Adicionado "está configurando manualmente a velocidade da porta de Ger para os sensores NS-9500 e NS-7500?"à seção "hardware".
5 de fevereiro de 2021
Editada para atualização termos, vincular apresentação.
19 de outubro de 2020
Adicionado "por que o Sensor enviar uma consulta DNS para resolver o www.google.com para o servidor DNS configurado?" para a seção "geral".
23 de setembro de 2020
Alterações secundárias.
3 de julho de 2020
A seguinte pergunta foi adicionada à seção hardware:
"Posso usar um cabo com um SR SFP+ conexão em uma extremidade e uma LR SFP+ no outro com o McAfee Sensor? "
Sumário
Clique para expandir a seção que você deseja exibir:
O que é o conjunto de assinaturas do NSP Lite?
O conjunto de assinaturas do NSP Lite é uma versão leve do conjunto de assinaturas, moderado por McAfee pesquisadores corporativos. Esse conjunto exclui as assinaturas mais antigas sem expô-lo a appreciable o risco de ataques de dia moderno. A exclusão de assinaturas mais antigas permite que você continue a atualização os sensores com as assinaturas de ataques mais recentes e mantenha Sensor memória em uso relativamente baixo. O primeiro conjunto de assinaturas Lite foi 9.8.19.102.lite, lançado em 11 de abril de 2018.
O alerta de flip-flop do endereço MAC ARP: é exibido apenas no nível de interface CIDR. Por que este alerta não mostra o nome da subinterface?
A pesquisa baseada em CIDR para o suporte a subinterface é executada somente para pacotes IPv4 (PTYPE = 0x800). Como o ARP não se situa nessa categoria, somente a classificação de interface com base na porta e no nível de VLAN é registrada para pacotes ARP. Esse comportamento é esperado.
Uma transferência de arquivo FTP pode ser bloqueada?
Não. O Sensor não pode bloquear as transferências de arquivo FTP de maneira consistente. No caso do FTP, o bloqueio é realizado com melhor esforço e é o resultado de uma limitação no protocolo FTP.
As informações de tamanho do arquivo não estão disponíveis para a transferência de FTP. Portanto, o Sensor não sabe com segurança quando a transferência foi concluída.
A única maneira como o Sensor pode determinar o tamanho é quando a conexão de dados é encerrada (o TCP FIN é recebido). Mas, quando a conexão for encerrada, a arquivo já foi transferida.
Independentemente do resultado do ataque em Threat Analyzer, não há suporte para o bloqueio nas transferências de arquivo FTP. Essa falta de suporte é uma limitação do protocolo FTP. O Sensor ainda extrai o arquivo, analisa-o para malware e gera alertas.
Desejo remover e reinstalar um Sensor no Network Security Manager (NSM). Posso manter o endereço IP antigo, mas alterar o nome do Sensor? Quais precauções e etapas executarei antes de adicionar o Sensor de volta ao NSM?
Sim. Você pode manter o endereço IP antigo e alterar o nome do Sensor. Depois de executar a instalação do no Sensor, o NSM manterá as informações de estado e o endereço IP associados ao nome do Sensor.
Inferior Adicionar e remover dispositivos, você deve excluir a entrada antiga para a Sensor do NSM antes de adicionar o Sensor de volta ao NSM. A exclusão da entrada antiga remove as informações de estado e o endereço IP associados ao nome de Sensor antigo.
INDICADOSe você não remover a entrada antiga, verá problemas. Por exemplo, o rastreamento de Sensor gerado sob a entrada de Sensor antiga no NSM.
O que acontece com os alertas quando o NSM está indisponível ou o NSM e NTBA Não consegue se comunicar? Qual é a capacidade do registro de alertas nesses cenários?
NTBA armazenará os alertas se não for possível se comunicar com o NSM. NTBA realiza uma diferenciação com base no tipo de alerta e em qualquer alerta gerado. Se ele não for enviado com êxito para o NSM, ele será despejado em um arquivo local no NTBA.
O limite do tamanho do arquivo é de 10 MB. Se o tamanho da arquivo exceder o limite, novos alertas serão descartados. Um tamanho médio de alerta é de cerca de 80 bytes, de modo que o arquivo pode conter mais de 100.000 alertas.
Há um processo de continuidade que lê o arquivo e envia o alerta para o NSM. Quando a conexão com o NSM volta a ser remetida, os alertas são enviados e a entrada excluída do arquivo.
A tarefa de backup em tarefas em execução é listada como "êxito". No entanto, se eu fizer backup e restaurar a configuração do NSM, a tarefa será alterada para falha. Por que?
Essa alteração é a desenhada. Ao coletar dados de backup (todas as tabelas ou tabelas de auditoria), o NSM adiciona uma entrada de auditoria para backup-in-progress. Quando o backup for concluído, o NSM marcará essa entrada de auditoria como backup-success. No entanto, o arquivo de backup inclui a entrada de auditoria que ainda está backup-in-progress. Na inicialização, o NSM restaurado marca todas as entradas em andamento como falha. INDICADO Mesmo que seja rotulado como uma falha, não há impacto funcional no Gerenciador.
O McAfee Enterprise garante que o NSP Extraia o endereço IP correto do XFF cabeçalho em conexões HTTP com pipeline?
Não. O NSP não é compatível com a correlação de solicitação e resposta ao lidar com o pipeline HTTP.
Por que o Sensor enviar uma consulta DNS para resolver o www.google.com para o servidor DNS configurado?
O Sensor usa essa consulta como uma verificação de disponibilidade do servidor DNS. Essa consulta precisa ser bem-sucedida para usar os recursos relacionados ao DNS.
O kit de falha-abertura executa a MDIX automática?
Não. Essa ação é uma função do recurso MDIX do McAfee Enterprise SFP instalado no Sensor.
O kit de falha de cobre-abertura funciona da mesma maneira que os kits do modo de proteção óptica (SM) e do multi-modo (MM) de falha-abertura (FO) do Optical?
O kit FO (fibra bypass switch) não cruza TX/RX pares. Consulte o guia rápido do gigabit Optical Fail-Open bypass Kit para a versão do software Sensor/Sensor. Este guia inclui um diagrama para a instalação adequada e outros detalhes de instalação e conectividade.
Após a alteração de um modo de cobre ativo de 10/100/1000 (AFO) bypass do kit de desvio do modo embutido para o TAP, o AFO é religado para o ciclo de energia. Na reinicialização, o modo de toque foi desativado. Por que?
O AFO está se comportando como projetado. As configurações do modo TAP não são salvas no AFO. Quando o ciclo de energia do AFO, a configuração padrão, o modo de toque desativado, é restaurado.
Quais XFPs são compatíveis com os sensores da série M?
Somente os seguintes XFPs são compatíveis com os sensores da série M:
IAC-1550-CG1 (alcance estendido, modo único, 1550 nm XFP)
IAC-1310-CG1 (alcance longo, modo único, 1310 nm XFP)
É necessário um dongle com falha fechada para configurar as portas de monitoramento nos sensores M-1250 e M-1450 no modo de falha-fechado ou SPAN?
Não. Diferentemente dos sensores I-Series, não é necessário colocar dongles com falhas nas portas de monitoramento dos sensores M-1250 e M-1450, mesmo em modo de falha-fechado ou SPAN. Agora, a funcionalidade do dongle é incorporada às portas de monitoramento.
O consumo máximo de energia do Sensor do NS7x00 é de 250 W; Por que o PSU fornecido é classificado em 650 W?
McAfee Enterprise usa essa 650W PSU devido aos requisitos de fator de forma para os appliances da série NS7x00.
Qual é o status de link inicial das portas de interconexão de Sensor M-8000?
O M-8000 tem três interconexões presentes nos sensores primário e secundário:
Sensor primário: XC1 (interface de cobre), XC2 (interface do 10G) e XC3 (interface do 10G)
Sensor secundário: XC4 (interface de cobre), XC5 (interface do 10G) e XC6 (interface do 10G)
Quando o Sensor é iniciado pela primeira vez, os links XC1 e XC4 estão ATIVAdos. O XC2 e o XC5, e os links XC3 e XC6 estão inativos, até que o primeiro Sigset seja obtido por download.
Quando as interfaces do Sensor são configuradas como embutidas, existe alguma conversa entre as portas quando o tráfego passa pelo Sensor?
Não. O Sensor não realiza nenhuma alternância ou roteamento de tráfego. As duas interfaces que são agrupadas como um par de interface, como 1A/1B ou 2A/2B, são ligadas umas às outras de maneira fixa. O tráfego de entrada em uma interface, por exemplo, 1A, pode deixar a Sensor somente na interface de correspondência, por exemplo, 1B, do par. Esse fato é um fator de projeto fundamental no software de Sensor. Como o Sensor não faz nenhuma decisão de roteamento nem de comutação, não há suporte no Sensor para encaminhamento de pacotes para qualquer outra interface no dispositivo.
Posso usar um Fiber GBIC e um GBIC de cobre em linha no mesmo par de interface do Sensor?
Não. Não é possível usar GBICs diferentes no mesmo par de interface.
O Sensor pode oferecer suporte a um EtherChannel composto de duas conexões de diferentes módulos SFP + (conexões de fibra do SR e LR)?
