Threat Intelligence Exchange サーバー配備をモニタリングするためのベスト プラクティス
技術的な記事 ID:
KB86314
最終更新: 2021/10/22
最終更新: 2021/10/22
免責事項
この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。
Threat Intelligence Exchange サーバー配備をモニタリングするためのベスト プラクティス
技術的な記事 ID:
KB86314
最終更新: 2021/10/22 環境McAfee Threat Intelligence Exchange (TIE) サーバー 2.x、1.x
概要この記事では、TIE サーバー配備をモニタリングするためのいくつかのオプションについて説明します。
注: TIE サーバー バージョン 2.1.0 以降、マスターおよびスレーブの操作についての名前の規約が、プライマリとセカンダリに変更されました。 例: マスターはプライマリになります。以前のバージョンの TIE サーバーは、元のマスター/スレーブの指定を保持します。 ePolicy Orchestrator - TIE サーバーの正常性の自動応答 TIE サーバー 1.3.0 以降では、ePolicy Orchestrator (ePO) サーバー イベントを使用して、実行可能なアクションの中でも特に、電子メール通知を含む ePO 自動応答を作成することができます。 1 時間ごとに実行し、TIE サーバー インスタンスが到達できない場合やそれらの正常性 API が応答しない場合にイベントを作成する TIE サーバー Monitoring という名前の ePO サーバー タスクがあります。 イベントの受信時に実行するための、対応する ePO 自動応答を作成する必要があります。 生成されるイベント ID の範囲は 37175 ~ 37179 です。 トラブルシューティングを容易にするために、各 ID は特定の TIE サーバー動作モードと一致します。 自動応答は、[メニュー]、[自動応答]、[新しい応答] で作成します。 イベント タイプ を サーバー に設定して、TIE サーバーの範囲 37175 ~ 37179 と 一致する イベント ID でフィルターし、電子メールの送信 アクションを選択します。 注: 自動応答に関する電子メールを受信するには、[メニュー]、[サーバー設定]、[電子メール サーバー] で電子メール アカウントを設定する必要があります。 ePO - デバイス ツリーでの製品情報: ePO は、Advanced Threat Defense (ATD) と Global Threat Intelligence (GTI) の統合に関するメトリックスを含む TIE 用にカスタマイズされた製品プロパティを提供します。 これらは、[システム ツリー]、[TIE サーバー アプライアンスのシステム名]、[製品]、[McAfee Threat Intelligence Exchange サーバー] で見つけることができます。 次のスクリーンショットでサンプル出力を示します。 ![]() ePO - Data Exchange Layer ファブリック トポロジ ページ:
このページは、Data Exchange Layer (DXL) 1.1 以降の [メニュー]、[設定]、[サーバー設定]、[DXL トポロジ] で使用できます。 DXL ファブリック トポロジ ページには、DXL プロパティ、ブリッジ、およびサービスに関する情報が表示されます。 各 DXL ブローカーには、DXL サービスによって処理された 1 秒あたりのメッセージ数も表示されます。 次のスクリーンショットで、TIE サービスに関するサンプル出力登録情報を示します。 ![]() VMware パフォーマンス モニタリング:
TIE サーバー仮想アプライアンスは、モニタリング機能とアラート機能をホスト レベルで提供する VMware 技術に基づいて動作します。 詳細については、vCenter 5.1 Monitoring Performance Guide (http://pubs.vmware.com/vsphere-51/topic/com.vmware.ICbase/PDF/vsphere-esxi-vcenter-server-51-monitoring-performance-guide.pdf) を参照してください。 次のスクリーンショットで、TIE サーバー インスタンスのパフォーマンスのサンプル出力を示します。 ![]() ePO Web API:
DXL ブローカーは、接続されたクライアントの数を報告するための ePO Web API を提供しています。 任意のモニタリング ソリューションで ePO Web API を再利用して、ある期間にわたってサービスとその正常性をモニタリングし、問題を特定することができます。 DXL 2.0 以降では、次のモニタリング リモート コマンドを使用できます。
正常性ステータス機能 TIE サーバー 2.0.0 以降では、各サーバーの全体的な正常性ステータスが TIE サーバー トポロジ ページに表示されます。 [メニュー]、[設定]、[サーバー設定] に移動して、[TIE サーバー トポロジ管理] セクションを選択します。 ここでは、各 TIE サーバー インスタンスの DXL、ATD、および GTI の接続ステータスをチェックできます。 また、各 TIE サーバー内のデータベース バージョンに互換性があるかどうかと、インストールされている拡張ファイルのバージョンとサーバー拡張ファイルのバージョンが一致するかどうかも確認できます。 スレーブでは、データベースの複製のステータスもチェックできます。 例: ![]() SAR 機能 TIE サーバー 2.0.0 以降では、アプライアンスに sysstat パッケージがインストールされ、sar コマンドが使用可能になります。 MER ツールは、すべての sar ログを logs/sys/sar にコピーします。 sar コマンドのローカル コピー、または sadf を使用すれば、これらのファイルを使用した複数のクエリーを実行できます。 これをさらに簡単にするために、ksar ツールを使用して logs/sys/sar/ksar.txt ファイルが作成されます。 関連情報
McAfee 製品のドキュメントについては、次のサイトの Enterprise 製品マニュアル ポータルを参照してください。https://docs.mcafee.com
免責事項この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。
影響を受ける製品言語: |
|