このドキュメントでは、Cisco Secure Intrusion Detection System(IDS)4.0、Advanced Inspection and Prevention Security Services Module(AIP SSM)、および Cisco Intrusion Prevention System(IPS)5.0 以降に関連する、最もよくある質問(FAQ)に回答しています。
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
A.これを行う最も簡単な方法は、新しいVMSサーバを起動し、この新しいボックスでセンサを検出することです。
注:センサを追加する場合は、手動で追加しないでください。[検出設定] ボックスをオンにします。
センサーが検出されたら、それを SecMon にインポートします。すべての設定は、センサーに保存されます。シグニチャの設定やフィルタなどについては、新しいサーバを構築した後に作業を行います。IDS MC は必ず、最新のシグニチャにアップデートしてください。
A.これは製造上の問題です。一部のお客様は、悪い状態のベース イメージ(4.0)の IDS 4215 を受信しています。 次に示す手順を実行します。
- リカバリ パーティション イメージ(登録ユーザ専用)をダウンロードします。
- CLI を使用してリカバリ パーティション イメージのアップグレードを適用します。
sensor#configure terminal sensor(config)#upgrade METHOD://USERNAME@SERVER/PATH/ IDS-4215-K9-r-1.1-a-4.1-1-S47.tar.pkg- リカバリ パーティション イメージが適用されたら、4215 が、正常に動作する 4.1(1) 4215 ベースに復元されます。
sensor(config)#recover application-partition
注:Cisco VMSおよびCLIのお客様では、この問題は発生しません。
この問題の原因は、ファイル名が解析されたときに使用されるソートのロジックです。このロジックでは、数字でのソートが必要な場合でも英数字ソートが実行されます。回避策は、S100 以降などの 3 桁のシグニチャ レベルのパッケージにアップグレードする場合は、CLI(または VMS)を使用することです。これを完了すると、自動アップデートが再び機能し始めます。詳細については、Cisco Bug ID CSCef07999(登録ユーザ専用)を参照してください。
A.この問題を解決するには、デフォルトのパスワード(cisco)を2回使用してから、設定モードからパスワードを変更します。IDS では、デフォルトのパスワードを 2 回入力する必要があります。
以下に、いくつかの例を示します。
login:cisco Password:cisco Enter current password:cisco Enter new password: *** Re-enter new password: ***
A.このモジュールは、電源をオフにした後にのみ取り外してください。次のステップを実行します。
- センサーの CLI から reset powerdown コマンドを発行します。
- センサーのシャットダウンが完了したら、スイッチ CLI から、no power enable module (module_number) コマンド(Cisco IOS の場合)または set module power down (module_number) コマンド(CatOS の場合)を発行します。
- ブレードの shutdown ボタンを押します。
- 物理的にシャーシの電源を落とします。ステータス ライトが緑色に長く点灯したら、モジュールを安全に削除できます。
A.ブロックホストは、その送信元アドレスからのすべてのパケットをブロックします。接続のブロッキングは、発信元と宛先の IP/ポートに基づいて接続を 1 つだけブロックします。PIX は、わずかに異なる方法で機能します。自動回避の場合は、センサーが発信元 IP、宛先 IP、発信元ポート、および宛先ポートを送信します。PIX は、その IP アドレスから送信されるすべてのパケットをブロックします。追加情報を使用して、PIX は、その 1 つの接続を接続テーブルから削除します。接続が接続テーブルから削除されていない場合、理論的には、回避が適用後にすぐに削除されると、元の接続がタイムアウトされていないことがあり得ます。この場合は、攻撃者が元の接続への攻撃を続行できます。テーブルから接続を削除すると、回避の削除後は確実に、元の接続を使用して攻撃を続行できなくなります。センサーは、1 つの接続を PIX で回避できません。PIX では、shun コマンドを使用して 1 つの接続を回避することをサポートしていないためです。PIX shun コマンドは、追加の接続情報が提供されているかどうかにかかわらず、発信元アドレスを回避します。
A.このエラーは、デフォルトゲートウェイが正しくないか、IP、ネットマスク、またはデフォルトゲートウェイが正しくないことを意味する一般的なエラーメッセージを意味します。メッセージの重大な部分は、最初に障害が発生した後に以前の設定が適用され、それが失敗したことを意味します。センサーは ifconfig および route コマンドを発行し、そのいずれかまたは両方が失敗します。
A.この問題は、自動アップデート機能が動作しない場合があります。これは、偶数時間でダウンロードするように設定されているためです。自動アップデートをランダムな時間に設定してみてください。8 の小さなオフセットまたは夜間の時間でも、この問題が修正される場合があります。