Sim. O Sensor pode oferecer suporte a um EtherChannel composto por essas conexões.
O Sensor é compatível com o bypass externo de cobre switch configuração em portas RJ-45?
Sim. Atualmente, a switch de cobre externas pode ser configurada em portas RJ-45. No entanto, desde que a porta esteja configurada para o modo de falha fechada nos seguintes modelos de Sensor:
NS9300
NS9200
NS9100
M-2950
M-2850
M-1450
M-1250
Use as etapas a seguir para configurar o modo de falha fechada:
Na Manager, selecione Lista de dispositivos, Nome do Sensor, Sensor físico, Configurações de porta.
Nesta Monitorando portas, selecione a porta numerada a ser configurada.
Você verá a janela Configurar porta de monitoramento exibindo as configurações de porta atuais.
Na guia Modo de operação lista suspensa, selecione Falha na linha-fechada (par de portas).
INDICADO O status do desvio externo de cobre switch não é exibido no Manager. Da mesma forma, o status não é exibido executando a apresentação intfport a partir da CLI do Sensor.
Posso obter o número de série do Sensor Power Supply (PSU) a partir da linha de comando (CLI)?
Não. No momento, não há nenhum comando que liste o número de série Sensor.
Depois que eu desconectar o cabo de rede de uma porta Sensor, a porta será desativada. A porta precisa ser reativada por meio do Manager?
Sim. Esse comportamento está de acordo com o projetado. Como a Sensor não sabe o motivo da porta "Failure" (falha), ela é marcada como desativada. Depois que a falha do link for resolvida, você poderá reativar a porta.
Se o Sensor tentou abrir automaticamente a porta, você pode ter uma oscilação de rede. A porta será colocada em falha e, em seguida, será reativada sem que o problema subjacente fosse resolvido.
Posso alterar esse comportamento?
Você pode alterar esse comportamento se houver um kit passivo de falha ao abrir em uso (externo ou interno).
Para obter mais informações, consulte as informações sobre o setfailopencfg restore-inline no guia da CLI de sua versão.
A failover Sensor pode funcionar em uma instalação ativa-ativa ou ele funciona no modo de espera ativo com a pulsação disparando a ação failover?
Os sensores NSP estão sempre ativos-ativos. O cabo de failover sempre copia todo o tráfego de cada Sensor para o outro, o que permite que o tráfego sempre flua, mesmo que haja uma falha.
Os sensores roteiam o tráfego?
Não. Os sensores não participam do roteamento ou failover de tráfego; a arquitetura de comutação e roteamento de rede executa esta ação.
Posso converter um appliance de failover (FO) em um sobressalente?
Não. Essa ação não é possível. Você pode upgrade um modelo de FO a um modelo padrão, mas não pode fazer downgrade de um modelo FO para um sobressalente. Para obter mais informações, converse com seu contato de vendas.
Quais são as configurações padrão do meu NSP Sensor ou de outro hardware?
Hardware
Taxa de transmissão
Dados
Igualdade
Stop
Controle de fluxo
Usuário padrão
Senha padrão
Porta SSH
Série M
38400
8
Nenhum
1
Nenhum
admin
admin123
22
Série N
38400
8
Nenhum
1
Nenhum
admin
admin123
22
Série NS
115200
8
Nenhum
1
Nenhum
admin
admin123
22
NTBA
9600
8
Nenhum
1
Nenhum
admin
admin123
22
XC240
115200
8
Nenhum
1
Nenhum
admin
admin123
22
Kit do AFO
19200
8
Nenhum
1
Nenhum
McAfee
McAfee
N/D
O MDIX está ativado para a série NS RJ-45 para todas as configurações de porta de monitoramento?
Não. Se você desativou a configuração de negociação automática em velocidade de porta 10 Mbps ou 100-Mbps, o MDIX automático não funcionará. O design atual da interface da placa de rede causa esse problema.
Posso usar um cabo com uma conexão SR + + em uma extremidade e um LR SFP + no outro com o McAfee Sensor?
Sim. O Sensor oferece suporte a conexões com dispositivos de mesmo nível usando esses cabos.
A configuração manual da velocidade da porta de Ger é compatível com os sensores NS-9500 e NS-7500?
Não, somente a auto-negociação é suportada para esses sensores.
O que é hitless Sensor reinicializar?
O NSP agora é compatível com a reinicialização e o upgrade do hitless. Esses recursos reduzem o tempo necessário para a reinicialização de um Sensor e evitar a interrupção do tráfego.
Como funciona a reinicialização do hitless?
Uma reinicialização do hitless é reiniciada somente os processos selecionados na Sensor. O Sensor entra no modo de passagem da camada 2 e é reinicializado enquanto o caminho de dados continua a passar o tráfego. O tempo de reinicialização também é consideravelmente reduzido, pois todo o Sensor não é desativado.
Em que condições uma reinicialização do hitless ocorre?
O Sensor sempre tenta uma reinicialização do hitless se tiver de se recuperar de erros internos. Você também pode iniciar uma reinicialização do hitless a partir da linha de comando Sensor ou do NSM. Se uma reinicialização do hitless não for possível, uma notificação será enviada ao Manager e ocorrerá uma reinicialização completa.
Todos os Sensor upgrades hitless upgrades?
Depende se a alteração do software Sensor requer uma reinicialização completa. Quando o Sensor upgrade estiver concluído, você verá a opção de reinicialização do hitless dependendo da versão do software.
Quais são as limitações de uma reinicialização do hitless?
A reinicialização do hitless não é suportada nos upgrades quando há uma alteração de nível de switch ou kernel no código do software. Além disso, se o Sensor não puder se recuperar de erros internos e três tentativas de recuperação automática forem feitas em um intervalo de 15 minutos, uma das duas coisas acontecerá. Na próxima tentativa de recuperação automática, a Sensor permanecerá na camada 2 ou executará uma reinicialização completa.
Quais são algumas das causas comuns para as falhas de reinicialização do hitless?
A reinicialização do hitless falhará se os caminhos de dados do Sensor não forem inicializados e se eles não reportarem um status pronto.
Com que frequência as informações de Sensor e Manager trocam para verificar se o Sensor está ativado?
O intervalo de sondagem é geralmente a cada dois minutos; no entanto, quando o Sensor detecta uma falha, o intervalo de sondagem é reduzido para a cada 30 segundos. Essa redução é feita para evitar problemas como um pacote perdido causando um alerta de falha. Se o Sensor ainda estiver inacessível após 10 minutos, a frequência de sondagem será revertida para o seu valor normal de dois minutos.
Qual é a quantidade de transferência de dados dessa sondagem?
A sondagem é executada por meio de um pacote SNMP UDP e quatro variáveis de MIB são sondadas. A carga de solicitação inteira do aplicativo SNMP está em torno de 100 bytes.
Quanto tempo pode levar antes que o Manager sinalize um Sensor como desconectado no sistema Saúde?
Como a sondagem inicial é feita a cada dois minutos e o tempo limite normal é de 60 segundos, o melhor caso para indicação de falha é de 60 segundos. No entanto, pode ser tão alto que 180 segundos (120 + 60).
Por que as configurações de ação do Manager são ativadas imediatamente sem um atualização de configuração?
Quando um administrador de sistemas altera qualquer configuração de ação do Manager (como auto ACK, SNMP e syslog) no editor de políticas, é necessário um atualização de configuração. No entanto, essas configurações são ativadas imediatamente sem ele. Esse comportamento ocorre conforme projetado. O design atual do NSP rastreia as alterações de configuração na granularidade da política. Qualquer alteração na política indica que uma assinatura arquivo Push é necessária para o Sensor. Esforços consideráveis foram feitos em NSP para aprimorar a assinatura arquivo atualização do Sensor com a introdução do cache e atualização incremental. O plano atual é concentrar-se na melhoria da eficiência do push de assinatura arquivo e não no rastreamento de alterações de política em uma granularidade mais alta.
Itens ativados imediatamente
Gravidade do ataque *; Notificações E-mail, script, auto ACK, pager, SNMP, syslog
Itens necessários para atualização de configuração
Gravidade do ataque *; Ações do Sensor; Conexão
* As alterações de gravidade de ataque são usadas pelo Manager e Sensor. A parte Manager, como alterações de gravidade mostradas no Threat Analyzer, entra em vigor imediatamente. A parte Sensor, por exemplo, para o NAC, requer uma atualização Sensor.
Posso instalar o software NSM appliance usando o software appliance RMM?
Não. O uso do DVD de instalação appliance do NSM com o appliance software RMM não é compatível. Se você usar o appliance o DVD de instalação do NSM com o software Intel® RMM fornecido com o appliance, você poderá ver resultados inesperados e indesejados.
A interface de mídia de instalação deve ser acessada usando-se um teclado e o mouse conectados diretamente ao servidor no local do servidor.
Posso agregar ou combinar várias licenças do NSM em uma única instalação? Por exemplo, se eu tiver uma licença padrão, posso comprar um Starter Pack para atingir 8 dispositivos gerenciados?
Não. As licenças do NSM não são cumulativas. Para gerenciar mais de seis sensores de um único NSM, você deve adquirir uma licença do NSM global.
