監視 Threat Intelligence Exchange 伺服器部署的最佳作法
技術文章 ID:
KB86314
上次修改: 2021/10/22
上次修改: 2021/10/22
免責聲明
本文內容源於英文。如果英文內容和翻譯有差異,請一律以英文內容為準。其中部分內容是使用 Microsoft 機器翻譯技術翻譯的。
監視 Threat Intelligence Exchange 伺服器部署的最佳作法
技術文章 ID:
KB86314
上次修改: 2021/10/22 環境McAfee Threat Intelligence Exchange (TIE) 伺服器 2.x、1.x
摘要本文介紹多種監視 TIE 伺服器部署的選項。
附註:自 TIE 伺服器 2.1.0 開始,「主要」和「從屬」作業的命名慣例已變更為「主要」和「次要」。 例如: 「主要」仍為主要舊版 TIE 伺服器會保留原來指定的 Master/Slave。 ePolicy Orchestrator - 自動回應 TIE 伺服器健康狀態 從 TIE 伺服器 1.3.0 開始,您可以使用 ePolicy Orchestrator (ePO) 伺服器事件建立 ePO 自動回應,包括電子郵件通知以及其他可能的動作。 有一個名為 TIE 伺服器監視的 ePO 伺服器工作,每小時執行一次,並在 TIE 伺服器例項無法存取或其健康 API 無回應時建立事件。 您必須建立在收到事件時要執行的相符 ePO 自動回應。 產生的事件 ID 範圍為 37175-37179。 為便於進行疑難排解,每個 ID 都與一個指定的 TIE 伺服器作業模式相符。 在以下位置建立自動回應:功能表 | 自動回應 | 新回應。 將事件類型設定為伺服器,將事件 ID 篩選為等於 TIE 伺服器範圍 37175-37179,並選擇傳送電子郵件動作。 附註:必須在 [功能表] | [伺服器設定] | [電子郵件伺服器] 下設定一個電子郵件帳戶,以接收自動回應電子郵件。 ePO - 裝置樹狀目錄中的產品資訊: ePO 為 TIE 提供自訂產品屬性,包括有關 Advanced Threat Defense (ATD) 和 Global Threat Intelligence (GTI) 整合的相關指標。 您可以在以下位置找到這些資訊:系統樹狀目錄 | TIE 伺服器裝置的系統名稱 | 產品 | McAfee Threat Intelligence Exchange 伺服器。 以下螢幕快照顯示範例輸出: ![]() ePO - Data Exchange Layer 網狀架構拓撲頁面:
從 Data Exchange Layer (DXL) 1.1 開始提供此頁面,位於:功能表 | 組態 | 伺服器設定 | DXL 拓撲。 DXL 網狀架構拓撲頁面顯示 DXL 屬性、橋接器和服務的相關資訊。 每個 DXL 代理人還會顯示 DXL 服務每秒處理的訊息數。 以下螢幕快照顯示 TIE 服務的範例輸出登錄資訊: ![]() VMware 效能監視:
TIE 伺服器虛擬裝置在 VMware 技術基礎上執行,可在主機層級提供監視和警示功能。 如需更多詳細資料,請參閱 vCenter 5.1 監視效能指南:http://pubs.vmware.com/vsphere-51/topic/com.vmware.ICbase/PDF/vsphere-esxi-vcenter-server-51-monitoring-performance-guide.pdf。 以下螢幕快照顯示 TIE 伺服器例項的範例效能輸出結果: ![]() ePO Web API:
DXL 代理人提供 ePO Web API,以報告連線的用戶端數量。 任何監視解決方案都可以重複使用 ePO Web API,來監視服務及其健康狀態隨時間的變化,以便識別問題。 從 DXL 2.0 開始,提供以下監視遠端命令:
健康狀態功能 從 TIE 伺服器 2.0.0 開始,可以在 TIE 伺服器拓樸頁面,找到每部伺服器的整體健康狀態。 瀏覽至功能表 | 組態 | 伺服器設定,然後選取 TIE 伺服器拓撲管理區段。 在此,您可以檢查每個 TIE 伺服器例項的 DXL、ATD 和 GTI 連線狀態。 您也可以查看每部 TIE 伺服器內的資料庫版本是否相容,以及安裝的延伸模組版本與伺服器延伸模組版本是否相符。 對於從屬伺服器,您還可以檢查資料庫複寫狀態。 範例: ![]() SAR 功能 從 TIE 伺服器 2.0.0 開始,會在裝置上安裝 sysstat 套件,以允許使用 sar 命令。 MER 工具會將所有 sar 記錄複製到 logs/sys/sar。 擁有 sar 命令的本機副本或 sadf 之後,即可使用這些檔案執行多個查詢。 為了進一步簡化此功能,已使用 ksar 工具產生 logs/sys/sar/ksar.txt 檔案。 相關資訊
如需 McAfee 產品文件,請前往企業產品說明文件入口網站 https://docs.mcafee.com。
免責聲明本文內容源於英文。如果英文內容和翻譯有差異,請一律以英文內容為準。其中部分內容是使用 Microsoft 機器翻譯技術翻譯的。
受影響的產品 |
|