通常、この問題は解決され、正時でない時間に取得時間を変更した場合は [Error:http error response:500] エラー メッセージが表示されます。
注:IPSは署名の自動更新に失敗し、次のエラーメッセージを返します。
AutoUpdate exception:HTTP connection failed [1,110] name=errSystemError
この問題を解決するには、次の項目を確認します。
センサーが Cisco.com に到達するのをファイアウォールが妨げているかどうかを確認します。
ルーティングに問題があるかどうかを確認します。
ダウンストリーム デバイス用のゲートウェイ デバイスで NAT が適切に設定されているかどうかを確認します。
ユーザ クレデンシャルが正しいかどうかを確認します。
アップデートの開始時刻を奇数時に変更します。
A.この問題を解決するには、センサーをリロードするか、センサーを再イメージングしてください。
A.この問題を解決するには、次のタスクを実行します。
グローバル相関を無効にします。
プロキシ/dns 設定を追加します。
A. IPSは、ポートの問題が原因でインターネットに接続できません。たとえば、インターネットアクセス用に正しいポートが開いていないパス内のファイアウォールや、NATの問題である可能性があります。
グローバル相関が完全に機能するためにセンサーは、最初に https update-manifests.ironport.com を介して接続してユーザを認証し、次に HTTP 接続で GC のアップデートをダウンロードします。センサーが HTTP(updates.ironport.com)からダウンロードするファイルは、グローバル相関で使用されるレピュテーション データです。https update-manifests.ironport.com は X.X.82.127 アドレスに解決される必要がありますが、アクセスするインターネットに応じて、http updates.ironport.com の IP アドレスが変わる場合があります。そのため、IP アドレスを確認する必要があります。URL フィルタリングが有効な場合は、IPS がインターネットに接続できるように、URL フィルタの IPS 管理インターフェイス IP の例外を追加します。
次のエラーは、前の GC のアップデートが破損している場合に発生します。
collaborationApp[459] rep/E A global correlation update failed:Failed download of ibrs/1.1/drop/default/1296529950 :URI does not contain a valid ip address
この問題は、通常、GC サービスの電源をオフにした後、オンにすると修正できます。IDM で [Configuration] > [Policies] > [Global Correlation] > [Inspection/Reputation] を選択し、[Global Correlation Inspection]([On] になっている場合は [Reputation Filtering] も)を [Off] にします。そして、変更を適用し、10 分待って、機能をオンにして監視します。
A.次の項目を確認します。
グローバル相関の機能が動作するには、有効な IPS ライセンスが必要です。
グローバル相関の機能が動作するには、HTTP プロキシ サーバまたは DNS サーバが設定されていることが必要です。
グローバル相関のアップデートはセンサー管理インターフェイスを介して実行されるため、ファイアウォールで tcp 443/80 および udp 53 トラフィックを許可する必要があります。
センサーがグローバル相関機能をサポートすることを確認します。この機能が不要な場合は、IDM でグローバル コラボレーション機能を無効にしてください。
[Configuration] > [Policies] > [Global Correlation] > [Inspection/Reputation] を選択し、[Global Correlation Inspection]([On] になっている場合は [Reputation Filtering] も)を [Off] にします。
A.グローバル相関(GC)を使用する場合は、名前解決が機能することを確認します。たとえば、DNSに到達できます。また、ファイアウォールでブロックされたポート53があるかどうかを確認します。それ以外の場合は、このメッセージを削除したい場合にGC機能をオフにすることができます。
A.この問題は、通常、Windows 7などのサポートされていないオペレーティングシステムでIMEを実行しようとすると発生します。
A.この問題を解決するには、ブラウザのキャッシュをクリアします。
A.バージョン6.0では、CLIのみを使用して設定でき、GUIでは使用できないIPS上の非対称モード。しかし、バージョン 6.1 では、この機能を GUI でも使用できます。
A.この問題を解決するには、非対称モード処理を有効にして、センサーの状態をフローと同期させ、両方向を必要としないエンジンの検査を維持します。次の設定を使用ます。
IPS_Sensor#configure terminal IPS_Sensor(config)#service analysis-engine IPS_Sensor(config-ana)#virtual-sensor vs0 IPS_Sensor(config-ana-vir)#inline-TCP-evasion-protection-mode asymmetric遅延の問題は、VS0のすべてのシグニチャに対してインラインおよび拒否パケットが有効になっている場合に発生します。すべてのシグニチャを有効にすると、IPSが通過するすべてのパケットを検査するため、遅延が発生します。遅延の問題を解決するには、ネットワーク トラフィック フローに従って、必要な特定のシグニチャのみを有効にすることをお勧めします。
