs ou plus courts peuvent exister entre le Manager et d’autres capteurs déployés.
Le Sensor écrit l’heure dans sa propre mémoire flash, car le Sensor ne dispose pas d’une horloge de sauvegarde de la batterie. En cas de coupure de courant, lorsque le Sensor redémarre et revient en ligne, il est possible que le Sensor ne puisse pas se connecter immédiatement à son Manager associé. Dans ce cas, le Sensor utilise la dernière fois qu’il a été enregistré dans Flash. Cette situation est la seule fois où le Sensor récupère l’heure à partir de la mémoire flash. dans le cas contraire, l’heure enregistrée dans le flash n’est pas pertinente.
Lorsque NSM est installé avec deux gestionnaires configurés en Manager la reprise sur sinistre (MDR), les deux gestionnaires doivent être mis à jour avec les données d’alerte Sensor. Comment les capteurs communiquent-ils avec NSM pour mettre à jour les informations d’alerte ?
Le Sensor tente d’envoyer des alertes aux deux NSMs dans une configuration MDR. Si l’alerte a été envoyée avec succès à un NSM, vous pouvez supprimer l’alerte de la mémoire tampon Sensor. Si le Sensor ne peut pas envoyer l’alerte à l’un des NSMs, il est enregistré dans la mémoire tampon Sensor. Les gestionnaires synchronisent leurs bases de données entre eux pour mettre à jour les alertes qui n’ont pas pu être reçues sur les autres Manager lorsqu’ils communiquent la prochaine fois. Chaque alerte est marquée avec des attributs uniques pour faciliter la synchronisation entre les gestionnaires.
Quelle est la différence entre les fonctionnalités de mise en quarantaine d’IPS et de liste de contrôle d’accès (ACL) dans NSP ?
Les règles de quarantaine IPS sont traitées indépendamment des règles ACL et évaluées avant.
Une règle de mise en quarantaine IPS supprime tout le trafic d’une adresse IP source, tandis qu’une règle ACL peut être plus spécifique au type de trafic rejeté.
Les règles de quarantaine IPS sont créées dynamiquement. Vous devez ajouter explicitement des règles ACL lorsque vous créez une stratégie.
Vous pouvez supprimer dynamiquement les règles de quarantaine IPS après une durée prédéfinie. Vous devez supprimer les règles ACL explicitement via une mise à jour de stratégie.
Comment les attaques de botnet s’affichent-elles dans la Threat Analyzer ?
Lorsque le trafic est détecté, les adresses sont recherchées dans le fichier DAT de botnet. Cette action permet de déterminer si une adresse IP ou un nom de domaine est une adresse de botnet connue.
Si les données sont mises en correspondance, une alerte est déclenchée et l’adresse IP ou le domaine de commande et de contrôle (C&C) est marqué comme attaquant. L’adresse de l’attaquant est placée dans la colonne IP source de la Threat Analyzer. L’adresse de l’hôte qui se connecte à l’adresse C&C est marquée comme victime. La victime apparaît dans la colonne adresse IP de destination de la Threat Analyzer.
La direction du flux est basée sur la personne qui a initié la connexion et indique si le flux initial était entrant ou sortant.
Pourquoi les alertes de faible et d’information ne s’affichent-elles pas dans le Threat Analyzer Real Time (RTTA) ?
Il s'agit du comportement prévu. Utilisez la Threat Analyzer historique pour afficher les alertes de faible et d’information.
Je peux configurer les attaques à bloquer dans l’Editeur de stratégies, donc pourquoi la Sensor envoyer une alerte au Manager même si l’option’envoyer une alerte à la Manager est désélectionnée pour l’attaque ?
Il s'agit du comportement prévu. Etant donné que l’attaque est bloquée, le Sensor envoie l’alerte indépendamment du paramètre envoyer l’alerte au Manager. De cette manière, l’administrateur est averti de ce qui Sensor a bloqué l’attaque.
Dans RTTA, la section analyse DoS de l’écran détails de l’alerte pour le volume de paquets UDP alertes entrants/sortants trop élevé affiche l’intervalle IP de déni et les 3 principaux intervalles IP d’attaque. Pourquoi cette section est-elle parfois vide sans que des informations d’intervalle IP ne s’affichent ?
Il s'agit du comportement prévu. Lorsque le Sensor détecte l’attaque, il démarre immédiatement la collecte d’adresses IP. Le Sensor attend une période avant de déclencher l’alerte pour signaler également les informations d’adresse IP. Toutefois, si l’attaque est interrompue immédiatement après, le Sensor n’obtient aucune information d’adresse IP et génère une alerte sans l’adresse IP.
Pourquoi le SYN cookie ne fonctionne-t-il pas en cas de trafic MPLS sur le réseau ?
Le cookie SYN ne peut pas être pris en charge sur le trafic MPLS. La raison en est que NSP ne sait pas quel marqueur MPLS utiliser dans la direction de retour lorsque le Sensor proxy répond aux paquets SYN.
Est-ce que la Sensor empêche une inondation SYN possible lorsque vous activez le cookie SYN sur un Sensor où un port est configuré en étendue pour voir le trafic MPLS et que l’autre est configuré en ligne et ne voit pas le trafic MPLS ?
Oui. Le cookie SYN continue de fonctionner pour le trafic normal sur la paire de ports Inline.
Puis-je utiliser le cookie SYN si j’utilise un marqueur VLAN dans le trafic ? Par exemple, si tout le trafic contient un marqueur VLAN et que le Sensor ne voit que le trafic d’un seul réseau local virtuel (VLAN), mais ne reçoit pas le trafic des autres VLAN, le cookie SYN fonctionne-t-il encore ? Ou, le marqueur VLAN ne doit-il pas être présent sur le trafic en ligne pour que le cookie SYN fonctionne ?
Le cookie SYN fonctionne pour le trafic marqué VLAN. Même un mélange de trafic marqué de réseau local virtuel (VLAN) et non VLAN. Si les paquets retournent à nouveau via la même interface, il existe des restrictions.
Est-il possible d’obtenir le total de tout le trafic, qu’il s’agisse d’une entrée ou d’une sortie, à un moment donné instance plus grand que les capacités d’inspection à un Sensor donné (par exemple, NS9100 est-ce que les performances d’IPS sont de 10 Gbits/s) ?
Aucun. Les fonctionnalités d’inspection sont communes ou partagées avec tous les ports de l’Sensor. Ces fonctionnalités d’inspection déterminent la capacité nominale du Sensor.
Quelle est la différence entre « faire la distinction entre les attaques de corrélation » et « identifier les attaques signature » ? Ces deux types d’attaques de rapprochement font-ils partie de la « stratégie de rapprochement par défaut » ?
