Sistema di prevenzione delle intrusioni Trellix 11.1.x Problemi noti
Articoli tecnici ID:
KB96274
Ultima modifica: 2023-07-24 14:29:32 Etc/GMT
Ambiente
Trellix Intrusion Prevention System 11.1.x
Riepilogo
Aggiornamenti recenti a questo articolo
Data
Aggiornamento
25 aprile 2023
11.1 Informazioni sulla versione dell'aggiornamento 1
3 marzo 2023
Pubblicazione iniziale
Contenuti
Per ricevere notifiche email quando l'articolo viene aggiornato, fare clic su Sottoscrivi sul lato destro della pagina. Per sottoscriversi, è necessario effettuare l'accesso.
Fare clic per espandere la sezione che si desidera visualizzare:
Disponibilità generale
Note sulla versione
20 aprile 2023
Trellix IPS 11.1.7.26-11.1.5.22 Manager-NS-series Note di rilascio Trellix Virtual IPS 11.1.7.26-11.1.7.22 Manager-Virtual-IPS Note di rilascio
3 febbraio 2023
Trellix IPS 11.1.7.3-11.1.5.2 Manager-NS-Series Note di rilascio Trellix IPS 11.1.7.3-11.1.7.1 Manager-Virtual-IPS Note di rilascio
Le risoluzioni dei problemi in aggiornamenti e versioni principali sono cumulative. L'assistenza tecnica consiglia di installare la versione più recente. Per trovare la versione più recente del prodotto, accedere al sito di download del prodotto.
Problema:: a partire da 10.1.7.50, IPS Manager supporta solo le crittografie TLS 1.2 per la comunicazione tra Manager e Sensor. Se aggiorni Manager alla versione 10.1.7.50 o successiva, ma il software Sensor non supporta TLS 1.2, la comunicazione tra Manager e Sensor viene interrotta.
Per evitare questo problema, devi prima aggiornare Sensor a una versione software che supporti TLS 1.2 e quindi aggiornare Manager a 10.1.7.50. Per dettagli su come evitare questo problema, consulta l'articolo correlato per un elenco di TLS 1.2 software Sensor supportato e aggiornare Sensor prima di implementare l'aggiornamento di Manager.
Non critici
Numero di riferimento
Articolo correlato
Rilevato nella versione
Descrizione del problema
NSPMGR-22648
Problema:: se il canale di avviso è inattivo o il sensore si disconnette dal gestore, gli aggiornamenti incrementali non riescono a raggiungere uno dei nodi del sensore nella configurazione dello stack.
Soluzione alternativa:
Fare clic su Policy, , Prevenzione delle intrusioni, Eccezioni.
Fai clic su File Hash, quindi, in base alle tue esigenze, scegli la scheda Elenco consentiti o Elenco blocchi.
Aggiungi, elimina o modifica più di 4000 voci nel Manager per attivare l'aggiornamento in blocco a tutti i sensori membri dello stack al successivo intervallo di cinque minuti. Il membro disconnesso Sensors è ora online e avrà tutte le voci hash aggiornate.
NSPMGR-22642
Problema:: l'aggiornamento in blocco non viene eseguito quando l'aggiornamento precedente non è riuscito, a causa del superamento del limite del sensore eterogeneo.
Soluzione alternativa:
Fare clic su Policy, , Prevenzione delle intrusioni, Eccezioni.
Fai clic su File Hash, quindi, in base alle tue esigenze, scegli la scheda Elenco consentiti o Elenco blocchi.
Rimuovi tutti gli hash dei file dal Manager e importa gli hash dei file tramite l'importazione CSV.
Se gli hash rientrano nel limite dei sensori eterogenei, vengono sincronizzati con i sensori eterogenei.
NSPMGR-22639
Problema:: dopo aver riavviato Manager, l'aggiornamento in blocco non riprende automaticamente e le informazioni del file hash non raggiungono Sensor.
Soluzione alternativa:
Riavviare Manager.
Fare clic su Policy, , Prevenzione delle intrusioni, Eccezioni.
Fai clic su File Hash, quindi, in base alle tue esigenze, scegli la scheda Elenco consentiti o Elenco blocchi.