A. PIX/ASAはSkypeトラフィックをブロックできません。Skype には、ダイナミック ポートとネゴシエートし、暗号化されたトラフィックを使用する機能があります。トラフィックが暗号化されているので、検索するパターンが存在せず、事実上 Skype を検出するのは不可能です。
最終的には、Cisco IPS(Intrusion Prevention System)/AIP SSM を使用できます。これには、バージョンを同期させるために Skype サーバに接続する Windows Skype Client を検出できるいくつかの署名があります。これは通常はクライアントが接続を開始するときに行われます。センサーが最初の Skype 接続をピックアップするときに、そのサービスを誰が使用しているのかを発見でき、その IP アドレスから開始されたすべての接続をブロックすることができます。
A.シグニチャの更新および再設定中に、sensorAppは更新で新しいシグニチャを処理するときにパケットの処理を停止します。ネットワーク ドライバは、sensorApp が停止したことを検出し、バッファからの新しいパケットをプルします。そして、ネットワーク ドライバはさまざまな処理を行いますが、これは、設定およびセンサー モデルによって異なります。
無差別インターフェイス - インターフェイスでリンクを停止し、sensorApp がモニタリングを再開すると、リンクを再起動します。
インライン インターフェイスまたはインライン VLAN ペア - バイパス設定によって異なります。
Bypass Auto:ドライバはリンクを動作中のままにし、分析せずにパケットを通過させます。そして、sensorApp がモニタリングを再開すると、sensorApp を通過するパケット送信に戻ります。
Bypass Off:ドライバは、無差別モードの場合と同様にインターフェイスでリンクを停止し、sensorApp がモニタリングを再開すると、リンクを再起動します。
したがって、センサー アプリケーションがバッファからパケットをプルしない場合、ドライバはインターフェイスをダウン状態にすることができます。これは、パケットを処理するように設定されているインターフェイスがないために発生する可能性があります。
次のログは、センシング インターフェイスがフラップすると生成されます。
28Jun2011 09:03:09.483 6050.885 interface[409] Cid/W errWarning Inline databypass has started. 28Jun2011 09:03:13.639 4.156 interface[409] Cid/W errWarning Inline databypass has stopped. 28Jun2011 09:19:23.922 970.283 interface[409] Cid/W errWarning Inline databypass has started. 28Jun2011 09:19:27.486 3.564 interface[409] Cid/W errWarning Inline databypass has stopped.
A.いいえ、センサーはパスワード履歴を維持しません。パスワードが表示されることはありません。
A. いいえ。
A.センサのローカルイベントは30 MBしか保存せず、30 MBの制限に達すると上書きを開始します。この制限は設定できません。
A.添付ファイルを検出するシグニチャを書き込むには、STRING.TCPを使用します。次の記述に似た部分を探してください。
Engine STRING.TCP Enabled True Severity informational AlarmThrottle Summarize CapturePacket False Direction ToService MinHits 1 Protocol =TCP RegexString [Ff][Ii][Ll][Ee][Nn][Aa][Mm][Ee][=]["][Ff][Oo] [Tt][Oo][a-zA-Z][.][Zz][Ii][Pp]["] ResetAfterIdle 15 ServicePorts 25 StorageKey =STREAM
A.次のコマンドを発行します。
configure terminal service host networkParams ftpTimeout 300 <timeout is in seconds>
A.この出力は、UNIXエポック以降の現在の時刻を10進数で表したものです。UNIXのDate/Time CalculatorサイトにあるようなUNIXエポックカルキュレータを使用し
ます。最初の 10 桁を入力します。これは、この計算ツールで使用できるのは秒単位までであり、IDS ではナノ秒単位で保存されるためです。つまり、最後の 9 桁は削除されます。この出力にある開始時間は、1084798479 = Mon May 17 12:54:39 2004 (GMT) に変換されます。
CLI で iplog-status と入力すると、次の出力を受信します。
" Log ID: 138343946 IP Address: xxx.xxx.xxx.xxx Group: 0 Status: completed Start Time: 1084798479512524000 End Time: 1084798510136582000 Bytes Captured: 2833 Packets Captured: 14 "