Depois de upgrade o Manager, vejo um processo de atualização de Sensor que não foi retomar manualmente. Os sensores não mostram os download ativos quando o downloadstatus o comando é executado, e o conjunto de assinaturas mais recente está presente no Manager. Se eu reinicializar o Manager, o processo de atualização será eventualmente reiniciado. Ems.log arquivo não mostra nenhum Push limpo, e o log de auditoria não mostra atividade do usuário push de uma configuração atualizada para os sensores. Qual é a causa desse processo de atualização?
Depois de um Manager upgrade, o NSM compila o conjunto de assinaturas mais recente e o envia automaticamente para os sensores.
INDICADO Esse atualização falhará se os sensores já tiverem o conjunto de assinaturas mais recente.
Como posso definir uma proxy para as atualizações do yum em um NSM appliance baseado em MLOS?
Abra uma sessão de linha de comando do NSM.
Ferência sudo vi /etc/yum.conf e pressione Enter.
Navegue até a seção [Main].
Adicione as seguintes linhas na seção [Main]: proxy = http://: 8080
proxy_username = proxy_password =
Ferência :wq
Eu posso fazer backup e restaurar o NSM usando o recurso de backup do Windows?
O McAfee Enterprise não testou o uso do Windows backup para fazer backup e restaurar uma instalação do NSM e não pode garantir que ele funciona. Se esse recurso de backup não funcionar corretamente, entre em contato com Microsoft suporte.
Por que uma configuração atualização necessária ao ativar ou desativar o monitoramento do status da porta?
Para melhorar o desempenho, a configuração da filtragem de alertas interna é aplicada ou removida quando você ativa ou desativa o status da porta. O push de configuração é necessário porque essa alteração precisa ser aplicada ao Sensor. A filtragem de alertas interna cuida dos ataques ignorados. Portanto, se a alteração de configuração não for enviada por push, o NSM receberá alertas indesejados.
Nesta 10.1 e versões posteriores, por que a configuração não atualização ser executada, a menos que os dois sensores de failover estejam disponíveis?
NSM 10.1 o suporta dois tipos de mecanismos snort no Sensor. É necessário escolher um Sensor usando o NSM. O NSM valida que ambos os sensores em um par de failover estão executando o mesmo mecanismo snort durante a distribuição de configuração. Se essa validação falhar, o atualização de configuração não será enviado por push.
Como ativar o Threat Analyzer em tempo real?
Threat Explorer o substituiu o Threat Analyzer em tempo real (RTTA). Se for necessário ativar a Threat Analyzer em tempo real, execute as seguintes etapas:
No servidor Manager, use Windows Explorer para navegar para:C:\Program Files\McAfee\Network Security Manager\App\config. INDICADO Esse caminho poderá ser diferente se você tiver instalado o NSM em outro local.
Localize o ems.properties arquivo e abra-o usando o bloco de notas Windows.
Adicione a entrada a seguir:
iv.ui.ta.display.isEnabled=true
Salve o arquivo e reinicie o serviço NSM.
INDICADO Agora, o RTTA é apenas parcialmente suportado no NSM. A McAfee Enterprise não irá aprimorar o analisador nem corrigir os problemas. Essa parte do produto é fornecida.
Como importar regras de ignorar exportadas anteriormente?
Para importar regras de ignorar exportadas anteriormente, selecione Policy, Prevenção de intrusões, Experientes, Importação de política, Ignorar regras.
Como faço para importar ataques personalizados exportados anteriormente?
Para importar ataques personalizados exportados anteriormente, selecione Policy, Tipos de políticas, Políticas do IPS, Ataques personalizados, Outras ações, Impor.
O Sensor pode enviar netflows para analisadores de NetFlow de terceiros ou apenas NTBA?
Não. Os dados de NetFlow gerados pelos sensores não são NetFlow padrão; Eles estão em um formato de McAfee empresarial proprietário e, portanto, apenas NTBA podem processá-los.
Posso alterar a porta usada pelo NSM para a comunicação com o servidor de e-mail configurado?
Não. Por padrão, o NSM usa porta TCP 25 para comunicação com o servidor de e-mail. Não é possível alterar essa porta.
Por que os arquivos de registro do Sensor são criptografados?
Os arquivos de registro do Sensor são desenvolvidos principalmente para registrar informações que Suporte técnico e as equipes de desenvolvimento precisam da solução de problemas, conforme necessário. Como o público principal desses arquivos é interno para McAfee Enterprise, os arquivos podem, às vezes, conter detalhes que são internos ou propriedadedos por natureza. Portanto, eles devem ser criptografados. O NSP não fornece todos os eventos críticos que você precisa saber usando os comandos da CLI do Sensor. McAfee Enterprise o boas-vindas a enviar as informações de que você precisa, mas não está disponível no momento. Essas solicitações são então consolidadas nas versões subseqüentes de manutenção do NSP.
Como o Sensor processa o tráfego de hosts que foram colocados em quarentena?
O recurso de quarentena do IPS permite que o Sensor Coloque em quarentena os hosts fora de conformidade e, ao mesmo tempo, fornece acesso à correção. Com a quarentena do IPS ativada, quando um ataque é detectado em uma porta de monitoramento embutida Sensor, o Sensor cria uma regra de quarentena para o endereço IP de origem do host. No entanto, ele criará uma regra de quarentena somente se o host não estiver listado na lista de exclusão de NAC. O Sensor nunca bloqueia o tráfego dos hosts na lista de exclusão do NAC. Se o host não estiver na lista de exclusão do NAC, ele será colocado na tabela de quarentena por um período de tempo especificado.
O Sensor verifica todo o tráfego que passa pelas portas em relação à tabela de quarentena e bloqueia qualquer pacote enviado por hosts em quarentena. Essa verificação impede que hosts fora de conformidade danifiquem outros sistemas da rede. Você pode configurar uma zona de acesso à rede do IPS com endereços IP específicos com os quais o host tem permissão de acesso enquanto está em quarentena. (Por exemplo, o portal de correções ou servidor DNS.) Esse fato permite que o host em quarentena acesse materiais de remediação sem comprometer a segurança geral da rede. Um host pode ser adicionado à tabela de quarentena, correspondendo a uma política do NAC ou correspondendo a uma assinatura que tenha a opção de resposta de quarentena ativada.
Como posso forçar/alterar a detecção de Sensor DOS no modo de aprendizado?
Selecione negação de serviço, gerenciamento de dados e selecione recriar DoS perfil (inicie o aprendizado a partir do zero).
O NSP compensa a latência da rede durante a sincronização de horário?
Não. O NSP não compensa para solucionar problemas de latência de rede durante a sincronização de horário.
Se houver um atraso de rede 100-mseg entre o Sensor e o Manager, o tempo de Sensor deverá ser 100 ms mais devagar do que o tempo real no Manager. O Sensor tem um relógio interno que obtém a configuração de tempo do Manager de forma que o Sensor e o Manager permaneçam sincronizados. Se o Sensor perder a conexão com o Manager, o relógio interno atualizará periodicamente a hora no Sensor. O tempo de espera entre o Sensor e o Manager seria o atraso de latência da rede entre o Sensor específico e o Manager. Podem existir atrasos mais longos ou menores entre o Manager e outros sensores distribuídos.
O Sensor grava o horário em sua própria memória flash porque o Sensor não tem um relógio de bateria de reserva. Se houver queda de energia, quando o Sensor for reinicializado e ficar on-line novamente, a possibilidade existe que o Sensor pode não conseguir se conectar à sua Manager associada imediatamente. Nesse caso, o Sensor usa a última vez em que ele foi salvo no flash. Essa situação é a única vez que o Sensor recupera o tempo a partir do flash; caso contrário, o tempo salvo no flash será de nenhuma relevância.
Quando o NSM é instalado com dois gerenciadores configurados em Manager de recuperação de desastres (MDR), os dois gerentes devem ser atualizados com Sensor dados de alerta. Como os sensores se comunicam com o NSM para atualização as informações do alerta?
O Sensor tenta enviar alertas para ambos os NSMs em uma configuração de MDR. Se o alerta tiver sido enviado com êxito para um NSM, você poderá remover o alerta do buffer Sensor. Se o Sensor não puder enviar o alerta para qualquer um dos NSMs, ele será salvo no buffer Sensor. Os gerenciadores sincronizam seus bancos de dados entre si para atualização quaisquer alertas que possam não ter sido recebidos no outro Manager quando se comunicam da próxima vez. Cada alerta é marcado com atributos exclusivos para auxiliar na sincronização entre os gerenciadores.
Como os recursos de quarentena de IPS e lista de controle de acesso (ACL) no NSP diferem?
As regras de quarentena do IPS são processadas de forma independente das regras de ACL antes e avaliadas.
Uma regra de quarentena do IPS descarta todo o tráfego de um endereço IP de origem, enquanto uma regra de ACL pode ser mais específica para o tipo de tráfego que é Descartado.
As regras de quarentena do IPS são criadas dinamicamente. Você deve adicionar as regras de ACL explicitamente ao criar uma política.
Você pode remover dinamicamente as regras de quarentena do IPS após um período de tempo predefinido. Você deve remover as regras de ACL explicitamente por meio de uma atualização de política.
Como os ataques de rede de bots são exibidos no Threat Analyzer?
