本文章的最新更新
日期 |
更新 |
2017 年 9 月 21 日 |
将 1185552 移动到了 NTBA,然后添加了 1208616 和 1167939 |
2017 年 9 月 20 日 |
已添加 NTBA 9.1 发行说明、表格和问题。 1185552, 1211665 和 1183813 已添加到“Manager”表格。 |
本文包含有关本版产品中未解决的中高评级已知问题的重要信息。 如果在发行后发现新的问题,或者如果有其他信息可用,将更新本文。 要阅读发行说明,请参阅:
全球发布 (RTW) |
发行说明 |
2017 年 9 月 19 日 |
PD27259 - Network Security Platform 9.1.7.11-9.1.3.3 NTBA 发行说明 |
2017 年 7 月 13 日 |
PD27165 - Network Security Platform 9.1.7.11-9.1.5.9 NS 系列发行说明 |
2017 年 7 月 13 日 |
PD27167 - Network Security Platform 9.1.7.11-9.1.7.4 虚拟 IPS 发行说明 |
2017 年 7 月 13 日 |
PD27166 - Network Security Platform 9.1.7.11-9.1.3.4 M 系列、Mxx30 系列、XC 群集 |
Manager 已知问题严重问题:
参考编号 |
相关文章 |
已知版本 |
问题描述 |
1201041 |
|
|
问题:在 Central Manager 为 9.1 且 Manager 为 8.x 的异构环境中,信任构建故障。 |
1179927 |
|
|
问题:查看攻击日志中恶意软件警报的恶意软件策略时,恶意软件策略显示为空。 |
1119525 |
|
|
问题:扫描 UDP 流量时,未显示流使用图形。 监控 UDP 流量时,“流使用”选项卡中应显示相关图形。 |
1087489 |
|
|
问题:无法通过 Manager 重新启动或关闭 VM100 Sensor。 |
1026921 |
|
|
问题:高风险主机信息显示板上的主机威胁因素值显示为 NULL。 |
非严重问题:
参考编号 |
相关文章 |
已知版本 |
问题描述 |
1211665 |
|
9.1 |
问题:以下“新产生报告”类别无法在 NSM 9.1 中运行:
- Top Services by Bandwidth(带宽利用率最高的服务)
- Default - Top 10 Conversations(默认 - 前 10 个会话)
- Default - Top Most Recent Connections(默认 - 最近的几次连接)
- Default - Top 10 Exporter Interfaces(默认 - 前 10 个导出器接口)
|
1211323 |
|
|
问题:Endpoint Executables(端点可执行) 页面上列入黑名单的可执行的攻击次数没有递增。 |
1202643 |
|
|
问题:通过 Manager 重新启动虚拟 IPS Sensor 时,重新启动失败。 |
1201735 |
|
|
问题:下载了多个控制器升级文件时,文件名中通常会包含数字后缀。 如果文件名的后缀中包含空格,则说明控制器升级失败。 解决方法:控制器升级下载文件中不应包含任何空格或数字。 |
1201310 |
|
|
问题:禁用包日志加密功能时,通道打开。 解决方法:您需要始终启用“Packet Log Encryption”(包日志加密)选项。 选择设备,<管理域名称>、设备、<设备名称>、设置、高级、 警报选项。 确保 Packet Log Encryption(包日志加密)选项已启用。 |
1198866 |
|
|
问题:无法为所需子网创建保护的虚拟机组。 |
1196389 |
|
|
问题:将 Manager 转换为独立模式后,AWS MDR 对中的控制器仍在与次 Manager 进行通信。 |
1183813 |
|
9.1 |
问题:.jar 升级后,Manager 登录会话结束,通过 NTBA 页面重新启动 NTBA Appliance 后显示登录页面。 解决方法:Manager 退出登录后,NTBA Appliance 仍在后台重新启动。 无需手动重新启动 NTBA Appliance。 |
1179954 |
|
|
问题:默认检测策略的域级别策略更新不可用。 |
1176563 |
|
|
问题:计划程序有时无法选择提交到云的文件,从而生成报告。 |
1175848 |
|
|
问题:创建故障转移对时,从 Sensor 移除的端口模块显示在“Physical Ports”(物理端口)中。 |
1174187 |
|
|
问题:“恶意软件文件”页面中未显示对应恶意软件信任情况的信息“i”图标。 解决方法:可以在“Attack Log”(攻击日志)页面参阅此类信息。 |
1171604 |
|
|
问题:升级到 9.1 后,升级前生成的回调活动警报将不会继续出现。 |
1170425 |
|
|
问题:“Attack Log”(攻击日志)中其他操作菜单下的标记端点选项显示 OSC而非 ISC. |
1162743 |
|
|
问题:用于收集诊断跟踪的选项不可用。 |
1161012 |
|
|
问题:访问设备、<管理域名称>、设备、故障排除、流量统计页面时,数据类型名称已排序,但“接收/发送流量”选项卡中没有显示排序箭头。 |
1160967 |
|
|
问题:吞吐量和流使用的性能图表在启用 性能监控时没有显示数据。 |
1114216 |
|
|
问题:在 Sensor 上没有配置 Gateway Anti-Malware Engine 的情况下,显示的活动版本为 Gateway Anti-Malware (GAM) 2013。 |
1113349 |
|
|
问题:Manager 处于备用模式时,没有检测到恶意软件文件。 |
947790 |
|
|
问题:Sensor 捕捉 URL 中的文件名,将其作为警报的一部分发送给 syslog 服务器,其中的文件名不支持非英文字符。 |
905270 |
|
|
