キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 

【NSP】"Callback Detectors: High Confidence C&C Server Name Match" の一部情報が表示されない(KB85845の抄訳版)

重要:本コンテンツはKB85845の抄訳版につき、必ず下記リンクの原文最新版と併せてご参照ください。
https://kb.mcafee.com/corporate/index?page=content&id=KB85845

 

環境

McAfee Network Security Manager (NSM) 8.x
McAfee Network Security Sensor Appliance 8.x

問題

以下の攻撃について十分な情報が表示されない。
 
Callback Detectors: High Confidence C&C Server Name Match, AID: 0x00011f00

この攻撃のアラートを表示すると、Zombie および C&C servers セクションに情報が表示されますが、Botnet Details セクションに C&C server に関する情報が表示されません。
 

原因

通常、C&C server の詳細などのアラートに関する詳細な情報は、アラートの レイヤー 7 データの一部として Network Security Manager に送信されます。
アラートが発生したタイミングでレイヤー 7 データが使用できなかった場合、アラートのレイヤー 7 データが後でNetwork Security Manager に遅れて送信されます。
後から送られたデータを元のアラートと関連付けるために、ユニークな識別子が使用されます。この識別子はフローのTCBに保存されます。Network Security Manager に
レイヤー 7 データを送信する前にコネクションが終了した場合、保存されていたTCBは解放されるため、その結果識別子は失われ、データが Network Security Manager に
送信されません。

解決策

McAfeeは、今後のメンテナンスリリースで次のソリューションの実装に取り組んでいます。
  •  前述のシナリオでレイヤー 7 データを送信できるようにするには、対応するTCBが解放された場合でも、識別子を取得する必要があります。
     
  • レイヤー 7 データ付きのフローの識別子が Network Security Manager に保存されます。 このソリューションはコネクションが終了し対応する TCB が解放された場合でも、センサーはレイヤー 7 データ の情報を保持します。
ラベル(1)
寄稿者:
バージョン履歴
改訂番号
3/3
最終更新:
‎04-15-2020 01:27 AM
更新者:
 

Community Help Hub

    New to the forums or need help finding your way around the forums? There's a whole hub of community resources to help you.

  • Find Forum FAQs
  • Learn How to Earn Badges
  • Ask for Help
Go to Community Help

Join the Community

    Thousands of customers use the McAfee Community for peer-to-peer and expert product support. Enjoy these benefits with a free membership:

  • Get helpful solutions from McAfee experts.
  • Stay connected to product conversations that matter to you.
  • Participate in product groups led by McAfee employees.
Join the Community
Join the Community