Quando o tráfego é encontrado, os endereços são pesquisados em relação ao DAT de rede de bots arquivo. Essa ação é para determinar se um endereço IP ou nome de domínio é um endereço de rede de bots conhecido.
Se os dados forem correspondidos, um alerta será disparado e o endereço IP ou domínio do comando (C&C) de controle será marcado como um atacante. O endereço do atacante é colocado na coluna IP de origem na Threat Analyzer. O endereço do host que está se conectando ao endereço C&C é rotulado como vítima. A vítima aparece na coluna endereço IP de destino do Threat Analyzer.
A direção do fluxo é baseada em quem iniciou a conexão e indica se o fluxo de inicialização era de entrada ou de saída.
Por que os alertas baixos e informativos não são mostrados no Real Time Threat Analyzer (RTTA)?
Esse comportamento ocorre conforme projetado. Use a Threat Analyzer do histórico para exibir alertas baixos e informativos.
Posso configurar ataques para serem bloqueados no editor de políticas, por que o Sensor enviar um alerta para a Manager mesmo se ' enviar alerta ao Manager ' não estiver selecionado para o ataque?
Esse comportamento ocorre conforme projetado. Como o ataque está bloqueado, o Sensor envia o alerta, independentemente do alerta Enviar para a configuração Manager. Dessa forma, o administrador é notificado sobre qual Sensor bloqueou o ataque.
No RTTA, a seção análise de DoS da tela detalhes do alerta para o volume de pacotes UDP de entrada/saída é muito alta mostra a faixa de IP DoS e 3 principais faixas de IP de ataque. Por que essa seção algumas vezes está em branco, sem as informações de faixa de IP exibidas?
Esse comportamento ocorre conforme projetado. Quando o Sensor vê o ataque, ele inicia imediatamente a coleta de endereços IP. O Sensor aguarda um período antes de gerar o alerta para também relatar as informações de endereço IP. No entanto, se o ataque parar imediatamente depois, o Sensor não obterá nenhuma informação de endereço IP e gerará um alerta sem o endereço IP.
Por que o SYN cookie não funciona quando há tráfego de MPLS na rede?
O cookie SYN não pode ser compatível com o tráfego MPLS. O motivo é que o NSP não sabe qual marca MPLS usar na direção de retorno quando o Sensor proxy responde aos pacotes SYN.
O Sensor impede uma possível inundação de SYN quando você ativa o SYN cookie em um Sensor onde uma porta está configurada para ver o tráfego de MPLS e a outra é configurada em linha e não vê o tráfego de MPLS?
Sim. O cookie SYN continua funcionando para tráfego normal no par de portas embutidas.
Posso usar o SYN cookie se eu usar uma marca VLAN no tráfego? Por exemplo, se todo o tráfego contiver uma marca VLAN e o Sensor vir o tráfego somente de uma VLAN, mas não receber tráfego de nenhuma outra VLAN, o SYN cookie ainda funcionará? Ou, é necessário que a marca VLAN não esteja presente no tráfego embutido para que o SYN cookie funcione?
O cookie SYN funciona para tráfego com marca de VLAN. Até mesmo uma mistura de tráfego com marca de VLAN e não VLAN funciona. Se os pacotes retornarem por meio da mesma interface novamente, existem algumas restrições.
O total de todo o tráfego, tanto de entrada quanto de saída, em qualquer instância em questão é maior do que os recursos de inspeção em determinado Sensor (por exemplo, o NS9100 é de desempenho de IPS de 10 Gbps)?
Não. Os recursos de inspeção são comuns ou compartilhados para todas as portas do Sensor. Trata-se de recursos de inspeção que determinam a capacidade classificada do Sensor.
Qual é a diferença entre "ataque de correlação do reconhecimento" e "ataque de assinatura do reconhecimento"? Esses dois ataques reconhecimento fazem parte da "política padrão do reconhecimento"?
Ele depende da versão do NSP/NSM que está sendo usada. Procura 8.1, as políticas do IPS e as políticas do reconhecimento são usadas. As políticas do IPS contêm os ataques com base em assinatura, e as políticas do reconhecimento contêm os ataques baseados em correlação.
Mas, de 8.2 progressivamente, as políticas do reconhecimento não existem mais e os ataques de reconhecimento baseados em assinatura e em correlação são encontrados nas políticas do IPS.
Para diferenciá-los no editor de políticas do IPS, a McAfee Enterprise introduziu categorias de ataque específicas (reconhecimento de correlação de ataques e reconhecimento de assinaturas) para cada uma.
O navegador da Web de um host manualmente em quarentena não exibe uma mensagem ou um aviso em quarentena e não oferece um redirecionamento para o portal de correções. Por que não?
Quando você configura uma Sensor para exibir uma mensagem do navegador em um cliente em quarentena ou redirecioná-la para um portal de remediação, ela é implementada somente para os hosts colocados em quarentena automaticamente pelo Sensor. Esse comportamento é de design. Quando um usuário coloca o host manualmente em quarentena a partir de Threat Analyzer, a mensagem ou o portal de correção do navegador não é oferecido, e a única ação executada é que o host é colocado na zona de quarentena correspondente.
O Sensor detectará um arquivo de teste EICAR obtido por download por meio de HTTP?
Sim. O NSP detecta a última arquivo de teste de antimalware da EICAR. Você deve download o eicarcom2 teste arquivo a partir de: http://www.eicar.org/. INDICADO As versões mais antigas do arquivo de teste podem não ser detectadas.
Que perda de pacotes de rede é exibida ao usar o Sensor Fail-Open, se o Sensor for reinicializado ou sofrer uma flutuação de energia?
Quando uma Sensor é reinicializada ou alguma outra falha ocorre, o link que conecta os dispositivos em qualquer lado do Sensor é interrompido. Essa quebra do link faz com que alguns dispositivos de rede sejam renegociados e, dependendo dos dispositivos de rede, essa renegociação pode levar algum tempo para ser concluída.
Durante o tempo de negociação, não há link presente e qualquer aplicativo que não reenvia pacotes ou tem um tempo limite curto pode falhar na comunicação. Normalmente, uma pequena perda de pacote ocorre porque a retransmissão começa a switch para ser aberta com falha. Dependendo do equipamento de rede específico em seu ambiente, a interrupção pode variar de alguns segundos a mais de um minuto. O mesmo se aplica ao mover um Sensor de volta para o modo on-line, após o erro ser aberto.
O que é o intervalo de pulsação da plataforma de segurança de rede-abertura do kit e o que acontece quando o sinal é perdido?
Durante a operação normal de abertura de falha na linha Sensor, a porta do controlador de falha aberta ou do controle incorporado fornece a pulsação e o sinal de alimentação para o desvio switch. O sinal é programado previamente com um intervalo de quatro segundos. Se o sinal não for apresentado dentro de seu intervalo de quatro segundos, o kit de falha-abertura removerá o Sensor do caminho de dados e passará para o modo de desvio.
Qual é o processo de sincronização entre o NSP Manager e o Sensor?
O Sensor envia periodicamente uma solicitação de tempo do canal de controle ou alerta, para fins de sincronização.
O Sensor usa a porta 8502 ou 8507, o canal de alerta.
O Sensor faz com que o NSM seja o tempo a cada 30 segundos. INDICADO A Sensor pergunta somente se o canal de alerta não tem alertas ou eventos do sistema a serem enviados ao NSM durante a duração acima. Se o canal estiver ativo, a sincronização de tempo já está sendo mantida.
A cada 10 minutos, esse tempo sincronizado é gravado na memória flash do Sensor.
Posso remover ou desinstalar o Java do servidor NSM?
Não. O Java ainda é necessário no servidor que hospeda o NSM. O servidor executa uma java.exe processo que ocupa 2 GB de memória ou mais, dependendo das configurações de instalação.
O NSP oferece relatórios de conformidade HIPAA incorporados?
Não há relatórios baseados em conformidade incorporados disponíveis na plataforma NSP. A McAfee Enterprise recomenda o Appliance Event Reporter conforme é fornecido com relatórios pré-configurados.
Mais informações sobre o Appliance Event Reporter estão disponíveis no contato de vendas do seu McAfee Enterprise.
Quais alterações são feitas nas configurações de Sensor quando um ataque é adicionado novamente à assinatura do NSP (Sigset)?
A assinatura retornada mantém as configurações que você aplicou antes da assinatura ser removida.
Por exemplo, se você alterar a gravidade para médio de alto antes de o ataque ser removido, essa configuração será recuperada e aplicada depois que o ataque for adicionado de volta. INDICADO O ataque é ativado mesmo se você desativá-lo.
Quais políticas padrão de controle de acesso com base em identidade não podem ser excluídas no NSM?
Não é possível excluir as políticas a seguir. No entanto, você pode editar as configurações para especificar se o sistema Saúde será considerado ao conceder acesso à rede e o nível de acesso real a ser concedido:
Padrão
Usuário visitante
Registrado automaticamente
Posso criar uma regra de ignorar e não adicionar nenhum nome de ataque?
Não. As regras de ignorar devem ter um nome de ataque, pois a Sensor não pode, de outra forma, entender esse tipo de filtro de alerta.