Cela dépend de la version de NSP/NSM utilisée. Obtenir 8.1, les stratégies IPS et les stratégies de reconnaissance sont utilisées. Les stratégies IPS contiennent les attaques basées sur le signature, et les stratégies de concordance contiennent les attaques basées sur la corrélation.
Mais, dans 8.2 les stratégies de rapprochement n’existent plus, et les attaques de concordance signature et de concordance basée sur la corrélation sont détectées dans les stratégies IPS.
Pour les différencier dans l’éditeur de stratégies IPS, McAfee entreprise a introduit des catégories d’attaques spécifiques (attaque de corrélation de reconnaissance et attaque de signature de reconnaissance) pour chacune d’elles.
Le navigateur Web d’un hôte mis en quarantaine manuellement n’affiche pas de message ou d’avis mis en quarantaine et n’offre pas de redirection vers le portail de correction. Pourquoi pas?
Lorsque vous configurez un Sensor pour afficher un message de navigateur sur un client mis en quarantaine ou le rediriger vers un portail de correction, il est mis en œuvre uniquement pour les hôtes mis en quarantaine automatiquement par le Sensor. Ce comportement est dû à la conception même du modèle. Lorsqu’un utilisateur met manuellement en quarantaine un hôte à partir d’Threat Analyzer, le message du navigateur ou le portail de correction n’est pas proposé, et la seule action entreprise est que l’hôte soit placé dans la zone de quarantaine correspondante.
Le Sensor détectera-t-il un fichier de test EICAR téléchargé via HTTP ?
Oui. NSP détecte le dernier fichier de test anti-malware EICAR. Vous devez télécharger le eicarcom2 fichier de test à partir de : http://www.eicar.org/. Veuillez Les versions antérieures du fichier de test ne sont peut-être pas détectées.
Quelle perte de paquet réseau est détectée, que ce soit lors de l’utilisation de la Sensor de l’ouverture, si le Sensor est redémarré ou subit une fluctuation de l’alimentation ?
Lorsqu’un Sensor redémarre ou qu’un autre problème survient, le lien qui relie les équipements de chaque côté du Sensor est bloqué. Cette rupture du lien, entraîne la renégociation de certains équipements réseau, et, en fonction des équipements réseau, cette renégociation peut prendre un certain temps.
Pendant le temps de négociation, aucun lien n’est présent, et les applications qui ne renvoient pas de paquets ou qui ont un délai d’expiration court peuvent ne pas communiquer. En général, une petite perte de paquet se produit, car le relais commence à basculer en mode d’échec d’ouverture. En fonction de l’équipement réseau spécifique de votre environnement, la perturbation peut aller de quelques secondes à plus d’une minute. Il en est de même lorsqu’un Sensor est replacé en mode en ligne, après l’échec de l’ouverture.
Qu’est-ce que l’intervalle de pulsation de la plate-forme Network Security Platform et que se passe-t-il en cas de perte du signal ?
Au cours d’une opération d’ouverture de défaillance en ligne normale Sensor, le contrôleur de défaillance ou le port de contrôle intégré fournissent la pulsation et le signal d’alimentation au commutateur de contournement. Le signal est pré-programmé avec un intervalle de quatre secondes. Si le signal n’est pas présent dans l’intervalle de quatre secondes, le kit de prévention de défaillance supprime le Sensor du chemin d’accès aux données et passe en mode de contournement.
Quel est le processus de synchronisation entre les Manager NSP et Sensor ?
La Sensor envoie régulièrement une demande de temps sur le canal de contrôle ou d’alerte, à des fins de synchronisation.
Le Sensor utilise le port 8502 ou 8507, le canal d’alerte.
Le Sensor demande à NSM l’heure toutes les 30 secondes. Veuillez Le Sensor demande uniquement si le canal d’alerte n’a pas d’alertes ou d’événements système à envoyer à NSM pour la durée ci-dessus. Si le canal est actif, la synchronisation de l’heure est déjà en cours de maintenance.
Toutes les 10 minutes cette heure synchronisée est écrite dans la mémoire flash de l’Sensor.
Est-il possible de supprimer ou de désinstaller Java du serveur NSM ?
Aucun. Java est toujours requis sur le serveur hébergeant NSM. Le serveur exécute une java.exe processus prenant en charge 2 Go de mémoire ou plus, en fonction de vos paramètres d’installation.
NSP propose-t-il des rapports de conformité HIPAA intégrés ?
Aucun rapport sur la conformité intégré n’est disponible sur la plate-forme NSP. McAfee Enterprise recommande l’Appliance Event Reporter telle qu’elle est fournie avec des rapports préconfigurés.
Des informations supplémentaires sur l’Appliance Event Reporter sont disponibles auprès de votre contact client McAfee Enterprise.
Quelles sont les modifications apportées aux paramètres Sensor lors de l’ajout d’une attaque à la NSP signature (sigset) ?
La signature renvoyée conserve les paramètres que vous avez appliqués avant la suppression de la signature.
Par exemple, si vous remplacez la gravité par moyenne par élevée avant que l’attaque ne soit supprimée, ce paramètre est récupéré et appliqué une fois l’attaque rajoutée. Veuillez L’attaque est activée même si vous la désactivez.
Quelles stratégies de contrôle d’accès par défaut basées sur l’identité ne peuvent pas être supprimées dans NSM ?
Vous ne pouvez pas supprimer les stratégies suivantes. Toutefois, vous pouvez modifier leurs paramètres pour spécifier si le système Santé est pris en compte lors de l’octroi de l’accès au réseau, et le niveau d’accès réel à accorder :
Par défaut
Utilisateur invité
Auto-enregistré
Puis-je créer une règle d’ignore et ne pas ajouter de nom d’attaque ?
Aucun. Les règles ignorées doivent avoir un nom d’attaque, car le Sensor ne peut pas interpréter ce type de filtre d’alerte.
Comment puis-je exclure une adresse IP spécifique de l’inspection ?
Ajoutez une règle de pare-feu dont l’action est définie sur ignorer sans État. Cette action transfère tous les paquets qui correspondent à la règle sans effectuer d’inspection, à l’exception de la recherche et de la correspondance de la règle FW.
Est-il possible d’implémenter une haute disponibilité active-active à l’aide de capteurs NSP ?
La Sensor est toujours active-haute disponibilité active. Il s’agit des équipements réseau homologue qui déterminent si le Sensor est utilisé comme actif-passif (un chemin d’accès réseau est bloqué) ou actif-actif.
