キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

[Network Security Platform]ドキュメント化されていない仕様のまとめ

ドキュメント化されていないNSPの仕様のリストです。本情報はベストエフォートでの提供となりますので、全ての情報が網羅されているわけはないこと、ソフトウェアのバージョンによっては動作が異なる場合があることご了承願います。

 

機能 要約 内容 Component Verified Build
Attack Log エクスポートできるアラートの数の上限数 エクスポートできるアラートは、PDF・CSVともに100,000件 NSM 9.1.7.63
 CLIコマンド、System Faults PSUのステータス表示 show powersupply、System Faults、"show eventlog"コマンドのPSUのステータス表示は以下の通り。

<Mシリーズ>
■show powersupplyコマンド
・PSU が抜けている場合:Absent
・PSUが復帰した場合:Present
・PSUは挿入されており、電源供給が断たれた場合:Present

■show eventlog
・PSU が抜けている場合:REMOVED
・PSUが復帰した場合:OPERATIONAL
・PSUは挿入されており、電源供給が断たれた場合:NONOPERATIONAL

■NSM(System Faults)
・PSU が抜けている場合:removed
・PSUが復帰した場合:上がっていたFaultsが消える
・PSUは挿入されており、電源供給が断たれた場合:nonoperational


<NSシリーズ>
■show powersupplyコマンド
 ※NSシリーズでは本コマンドは無効

■show eventlog
・PSU が抜けている場合:REMOVED
・PSUが復帰した場合:OPERATIONAL
・PSUは挿入されており、電源供給が断たれた場合:NONOPERATIONAL