Como posso excluir um endereço IP específico da inspeção?
Adicione uma regra de Firewall com a ação definida como sem estado de desinstalação. Essa ação encaminha todos os pacotes que correspondam à regra sem executar nenhuma inspeção, exceto para a pesquisa/correspondência de regra de FW.
Posso implementar alta disponibilidade ativa-ativa usando sensores do NSP?
O Sensor é sempre ativo-ativo de alta disponibilidade. Trata-se dos dispositivos de rede de mesmo nível que determinam se o Sensor está sendo usado como ativo-passivo (um caminho de rede é bloqueado) ou ativo-ativo.
Eu crio regras de ignorar para ignorar ataques de reconhecimento (pesquisas de mecanismos de varredura de vulnerabilidades) com a rede interna como origem (atacante) e qualquer destino. Mas ainda vejo alertas no RTTA. Por que?
O uso de regras de ignorar é a maneira errada de abordar mecanismos de varredura de vulnerabilidades. Em vez disso, adicione uma regra de acesso à política Firewall para ignorar todo o tráfego para a vulnerabilidade mecanismo de varredura (usar a ignore sem estado). Além disso, adicione outra regra para todo o tráfego do mecanismo de varredura (duas regras).
O editor NSP UDS é compatível com a operação NOT?
Não. O editor do UDS não é compatível com a operação NOT. O hardware de aceleração correspondente ao padrão de Sensor teria que executar a correspondência de cadeia em todas as cadeias diferentes da especificada com a expressão NOT.
A McAfee Enterprise recomenda que você não execute esse tipo de pesquisa, pois ela pode causar sérios problemas de desempenho e não é uma solução eficiente.
O editor UDS é compatível com pesquisas de caracteres de caractere curinga?
Não. As pesquisas de caracteres curinga não são suportadas porque o uso de apenas um caractere curinga em uma pesquisa faria com que ele recupere todos os registros do banco de dados.
O serviço DCOM pode ser desativado no servidor que hospeda o NSP?
Sim. O DCOM pode ser desativado sem afetar a execução do NSP Manager. Para obter informações sobre como desativar o serviço DCOM e as implicações para outros programas e serviços, vá para http://support.microsoft.com/default.aspx?kbid=825750.
Como você detecta um único caractere de espaço usando o UDS editor?
Se você tiver que detectar um único espaço em uma expressão, por exemplo, xyz xyz, você pode executar a pesquisa da cadeia de caracteres digitando xyz xyz. A McAfee Enterprise recomenda que você não pesquise apenas um único espaço ou cadeias de caracteres curtas, pois isso pode causar problemas de desempenho e gerar falsos positivos.
Como verificar códigos de erro no MySQL?
No MySQL, você pode verificar os códigos de erro gerados usando o perror preta. Abra uma sessão de linha de comando (clique em Iniciar, executar, digite CMD e clique em OK) e, no mysql\bin Directory, digite o comando perror e pressione Enter. Por exemplo, perror 28 Error code 28: No space left on device.
Como o NSP Manager ou Sensor definir endereços internos ou externos para filtros de alerta?
Os endereços internos ou externos são definidos de acordo com o modo configurado:
Modo tocar/EMBUTIdo: em configuração da porta, especifique em que porta está dentro e qual está fora. Os filtros de alerta usam as mesmas especificações para definir os elementos internos ou externos, respectivamente.
Modo de SPAN: para detectar e marcar interno/externo para SPAN, o usuário deve configurar o VIDs baseado em CIDR. Se não houver nenhum VIDs baseado em CIDR, o Sensor marcará os pacotes como desconhecidos.
Por que os alertas de DoS bidirecionais não incluem uma guia taxa de pacote?
A guia taxa de pacote não está presente para os alertas de DoS estatísticos categorizados como bidirecionais porque:
Estes alertas estatísticos envolvem mais de um tipo de pacote.
O volume de fluxo de pacote entre as duas direções é diferente.
Qual é a diferença entre o êxito e o que pode ser bem-sucedido no status do resultado do ataque de Threat Analyzer?
Para determinar se um ataque foi bem-sucedido ou não, o NSP cobre os aspectos de detecção e pós-detecção do ataque. O NSP identifica se o ataque foi bem-sucedido com base nas respostas vistas no cabo:
Êxito
Ataque bem-sucedido
Pode ter êxito
Resultados desconhecidos, o NSP não pode determinar se o ataque foi bem-sucedido ou não
A plataforma de segurança de rede pode identificar o endereço IP verdadeiro-cliente do tráfego na rede de entrega de conteúdo, como o Akamai?
Positivo. Ao ativar o X-Forwarded-for para (XFF), Network Security Sensor pode detectar e bloquear ataques com base no verdadeiro-cliente-IP. INDICADO Essa funcionalidade é aplicável somente para HTTP.
O NSP é compatível com as chaves privadas incorporadas ao certificado com assinatura SHA-2?
Sim. Há suporte para certificados assinados com SHA-2. O recurso de descriptografia SSL de entrada somente executa uma correspondência de dados brutos do certificado do servidor e não valida o certificado. Portanto, o NSP pode descriptografar usando as chaves privadas incorporadas ao certificado com assinatura SHA-2.
Ao executar o comando clrstat para limpar as estatísticas de Sensor e, em seguida, executar o comando show sensor-Load, o Sensor-Load lista um alto valor, como 90%. Ele pode listar esse valor mesmo quando quase nenhum tráfego passar pela Sensor. Por que?
Esse comportamento é de design. O clrstat comando limpa os contadores usados para calcular a carga no Sensor. Para permitir que o Sensor gere contadores atualizados e a carga precisa a ser refletida, aguarde cerca de 20 a 30 segundos e execute show sensor-load tarde.
A integração entre o TIE e a do DXL é compatível com todos os modelos de Sensor?
Não. Esses recursos são compatíveis apenas com sensores da série NS.
Posso bloquear arquivos com o upload de hashes de arquivo MD5 para o NSP?
Sim. Esse recurso de NSP não exige a criação de uma definição de ataque personalizada. A Sensor NSP mantém uma lista de bloqueios e uma lista permitida de hashes. Ele aplica esses valores de hash a arquivos extraídos de fluxos HTTP, SMTP e FTP quando instruído a fazê-lo por malware política.
Para obter instruções sobre como importar um valor de hash, consulte a seção "políticas avançadas de malware" do guia de administração do IPS para sua versão.
Posso usar uma porta de resposta Sensor para conectar a Sensor à minha NTBA Appliance?
Não. Não é possível usar a porta de resposta como uma porta de monitor.
Como o NSP determina o tipo de arquivo para a política avançada de malware?
O NSP usa uma combinação de tipo de conteúdo, extensão de arquivo, propriedades de arquivo e a tecnologia de empresa proprietária McAfee.
Quando o Sensor bloqueia um pacote de ataque, por que o NSP não recuperou suas informações de cabeçalho X-Forwarded-for (XFF)?
Quando o NSP Sensor bloqueia um pacote de ataque, ele não consegue exibir as informações do LAYER7 encaminhado. Esse comportamento é conforme o projetado.
Se eu criar uma UDS personalizada, essa UDS será colocada acima de todas as outras assinaturas, ou ela será colocada no final de todas as outras assinaturas?
Uma UDS personalizada ajuda a definir a definição do ataque/assinatura e é adicionada à lista de todos os ataques. No entanto, não há ordem para a detecção de ataques, diferentemente das regras de ACL do firewall.
No relatório dez principais países de origem do ataque, uma das entradas é chamada de PA-o que ele significa?
Esse título é usado quando o país de origem específico não é conhecido. Para obter mais informações, consulte: protocolo/dev. maxmind.com/geoip/legacy/codes/iso3166/
O NSP pode enviar arquivos PNG, JPG ou outros tipos de imagem para o ATD para varredura?
O NSP não pode extrair arquivos de imagem dos fluxos. Esses arquivos podem fazer parte de um .zip arquivo que o NSP extrai e envia para o ATD, mas o NSP não extrai arquivos de imagem independentes.
Por que vejo consultas de DNS provenientes do Sensor?
Você vê esse tráfego ao configurar uma regra de firewall e especificar um nome de host como endereço de origem ou de destino. O Sensor envia consultas de DNS na porta UDP 53 para o servidor DNS especificado atribuído ao Sensor para esses nomes de host. Esse comportamento é de design.
Quais sensores oferecem suporte à integração com o McAfee Enterprise malware Analysis Cloud Service, Cloud Threat Detection (CTD)?
A série de sensores N/S suportam essa funcionalidade. Para obter mais informações sobre como configurar a integração do NSP com o CTD, consulte: https://community.mcafee.com/docs/DOC-9444
Posso importar um pcap arquivo ao NSM ou Sensor a ser analisado pelas políticas configuradas ou por simular o tráfego que passa por eles?
Não. Você deve configurar um TCPReplay para capturar o ataque e, em seguida, reproduza-o.
O que é a identificação de aplicativos?
A funcionalidade de identificação do aplicativo permite que os sensores de segurança da rede identifiquem os aplicativos na rede e atuem neles. Esse recurso pode ser ativado em portas Sensor específicas, incluindo uma porta individual que faz parte de um par. Essa funcionalidade oferece mais controle sobre o tipo e a direção do tráfego monitorado.
