Passaggio 1: Assicurarsi che le policy corrette siano distribuite sulla Sensor e che la salute del Sensor sia buona:

1. Fare clic sul pulsante Politica , quindi fare clic su Gestione policy.
2. Assicurarsi di avere Policy IPS davanti al Nome dispositivo colonna.

Passaggio 2: Identifica un host dietro l'interfaccia IPS che sta riscontrando il problema. Eseguire una generazione di attacchi di prova come descritto nella sezione "installazione dei sensori fisicamente" della guida del prodotto NSP.

Nota La documentazione del prodotto McAfee Enterprise è disponibile all'indirizzo: https://docs.mcafee.com.

• Se viene rilevato un attacco di test, ma viene rilevato un numero inferiore di attacchi rilevati nei registri degli attacchi:
  Un attacco di test rilevato conferma che il traffico scorre attraverso le interfacce selezionate e che Sensor rilevamento delle firme sta funzionando.
  
  1. Genera un rapporto di prossima generazione per i primi 10 attacchi:
     1. Selezionare il Analisi , quindi fare clic su Segnalazione eventi, Report di prossima generazione, Predefinita, Primi 10 attacchi.
     2. Aprire il policy IPS applicati.
     3. Visualizzare la colonna Active Revision: fare clic sul pulsante Politica , quindi fare clic su Tipi di policy, IPS, Revisione attiva.
     4. Confrontare e tenere traccia delle modifiche di revisione eseguite nell'policy IPS: esaminare il primo 10 rapporto di attacco generato sopra e verificare se uno dei primi 10 attacchi è disattivato nel policy IPS.
     5. Esaminare l'origine e la destinazione nel rapporto generato in precedenza:
        1. Verificare se questi attacchi principali generano indirizzi IP vengono osservati nei registri degli attacchi: fare clic sul pulsante Analisi , quindi selezionare la scheda Attacco Registro.
        2. Cercare questi indirizzi IP in firewall policy e verificare che gli indirizzi IP che generano un attacco superiore siano stati bloccati in firewall policy: fare clic sul pulsante Politica scheda Tipi di policy, Policy Firewall.
        3. Controllare il rapporto predefinito-quarantena Storia e trovare se uno qualsiasi degli indirizzi IP che genera attacchi principali sono stati messi in quarantena in qualsiasi momento: fare clic su Analisi, Segnalazione eventi, Report di prossima generazione.
     6. Scopri se la gravità dell'attacco di uno dei primi 10 attacchi è stata modificata in sigset attualmente installato:
        1. Visualizzare la versione sigset installata inviando 'stato' comando nella Sensor CLI.
        2. Aprire KB55446-aggiornamenti del set di firme di Network Security e rivedere il sigset modificato nel numero sigset installato rispetto ai primi 10 attacchi nel rapporto generato sopra.
        3. Recensione Attacchi modificati e Attacchi rimossi sezione sulle note di rilascio del sigset installato. Identificare se sono state modificate le separazioni della firma di rete. In alternativa, se una firma è stata rimossa dal sigset installato. Queste modifiche possono ridurre il numero di avvisi nella rete.
           
        Nota Se la gravità dell'attacco viene modificata da alto o da medio a informativo, l'attacco viene spostato automaticamente dal policy IPS. Gli avvisi relativi a questo attacco non vengono generati dopo l'installazione di sigset.
        
        
• Se non viene rilevato alcun attacco di prova nei registri degli attacchi:
  1. Assicurarsi che Sensor stato di salute sia buono e che il traffico di test scorra attraverso le interfacce di Sensor.
  2. Aprire una sessione di Sensor CLI.
  3. Tipo Mostra tutti gli eventi EventLog e premere INVIO.
  4. Cercare eventi anomali come Arresto del processo o Collegamento verso il basso.
  5. Emettere il stato comando sul Sensor CLI cinque volte.
  6. Verificare se Avviso inviato e Registri inviati i contatori stanno incrementando. Se si stanno incrementando, il Sensor sta inviando avvisi al Manager:
     
     [Comunicazioni Manager]
     Affidabilità stabilita: Sì (RSA 2048 bit con supporto SHA2)
     Canale di avviso: su
     Canale di registro: su
     Canale di autenticazione: su
     Ultimo errore: nessuno
     Avvisi inviati: 360
     Registri inviati: 195
     
  7. Fare clic sul pulsante Politica scheda Eccezioni, Riconoscimento automatico.
  8. Convalidare le impostazioni di riconoscimento automatico; devono essere vuoti.
  9. Accedere al database e convalidare se i registri vengono inseriti nel database di NSM:
     1. Fare clic su Avviare, Correre, digitare cmd, quindi premere INVIO.
     2. Modificare la directory nella directory \Bin:
     • Per NSM 9.1.7.75 e versioni precedenti:
       Tipo cd <$install_directory>\McAfee\Network Security Manager\MySQL\bin\ e premere INVIO.
     • Per NSM 9.1.7.77 e versioni successive, tra cui 10.x:
       Tipo cd <$install_directory>\McAfee\Network Security Manager\MariaDB\bin e premere INVIO.
       
  10. Digitare il comando seguente e premere INVIO:
      
      mysql -u -p
      
      Per esempio:
      mysql -uroot -proot123 lf
      
  11. Eseguire le query riportate di seguito e visualizzare l'output:
      
      select min(creationTime), max(creationTime) from iv_alert;
      select min(creationTime), max(creationTime) from iv_packetlog;
      
  12. Se il Max (CreationTime) la colonna riflette i dati più recenti e il timestamp, ma non viene visualizzato alcun avviso sui registri degli attacchi (Fare clic su Scheda analisi, registro degli attacchi) eseguire un'importazione Solr utilizzando:
      KB86158-come importare i dati da MySQL nel database di Network Security Manager Solr.
  13. Se l'output del comando è null e non viene visualizzato un timestamp nell'output del comando:
      1. Crea un Richiesta di assistenza e includere questo numero di articolo nel campo Descrizione del problema.
      2. Raccogliere i registri di raccolta informazioni e le uscite di comando sopra elencate.