Je crée des règles ignorées pour ignorer les attaques de reconnaissance (analyses à partir des analyseurs de vulnérabilités) avec le réseau interne en tant que source (attaquant) et n’importe quelle cible. Cependant, je vois toujours des alertes dans RTTA. Motifs?
L’utilisation des règles ignorées est la manière la plus incorrecte de traiter les analyseurs de vulnérabilité. Ajoutez plutôt une règle d’accès à la stratégie de pare-feu pour ignorer tout le trafic lié à la vulnérabilité analyseur (utiliser l’option ignorer sans État). Ajoutez également une autre règle pour tout le trafic provenant de l’analyseur (deux règles).
L’éditeur NSP UDS prend-il en charge l’opération NOT ?
Aucun. L’éditeur UDS ne prend pas en charge l’opération NOT. Le composant matériel d’accélération correspondant au modèle Sensor doit effectuer une concordance de chaîne sur toutes les chaînes autres que celle spécifiée avec l’expression NOT.
McAfee Enterprise recommande de ne pas effectuer ce type de recherche, car cela peut provoquer de graves problèmes de performances et ne constitue pas une solution efficace.
L’éditeur UDS prend-il en charge les recherches de caractères génériques ?
Aucun. Les recherches de caractères génériques ne sont pas prises en charge car l’utilisation d’un caractère générique uniquement dans une recherche entraînerait la récupération de tous les enregistrements de la base de données.
Le service DCOM peut-il être désactivé sur le serveur hébergeant le NSP ?
Oui. DCOM peut être désactivé sans affecter l’exécution de la Manager NSP. Pour plus d’informations sur la désactivation du service DCOM et les implications pour d’autres programmes et services, accédez à http://support.microsoft.com/default.aspx?kbid=825750.
Comment détecter un caractère à espace unique à l’aide de l’éditeur UDS ?
Si vous devez détecter un seul espace dans une expression, par exemple, xyz xyz, vous pouvez effectuer la recherche de chaîne en saisissant xyz xyz. McAfee Enterprise recommande de ne Rechercher qu’un seul espace ou des chaînes courtes, car cela peut provoquer des problèmes de performances et générer des faux positifs.
Comment vérifier les codes d’erreur à partir d’MySQL ?
Dans MySQL, vous pouvez vérifier les codes d’erreur générés à l’aide de l’option perror commande. Ouvrez une session de ligne de commande (cliquez sur Démarrer, exécuter, saisissez CMD et cliquez sur OK), puis, dans la section mysql\bin Répertoire, saisissez la commande perror et appuyez sur entrée. Par exemple, perror 28 Error code 28: No space left on device.
Comment le NSP Manager ou Sensor définir des adresses internes ou externes pour les filtres d’alerte ?
Les adresses internes ou externes sont définies en fonction du mode configuré :
Mode TAP/en ligne : sous Configuration du port, spécifiez le port à l’intérieur et à l’extérieur. Les filtres d’alerte utilisent les mêmes spécifications pour définir des spécifications internes ou externes, respectivement.
En mode SPAN : pour détecter et marquer Internal/external pour SPAN, l’utilisateur doit configurer VIDs basé sur CIDR. En l’absence de VIDs basé sur CIDR, le Sensor marque les paquets comme étant inconnus.
Pourquoi les alertes DoS bidirectionnelles ne comprennent-elles pas un onglet de débit de paquets ?
L’onglet taux de paquets n’est pas disponible pour les alertes de déni de service sous la forme d’une classification bidirectionnelle car :
Ces alertes statistiques impliquent plus d’un type de paquet.
Le volume de flux de paquets entre les deux directions est différent.
Quelle est la différence entre réussite et réussite de l’Threat Analyzer de l’état des résultats d’une attaque ?
Pour déterminer si une attaque réussit ou non, NSP couvre à la fois les aspects de détection et de post-détection de l’attaque. NSP identifie si l’attaque est réussie en fonction des réponses visibles sur le réseau :
Réussite
L’attaque a réussi
Peut-être réussi
Résultats inconnus, NSP ne peut pas déterminer si l’attaque a réussi ou non
Network Security Platform peut-il identifier l’adresse IP réelle du trafic du réseau de distribution de contenu tel qu’Akamai ?
Positive. En activant X-retransmis-for (XFF), Network Security Sensor peut détecter et bloquer les attaques en fonction de la véritable client-IP. Veuillez Cette fonctionnalité s’applique uniquement à HTTP.
NSP prend-il en charge l’utilisation des clés privées intégrées dans le certificat signé SHA-2 ?
Oui. Les certificats signés SHA-2 sont pris en charge. La fonctionnalité de déchiffrement SSL entrant n’effectue qu’une correspondance des données brutes du certificat serveur et ne valide pas le certificat. Par conséquent, NSP peut déchiffrer à l’aide des clés privées intégrées dans le certificat signé SHA-2.
Lorsque vous exécutez la commande clrstat pour effacer les statistiques de Sensor, exécutez la commande Afficher le capteur-Load, la Sensor-load affiche une valeur élevée, telle que 90%. Il peut répertorier cette valeur même lorsqu’il n’y a presque aucun trafic transitant par le Sensor. Motifs?
Ce comportement est dû à la conception même du modèle. Cette clrstat la commande efface les compteurs utilisés pour calculer la charge sur la Sensor. Pour permettre à l’Sensor de générer des compteurs à jour et la charge exacte à refléter, attendez environ 20 à 30 secondes et exécutez show sensor-load exécuter.
L’intégration TIE et DXL est-elle prise en charge sur tous les modèles Sensor ?
Aucun. Ces fonctionnalités ne sont prises en charge que sur les capteurs NS-Series.
Puis-je bloquer des fichiers en téléchargeant des hachages de fichier MD5 vers NSP ?
Oui. Cette fonctionnalité NSP ne nécessite pas la création d’une définition d’attaque personnalisée. Le Sensor NSP gère une liste de blocage et une liste d’autorisation des hachages. Il applique ces valeurs de hachage aux fichiers extraits des flux HTTP, SMTP et FTP lorsqu’ils y sont invités par la stratégie de logiciels malveillants (malwares).
Pour obtenir des instructions sur l’importation d’une valeur de hachage, reportez-vous à la section « stratégies de logiciels malveillants avancés » du Guide d’administration IPS correspondant à votre version.
Puis-je utiliser un port de réponse Sensor pour connecter le Sensor à mon NTBA Appliance ?
Aucun. Vous ne pouvez pas utiliser le port de réponse en tant que port de moniteur.
Comment la stratégie NSP détermine-t-elle le type de fichier pour la stratégie de logiciels malveillants avancée ?
NSP utilise une combinaison de types de contenu, de extension de fichiers, de propriétés de fichiers et de la technologie propriétaire McAfee Enterprise.