Qual é o impacto sobre o desempenho do Sensor?
Se a identificação do aplicativo for aplicada a todo o tráfego que passar pela Sensor, ela poderá diminuir o Sensor a taxa de transferência em 10%. A taxa de transferência de Sensor real varia, com base no tipo de tráfego.
Esse processo utiliza muitos recursos e deve ser ativado somente quando necessário. Para obter mais informações sobre como ativar essa funcionalidade, consulte o Guia de administração do Network Security Platform Manager para sua versão.
Como verificar os códigos de erro do MariaDB?
Para verificar os códigos de erro gerados, use o perror preta.
Abra uma sessão de linha de comando (clique em Iniciar, executar, digite CMD e clique em OK).
Na guia MariaDB\bin Directory, digite o comando perror e pressione Enter. Por exemplo, perror 28 Error code 28: No space left on device.
INDICADO Para upgrades, o local padrão é o diretório de instalação do banco de dados anterior.
Por que a contagem é exibida usando o show wb stats o comando aumenta mesmo que as listas de permissões e bloqueios estejam vazias?
A contagem de hash do WB vence em função de hashes incluídos no DAT (detectores de retorno de chamada) arquivo. Quando o download é feito para o NSM, esse arquivo é enviado para o Sensor e aumenta a contagem de hash do WB.
A McAfee Enterprise desenvolve esses hashes para lidar com ataques e vulnerabilidades, mas eles não são listados na GUI do NSM. Important Esse comportamento é conforme o projetado.
Por que não consigo acessar o NSM a partir de um dispositivo móvel de idioma diferente do inglês?
O NSM não funcionará corretamente se você acessar o NSM a partir de um dispositivo móvel que não esteja em inglês, porque somente os dispositivos definidos para o idioma Inglês são compatíveis. Para acessar o Manager, altere a configuração do idioma do sistema operacional para inglês.
Com qual versão do Nessus o NSM é compatível?
Relatórios do Nessus gerados usando o Nessus 4 e o Nessus 5.x os mecanismos de varredura são importados com êxito para o NSM. Se o relatório gerado contiver o host IPs como nomes de domínio totalmente qualificados (FQDNs) ou nomes NetBIOS, o NSM não conseguirá resolver o host IPs de destino no relatório. Ele também não importa as vulnerabilidades desses hosts para o banco de dados do Manager. A Nessus 4 ou Nessus 5.x relatório em .nessus o formato, que contém endereços IP de host válidos em formato pontilhado, é importado com êxito para o banco de dados do Manager.
Por que o Sensor não consegue detectar nenhum ataque quando o tráfego é o PPPoE encapsulado?
Não há suporte para o PPPoE. O Sensor encaminha todos os pacotes encapsulados PPPoE, sem qualquer detecção. Esse comportamento é de design.
Quando o NSM é configurado para distribuição automática por download sigsets para todos os dispositivos, a distribuição automática funciona para sensores NSP, mas não NTBA sensores. Por que?
A distribuição automática para o NTBA é compatível com o NSM 8.1 e versões posteriores. Para implementar a distribuição automática, upgrade para o NSM 8.1.3.6 ou versões posteriores.
A análise do GTP é compatível com os sensores da série M?
Não. A análise do GTP é suportada somente nos sensores da série NS.
O NSP pode inspecionar o tráfego encapsulado do GRE detecta ataques que usam este protocolo?
O NSP pode inspecionar o tráfego encapsulado do GRE e detectar ataques. No entanto, esse recurso deve ser ativado, pois a configuração padrão do Sensor é não inspecionar o tráfego com túnel do GRE.
O NSP oferece suporte à varredura do novo protocolo HTTP/2 (HTTP 2.0)?
O NSP atualmente não é compatível com HTTP/2, mas o suporte está programado para uma versão futura do NSP.
Quando um switch de rede é compatível com o AutoMDI/MDI-X, um Sensor pode usar o AutoMDI/MDI-X para estabelecer um vínculo entre o switch e o Sensor?
Sim. No entanto, o AutoMDI/MDI-X não funciona corretamente se a auto-negociação estiver desativada na porta Sensor. Você deve ativar a auto-negociação na porta Sensor, antes de configurar o link entre o switch e o Sensor usando o AutoMDI/MDI-X.
Há suporte para vários sensores com um endereço IP duplicado no NSM?
Não. Não há suporte para vários sensores com endereço IP duplicado no NSM.
Por exemplo:
Sensor-A (IP:192.168.0.10) já está instalado em um NSM.
Sensor-B (IP:192.168.0.10) precisa ser adicionado ao NSM.
Se você adicionar o novo Sensor ao Manager e atribuir o mesmo endereço IP do Sensor existente, as atualizações e alterações de configuração serão aplicadas incorretamente de forma intermitente.
Nesse caso, o Sensor-A deve ser removido do Manager, antes da adição de Sensor-B. A execução do comando de desinstalação no Sensor-A não é suficiente. O Sensor-A deve ser removido do Manager antes da adição de Sensor-B.
Important Há um exceção a essa regra. Um Sensor pode ser adicionado com o mesmo endereço IP somente se o nome e o modelo do Sensor forem idênticos a um Sensor antigo que não esteja mais conectado fisicamente à Manager. Essa situação é semelhante a quando uma Sensor interrompida é substituída.
Que cobertura de Skype a plataforma de segurança de rede oferece? O NSP pode bloquear o tráfego de Skype?
Atualmente, a plataforma de segurança de rede não fornece cobertura de bloqueio no tráfego de Skype, devido à ofuscação e à criptografia. A plataforma de segurança de rede pode detectar o tráfego de Skype usando as seguintes assinaturas P2P:
0x42c02600 P2P: Skype Logon Process Detected
0x40015f00 P2P: Skype-like Traffic Detected
0x40015e00 P2P: Skype Sweep Traffic Detected
A ID de ataque 0x40015f00 e 0x40015e00 são um componente ou um par de ataques correlacionados, que não pode ser bloqueado.
A ID de ataque 0x42c02600 pode ser detectada e bloqueada devido ao texto não criptografado contido na sessão TCP.
Skype pode usar uma sessão criptografada para efetuar logon. A assinatura correlacionada da plataforma de segurança de rede pode detectar o tráfego Skype, mas não pode ser configurada para bloquear, devido à natureza da correlação. Portanto, a plataforma de segurança de rede não tem cobertura de bloqueio em Skype.
Posso executar um par de Sensor failover com as portas monitor no modo SPAN?
Não. Você só pode criar um failover par quando as portas monitor forem colocadas no modo linear. Depois de criar o par, não é possível alterar o modo de porta. Voltar ao início
Em quais condições devo usar a reimportação para importar chaves SSL para o Manager?
Use Reimport novamente ao reimportar uma chave que exista no Manager. Você pode usar a reimportação várias vezes para substituir a chave existente na Manager quando as atualizações de SSL ainda não tiverem sido enviadas para o Sensor. Não use Reimport para substituir uma chave SSL antiga por uma nova chave.
O procedimento de renovação está correto para excluir a chave SSL antiga do Sensor e importar uma nova chave SSL após a exclusão manual?
Sim. McAfee Enterprise recomenda importar a nova chave SSL para o Manager e, em seguida, enviar o SSL atualização para o Sensor depois que a chave SSL antiga tiver sido excluída.
Uma reinicialização do sensor é necessária depois que uma nova chave SSL foi importada/importada e enviada por push para o sensor na Manager?
A reinicialização de Sensor só será necessária se você ativar ou desativar a funcionalidade SSL no Sensor. Ela não é necessária após a importação/reimportação de chaves SSL.
Por que vejo ' SSL: alertas de transição de estado incorretos (0x00006000) ' no alerta Manager depois que uma chave SSL foi substituída?
Você pode ver esses alertas no alerta Manager se houver fluxos HTTP ativos quando o novo certificado SSL estiver sendo enviado por push para o Sensor. Entre em contato com a Suporte técnico se esse comportamento continuar e envie capturas de pacotes durante e após a importação/renovação da chave SSL.
Por que vejo ' SSL: alertas de transição de estado incorretos (0x00006000) ' na Manager de alertas? É uma detecção de falso positivo?
Colete relatórios de evidências dos alertas fornecidos, conforme explicado em KB55743-como enviar falsos positivos de plataforma de segurança de rede e detecções incorretas para a Suporte técnico.
Em seguida, abra o registro de pacotes gerado nos relatórios de evidências com um sniffer de pacotes, como o Wireshark, e verifique a versão do TLS/SSL usada. Os sensores NSP atualmente não suportam TLS v1.1 e v1.2 e disparar este alerta. Para ignorar esse tráfego, crie um filtro de ataque ou use uma versão compatível do SSL/TLS (SSLv2, SSLv3, TLSv1.0).
Há um limite de tamanho para a chave secreta compartilhada quando definido por meio do Sharedsecretkey preta?
A chave secreta compartilhada do NSP deve ter no mínimo 8 caracteres e no máximo 25 caracteres. A chave não pode começar com um ponto de exclamação ou ter espaços.
O que é GTI?