Esporta le voci tramite CSV. Attiva l'aggiornamento collettivo: Eliminazione di tutte le voci e quindi importazione di più di 4000 voci.
NSPMGR-22582
Problema:: lo spostamento di 1000 voci dall'elenco Consenti all'elenco Blocca e viceversa richiede più di 5 minuti.
Soluzione alternativa:
Fare clic su Policy, , Prevenzione delle intrusioni, Eccezioni.
Fai clic su File Hash, quindi, in base alle tue esigenze, scegli la scheda Elenco consentiti o Elenco blocchi.
Elimina le voci da un elenco e quindi aggiungile a un altro elenco tramite l'importazione CSV.
Ad esempio, se prevedi di spostare le voci hash dall'elenco Consenti all'elenco Blocca, elimina le voci dall'elenco Consenti e aggiungile all'elenco Blocca tramite l'importazione CSV.
NSPMGR-22468
11.1
Problema:: vengono visualizzati i seguenti errori nella pagina Errori durante il collegamento della versione NTBA 9.1 al gestore:
Errore di rilevamento NTBA
Errore di mancata corrispondenza del set di firme NTBA
Errore di distribuzione NTBA
Soluzione alternativa:
Fare clic su Dispositivi, , Globale, Gestione dispositivi e selezionare il dispositivo NTBA richiesto nella scheda Sensori.
Nel menu in basso a sinistra, fai clic su Sincronizza.
Abilitare l'opzione Configurazione e set di firme e fare clic su Sincronizza.
NSPMGR-22113
10.1 Update 10
Problema:: alcuni avvisi non vengono convertiti in uno stato rilevato per file dannosi nella pagina Registro attacchi. Questo problema si verifica quando il motore Multi-Vector Virtual Execution (MVX) è configurato per i sensori in pila.
NSPMGR-22064
10.1 Update 10
Problema:: il nodo di stato del sensore continua a caricarsi e non visualizza le informazioni sullo stato per altri dispositivi, quando uno dei sensori collegati al gestore si sta riavviando.
NSPMGR-21145
Problema:: viene visualizzato un passaggio automatico in una coppia MDR. Questo mette il peer Manager in modalità attiva.
NSPMGR-20340
Problema:: dopo aver aggiornato la versione software del sensore stack dalla pagina Gestione dispositivi, il sensore non si riavvia automaticamente.
Soluzione alternativa: riavviare il sensore manualmente.
Fare clic su Dispositivi, , Globale, Gestione dispositivi.
Nel menu in basso a sinistra, fai clic su Altre azioni.
Dal menu a discesa, seleziona Riavvia.
NSPMGR-18927
Problema:: vengono segnalate discrepanze nell'indirizzo IP rispetto ai dati di mappatura della geolocalizzazione rispetto a MaxMind e ai database di Digital Envoy.
NSPMGR-17727
Problema:: quando si scambiano i moduli 2 × 40 g e 4 × 40 g, le informazioni sul modulo non vengono aggiornate in Manager.
NSPMGR-17563
Problema:: non è possibile inserire più di due caratteri nella scheda Ignora regole, campo di testo Cerca nome attacco.
Soluzione alternativa: non è possibile digitare più di due caratteri, ma è possibile copiare e incollare il nome completo dell'attacco nel campo di testo Cerca nome attacco.
NSPMGR-16892
Problema:: dopo aver eseguito la migrazione del certificato di Manager e Sensor da autofirmato a certificato CA, l'istituzione dell'attendibilità tra Manager e Sensor non riesce.
Soluzione alternativa:
Ripristinare le configurazioni nel sensore utilizzando il comando resetconfig .
Elimina il sensore nel Manager.
Migrare il certificato Sensor da autofirmato a firmato CA.
NSPMGR-16846
Problema:: l'ultima attività viene visualizzata come nulla nel database di Manager quando si chiude bruscamente la sessione del browser invece di disconnettersi.
Soluzione alternativa: disconnettersi sempre da Manager utilizzando l'opzione in-Manager.
NSPMGR-15657
10.1
Problema:: vengono visualizzate eccezioni di accesso negato in solr.log, quando il percorso dati Solr contiene caratteri speciali.