Lorsque le Sensor bloque un paquet d’attaque, pourquoi NSP n’a-t-il pas récupéré ses informations d’en-tête X-retransmis-pour (XFF) ?
Lorsque le Sensor NSP bloque un paquet d’attaque, il ne peut pas afficher les informations Layer7 transférées. Ce comportement est tel que prévu.
Si je crée une UDS personnalisée, l’UDS est-il placé au-dessus de toutes les autres signatures ou est-il placé à la fin de toutes les autres signatures ?
Un UDS personnalisé aide à définir la définition de l’attaque/signature et est ajouté à la liste de toutes les attaques. Mais il n’existe aucune commande de détection d’attaques, contrairement aux règles de liste de contrôle d’accès de pare-feu.
Dans les 10 premiers pays de la source d’attaque, l’une des entrées est intitulée AP-qu’est-ce que cela signifie ?
Ce titre est utilisé lorsque le pays d’origine spécifique n’est pas connu. Pour plus d’informations, reportez-vous aux sections suivantes : http/dev. maxmind.com/geoip/legacy/codes/iso3166/
NSP peut-il soumettre des fichiers PNG, JPG ou d’autres types d’images à ATD à des fins d’analyse ?
NSP ne peut pas extraire les fichiers image des flux. Ces fichiers peuvent faire partie d’un .zip fichier que NSP extrait et envoie à ATD, mais NSP n’extrait pas les fichiers image autonomes.
Pourquoi les requêtes DNS émanant de la Sensor sont-elles affichées ?
Ce trafic s’affiche lorsque vous configurez une règle de pare-feu et que vous spécifiez un nom d’hôte comme adresse source ou de destination. Le Sensor envoie des requêtes DNS sur le port UDP 53 au serveur DNS spécifié affecté au Sensor pour ces noms d’hôte. Ce comportement est dû à la conception même du modèle.
Quels capteurs prennent-ils en charge l’intégration avec le service d’analyse des logiciels malveillants McAfee Enterprise cloud, Cloud Threat Detection (CTD) ?
La série N/S de capteurs prend en charge cette fonctionnalité. Pour plus d’informations sur la configuration de l’intégration de NSP avec CTD, reportez-vous aux sections suivantes : https://community.mcafee.com/docs/DOC-9444
Est-il possible d’importer un pcap fichier à l’équipement NSM ou Sensor à analyser par les stratégies configurées ou simuler le trafic qui passe par ces stratégies ?
Aucun. Vous devez configurer un TCPReplay permet de capturer l’attaque et de la relire.
Qu’est-ce que l’identification d’application ?
La fonctionnalité d’identification des applications permet aux capteurs de sécurité réseau d’identifier les applications de votre réseau et de les traiter. Cette fonctionnalité peut être activée sur des ports Sensor spécifiques, y compris un port individuel qui fait partie d’une paire. Cette fonctionnalité vous permet de mieux contrôler le type et la direction du trafic surveillé.
Quel est l’impact sur les performances Sensor ?
Si l’identification de l’application est appliquée à tout le trafic qui traverse le Sensor, il peut potentiellement réduire le débit Sensor de 10%. Le débit Sensor réel varie en fonction du type de trafic.
Ce processus est gourmand en ressources et doit être activé uniquement lorsque cela est nécessaire. Pour plus d’informations sur l’activation de cette fonctionnalité, reportez-vous à la section Network Security Platform Manager Guide d’administration pour votre version.
Comment vérifier les codes d’erreur à partir de MariaDB ?
Pour vérifier les codes d’erreur générés, utilisez la perror commande.
Ouvrez une session de ligne de commande (cliquez sur Démarrer, exécuter, saisissez CMD, puis cliquez sur OK).
Dans la MariaDB\bin Répertoire, saisissez la commande perror et appuyez sur entrée. Par exemple, perror 28 Error code 28: No space left on device.
Veuillez Pour les mises à niveau, l’emplacement par défaut est le répertoire d’installation de la base de données précédent.
Pourquoi le nombre affiché à l’aide de la fonction show wb stats la commande s’élève même si les listes d’autorisation et de blocage sont vides ?
Le nombre de hachages WB augmente en raison des hachages inclus dans le fichier DAT (détecteurs de rappel). Lorsqu’il est téléchargé vers NSM, ce fichier est envoyé à la Sensor et augmente le nombre de hachages WB.
McAfee entreprise développe ces hachages pour résoudre les attaques et les vulnérabilités, mais elles ne sont pas répertoriées dans l’interface utilisateur graphique NSM. FAUT Ce comportement est tel que prévu.
Pourquoi ne puis-je pas accéder à NSM à partir d’un équipement mobile de langue autre que l’anglais ?
NSM ne fonctionne pas correctement si vous accédez à NSM à partir d’un équipement mobile non anglais, car seuls les équipements configurés en anglais sont pris en charge. Pour accéder au Manager, définissez le paramètre de langue du système d’exploitation sur anglais.
Quelle est la version de Nessus prise en charge par NSM ?
Rapports Nessus générés à l’aide de Nessus 4 et Nessus 5.x les analyseurs sont importés correctement dans NSM. Si le rapport généré contient Host IPs en tant que nom de domaine complet (FQDN) ou noms NetBIOS, NSM ne parvient pas à résoudre l’IPs hôte cible dans le rapport. En outre, il ne parvient pas à importer des vulnérabilités pour ces hôtes dans la base de données Manager. A Nessus 4 ou Nessus 5.x rapport dans .nessus format, contenant des adresses IP d’hôte valides au format séparé, importe correctement dans la base de données Manager.
Pourquoi le Sensor ne détecte-t-il aucune attaque lorsque le trafic est encapsulé dans le trafic PPPoE ?
PPPoE n’est pas pris en charge. Le Sensor transfère tous les paquets encapsulés PPPoE, sans aucune détection. Ce comportement est dû à la conception même du modèle.
Lorsque NSM est configuré pour le déploiement automatique téléchargé sigsets pour tous les équipements, le déploiement automatique fonctionne pour les capteurs NSP, mais pas pour les capteurs NTBA. Motifs?
Le déploiement automatique pour NTBA est pris en charge dans NSM 8.1 et versions ultérieures. Pour mettre en œuvre le déploiement automatique, effectuez la mise à niveau vers NSM 8.1.3.6 ou version ultérieure.
L’analyse GTP est-elle prise en charge pour les capteurs M-Series ?
Aucun. L’analyse GTP est uniquement prise en charge sur les capteurs NS-Series.
NSP peut-il inspecter le trafic encapsulé GRE détecter les attaques à l’aide de ce protocole ?