O GTI é um mecanismo global de correlação de ameaças e base de inteligência de comportamento de comunicação e mensagens global. Ele permite a proteção de clientes contra ameaças eletrônicas conhecidas e emergentes em todas as áreas de ameaças.
Quais portas o GTI usa?
Descritivo
NNTP
Iniciador
Porta de origem
Porta de destino
Para enviar informações sobre a participação
ENTRADA
Manager
Seleção
HTTPS/443
Descritivo
NNTP
Iniciador
Porta de origem
Porta de destino
Endereço de destino
Para o envio de consultas de reputação de IP McAfee
ENTRADA
Manager e Sensor
Seleção
HTTPS/443
tunnel.web.trustedsource.org
Para o envio de consultas de reputação de arquivos do McAfee
UDP
Sensor
Seleção
DNS/53
avqs.mcafee.com
ANOTAÇÕES
A reputação de IP foi chamada anteriormente de TrustedSource.
A reputação de arquivos anteriormente era chamada de Artemis.
Quais informações são usadas pelo Sensor em uma consulta GTI?
A conexão 5-tuple (IP de origem, IP de destino, porta de origem, porta de destino e protocolo).
Quais informações o NSP Manager usado em uma consulta GTI?
A cinco tupla e quaisquer informações de ataques adicionais que possam estar disponíveis são:
Nome do ataque, hora do ataque, categoria, contagem, sistema operacional de destino, mecanismo de detecção, direção do ataque, URL do malware, ID do ataque do NSP, resultado, ID da assinatura, sistema operacional de origem, subcategoria e tipo de ataque.
INDICADO Consulte a página participação do GTI no Manager para obter uma exibição detalhada do que é enviado. Selecionados Configura, Integrado, Participação GTI.
Onde estão as consultas do GTI enviadas?
O Sensor executa uma consulta DNS especializada para mcafee.comr. As consultas do Manager são endereçadas em https://tunnel.web.trustedsource.org.
Como posso ver qual é a reputação de um site ou endereço específico?
Por que o endereço que eu encontro mostra uma reputação diferente?
O GTI usa muitos fatores para determinar a reputação de uma conexão específica. Se a conexão for com a porta 80 ou 8080, a reputação da Web será usada. Se a conexão for com a porta 25, a reputação do e-mail será usada. Todas as outras portas usam a reputação de IP, que pode ser uma composição da reputação da Web e de e-mail. Com o tempo, esse valor tem um valor exclusivo à medida que mais dados são coletados.
A McAfee empresa pode ajustar a reputação de um endereço IP específico?
Depois de executar uma consulta no www.trustedsource.org, há uma opção para comentários sobre ameaças. Use este formulário para solicitar a revisão. Como alternativa, você pode solicitar uma revisão de um IP específico por e-mail. Para reputações na Web, entre em contato sites@mcafee.com. Para reputações de rede e de e-mail, entre em contato com trusign-feedback@mcafee.com. Sempre inclua o endereço IP, a porta e o tipo de tráfego que estava sendo usado.
Onde posso obter mais informações sobre o GTI?
Consulte o guia de integração da plataforma de segurança de rede para obter a versão do produto ou vá para www.trustedsource.org.
O NSP Sensor realiza a pesquisa de IP do GTI para todo o tráfego que ele vê?
Não por padrão. Você pode configurar o Sensor para executar uma pesquisa de GTI para todo o tráfego, ativando a análise de reputação do ponto de extremidade.
INDICADONo momento, o NSP pode usar informações de reputação de IP com os recursos de bloqueio inteligente e limite de conexão. O NSP não consegue detectar retorno de chamada com reputação de IP.
Por que não consigo abrir um arquivo detectado pelo GTI dentro do NSP para análise adicional; Como posso abrir arquivos Convicted pelo GTI?
Esses arquivos são criptografados, mesmo quando exportados por meio da interface do usuário. Você deve usar o utilitário MalwareDecrypter. bat para descriptografá-los. O local arquivo para esse utilitário é:
/diag/MalwareUtil/MalwareDecrypter.bat
INDICADO Se você executar o arquivo sem parâmetros, ele exibirá as opções disponíveis.
Onde posso encontrar informações adicionais sobre como descriptografar arquivos?
Consulte as informações sobre o utilitário malware Decrypter na seção "arquivos de malware de arquivo" do Guia de administração do Network Security Platform Manager, e o Guia de administração do Network Security Platform IPS para a versão do produto.
O que é um conjunto de assinaturas heterogêneas (Sigset)?
As versões mais antigas do NSP exigiam que você executasse a mesma versão de software NSM de ponto (8.x, 7.x) como seu Sensor. Se você gerenciasse várias versões de ponto de Sensor software, você precisava de um NSM separado para cada versão de software do Sensor. Para resolver esse problema, McAfee Enterprise adicionou a funcionalidade ao NSM para gerenciar versões anteriores do software Sensor. Por exemplo, NSM 8.3 pode gerenciar sensores com o software 8.x em 7.x instalar. Para oferecer suporte a essa funcionalidade, McAfee empresa desenvolveu o Sigset heterogêneo, que contém todas as assinaturas de cada versão do software Sensor.
O Sigset heterogêneo é um formato que inclui todas as versões de versão principais em um único Sigset unificado. Os administradores download e aplicar um único Sigset que o Manager usa para controlar qualquer um dos sensores.
São todos sigsets vai ser heterogêneo? A McAfee Enterprise interrompeu a liberação de homogêneo sigsets?
Sim, a McAfee Enterprise parou de liberar homogêneos sigsets. Afinal sigsets Agora são heterogêneos.
O que um Sigset heterogêneo contém, qual é o esquema de numeração e que outras informações você pode obter com o número do Sigset?
O Sigset heterogêneo contém duas ou mais versões principais individuais sigsets em um novo formato unificado. O esquema de numeração é sigsetW.X.Y.Z nas
W indica a versão do software Sensor mais alta suportada.
X indica a versão de software mais baixa do Sensor para a qual há suporte.
Y indica o número da versão do lançamento do Sigset.
Z indica a versão da compilação.
Por exemplo, Sigset 9.8.1.1 significa que esse Sigset suporta 9.x em 8.x Sensores.
Como o McAfee Enterprise testa o Sigset heterogêneo?
A McAfee Enterprise tem métodos de teste abrangentes para testar heterogêneos sigsets para garantir a compatibilidade com todas as versões de software do Sensor. Além de todos os testes que são realizados com o normal sigsets, McAfee Enterprise realiza mais casos de teste. Esse teste garante que os Sigset heterogêneos funcionem bem em um ambiente heterogêneo, no qual são usadas várias versões de software de Sensor.
Preciso alterar minha configuração de Manager para usar o Sigset heterogêneo?
Não.
Há um Sigset heterogêneo diferente para cada versão principal (por exemplo: 8.x, 9.x)?
Há apenas um Sigset heterogêneo que contém todas as assinaturas de todas as versões do Sensor atualmente compatíveis. Por exemplo, 9.8.1.1 suporte a todos os sensores que executam versões 9.x em 8.x.
O que é um appliance de Manager baseado no Linux?
O Appliance Manager baseado em Linux é um appliance de hardware McAfee Enterprise, executando um McAfee Linux Operating System pré-instalado e protegido. O appliance vem previamente carregado com o software NSM.
O que é o McAfee Linux Operating System (MLOS)?
A MLOS é uma plataforma McAfee e padronizada e baseada em Linux em que vários McAfee Enterprise Security Appliances são criados.
Qual é a versão do McAfee Linux Operating System (MLOS) usada no Appliance Manager baseado em Linux?
Atualmente, o Appliance Manager baseado no Linux é pré-instalado com o MLOS versão 3.5.x (MLOS3).
Quais modelos de Sensor podem ser gerenciados Manager com base em Linux?
Um Manager baseado em Linux pode gerenciar os seguintes modelos de Sensor:
Série NS: NS9500, NS9300, NS9200, NS9100, NS7350, NS7250, NS7150, NS7300, NS7200, NS7100, NS5200, NS5100, NS3500, NS3200, and NS3100
Sensores de IPS virtuais: IPS-VM600 e IPS-VM600-VSS
Série m: M-8000, M-6050, M-4050, M-3050, m-2950, m-2850, M-1450 e M-1250
Qual é o número total de sensores que podem ser gerenciados por Manager com base no Linux?
Os Manager baseados em Linux podem gerenciar o mesmo número de sensores que o Manager baseado em Windows. O número máximo de sensores que um Manager baseado em Linux pode gerenciar varia de acordo com o tamanho do banco de dados, a taxa de alertas e o tráfego total inspecionado por todos os sensores conectados ao Manager.
Posso instalar o Manager/Central Manager baseado no Linux como uma instância virtual?
Você pode distribuir o Manager/Central Manager baseado em Linux como uma máquina virtual em seus servidores de ESXi. O Manager/Central Manager virtual é uma imagem OVA que distribui uma instância virtual do NSM/Central Manager em execução em um sistema Linux.
De onde eu download uma imagem do OVA do Manager/Central Manager baseado em Linux?
As imagens do OVA para um Manager/Central Manager com base no Linux estão disponíveis no site de downloads de produtos e McAfee servidor de atualização empresarial.
Onde posso download uma imagem ISO do Manager/Central Manager baseado em Linux?