Soluzioni alternative:
Installa il Manager in un percorso che non ha caratteri speciali OPPURE
Installa Manager 10.1.7.40 o successivo
NSPMGR-15626
10.1
Problema:: quando i criteri vengono aggiornati in Manager, lo stato delle modifiche in sospeso non viene aggiornato in Devices, <Admin Domain Name>, Devices, <Device Name>, Deploy Pending Changes and Devices, <Admin Domain Name>, Global, Deploy Pending Changes
NSPMGR-12791
10.1
Problema:: i criteri malware per gli avvisi non vengono visualizzati quando vi si accede dall'opzione Registro attacchi, Altre azioni, Aggiorna criterio .
NSPMGR-7952
9.1
Problema:: non è possibile integrare NTBA con Manager perché l'elenco a discesa Direzione NTBA visualizza un valore vuoto.
Questo problema potrebbe verificarsi quando aggiungi un NTBA a Manager.
Soluzione alternativa:
Elimina l'NTBA dal Manager.
Eseguire il comando deinstalldalla CLI NTBA.
Aggiungi l'NTBA al Manager.
Ristabilire la fiducia tra il Manager e l'NTBA. Utilizzare il comando set sensor sharedsecretkeydalla CLI NTBA.
NSPMGR-7895
9.1
Problema:: dopo aver messo in quarantena l'host, la pagina di quarantena visualizza il nome del cluster vNSP anziché il nome del sensore Virtual IPS.
NSPMGR-2758
9.2
Problema:: dopo aver aggiornato Manager, le configurazioni GTI private non possono essere aggiornate in Sensor.
NSPMGR-2669
9.2
Problema:: dopo aver importato i certificati della catena, viene visualizzata una lunghezza della chiave errata per i certificati padre.
NSPMGR-2646
9.1
Problema:: la pagina Registro attacchi non visualizza l'indirizzo IP per l'attacco Too many inbound TCP SYN.
NSPMGR-2472
9.1
Problema:: il conteggio degli attacchi non viene incrementato per nessun eseguibile elencato in blocco nella pagina Eseguibili dell'endpoint.
NSPMGR-2438
9.1
Problema:: [Gestore basato su Linux] I seguenti strumenti diagnostici non funzionano:
Problema:: l'acquisizione di pacchetti quando la porta è in modalità span sotto carico elevato fa sì che il sensore smetta di rispondere e di trasmettere il traffico di rete (arresto anomalo del sensore).
Non critici
Numero di riferimento
Articolo correlato
Rilevato nella versione
Descrizione del problema
NSPSNSR-13302
11.1 Aggiornamento 1
Problema:: i seguenti codici di errore HTTP vengono visualizzati durante le query MD5 o le richieste di invio di file a DAAS:
HTTP 429: quando il numero di invii/query supera i 10 file al secondo.
HTTP 403: se viene utilizzata una chiave API non valida durante l'invio delle richieste.
HTTP 400: quando il nome del file è >=256 durante l'invio del file.
Problema:: [NS-serie 9100] I sensori mostrano errori di allocazione del buffer di handshake sul traffico SSL (Extended Master Secret). Viene visualizzata la seguente voce in Sensor.dbg:
EMER ssltsk 55486| ivSSL_HandShakeDataCopyToBuf : ERROR!! Failed to get Free node from SSLHandShakeFreeList"
NSPSNSR-12819
10.1 Update 10
Problema:: alcuni contatori non corrispondono ai valori previsti nei comandi show malwareserverstats, show malwareenginestats e show mvx stats, quando i file vengono inviati in blocco al motore MVX.
NSPSNSR-12575
Problema:: [NS9x00] Le porte del modulo I/O 2 × 40 g non vengono visualizzate nei rispettivi slot, anche se le porte vengono abilitate in Manager.
NSPSNSR-11939
Problema:: un tipo di file supportato per il controllo malware viene caricato su un server tramite una richiesta POST o PUT e il server risponde con un file scaricato come risposta.
Il sensore può ispezionare solo il file caricato e non esegue la scansione del file scaricato per la richiesta POST.
Questa limitazione si applica solo quando sono abilitate entrambe le opzioni di download HTTP e caricamento HTTP.
NSPSNSR-10394
Problema:: [NS3500] La velocità della porta di gestione viene visualizzata in modo errato in Sensor CLI.
