Fehlerbehebung bei Problemen mit dem Common Policy Enforcer

Die häufigsten Probleme bei der Installation von Policy Enforcer treten beim Erstellen und Bereitstellen der OVA-Datei auf. Wenn Sie mit virtuellen Maschinen oder OVA-Dateien nicht vertraut sind, lesen Sie bitte die VMware-Dokumentation und wählen Sie die entsprechende VMware vSphere-Version aus.

Andere Bereiche, auf die Sie achten sollten, sind:

• Konfigurieren der virtuellen Maschine mit der richtigen Netzwerkkonfiguration. Diese Werte variieren je nach Installation. Bei der Konfiguration des Netzwerks der virtuellen Maschine müssen Sie Folgendes wissen:

  • Hostname, IP-Adresse und Netzwerkmaske der virtuellen Maschine.

  • Standard-Gateway, das Ihr internes Netzwerk mit externen Netzwerken verbindet.

  • Primäre und sekundäre DNS-Server.

  • (fakultativ) NTP-Server.

• IP-Adresse der virtuellen Maschine und SSH-Root-Anmeldeinformationen. Bei der Konfiguration der virtuellen Maschine müssen Sie die IP-Adresse und das SSH-Root-Kennwort identifizieren und aufzeichnen. Damit Security Director mit Ihrem Policy Enforcer virtuellen Computer kommunizieren können, müssen Sie diese Werte auf der Seite PE-Einstellungen (Verwaltung > PE-Einstellungen) von Security Director eingeben.

  Wenn Sie die IP-Adresse der virtuellen Maschine vergessen haben, melden Sie sich erneut bei der virtuellen Maschine an. Das Setup-Skript wird bei jeder Anmeldung automatisch ausgeführt, damit Sie Ihre Einstellungen überprüfen können.

  Wenn Sie das Root-Passwort vergessen haben, gibt es keine Möglichkeit, es wiederherzustellen. Sie müssen stattdessen Ihr Passwort zurücksetzen. Stellen Sie sicher, dass Sie Ihr neues Kennwort auf der PE-Einstellungsseite in Security Director eingeben. Informationen zum Zurücksetzen Ihres Kennworts finden Sie in den Anweisungen zum Zurücksetzen des CentOS-Root-Kennworts.

Juniper ATP Cloud bietet zwei Servicelevel: Free und Premium. Die Lösung des kostenlosen Modells führt eine grundlegende Malware-Erkennung durch, während die Lösung des Premium-Modells mehr Schutz bietet. Weitere Informationen zu den Juniper ATP-Cloud-Lizenztypen und den Funktionen für jeden Typ finden Sie unter Sky Advanced Threat Prevention-Lizenzen.

Einige häufige Probleme mit der Juniper ATP-Cloud sind:

• Sie versuchen, Geräte zu registrieren, die von Juniper ATP-Cloud nicht unterstützt werden. Weitere Informationen zu den unterstützten Geräten finden Sie im Leitfaden Juniper ATP Cloud Supported Platforms .

• Das Dateilimit für Juniper ATP-Cloud wurde erreicht. Juniper ATP-Cloud verfügt über eine maximale Anzahl von Dateien pro Tag, die Sie zur Überprüfung an die Cloud übermitteln können. Wenn ein Gerät der SRX-Serie die maximale Anzahl von Dateien erreicht hat, wechselt es in den Status "Angehalten" und kann keine Dateien zur Überprüfung übermitteln. Das Gerät wechselt automatisch in den zulässigen Zustand, wenn es wieder unter dem Maximalwert liegt. Weitere Informationen zur maximalen Anzahl von Dateien pro Tag und Gerätetyp finden Sie unter Juniper ATP-Cloud-Dateilimits .

• Die vSRX-Instanz kann sich nicht registrieren. Vergewissern Sie sich, dass die richtige Juniper ATP-Cloud-Lizenz installiert ist. Weitere Informationen zur Lizenzverwaltung mit vSRX-Bereitstellungen finden Sie unter Verwalten der Juniper ATP-Cloud-Lizenz .

In diesem Abschnitt werden einige häufige Probleme aufgeführt, die bei Bedrohungsrichtlinien und Richtliniendurchsetzungsgruppen auftreten.

• Sie erstellen eine Bedrohungsrichtlinie, sehen aber nicht die entsprechenden Profile, die Sie auswählen können.