NSP peut inspecter le trafic GRE encapsulé et détecter les attaques. Toutefois, cette fonctionnalité doit être activée, car la configuration par défaut Sensor est de ne pas inspecter le trafic en tunnel GRE.
NSP prend-il en charge l’analyse du nouveau protocole HTTP/2 (HTTP 2.0)?
NSP ne prend actuellement pas en charge HTTP/2, mais la prise en charge est prévue pour une future version de NSP.
Lorsqu’un commutateur réseau prend en charge AutoMDI/MDI-X, peut-il Sensor utiliser AutoMDI/MDI-X pour établir un lien entre le commutateur et le Sensor ?
Oui. Toutefois, AutoMDI/MDI-X ne fonctionne pas correctement si la négociation automatique est désactivée sur le port Sensor. Vous devez activer la négociation automatique sur le port Sensor, avant de configurer le lien entre le commutateur et le Sensor à l’aide de AutoMDI/MDI-X.
Plusieurs capteurs avec une adresse IP en double sont-ils pris en charge sur NSM ?
Aucun. Plusieurs capteurs avec une adresse IP en double ne sont pas pris en charge sur NSM.
Par exemple :
Sensor-A (IP :192.168.0.10) est déjà installé sur un équipement NSM.
Sensor-B (IP :192.168.0.10) doit être ajouté à NSM.
Si vous ajoutez le nouvel Sensor à la Manager et affectez la même adresse IP que le Sensor existant, les mises à jour et les modifications de configuration sont appliquées de manière incorrecte de façon intermittente.
Dans ce cas, Sensor-A doit être supprimé du Manager avant d’ajouter Sensor-B. L’exécution de la commande de désinstallation sur Sensor-A n’est pas suffisante. Sensor-A doit être supprimé du Manager avant d’ajouter Sensor-B.
FAUT Il existe une exception à cette règle. Un Sensor peut être ajouté avec la même adresse IP uniquement si le nom et le modèle de Sensor sont identiques à ceux d’un Sensor ancien qui n’est plus physiquement connecté à la Manager. Cette situation est similaire à celle du remplacement d’une Sensor rompue.
Quelle couverture de Skype Network Security Platform fournit-il ? NSP peut-il bloquer le trafic Skype ?
Actuellement, Network Security Platform ne fournit pas de couverture de blocage sur le trafic Skype, en raison du brouillage et du chiffrement. Network Security Platform peut détecter Skype trafic à l’aide des signatures peer-to-peer suivantes :
0x42c02600 P2P: Skype Logon Process Detected
0x40015f00 P2P: Skype-like Traffic Detected
0x40015e00 P2P: Skype Sweep Traffic Detected
Les ID d’attaque 0x40015f00 et 0x40015e00 sont des paires composant ou attaque corrélées, qui ne peuvent pas être bloquées.
L’ID d’attaque 0x42c02600 peut être détecté et bloqué en raison du texte clair contenu dans la session TCP.
Skype pouvez utiliser une session chiffrée pour la connexion. La plate-forme Network Security Platform corrélée signature peut détecter un tel trafic Skype, mais ne peut pas être configuré pour bloquer, en raison de la nature de la corrélation. Par conséquent, Network Security Platform n’a pas de couverture de blocage sur Skype.
Puis-je exécuter une paire de basculement Sensor avec les ports de surveillance en mode SPAN ?
Aucun. Vous pouvez créer une paire de basculement uniquement lorsque les ports du moniteur sont placés en mode en ligne. Après avoir créé la paire, vous ne pouvez pas modifier le mode du port. Haut de la page
Dans quelles conditions puis-je utiliser une nouvelle importation pour importer des clés SSL dans le Manager ?
Utilisez la réimportation uniquement lorsque vous importez à nouveau une clé qui existe sur le Manager. Vous pouvez utiliser la fonction réimporter à plusieurs reprises pour remplacer la clé existante sur le Manager lorsque les mises à jour SSL n’ont pas encore été diffusées sur le Sensor. N’utilisez pas la réimportation pour remplacer une ancienne clé SSL par une nouvelle clé.
La procédure de renouvellement est-elle correcte pour supprimer l’ancienne clé SSL de la Sensor et importer une nouvelle clé SSL après la suppression manuelle ?
Oui. McAfee Enterprise recommande d’importer la nouvelle clé SSL dans le Manager puis d’envoyer la mise à jour SSL à la Sensor après la suppression de l’ancienne clé SSL.
Le redémarrage d’un Sensor est-il nécessaire après l’importation/la réimportation d’une nouvelle clé SSL et son envoi à la Sensor à partir de la Manager ?
Un redémarrage Sensor est requis uniquement si vous activez ou désactivez la fonctionnalité SSL sur le Sensor. Elle n’est pas nécessaire après l’importation/ré-importation de clés SSL.
Pourquoi afficher’SSL : alertes de transition d’État incorrectes (0x00006000) 'dans le Manager d’alerte après le remplacement d’une clé SSL ?
Vous pouvez consulter ces alertes dans l’Manager d’alerte s’il existe des flux HTTP actifs lorsque le nouveau certificat SSL est diffusé sur le Sensor. Contactez Support technique si ce comportement persiste, puis envoyez les captures de paquets pendant et après l’importation/le renouvellement de la clé SSL.
Pourquoi afficher’SSL : alertes de transition d’État incorrectes (0x00006000) 'dans le Manager d’alerte ? S’agit-il d’une détection de faux positif ?
Collectez les rapports de preuve des alertes indiquées, comme expliqué dans KB55743-Comment soumettre les faux positifs de la plate-forme Network Security et les détections incorrectes à Support technique.
Ouvrez ensuite le journal des paquets généré dans les rapports de preuve à l’aide d’un renifleur de paquets tel que Wireshark et vérifiez la version TLS/SSL utilisée. Les capteurs NSP ne prennent actuellement pas en charge TLS v1.1 et v1.2 et déclencher cette alerte. Pour ignorer ce trafic, créez un filtre d’attaque ou utilisez une version prise en charge de SSL/TLS (SSLv2, SSLv3, TLSv1.0).
Une limite de taille est-elle définie pour la clé secrète partagée lorsqu’elle est définie via la Sharedsecretkey commande?
La clé secrète partagée NSP doit comporter au moins 8 caractères et 25 caractères maximum. La clé ne peut pas commencer par un point d’exclamation ou comporter des espaces.
Qu’est-ce que GTI ?
GTI est un moteur de corrélation des menaces globales et une base intelligente de la messagerie globale et du comportement de communication. Il permet de protéger les clients contre les menaces électroniques connues et émergentes dans toutes les zones de menace.