A.このエラーメッセージを解決するには、AIP-SSMにログインし、次の例に示すように特権EXECモードでtls generate-keyコマンドを発行します。
sensor#tls generate-key注:このコマンドのtls generate-keyを使用する解決策でも、AIP-SSMがIMEに接続できない問題が解決されます。
A.このエラーメッセージを解決するには、[Control Panel] > [Admin Tools] > [Services]の順に選択して、IMEサービスを再起動します。
A. IMEとIPSセンサーの間の通信が切断されたことを示します。SDEE をブロックするソフトウェアがないことを確認してください。
A.このエラーメッセージを解決するには、IMEにIPSを追加するときに正しいIPアドレスが使用されていることを確認し、IMEコンピュータで実行されているソフトウェアファイアウォールもチェックします。接続がブロックされる可能性があります。
A. IDSセンサには、電子メールアラートを独自に送信する機能がありません。IDS と併用しているセキュリティ モニタには、イベント ルールがセンサーによってトリガーされたときに電子メール通知を送信する機能があります。
セキュリティ モニタで電子メール通知を設定する方法の詳細については、「電子メール通知の設定」を参照してください。
Cisco IPS Manager Express(IME)は、イベント ルールが Cisco IPS センサーによってトリガーされたときに電子メール通知メッセージ(アラート)を送信するように設定できます。詳細については、「IPS 6.X 以降:IME を使用した電子メール通知の設定例」を参照してください。
A.この問題を解決するには、センサーを再起動します。
A.この問題を解決するために使用されていないシグニチャをリタイアし、また正規表現を使用する顧客シグニチャの数を減らす必要があります。さらに、* および + というメタ文字を regex で使用することもお勧めします。
A.遅延の問題は、非対称ルーティングが原因で発生する可能性があります。この問題を解決するには、シグニチャ 1330 を無効にしてみてください。
A.現在は、SSHv1を無効にして、SSHv2のみを有効にすることはできません。SSHv1 および SSHv2 の両方がイネーブルにされ、個別にディセーブルにすることはできません。
A.このエラーメッセージは、センサーのメモリ不足が原因で発生します。
この問題を解決するには、次の手順を実行します。
- サービス アカウントにログインし、ルートになります。
- 以下に示すように、次のディレクトリを削除します。
# rm -rf /usr/cids/idsRoot/var/updates/files/S69 # rm -rf /usr/cids/idsRoot/var/updates/files/common # rm /usr/cids/idsRoot/var/virtualSensor/* # rm /usr/cids/idsRoot/var/.tmp/*- ここでセンサーをアップグレードします。詳細については、Cisco Bug ID CSCsb81288(登録ユーザ専用)を参照してください。
A. mainApp[396] cplane/E Error - accept()呼び出しが–1を返したエラーメッセージは、Webサーバがファイルを読み取ることができず、accept()プログラムが失敗し、TLS接続が存在する場合にファイル記述子を生成することをします。ただし、このファイルは、通常の動作には必要ではありません。したがって、問題はありません。
A.このエラーメッセージは、証明書がモジュールで有効でなくなったことを示します。この問題を解決するには、次の手順を実行します。
次の手順で、CLI から証明書を再生成します。
センサーのコマンドラインにログインします。
tls generate コマンドを発行し、Enter キーを押します。表示されたフィンガープリントに注意してください。
次の手順で、新しい証明書を IME にプルします。
IME を開き、ホーム ページにあるリストでセンサー名を見つけます。
センサーを右クリックし、[Edit] をクリックします。
[Edit Device] 画面が表示されたら、[OK] をクリックします。センサーの時間を取得できないことに関する警告をバイパスします。
新しいセキュリティ証明書(今、生成した)の確認を促されます。 フィンガープリントが一致することを確認し、[Yes] をクリックします。
数秒後に、センサーの [Event Status] に再び [Connected] が表示されます。
A.このエラーを解決するには、resetコマンドを使用してIPSをリブートします。
A.この問題を解決するには、NTPサーバを使用して、Cisco適応型セキュリティアプライアンス(ASA)とAIP-SSMの時刻を同期します。
詳細については、「IPS センサーでの NTP の設定」を参照してください。
A. AIP-SSMにはインターフェイスが1つしかないため、AIP-SSMの仮想センサーはインターフェイスごとに適用できません。複数の仮想センサーを作成する場合は、このインターフェイスを 1 つの仮想センサーにだけ割り当てる必要があります。他の仮想センサーのインターフェイスを指定する必要はありません。