NSPSNSR-9483
9.1
Problema:: lo Scheduler a volte non riesce a selezionare i file inviati al cloud per ottenere il rapporto; i file continuano a essere visualizzati come in sospeso.
NSPSNSR-9187
10.1
Problema:: per gli avvisi GTI-URL-reputation, c'è una mancata corrispondenza nei campi URL corrispondente e URI HTTP quando è abilitata la decrittografia SSL in uscita.
NSPSNSR-8235
Problema:: viene visualizzata una stringa non valida negli avvisi sui dati di livello 7 generati per il motore di Office.
NSPSNSR-8195
Problema:: il valore di Cache Nodes utilized counter non viene ridotto quando viene avviata l'eliminazione della cache di Advanced Threat Defense.
NSPSNSR-7935
Problema:: in rari casi, alcuni file non vengono elaborati per la scansione del malware.
NSPSNSR-7932
Problema:: la direzione del pacchetto (pkt) non è impostata correttamente quando le informazioni sul flusso vengono inviate dal processore front-end al processore del percorso dati (la direzione è sconosciuta).
NSPSNSR-7542
Problema:: i file APK con estensione vnd.android.package-deltanon vengono elaborati per il rilevamento di malware.
NSPSNSR-6916
Problema:: se sono presenti avvisi di sweep dell'host, c'è una mancata corrispondenza nell'ID del protocollo di rete quando il gestore inoltra i messaggi di avviso al server syslog .
NSPSNSR-6837
Problema:: il reindirizzamento al portale di accesso guest non riesce per il routing tra VLAN.
NSPSNSR-4344
9.2
Problema:: gli ID Sensor Snort vengono inviati nel file delle regole non riuscite invece degli ID Global Snort.
NSPSNSR-4339
9.2
Problema:: il sensore assegna la priorità al traffico HTTP rispetto al traffico SSL quando è abilitata la decrittografia SSL in uscita.
NSPSNSR-4326
9.2
Problema:: l'implementazione SSL in uscita mostra i flussi in uscita come configurabili tramite Manager.
NSPSNSR-4314
9.2
Problema:: non è possibile creare regole con l'intervallo di indirizzi IPv4.
NSPSNSR-4278
9.2
Problema:: [SNORT] Il pacchetto di attacco Snort rilevato da Suricata non può essere esportato dal registro degli attacchi.
NSPSNSR-3990
Problema:: la raccolta dei dati di livello 7 rimane abilitata anche se è disabilitata dalla pagina dei criteri, il che porta a prestazioni ridotte del dispositivo.
NSPSNSR-3069
Problema:: il numero di host che limita la connessione è di appena 128k, ma deve essere superiore a 256k per i sensori della serie NS.
Problema:: [VM600] I sensori mostrano errori di allocazione del buffer di handshake sul traffico SSL (Extended Master Secret). Viene visualizzata la seguente voce in Sensor.dbg:
EMER ssltsk 55486| ivSSL_HandShakeDataCopyToBuf : ERROR!! Failed to get Free node from SSLHandShakeFreeList"
NSPSNSR-11685
10.1
Problema:: le funzionalità Jumbo come Jumbo Malware e Jumbo Frames non funzionano sul sensore IPS virtuale distribuito su ESX 7.0.
NSPSNSR-10740
10.1
Problema:: quandoesegui il comando layer2 mode assert, il sensore Virtual IPS non passa alla modalità Layer 2.
NSPSNSR-10555
10.1
Problema:: in determinate condizioni per una macchina virtuale Windows, vengono visualizzati meno avvisi quando vengono visualizzati attacchi identici consecutivi.
Critico:
Numero di riferimento
Articolo correlato
Trovato in Versione
Descrizione del problema
NSPNAD-1721
10.1
Problema:: durante il download di file divisi, i file XDP non vengono estratti.
NSPNAD-1690
10.1
Problema:: il gestore non attiva avvisi per le regole personalizzate che utilizzano il campossl_version.
Non critici: al momento non sono presenti problemi non critici.
Se si è utenti registrati, digitare l'ID utente e la password, quindi fare clic su accesso.
Se non si è utenti registrati, fare clic su registra e completare i campi per inviare via email i password e le istruzioni.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.