Quels sont les ports utilisés par GTI ?
Décrit
Protocol
Initiateur
Port source
Port de destination
Pour envoyer des informations de participation
PORT
Manager
Aléatoire
HTTPS/443
Décrit
Protocol
Initiateur
Port source
Port de destination
Adresse de destination
Pour l’envoi de requêtes de réputation des adresses IP McAfee
PORT
Manager et Sensor
Aléatoire
HTTPS/443
tunnel.web.trustedsource.org
Pour envoyer des requêtes de réputation des fichiers McAfee
UDP
Sensor
Aléatoire
DNS/53
avqs.mcafee.com
Billets
La réputation de l’adresse IP était précédemment appelée TrustedSource.
La réputation des fichiers était auparavant appelée Artemis.
Quelles informations l’Sensor utilise-t-il dans une requête GTI ?
La connexion 5-tuple (IP source, IP de destination, port source, port de destination et protocole).
Quelles informations la NSP Manager-t-elle utiliser dans une requête GTI ?
Le 5-uplet et toute autre information sur l’attaque qui peut être disponible sont les suivantes :
Nom de l’attaque, temps d’attaque, catégorie, nombre, système d’exploitation de destination, mécanisme de détection, sens de l’attaque, URL de logiciels malveillants, ID d’attaque NSP, résultat, ID de signature, système d’exploitation source, sous-catégorie et type d’attaque.
Veuillez Reportez-vous à la page participation GTI de l’Manager pour obtenir une vue détaillée des éléments envoyés. Sélectionnées Configurer, Intégration, Participation GTI.
Pourquoi l’adresse que je recherche montre une réputation différente ?
GTI utilise un grand nombre de facteurs pour déterminer la réputation d’une connexion spécifique. Si la connexion est établie au port 80 ou 8080, la réputation Web est utilisée. Si la connexion est établie sur le port 25, la réputation de l’e-mail est utilisée. Tous les autres ports utilisent la réputation IP, qui peut être un composite de la réputation du Web et de la messagerie. Au fil du temps, cette valeur a une valeur unique au fur et à mesure que davantage de données sont collectées.
McAfee entreprise peut-elle ajuster la réputation d’une adresse IP spécifique ?
Après l’exécution d’une requête www.trustedsource.org, il existe une option pour les commentaires sur les menaces. Utilisez ce formulaire pour demander une vérification. Vous pouvez également demander une révision pour une adresse IP spécifique par e-mail. Pour les réputations des sites Web, contactez sites@mcafee.com. Pour les réputations des réseaux et des e-mails, contactez trusign-feedback@mcafee.com. Incluez toujours l’adresse IP, le port et le type de trafic utilisé.
Où puis-je trouver des informations supplémentaires sur GTI ?
Reportez-vous au Guide d’intégration de Network Security Platform pour votre version de produit ou accédez à www.trustedsource.org.
La NSP Sensor-t-elle d’effectuer une recherche IP GTI pour tout le trafic qu’il voit ?
Non par défaut. Vous pouvez configurer le Sensor pour qu’il effectue une recherche GTI pour l’ensemble du trafic en activant l’analyse de réputation des terminaux.
VeuillezNSP peut actuellement utiliser les informations de réputation IP avec les fonctionnalités de blocage intelligent et de limitation de la connexion. NSP ne peut pas détecter actuellement le rappel avec la réputation IP.
Pourquoi ne puis-je pas ouvrir un fichier détecté par GTI dans le NSP à des fins d’analyse supplémentaire ; Comment puis-je ouvrir des fichiers condamnés par GTI ?
Ces fichiers sont chiffrés, même lorsqu’ils sont exportés via l’interface utilisateur. Vous devez utiliser l’utilitaire MalwareDecrypter. bat pour les déchiffrer. L’emplacement du fichier pour cet utilitaire est le suivant :
/diag/MalwareUtil/MalwareDecrypter.bat
Veuillez Si vous exécutez le fichier sans aucun paramètre, les options disponibles s’affichent.
Où puis-je trouver des informations supplémentaires sur le déchiffrement des fichiers ?
Consultez les informations relatives à l’utilitaire Decrypter de logiciels malveillants (malwares) dans la section "archiver les fichiers de logiciels malveillants" du Network Security Platform Manager Guide d’administration, et la Guide d’administration de Network Security Platform IPS pour la version de votre produit.
Qu’est-ce qu’un jeu de signatures hétérogènes (sigset) ?
Les versions antérieures de NSP nécessitaient l’exécution de la même version ponctuelle du logiciel NSM (8.x, 7.x) que votre Sensor. Si vous avez managé plusieurs versions ponctuelles d’Sensor logiciel, vous avez besoin d’un NSM distinct pour chaque version de Sensor logiciel. Pour résoudre ce problème, McAfee entreprise a ajouté la fonctionnalité à NSM pour gérer les versions précédentes du logiciel Sensor. Par exemple, NSM 8.3 permet de gérer les capteurs avec le logiciel 8.x et 7.x install. Pour prendre en charge cette fonctionnalité, McAfee entreprise a développé la sigset hétérogène, qui contient toutes les signatures de chaque version du logiciel Sensor.
La sigset hétérogène est un format qui inclut toutes les versions de version majeures dans un sigset unifié unique. Les administrateurs téléchargent et appliquent une sigset unique que le Manager utilise pour contrôler l’un des capteurs.
Sont tous sigsets vous allez être hétérogènes ? L’entreprise a-McAfee-elle cessé de libérer homogène sigsets?
Oui, McAfee entreprise a cessé de libérer homogène sigsets. Toutes sigsets sont désormais hétérogènes.
Que contient un sigset hétérogène, qu’est-ce que le schéma de numérotation et quelles informations supplémentaires pouvez-vous obtenir à partir du numéro de sigset ?
La sigset hétérogène contient au moins deux versions majeures individuelles. sigsets dans un nouveau format unifié. Le schéma de numérotation est sigsetW.X.Y.Z là
W indique que la version la plus élevée du logiciel Sensor est prise en charge.
X indique la version la plus faible Sensor prise en charge par le logiciel.
Y indique le numéro de version de la version sigset.
Z indique la version build.
Par exemple, sigset 9.8.1.1 signifie que cette sigset prend en charge 9.x et 8.x Passage.
Comment McAfee Enterprise teste-t-il les sigset hétérogènes ?
McAfee Enterprise dispose de méthodes de test complètes pour tester les environnements hétérogènes sigsets afin de garantir la compatibilité avec toutes les versions des logiciels Sensor. En plus de tous les tests effectués avec le standard sigsets, McAfee entreprise exécute plus de cas de test. Ce test permet de s’assurer que le sigset hétérogène fonctionne bien dans un environnement hétérogène, dans lequel plusieurs Sensor versions du logiciel sont utilisées.