■NSM(System Faults)
・PSU が抜けている場合:removed
・PSUが復帰した場合:上がっていたFaultsが消える
・PSUは挿入されており、電源供給が断たれた場合:non-operational
センサ(全般) M: 8.1.3.123
NS: 8.1.5.195
Firewall Policy Firewall PolicyにおけるXFF IPを対象としたStateless Actionについて FirewallのStateless ActionルールはL3/L4コンポーネントで処理される。一方、XFFのIPアドレスが抽出されて処理されるのはL7コンポーネントの処理中であるため、Stateless Ignoreを判定する際にはL7情報であるXFF IPは参照できない。 センサ(全般) n/a
チャネル NSM - センサ間のチャネルの仕様について (1) NSM-センサ間のコネクションにおいてkeepaliveが送信されている。
(2) NSM はSensorからのkeepaliveが来ないことによりChannelが切断されたと認識する。
(3) NSM はChannelが切断されたと認識した場合、「Packet log channel down」というFaultが出力される。
(4) SensorはNSMからのkeepaliveの返りを受信しないことによりChannelが切断されたと認識する。
(5) SensorはChannelが切断されたと認識した場合、Show eventlogには特に出力はされず、statusコマンドの
Log Channelに「error connecting to manager」のmessageが表示される。
その他 n/a
チャネル NSM - センサ間のチャネルの仕様について ・Sensor と NSM間 で120秒以上の間イベント検知等が行われない場合、新しいセッションを張りなおす。イベントにはKeepAliveを含む。
・常時張っているチャネルはコマンド・アラート・パケットログの3チャネルだが、コマンドチャネルはUDPのため張り直すという概念がなく、本仕様によって張り直すのはアラートとパケットログの2チャネル。
・チャネル張直しの際、Sensor側の送信元ポート番号は変更される。
その他 n/a
XFF Parsing IPv6のXFFアドレスの解析 XFFアドレスがIPv6であった場合、XFF Parsingを有効にしていれば、”Scan IPv6 traffic for attacks”を有効にする必要はない。 センサ(NS) n/a
Attack Log センサを別のNSMへつなぎ変える際のアラートの処理 ・マネージャAからマネージャBに接続を変更するとき、Aから切断~Bへ接続の間に検知したアラートはマネージャBに接続したタイミングで吐き出される。
・deinstalコマンドが実行されてからマネージャAに対して送信途中のアラートは、センサがアラートを送りきっていないことを認識してマネージャBへ送信する。
センサ(全般) n/a
Running Tasks FO構成のセンサへのシグネチャプッシュした際の表示について FO構成のセンサにNSMからConfigration Updateを実施する際、片側のセンサがDownしている場合でもRunning TasksにSuccessと表示される。 NSM 9.1
Callback Detector Offline ModeのCallback DetectorのDeployについて SensorをOffline Modeで登録した場合、Signature SetはCLIから"loadconfiguration" を使用して更新する必要がある。しかし、Callback Detectorsについては、Deploy Pending Changesを実施した際にPushされる。これはOffline ModeがSignature Setのサイズと帯域を考慮して導入されたため。 NSM 9,1
Running Tasks Backup復元後のRuning Tasksの "Failure" について All TablesまたはAudit Tablesを復元すると、元のNSMではRunning Tasksの[Manager Data Backup]というタスクが "Success" と表示されるのに対し、復元したNSMでは同じタスクが "Failure" となる。これは、Backup取得時にこのタスクが "In Progress" で取得される為、復元後の環境では "Failure" としてNSMが起動する。全てのVersionで発生し、影響は無い(FAQのKB75269にて公開済) NSM All
Physical Ports Fail Over InterConnectポートの片側がリンクダウンした場合の仕様 G1/1同士のラインでリンクダウンが発生した際には、G1/2同士のラインでは
リンクダウンにならない。逆も同様であり、G1/2同士のラインでリンクダウンが発生した際には、G1/1同士のラインではリンクダウンにならない。G1/1とG1/2の両方がリンクダウンになった場合は、両方ともリンクダウンとななる。
センサ(NS) 9.1
MDR MDR再構築後のアラート同期に関する仕様 MDRを解除しセンサをPrimary NSMに接続、その後MDRを再構築した場合、MDR解除中に検知したPrimary NSMのアラートはSecondary NSMへ同期されない。 NSM 8.1
CLIコマンド passwordchange.shについて passwordchange.shで変更するパスワードは、マネージャとデータベース間で使用されるアカウントadminのパスワードが変更される。このパスワードはDBのBackup/Restore時に使用される。 NSM(MLOS) 9.1
DoS プロファイル FO構成でのDoSプロファイルの挙動について FO構成の場合、センサーを通過するトラフィックはInterconnect portを介して相互にコピーされる。そのため両方のセンサで同等のDoS プロファイルが作成される。 センサ(全般) n/a
XFF Parsing AttackによるXFFヘッダの識別可否の違いについて 攻撃が成立するパケットまでにXFFヘッダの情報を得られれば、XFFフィールドにある元の送信元IPが識別可能。攻撃によっては成立する前にXFFヘッダの情報を得られないため、元の送信元IPが識別できないケースもある。 センサ(全般) n/a
Alert Pruning Alert Pruningの仕様について Attack Log は Solr DB の情報で、iv_alert は MySQL DB の情報。Alert Pruning設定では Solr DB = Dashboard Data、MySQL DB = Report Dataとしている。Maximum Alert Age for Report Data にて Pruning されるのは MySQL DB のみとなり、Solr DB(Attack Log) についてはAlert 数 を超過しない限り Pruning されない。そのため、MySQLの Alert が Pruning されても Solr DB の Alert はそれに追従しないため、結果として両DB の Alert 数には乖離が発生し得る。 NSM n/a
CLIコマンド Sensor の Mgmt IP の変更手順 <センサのIP変更手順>
1. deinstall
2. set sensor ip <IP address> <netmask>
3. set sensor gateway <IP address>
4. reboot
5. (起動後に)set sensor sharedsecretkey
センサ(全般) n/a
Attack Log 1つのAttackに対してブロックするシグネチャとブロックしないシグネチャで同時に検知した場合の動作について ブロックするイベントとブロックしないイベントの間に優先順位がつけられるような関係はない。ブロックしないイベントではアラートを上げるのみで、何もアクションを起こさないため、「検知した通信を通過させる」や「他のイベントでのブロックを阻害する」といった動作はしない。従って、同一通信に対してブロックと非ブロックのイベントが発生した場合は、ブロックのアクションのみが実施されることとなる。 センサ(全般) n/a
SSL Decryption SSL Keyプッシュについて SSL KeyのSensorへの適用待ちの状態で放置すると、NSMが定期的に未適用のものをチェックし、自動でSensorへ適用を実施する。チェックの頻度は1時間に1回。 NSM 9.2.7.9, 8.1.7.82
Automatic IPS Signature Set Downloading 自動Signature Setダウンロードの仕様 「Schedule:Daily」を設定した時間に最新のSignature Setがあった場合は、NSMへダウンロードを実行する。問題なく成功する場合は、NSMのRunning TasksにSignature Setのスケジュールチェック、NSMへのダウンロードが成功した旨のログが出力される。また反対に、Signature Setのスケジュールチェックが失敗をしてしまう場合は初回のスケジュールチェック後、5分毎に4回のリトライを実行する。リトライ中にスケジュールチェックが成功する場合は上記記載の成功した旨のログが出力されるが、4回のリトライが全て失敗した場合は、次回の設定時間までスケジュールチェックは行われない。 NSM n/a
Attack Log Host Sweep系のシグネチャのポート番号が0となる仕様 hostsweep系のシグネチャは単一のホストから複数の宛先への通信を検出するため、設定されたしきい値によっては、それだけで大量の記録になり得る。そのため、hostsweep系のシグネチャのしきい値を1とした場合もポート番号は0となり、hostsweep系に関しては常に0が記録される。 NSM n/a

 

ラベル(1)
バージョン履歴
改訂番号
4/4
最終更新:
‎08-05-2019 12:40 AM
更新者:
 

Community Help Hub

    New to the forums or need help finding your way around the forums? There's a whole hub of community resources to help you.

  • Find Forum FAQs
  • Learn How to Earn Badges
  • Ask for Help
Go to Community Help

Join the Community

    Thousands of customers use the McAfee Community for peer-to-peer and expert product support. Enjoy these benefits with a free membership:

  • Get helpful solutions from McAfee experts.
  • Stay connected to product conversations that matter to you.
  • Participate in product groups led by McAfee employees.
Join the Community
Join the Community