A McAfee Enterprise não fornece uma imagem ISO do Manager/Central Manager baseado em Linux. INDICADO A McAfee Enterprise recomenda que você use uma imagem do OVA para distribuição de máquina virtual do Manager com base em Linux e uma imagem inicializável compartilhada por Suporte técnico para migração de Windows baseados em Manager para Linux com base em Manager.
Posso executar o software de Manager baseado no Linux em um hardware de Appliance Manager com base em Windows?
É possível migrar seu appliance de um Manager baseado em Windows para um Manager com base em Linux.
Como faço para migrar um Manager baseado em Windows para um Manager baseado em Linux?
Faça um backup do banco de dados a partir do Manager baseado em Windows e restaure-o em um Manager novo e baseado em Linux. Consulte PD27843 para ver as etapas completas. NOTAS:
Não é possível migrar de uma versão mais recente de uma Manager com base no Windows para uma versão anterior de um Manager baseado em Linux.
Por exemplo, não é possível migrar uma versão de Manager baseada no Windows 9.1.7.45 para uma versão de Manager baseada no Linux 9.1.7.39.
Verifique se o Windows Manager Server está em execução no NSM 9.1 ou versões posteriores.
O que é o Manager Shell?
Manager Shell é a interface de linha de comando para Manager com base em Linux e permite que você execute muitas atividades de Manager/Central Manager.
Qual aplicativo devo usar para a conexão SSH com a CLI do Manager baseada no Linux?
McAfee Enterprise recomenda que você use o Tera Term Quanto Bitviseaplicativos para conexão SSH com a CLI de Manager baseada no Linux. INDICADO As conexões SSH com a CLI de Manager baseada no Linux são válida compatível com o aplicativo de reversões.
Quais são as credenciais para efetuar logon no Shell do Manager?
Por Manager:
Nome do usuário: admin
La MLOSnsmApp
Por Central Manager:
Nome do usuário: admin
La MLOSnscmApp
Como upgrade o Manager/Central Manager baseado em Linux?
Você pode upgrade seu Manager/Central Manager com base no Linux usando o upgrade no Manager Shell. Para obter mais informações, consulte Guia de instalação do McAfee Network Security Platform para sua versão.
Onde posso download o Manager upgrade arquivo com base no Linux?
O software Manager baseado em Linux upgrade arquivo (Setup. bin) está disponível no site de downloads de produtos e no McAfee Enterprise Update Server. INDICADO Não é possível download diretamente o Manager upgrade arquivo (Setup. bin) baseado em Linux no Linux com base em Manager. Faça o download do upgrade arquivo em um servidor separado que esteja executando o serviço SCP ou TFTP na sua rede.
Os arquivos upgrade para uma máquina virtual Manager Linux com base em um ou Manager Appliance?
O upgrade arquivo (Setup. bin) é o mesmo para a máquina virtual Manager com base em Linux e o appliance de Manager.
Como faço backup do banco de dados de um Manager baseado no Linux?
Você pode fazer o backup do banco de dados usando o Manager GUI ou o Shell do Manager.
Para coletar o backup do banco de dados a partir do shell do Manager, execute o dbBackup.sh script. INDICADO
Se você estiver executando a versão do Manager com base no Linux 9.1.7.75 Quanto 9.2.7.31, A McAfee Enterprise recomenda que você faça o backup do banco de dados a partir da GUI do Manager.
Se você estiver executando a versão Manager 9.1.7.77 ou posterior, a McAfee Enterprise recomenda que você interrompa o serviço de banco de dados do Manager antes de fazer o backup.
Consulte o Guia de instalação do Network Security Platform Manager Appliance (Linux) para obter mais informações.
Como posso evitar a corrupção de dados ao fazer upgrade ou migrar?
McAfee Enterprise recomenda que você faça um backup do banco de dados antes de um upgrade ou uma migração para evitar a corrupção dos dados.
Como faço a migração de um Windows Manager em execução do banco de dados do MySQL para um Manager baseado em Linux executando o banco de dados do MariaDB?
O processo de upgrade do Manager migra o banco de dados do MySQL para o MariaDB. Os usuários não precisam executar outros procedimentos para esta migração.
Posso restaurar um backup extraído de um Manager que executa o banco de dados do MySQL em uma versão superior do Manager que executa o MariaDB?
Sim. Você pode restaurar o backup do banco de dados extraído de um Manager que executa o MySQL para uma versão posterior do Manager que executa o MariaDB. INDICADO Os primeiros dígitos de ambos os gerenciadores devem ser idênticos (o mesmo McAfee produto gerenciado pela empresa). Por exemplo, não é possível restaurar um backup de banco de dados tirado da versão do NSM 8.1.7.65 Para 9.1.7.75, mas você pode restaurar 9.1.7.65 Para 9.1.7.75.
Como faço para acessar o Shell do MariaDB?
Abrir uma sessão de linha de comando Manager e executar dbShell preta. INDICADO O nome de usuário padrão do MariaDB admine a senha admin123respectivos.
Como altero a senha do banco de dados?
Abra uma sessão de linha de comando e execute o passwordchange.sh preta. INDICADOA senha raiz do banco de dados padrão é root123.
Um Central Manager que executa o MariaDB gerencia gerenciadores que executam MySQL banco de dados e inversamente?
O Central Manager em execução de Maria DB não pode gerenciar os gerenciadores que executam MySQL banco de dados e um Central Manager em execução MySQL banco de dados não pode gerenciar gerenciadores executando o MariaDB INDICADO A versão do Central Manager 9.2.7.31 e versões anteriores, e 9.2.9.8 e versões anteriores, não é possível gerenciar a versão do Manager 9.1.7.77.
Como faço para transferir arquivos de um Manager com base no Windows para um Manager com base no Linux?
Você pode transferir arquivos de um Manager baseado em Windows para um Manager com base no Linux com segurança, usando o Bitvise aplicativos. INDICADO A transferência de arquivos de um Manager baseado em Windows para um Manager baseado em Linux não é suportada pelo aplicativo WinSCP devido à incompatibilidade de criptografia.
Posso usar o comando scpToRemote para copiar arquivos de um Manager com base no Linux para um Windows host?
O comando scpToRemote pode ser usado apenas para copiar arquivos para um Linux remoto host.
Posso criar um MDR com um Manager Windows e uma combinação de Manager Linux?
Não é possível criar um par MDR com um Manager de Windows e um Manager de Linux. Em um MDR, os dois gerentes devem estar executando o mesmo sistema operacional.
Como upgrade um par MDR com gerenciadores executando o banco de dados MySQL para gerentes que executam o banco de dados do MariaDB?
McAfee Enterprise recomenda que você interrompa o par MDR, upgrade os gerentes individuais e recrie o par de MDR.
Um Central Manager com base em Linux pode gerenciar um Manager baseado em Windows?
Um Central Manager baseado em Linux pode gerenciar apenas um Manager com base no Linux. O Central Manager baseado em Linux não pode gerenciar um Manager baseado em Windows e um Windows com base em Central Manager não pode gerenciar um Linux baseado em Manager.
O que o collect logs comando do?
O comando coletar registros é usado para fins de depuração. Ele coleta todos os registros de Manager. Por exemplo, EMS. log, emsout. log, emssync. log e initdb. log.
Qual é a diferença entre os logs coletados usando o InfoCollector utilitário, em oposição aos logs coletados usando o comando coletar registros?
O comando coletar registros coleta somente os registros relacionados ao Manager. O InfoCollector o utilitário coleta informações do sistema, registros do Manager e backup de configuração.
Um Manager com base em Linux pode gerenciar uma NTBA Appliance?
Sim, o Manager baseado em Linux pode gerenciar uma NTBA Appliance.
O McAfee Linux Operating System (MLOS) é compatível com o FIPS?
Sim, MLOS está em conformidade com o FIPS. O Manager baseado em Linux baseia-se no sistema operacional compatível com FIPS. INDICADO O software Manager baseado em MLOS certificados pelo FIPS não é compatível com FIPS sozinho.
A McAfee Enterprise continua a oferecer suporte ao software de Manager baseado em Windows?
O appliance de Manager com base em Windows era no fim da vida útil em 2020 de Janeiro. Suporte técnico não soluciona problemas para o Appliance Windows após essa data.
O que acontece quando eu RMA um Appliance Manager baseado em Windows?
Ao RMA um appliance de Manager baseado em Windows, você recebe um novo Appliance Manager baseado em Linux. INDICADO O fim das vendas (EOS) para o appliance de Manager com base no Windows foi anunciado em janeiro de 2018. A McAfee Enterprise não fornece mais nenhum dos novos appliances de Manager baseados em Windows.
Posso instalar o software de Manager baseado no Linux em um hardware de terceiros?
A McAfee Enterprise recomenda que você não instale o software de Manager baseado em Linux em um hardware de Linux de terceiros.
O McAfee Enterprise é compatível com qualquer outra plataforma Linux para o software Manager?
No momento, o software Manager com base no Linux só pode ser instalado em uma McAfee Linux Operating System (MLOS).
Posso configurar a segunda placa de rede do Appliance NSM em MLOS?
No momento, é possível usar apenas a primeira interface de placa de rede. Não há suporte para o uso da segunda placa de rede.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.