Dois-je modifier ma configuration de Manager pour utiliser la sigset hétérogène ?
Aucun.
Existe-il un sigset hétérogène différent pour chaque version majeure (par exemple : 8.x, 9.x)?
Il n’existe qu’une seule sigset hétérogène contenant toutes les signatures pour toutes les versions Sensor actuellement prises en charge. Par exemple, 9.8.1.1 prend en charge tous les capteurs exécutant des versions 9.x et 8.x.
Qu’est-ce qu’une appliance Manager basée sur Linux ?
L’appliance Manager Linux est un McAfee matériel d’entreprise appliance, exécutant un McAfee Linux Operating System renforcé et préinstallé. La appliance est préchargée avec le logiciel NSM.
Qu’est-ce que le McAfee Linux Operating System (MLOS) ?
MLOS est une plate-forme de Linux McAfee propriétaire et standardisée sur laquelle plusieurs appliances de sécurité McAfee Enterprise Security sont créées.
Quelle est la version de McAfee Linux Operating System (MLOS) utilisée dans l’appliance Manager basée sur le Linux ?
Actuellement, l’appliance Manager basée sur le Linux est préinstallée avec la version MLOS 3.5.x (MLOS3).
Quels modèles Sensor peuvent-ils être gérés par des Manager Linux ?
Un Manager basé sur le Linux peut gérer les modèles de Sensor suivants :
Série NS : NS9500, NS9300, NS9200, NS9100, NS7350, NS7250, NS7150, NS7300, NS7200, NS7100, NS5200, NS5100, NS3500, NS3200, and NS3100
Capteurs IPS virtuels : IPS-VM600 et IPS-VM600-VSS
Quel est le nombre total de capteurs qui peuvent être managés par un Manager basé sur Linux ?
Le Manager basé sur le Linux peut gérer le même nombre de capteurs qu’un Manager Windows. Le nombre maximal de capteurs qu’un Manager de base Linux peut gérer varie en fonction de la taille de la base de données, du taux d’alerte et du trafic total inspecté par tous les capteurs attachés à la Manager.
Est-il possible d’installer le Manager/Central Manager basé sur Linux en tant qu’instance virtuel ?
Vous pouvez déployer le Manager/Central Manager basé sur Linux en tant qu’ordinateur virtuel sur vos serveurs ESXi. Le Manager virtuel/Central Manager est une image d’OVULEs qui déploie une instance virtuelle de NSM/Central Manager s’exécutant sur un système Linux.
D’où puis-je télécharger une image d’OVULEs de Manager/Central Manager basée sur Linux ?
Les images OVULEs pour un Manager/Central Manager basé sur le Linux sont disponibles sur le site de téléchargement de produits et McAfee serveur de mise à jour d’entreprise.
Où puis-je télécharger une image ISO de Manager/Central Manager basée sur Linux ?
McAfee Enterprise ne fournit pas d’image ISO du Manager/Central Manager basé sur le Linux. Veuillez McAfee Enterprise recommande d’utiliser une image d’OVULEs pour le déploiement d’une machine virtuelle Manager Linux et d’une image amorçable partagés par Support technique pour la migration d’Windows basée sur Manager vers Linux.
Puis-je exécuter le logiciel Manager basé sur le Linux sur un matériel de type Windows Manager de l’appliance ?
Vous pouvez migrer votre appliance d’un Manager basé sur le Windows à un Manager Linux.
Comment migrer un Manager basé sur Windows vers un Manager Linux ?
Effectuez une sauvegarde de la base de données à partir de la Manager basée sur le Windows et restaurez-la sur un nouveau Manager Linux. Reportez-vous à PD27843 pour connaître les étapes complètes. NOTES:
Vous ne pouvez pas migrer à partir d’une version ultérieure d’un Manager basé sur Windows vers une version antérieure d’un Manager Linux.
Par exemple, vous ne pouvez pas migrer une version Manager basée sur Windows 9.1.7.45 vers une version Manager basée sur le Linux 9.1.7.39.
Assurez-vous que le serveur Windows Manager est en cours d’exécution sur NSM. 9.1 ou version ultérieure.
Qu’est-ce que le shell Manager ?
Manager Shell est l’interface de ligne de commande pour la Manager basée sur le Linux et permet d’effectuer de nombreuses activités Manager/Central Manager.
Quelle application dois-je utiliser pour la connexion SSH à la CLI Manager Linux ?
McAfee Enterprise recommande d’utiliser la commande Tera Term Or Bitviseapplications pour la connexion SSH à l’interface de commande de Manager basée sur le Linux. Veuillez Les connexions SSH à l’interface de commande de Manager basée sur Linux sont existant pris en charge par la application PuTTy.
Quelles sont les informations d’identification pour la connexion au shell Manager ?
Pour Manager :
Nom d’utilisateur : admin
Son MLOSnsmApp
Pour Central Manager :
Nom d’utilisateur : admin
Son MLOSnscmApp
Comment mettre à niveau le Manager/Central Manager basé sur Linux ?
Vous pouvez mettre à niveau votre Manager/Central Manager basé sur Linux à l’aide de la mise à niveau commande dans le shell Manager. Pour plus d’informations, consultez Guide d’installation de McAfee Network Security Platform pour votre version.
Où puis-je télécharger le fichier de mise à niveau de Manager basé sur Linux à partir de ?
Le fichier de mise à niveau du logiciel Manager basé sur Linux (Setup. bin) est disponible sur le site de téléchargement de produits et McAfee serveur de mise à jour d’entreprise. Veuillez Vous ne pouvez pas télécharger directement le fichier de mise à niveau de Manager basé sur Linux (Setup. bin) vers votre Manager basé sur Linux. Téléchargez le fichier de mise à niveau sur un serveur distinct exécutant SCP ou un service TFTP sur votre réseau.
Les fichiers de mise à niveau d’une machine virtuelle Manager basée sur le Linux et l’appliance Manager sont-ils identiques ?
Le fichier de mise à niveau (Setup. bin) est le même pour la machine virtuelle Manager basée sur le Linux et l’appliance Manager.
Comment sauvegarder la base de données d’un Manager basé sur Linux ?
Vous pouvez restaurer la base de données à l’aide de l’interface graphique Manager ou du shell Manager.
Pour collecter la sauvegarde de la base de données à partir du shell Manager, exécutez la commande dbBackup.sh script. Veuillez
Si vous exécutez une version Manager basée sur Linux 9.1.7.75 Or 9.2.7.31, McAfee Enterprise vous recommande d’effectuer la sauvegarde de la base de données à partir de l’interface graphique Manager.