仮想センサーの作成後に、allocate-ips コマンドを使用して、センサーを Adaptive Security Appliance(ASA)のセキュリティ コンテキストにマッピングする必要があります。複数のセキュリティ コンテキストを複数の仮想センサーにマッピングできます。詳細については、「AIP-SSM の設定」の「Adaptive Security Appliance コンテキストへの仮想センサーの適用」セクションを参照してください。
A.仮想センサは最大4個までサポートできます。
A. TACACS+サーバでは使用できませんが、RADIUSはIPS 7.0.(4)E4リリースからサポートされています。詳細については、『Cisco Intrusion Prevention System 7.0(4)E4のリリリース・ノート』の「新規および変更された情報と制限」セクションを参照してください。また、設定例については、「IPS 7.X:RADIUS サーバとして ACS 5.X を使用したユーザ ログイン認証の設定例」を参照してください。
A.期限切れのライセンスがセンサーに与える影響は、シグニチャの更新を停止することだけです。
A.いいえ。IPSシグニチャのアップデートは、サービスやネットワーク接続に影響を与えません。
A. IPSモジュールを最新のシグニチャで自動的に更新するために必要なリンクは次のとおりです。https://198.133.219.25/cgi-bin/front.x/ida/locator/locator.pl です。
IPS モジュールの更新を完了するには、Cisco ユーザ ID とパスワードを使用する必要があります。
注:6.xコードトレインでは、Cisco.comからの自動更新はサポートされていません。シグニチャ ファイルを手動でダウンロードし、センサーに適用する必要があります。6.x コードには、自動アップデートの機能があります。ただし、この機能を使用できるのは、ローカル ファイル サーバからだけです。このサーバにも、シグニチャ ファイルを手動でダウンロードする必要があります。
A.いいえ。次の理由により、この脆弱性は存在しません。
センサーには、X11 ライブラリがありません。そのため、乗っ取られるセッションはありません。
X11 ポート フォワーディングは、SSH 設定では有効になっていません。
IPv6 は、センサーのカーネルにコンパイルされていません。これは、脆弱性を利用するために必要なことです。
A.これは、ASAが何かをブロックするときに、IPSに渡されて重複インスペクションが行われないために発生します。したがって、ASA と IPS で、重複するログは表示されません。
A.完全なエラーメッセージは次のとおりです。
evError: eventId=1284051856322985135 vendor=Cisco severity=warning originator: hostId: vbintestids03 appName: sensorApp appInstanceId: 700 time: offset=-240 timeZone=GMT-05:00 1286305251136551000 errorMessage: name=errWarning invalidValue:Editing string-xl-tcp sig 21619 has NO effectこの問題は、string-xl-tcp または string-tcp-xl エンジンがハードウェアでサポートされていないために発生します。詳細については、『IPS エンジン E4 リリース ノート』を参照してください。
A.この出力は、完全なエラーメッセージを示しています。
autoUpgradeServerCheck: uri: https://XX.XX.XX.XX//cgi-bin/front.x/ida/locator/locator.pl packageFileName: result: No installable auto update package found on server status=trueこのエラーが生成されると、シグニチャは自動的にアップデートされません。これは、S479 より後のシグニチャ定義アップデートには E4 エンジンが必要であるためです。これを解決するには、センサーを手動で 7.0(2) E4 にアップグレードする必要があります。
注:センサは7.0(2)とセンサーのリブートが必要なため、E4に自動的にアップグレードできません。
A.この出力は、完全なエラーメッセージを示しています。
autoUpgradeServerCheck: uri: ftp://hfcu-inet01@192.168.1.12//ips-update/ packageFileName: result: No installable auto update package found on server status=trueこの問題は、FTP サーバでの不適切なディレクトリ リスト表示形式が原因で発生します。この問題を解決するには、既存の MS-DOS 形式のディレクトリ リスト表示から UNIX 形式のディレクトリ リスト表示に切替えてください。
ディレクトリ リスト表示設定を変更するには、[Start] > [Program Files] > [Administrative Tools] を選択して Internet Services Manager を開きます。[Home Directory] タブに移動し、MS-DOS から UNIX にリスト表示スタイルを変更します。
A.この問題は、分析エンジンの障害が原因で、Cisco Bug ID CSCtb39179(登録ユーザ専用)で対処されています。 この問題を修正するには、センサーをバージョン 7.0(4)E4 にアップグレードします。
