Paso 1: Asegúrese de que las directivas correctas se hayan desplegado en el Sensor y de que el estado del Sensor sea correcto:

1. Haga clic en la Políticas y, a continuación, haga clic en Administrador de directivas.
2. Asegúrese de tener Directiva IPS delante de la Nombre del dispositivo columnist.

Paso 2: Identifique un host detrás de la interfaz IPS que está experimentando el problema. Realice una generación de ataque de prueba según se describe en la sección "instalación de los sensores físicamente" de la guía del producto de NSP.

SEÑALAR McAfee documentación del producto Enterprise está disponible en: https://docs.mcafee.com.

• Si se detecta el ataque de prueba, pero aparecen menos ataques detectados en los registros de ataque:
  Un ataque de prueba detectado confirma que el tráfico fluye por las interfaces seleccionadas y que Sensor detección de firmas funciona.
  
  1. Generar un informe de próxima generación para los diez principales ataques:
     1. Seleccione la opción Análisis y, a continuación, haga clic en Informes de eventos, Informes de próxima generación, Valor, Los diez principales ataques.
     2. Abra la Directiva de IPS aplicada.
     3. Vea la columna revisión activa: haga clic en el botón Políticas y, a continuación, haga clic en Tipos de directivas, IP, Revisión activa.
     4. Comparar y rastrear los cambios de revisión realizados en la Directiva IPS: Revise el informe de los diez principales ataques generados arriba y compruebe si alguno de los diez principales ataques está desactivado en la Directiva IPS.
     5. Revise el origen y el destino en el informe que generó anteriormente:
        1. Compruebe si se observan las principales direcciones IP de generación de ataques en los registros de ataques: haga clic en la Análisis y, a continuación, seleccione la ficha Contra Inicio.
        2. Buscar estas direcciones IP en la Directiva de firewall y comprobar si se ha bloqueado algún ataque principal de generación de direcciones IP en firewall Directiva: haga clic en el botón Políticas pestaña Tipos de directivas, Directivas de Firewall.
        3. Compruebe el informe predeterminado de Historia en cuarentena y localice si alguno de los principales ataques se ha puesto en cuarentena en cualquier momento: haga clic en Análisis, Informes de eventos, Informes de próxima generación.
     6. Averigüe si la gravedad del ataque de cualquiera de los 10 principales ataques se ha modificado en Sigset instalado actualmente:
        1. Consulte la versión de Sigset instalada emitiendo 'carácter' Command en la CLI de Sensor.
        2. Abiertos KB55446-actualizaciones del conjunto de firmas de seguridad de red y revise el Sigset modificado en el número de Sigset instalado frente a los 10 principales ataques en el informe generado anteriormente.
        3. Pasa Ataques modificados así Ataques eliminados en las notas de la versión del Sigset instalado. Identifique si ha cambiado alguna de las gravedades de la firma de red. O bien, si se ha eliminado alguna firma del Sigset instalado. Estos cambios pueden reducir el número de alertas de la red.
           
        SEÑALAR Si se modifica cualquier gravedad de ataque de alto o medio a informativo, dicho ataque se saca automáticamente de la Directiva IPS. Las alertas de este ataque no se generan post Sigset Installation.
        
        
• Si no se detecta un ataque de prueba en los registros de ataques:
  1. Asegúrese de que el estado de Sensor sea correcto y de que el tráfico de prueba fluya a través de las interfaces de Sensor.
  2. Abra una sesión de CLI de Sensor.
  3. Escriba Mostrar todo el registro de eventos y pulse Intro.
  4. Busque eventos anómalos como Bloqueo de proceso bien Vínculo inactivo.
  5. Emita el carácter comando en la CLI de Sensor cinco veces.
  6. Comprobar si Alerta enviada así Registros enviados los contadores se incrementan. Si se incrementa, el Sensor envía alertas al administrador:
     
     [Manager Communications]
     Confianza establecida: sí (RSA 2048 bits con compatibilidad con SHA2)
     Canal de alerta: activo
     Canal de registro: activo
     Canal de autenticación: activo
     Último error: ninguno
     Alertas enviadas: 360
     Registros enviados: 195
     
  7. Haga clic en la Políticas pestaña Produzca, Confirmación automática.
  8. Valide la configuración de confirmación automática; deben estar en blanco.
  9. Inicie sesión en la base de datos y valide si los registros se insertan en la base de datos de NSM:
     1. Pulsar Inicio, Ejecutándose, escriba plantay pulse Intro.
     2. Cambie el directorio al directorio \Bin:
     • Para NSM 9.1.7.75 y versiones anteriores:
       Escriba cd <$install_directory>\McAfee\Network Security Manager\MySQL\bin\ y pulse Intro.
     • Para NSM 9.1.7.77 y posteriores, incluidas 10.x:
       Escriba cd <$install_directory>\McAfee\Network Security Manager\MariaDB\bin y pulse Intro.
       
  10. Escriba el siguiente comando y pulse Intro:
      
      mysql -u -p
      
      Por ejemplo:
      mysql -uroot -proot123 lf
      
  11. Ejecute las siguientes consultas y vea el resultado:
      
      select min(creationTime), max(creationTime) from iv_alert;
      select min(creationTime), max(creationTime) from iv_packetlog;
      
  12. Si el máx (creationTime) la columna refleja los datos y la marca de tiempo más recientes pero no aparecen alertas en los registros de ataque (Pulsar Ficha análisis, registro de ataques) Realice una importación de Solr mediante:
      KB86158-cómo importar datos de MySQL a la base de Solr de Network Security Manager.
  13. Si el resultado del comando es nulo y no ve una marca de tiempo en el resultado del comando:
      1. Crear un Solicitud de servicio e incluya este número de artículo en el campo Descripción del problema.
      2. Recopile los registros del recopilador de información y las salidas de comando anteriores.