问题:Advanced Threat Defense (ATD) 报告的提交 ID 没有显示在恶意软件检测页面。 |
897937 |
|
|
问题:自定义规则使用 ssl_version 字段的情况下,Manager 没有触发警报。 |
832573 |
|
|
问题:可疑主机信息显示板上的“最后一个事件”列中列出的 风险评分计划程序时间.有误。 |
NS 系列已知问题严重问题:
参考编号 |
相关文章 |
已知版本 |
问题描述 |
1116819 |
|
|
问题:您在执行 CLI 命令 show malware engine stats.时,显示的 ATD 计数器值有误。 |
1116440 |
|
|
问题:您在执行 show malware engine stats CLI 命令时,由于从缓存中检索结果数据时遇到可疑文件, ATD 计数器按数值 2 递增。 计数器应仅按 1 递增。 |
非严重问题:
参考编号 |
相关文章 |
已知版本 |
问题描述 |
1203694 |
|
|
问题:特定 Sensor CLI 命令输出可能会反映出站 SSL 解密的引用。 所有引用均用于未来发行。 |
1198188 |
|
|
问题:流量负载较高时,GTI File Reputation 停止运行。 |
1185957 |
|
|
问题:SSL 流中检测的攻击数量始终显示为 0。 |
1173916 |
|
|
问题:Layer 7 数据收集在“策略”页面禁用后,仍处于启用状态。 这会导致设备性能降低。 |
1169535 |
|
|
问题:Manager 中没有基于 NGINX 响应的与攻击文件有关的警报。 |
1116785 |
|
|
问题: 对办公引擎生成的 Layer 7 数据警报中显示了无效字符串。 |
1114124 |
|
|
问题:启动 Advanced Threat Defense 缓存清除时,使用缓存节点的计数器值没有减小。 |
1083605 |
|
|
问题: 多个路径处理器停止响应(崩溃)时,Hitless 无法重新启动 。 |
1083506 |
|
|
问题:少数情况下,扫描恶意软件时不处理某些文件。 |
1082986 |
|
|
问题:流信息从前端处理器发送到路径处理器时, 包 (pkt) 方向设置不正确 (方向未知)。 |
1025365 |
|
|
问题:扩展名为 vnd.android.package-delta 的 APK 文件在恶意软件检测时没有得到处理。 |
1019974 |
|
|
问题:拆分文件下载时,没有提取 XDP 文件。 |
972295 |
|
|
问题:启用 Layer 7 数据捕获时,Manager 的警报响应可能会出现延迟。 |
940106 |
|
|
问题:VLAN 间路由时,重定向到来宾访问门户失败。 |
847172 |
|
|
问题:连接限制主机计数低至 128k,但是 NS 系列 Sensors 的值应高于 256k。 |
783323 |
|
|
问题:RX/TX 计数器的更新极慢。 |
537012 |
|
|
问题:[Snort] 内容匹配规则中出现空格时,Sensor 不发出警报。 解决方法:将一条规则分为多个内容关键字。 |
虚拟 IPS 已知问题非严重问题:
参考编号 |
相关 文章 |
已知 版本 |
问题描述 |
1203688 |
|
|
问题:利用 VMware Center 进行部署时,虚拟 IPS Sensor 的 OVA 文件有时会返回错误。 解决方法:先部署最新的虚拟 IPS Sensor 8.3 OVA,然后将虚拟 IPS Sensor 升级到 9.1。 |
M 系列、Mxx30 系列以及 XC 群集已知问题严重问题:
参考编号 |
相关文章 |
已知版本 |
问题描述 |
1116819 |
|
|
问题: 运行 show malware engine stats CLI 命令时显示的 Advanced Threat Defense 计数器值有误。 |
1084586 |
|
|
问题:[M 系列、Mxx30 系列] 少数情况下,路径处理器无法响应,导致 Sensor 进入自动恢复模式。 |
非严重问题:
参考编号 |
相关文章 |
已知版本 |
问题描述 |
1116764 |
|
|
问题:ATD 缓存清除间隔的非默认值不可用。 |
1114347 |
|
|
问题:ATD 缓存没有显示在 malwarecache status CLI 命令的输出中。 |
1114124 |
|
|
问题:启动 ATD 缓存清除时,使用缓存节点的计数器值没有减小。 |
1082383 |
|
|
问题: [M 系列] M-3050 Sensor 中的两个流处于等待状态下的时间超过 23 天。 |
1025365 |
|
|
问题:扩展名为 vnd.android.package-delta 的 APK 文件在恶意软件检测时没有得到处理。 |
1019974 |
|
|
问题:[M 系列、Mxx30 系列] 拆分文件下载时,没有提取 XDP 文件。 |
917539 |
|
|
问题:[M 系列、Mxx30 系列] 在 Layer 7 处理器挂起并触发恢复状态下,DNS 基于目标的规则在自动恢复后不可用。 |
914684 |
|
|
问题:[M 系列、Mxx30 系列] Layer7 DDoS Java 脚本质询不可用。 |
713210 |
|
|
问题:[M 系列、Mxx30 系列] 运行 IPv6 流量时,检测到 SSL 攻击,但是没有 VLAN 标记。 |
691838 |
|
|
问题:[M 系列、Mxx30 系列] Sensor 在切换到 Layer 2 模式后,不断向 NTBA Appliance 发送 ARP 包。 |
537012 |
|
|
问题:[Snort] 内容匹配规则中出现空格时,Sensor 不发出警报。 解决方法:将一条规则分为多个内容关键字。 |
Network Threat Behavior Analysis Appliance
严重问题:
参考编号 |
相关文章 |
已知版本 |
问题描述 |
1185552 |
|
9.1 |
问题:将 Manager 从 SHA1 升级到 SHA2 后,连接到 NTBA Appliance 的警报通道进入以下状态:
互信错误.