Si vous exécutez la version Manager 9.1.7.77 ou version ultérieure, McAfee Enterprise recommande d’arrêter le service de base de données Manager avant de procéder à la sauvegarde.
Consultez la section Guide d’installation de Network Security Platform Manager Appliance (Linux) Pour plus d’informations.
Comment éviter la corruption des données lors d’une mise à niveau ou d’une migration ?
McAfee entreprise recommande vivement d’effectuer une sauvegarde de la base de données avant la mise à niveau ou la migration afin d’éviter toute corruption des données.
Comment effectuer une migration d’un Windows Manager exécutant MySQL base de données vers un Manager basé sur le Linux exécutant la base de données MariaDB ?
Le processus de mise à niveau de Manager migre la base de données de MySQL vers MariaDB. Les utilisateurs n’ont pas besoin d’effectuer d’autres procédures pour cette migration.
Puis-je restaurer une sauvegarde effectuée à partir d’un Manager exécutant MySQL base de données sur une version Manager supérieure exécutant MariaDB ?
Oui. Vous pouvez restaurer la sauvegarde de la base de données effectuée à partir d’un Manager exécutant MySQL vers une version ultérieure Manager exécutant MariaDB. Veuillez Les premiers chiffres des deux gestionnaires doivent être identiques (le même produit managé pour l’entreprise McAfee). Par exemple, vous ne pouvez pas restaurer une sauvegarde de base de données effectuée à partir de la version NSM 8.1.7.65 À 9.1.7.75, mais vous pouvez restaurer 9.1.7.65 À 9.1.7.75.
Comment puis-je accéder à MariaDB Shell ?
Ouvrez une session de ligne de commande Manager et exécutez dbShell commande. Veuillez Nom d’utilisateur par défaut pour MariaDB adminet le mot de passe admin123respectifs.
Comment modifier le mot de passe de la base de données ?
Ouvrez une session de ligne de commande et exécutez la commande passwordchange.sh commande. VeuillezLe mot de passe racine de la base de données par défaut est root123.
Un Central Manager exécutant MariaDB gère-t-il des gestionnaires exécutant MySQL base de données et inversement ?
Le Central Manager exécutant Maria DB ne peut pas gérer les gestionnaires exécutant MySQL base de données, et un Central Manager exécutant MySQL base de données ne peut pas gérer les gestionnaires exécutant MariaDB. Veuillez La version Central Manager 9.2.7.31 et versions antérieures, et 9.2.9.8 et versions antérieures, ne peut pas gérer la version de Manager 9.1.7.77.
Comment transférer des fichiers d’un Manager basé sur Windows vers un Manager basé sur Linux ?
Vous pouvez transférer des fichiers d’un Manager basé sur Windows vers un Manager Linux en toute sécurité à l’aide de la Bitvise application. Veuillez Le transfert de fichiers à partir d’un Manager basé sur le Windows vers un Manager basé sur le Linux n’est pas pris en charge par WinSCP application en raison d’une non-concordance de chiffrement.
Puis-je utiliser la commande scpToRemote pour copier des fichiers d’un Manager basé sur Linux vers un hôte Windows ?
La commande scpToRemote ne peut être utilisée que pour copier des fichiers sur un hôte Linux distant.
Puis-je créer un MDR avec un Manager Windows et une combinaison Linux Manager ?
Vous ne pouvez pas créer de paire MDR avec un Manager Windows et un Manager Linux. Dans un MDR, les deux gestionnaires doivent exécuter le même système d’exploitation.
Comment mettre à niveau une paire MDR avec les gestionnaires exécutant MySQL base de données vers les gestionnaires exécutant MariaDB base de données ?
McAfee Enterprise recommande de rompre la paire MDR, de mettre à niveau les gestionnaires individuels et de créer à nouveau la paire MDR.
Un Central Manager basé sur le Linux peut-il gérer un Manager Windows ?
Un Central Manager basé sur le Linux ne peut gérer qu’un Manager basé sur Linux. La Central Manager basée sur le Linux ne peut pas gérer un Manager Windows, et un Windows basé sur le central Manager ne peut pas gérer un Linux basé sur Manager.
Que fait le collect logs exécuter la commande ?
La commande collecter les journaux est utilisée à des fins de débogage. Il collecte tous les journaux Manager. Par exemple, EMS. log, emsout. log, emssync. log et InitDB. log.
Quelle est la différence entre les journaux collectés à l’aide de InfoCollector de l’utilitaire par opposition aux journaux collectés à l’aide de la commande collecter les journaux ?
La commande collecter les journaux collecte uniquement les journaux associés au Manager. Cette InfoCollector l’utilitaire collecte les informations système, les journaux Manager et la sauvegarde de la configuration.
Un Manager basé sur le Linux peut-il gérer un NTBA Appliance ?
Oui, le Manager basé sur le Linux peut gérer un NTBA Appliance.
McAfee Linux Operating System (MLOS) est-il conforme à la norme FIPS ?
Oui, MLOS est conforme à la norme FIPS. Le Manager basé sur Linux est basé sur le système d’exploitation conforme à la norme FIPS. Veuillez Le logiciel Manager basé sur un MLOS certifié FIPS n’est pas conforme à la norme FIPS.
McAfee entreprise continue-t-elle de prendre en charge les logiciels Manager basés sur Windows ?
L’appliance Manager basée sur le Windows a été la fin de vie du 2020 janvier. Support technique ne traite pas les problèmes de l’appliance Windows à l’issue de cette date.
Que se passe-t-il lorsque je RMA une appliance Manager basée sur Windows ?
Lorsque vous RMA d’une appliance Manager Windows, vous recevez une nouvelle appliance Manager basée sur le Linux. Veuillez La fin de commercialisation de l’appliance Manager Windows a été annoncée en janvier 2018. McAfee Enterprise ne fournit plus de nouvelles Appliances Manager Windows.
Puis-je installer le logiciel Manager basé sur le Linux sur du matériel tiers ?
McAfee Enterprise recommande de ne pas installer le logiciel Manager basé sur le Linux sur un matériel de Linux tiers.
McAfee Enterprise prend-il en charge toute autre plate-forme Linux pour le logiciel Manager ?
Actuellement, les logiciels Manager Linux peuvent être installés dans un McAfee Linux Operating System (MLOS).
Est-il possible de configurer la deuxième carte d’interface réseau de l’appliance NSM sous MLOS ?
Actuellement, il est possible d’utiliser uniquement la première interface NIC. L’utilisation de la seconde carte d’interface réseau n’est pas prise en charge.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