A.この問題は、受信したライセンスファイルが無効な場合に発生します。有効なライセンス ファイルを入手するには、登録ユーザとして Cisco.com にログインし、適切なライセンス ファイルをダウンロードします。有効なライセンス ファイルを入手したら、センサーにインストールします。
新しいライセンス ファイルをインストールしてもエラーが表示される場合は、既存の無効なライセンス ファイルの問題である可能性があります。この問題を解決するには、次の手順を実行して、既存の無効なライセンス ファイルを削除します。
サービス アカウント ユーザ名を入力して、サービス アカウントにログインします。
サービス アカウントがない場合は、IPS コマンドラインを開き、コンフィギュレーション モードにして、次のコマンドを入力します。
username name privilege service password password
ciscoasa# session 1 Opening command session with slot 1. Connected to slot 1. Escape character sequence is 'CTRL-^X'. login: Password: IPS# IPS#conf t IPS(config)# username name privilege service password passwordサービス アカウントにログインしたら、su コマンドを入力して root に移動します(サービス アカウントと同じパスワードを使用します)。
/usr/cids/idsRoot/shared/ ディレクトリのファイルを削除します。
注: host.confファイルは削除しないでください。
cd /usr/cids/idsRoot/shared/ コマンドを入力して共有ディレクトリに移動します。
ls コマンドを入力して、ディレクトリにあるファイルを表示します。
rm file_name コマンドを入力してファイルを削除します。
注: host.confファイルは削除しないでください。
/etc/init.d/cids restart コマンドを入力してセンサーを再起動します。
新しいライセンスをインストールします。
Cisco バグが、この動作に対処するために報告されています。詳細については、CSCtg76339(登録ユーザ専用)を参照してください。
A.このエラーは、IPロギングのパケット量が多すぎることが原因で発生します。この問題を解決するには、IP ロギング機能を無効にしてください。IP ロギングの目的は、トラブルシューティングだけです。シスコでは、すべてのシグニチャに対しては IP ロギングを有効にしないことをお勧めします。
A.シグニチャ23899.0の変更により、この問題が発生します。詳細については、Cisco Bug ID CSCtn84552(登録ユーザ専用)を参照してください。
A. autoUpdateをブロックしているURLフィルタリング、コンテンツフィルタリング、またはプロキシサーバがあるかどうかを確認します。autoUpdate がブロックされていないことを確認し、提供されたユーザ クレデンシャルが正しいことも確認してください。
A.この動作は、Cisco Bug ID CSCsq50873(登録ユーザ専用)で対処されています。 これは表面的な問題であり、受信されるログが多すぎることを除いては、運用上のオーバーヘッドは作成されません。一時的な回避策は、センサーの NTP 関連の設定を削除することです。根本的に解決するには、この不具合が修正されているバージョンにアップグレードします。
A. IMEは2つのWindowsサービスとGUIクライアントとして機能します。クライアントが終了したときに、2 つの Windows サービス(Cisco IPS Manager Express と MySQL-IME)は動作を続行し、管理対象センサーからイベントを収集し、ローカルの MySQL データベースに格納し続けます。これにより、履歴レポートの作成が可能になります。
IME クライアントは、管理対象センサーへの単一の SDEE サブスクリプションを開き、後続のイベント取得アクティビティのために、それを再利用する必要があります。IME ワークステーションから管理対象センサーへの継続する接続は正常な動作です。
A.いいえ。AIP-SSMモジュールは、ASAインターフェイスを通過するトラフィックの監視にのみ使用されるため、SPANターゲットとして使用することはできません。
A. E3エンジンアップデートでは、IPSはアイドル時間を管理するために異なるアルゴリズムを使用し、パケットのポーリングに時間を費やして遅延を削減します。このように、増加した検査処理に対応して、使用率が上がることになります。E3 で CPU を測定する適切な方法は、使用率ではなく、正しい CPU 使用率を示すパケット負荷パーセンテージを使用することです。
A.これはCS-MARS、CSM、IEV、VMS-IDS/IPSMCなどのソフトウェアを実行しているリモート管理ステーションの証明書が正しくないために発生する可能性があります。この問題を解決するには、次の手順を実行します。
センサーの TLS 証明書をリモート管理ステーションに適用します。
有効な DNS サーバを設定します。
A.センサを非対称モードで動作するように設定すると、問題が解決します。非対称モード保護にセンサーを設定するには、次の手順を実行します。
[Configuration] > [Policies] > [IPS policies] に移動します。
仮想センサーをダブルクリックします。
高度なオプションに移動します。
標準化モードで [Asymmetric mode protection] を選択します。
[OK] をクリックします。
変更を有効にするために、装置をリブートします。