解决方法:
- 使用管理员凭据登录 NTBA Appliance 命令行。
- 输入 deinstall ,然后按 ENTER 键。
- 输入 set sensor sharedsecretkey ,然后按 ENTER 键,重新建立 NTBA 与 Manager 之间的信任。
NTBA Appliance 出现时,TBA 与 IPS 之间的集成取消。
- 通过 Manager 对 NTBA Appliance 执行配置更新。
- 借助 Sensor CLI 确认 McAfee NTBA 通信 状态是否启用。
|
|
PD27260 |
9.1 |
问题:要升级到 NTBA 9.1,您需要先升级到 NTBA 8.3.4.58 ,再进行 9.1 升级。 解决方法:请参阅“相关文章”列中的发行说明,了解更多信息。 |
1208616 |
|
9.1 |
问题:升级到最新版本的 NTBA Appliance 软件后,NTBA 与 Manager 之间建立信任失败。 解决方法:使用管理员凭据登录 NTBA,输入 set sensor sharedsecretkey,然后按 ENTER 键。 现在,通过 Manager 更新 NTBA 配置。 NTBA 通信状态现已重建。 |
1167939 |
|
9.1 |
问题:升级到最新版本的 NTBA Appliance 软件后, 您需要手动(由于软件更新)下载 Gateway Anti-Malware Engine .dat 文件。 解决方法:使用管理员凭据登录 NTBA,输入 download antimalware updates,然后按 ENTER 键。 |
1111146 |
|
9.1 |
问题:NTBA 回调活动警报没有显示在攻击日志中。 |
1119003 |
|
9.1 |
问题:DNS 名称没有显示在“前几个应用程序”面板下的“Threat Explorer”(威胁浏览器)页面。 |
936666 |
|
9.1 |
问题:首次从 USB 驱动器安装后,执行 installntba 命令时,T-600 和 T-1200 NTBA Appliance 需要花费约 15 到 17 分钟重新启动。 |
737171 |
|
9.1 |
问题:达到配置的标准时,也不触发非法文件违反策略警报。 |
694869 |
|
9.1 |
问题:Netflow 方向的处理有误,导致出现关于 URL 通信规则的非法网站访问的无效报告警报。 |
非严重问题:
参考编号 |
相关文章 |
已知版本 |
问题描述 |
1210758 |
|
9.1 |
问题:“信息显示板”页面中的前几个 URL 监控不对所有指定时间范围显示数据。 |
1206315 |
|
9.1 |
问题:NTBA 数据库崩溃时,选择显示以下错误的“Endpoint Executables”(端点可执行)选项卡:
加载可执行命令时出错
|
1168345 |
|
9.1 |
问题:在 NTBA 执行 installdb 后,系统状况状态显示为未初始化 状态。 解决方法:
- 执行 reset-config ,然后重新建立 Manager 与 NTBA 之间的信任。
- 要重新建立 NTBA 与 Manager 之间的信任,请用管理员凭据登录 NTBA,输入 resetconfigset sensor sharedsecretkey,然后按 ENTER 键。
|
1114429 |
|
|
问题:单击任何超链接时,“Threat Explorer”(威胁浏览器)页面都会显示无关的前几个恶意软件文件。 |
918977 |
|
|
问题:单击“View Agent Connectivity”(查看代理连接)时,NTBA 无法在有负载时显示当前主机 IP。 |
917256 |
|
|
问题:NTBA Appliance 启动且 DNS 不可访问时,NTBA 无法启动 ratinglib。 |
813375 |
|
|
问题:主机威胁因素值不会按照触发的防恶意软件警报增加。 |