  Wählen Sie Verwaltung > PE-Einstellungen aus, und stellen Sie sicher, dass der richtige Modus ausgewählt wurde. Sie können den Modus nur in der folgenden Reihenfolge ändern: Cloud Feed Only to ATP Cloud to ATP Cloud with PE.

• Zuweisen einer Bedrohungsrichtlinie zu einer Richtliniendurchsetzungsgruppe in der Juniper ATP-Cloud mit PE-Modus.

  Bedrohungsrichtlinien werden erzwungen und an Geräte übertragen, die das jeweilige Profil unterstützen. Wenn ein Gerät von einem Profil nicht unterstützt wird, wird es in den Analyseergebnissen und in den Junos Space-Auftragsdetails aufgeführt.

• Sie erstellen eine Richtlinienerzwingungsgruppe mit einem IP-Adressen-Subnetz, aber es werden keine IP-Adressen in der GUI aufgeführt.

  Stellen Sie sicher, dass dem Standort ein Switch zugewiesen ist und dass die L3-Schnittstellen auf dem Aggregat-Switch konfiguriert sind.

Wenn Ihre HTTPS-basierte Malware nicht von Juniper ATP Cloud erkannt wird, ist das Root-Zertifikat auf Ihrem Gerät der SRX-Serie (für HTTPS Forward Proxy) möglicherweise ungültig. Dies kann auftreten, wenn der CA-Profilname nicht korrekt ist. Er muss benannt policyEnforcerwerden.

Zum Beispiel:

Weitere Informationen zum Laden von Stammzertifikaten mit Policy Enforcer finden Sie unter Laden einer Stammzertifizierungsstelle.

Wenn Sie Policy Enforcer nicht zu Security Director hinzufügen können, gehen Sie wie folgt vor:

• Überprüfen Sie, ob Policy Enforcer und Security Director dieselbe Version verwenden.

• Stellen Sie sicher, dass Sie die folgenden Ports öffnen:

  • 8080, 443: Wird verwendet, um Security Director oder Policy Enforcer mit dem Internet zu verbinden.

  • 443, 8080: Wird verwendet, um Policy Enforcer mit Security Director zu verbinden.

• Überprüfen Sie den Speicherplatz des Policy Enforcer-Knotens mit dem df -kh Befehl, und stellen Sie sicher, dass er über genügend Festplattenspeicher verfügt.

• Überprüfen Sie die Policy Enforcer-Protokolldateien. Weitere Informationen finden Sie unter Speicherorte der Policy Enforcer-Protokolldateien.

Gehen Sie wie folgt vor, um Probleme mit der Geräteregistrierung für Policy Enforcer und die SRX-Serie zu beheben:

• Überprüfen Sie, ob Policy Enforcer und Security Director dieselbe Version verwenden.

• Verwenden Sie unterstützte Geräte der SRX-Serie oder EX-Serie.

• Auf dem Gerät der SRX-Serie oder EX-Serie muss die unterstützte Version des Junos OS installiert sein. Weitere Informationen finden Sie unter Unterstützte Geräte.

• Prüfen Sie, ob die von der SRX-Serie unterstützte Funktion im Modell-Cloud-Feed, in der ATP-Cloud usw. verfügbar ist.

• Prüfen Sie, ob die Premium-, Basic- oder Free-Lizenz der SRX-Serie und unterstützte Funktionen verfügbar sind.

• Verwenden Sie für SRX550M-, SRX340- oder SRX345-Modelle den Befehl set security forwarding-process enhanced-services-mode .

  Anmerkung:

  Der obige Befehl erfordert einen Neustart des Geräts, planen Sie daher die Ausfallzeit ein.

• Junos Space sollte ein übereinstimmendes Schema gemäß der Junos-Version des Geräts aufweisen.

• Vergewissern Sie sich, dass das Gerät nicht direkt über das SLAX-Skript registriert ist. Wenn Sie registriert sind, heben Sie die Registrierung des Geräts auf.

• So überprüfen Sie, ob das Gerät direkt bei ATP Cloud oder über Policy Enforcer registriert ist.

  Zum Beispiel

  • Wenn Sie die Ausgabe als https://IPADDRESS:443/api/v1/manifest.xml; Anschließend wird das Gerät über den Policy Enforcer registriert. Wenn Sie https://cloudfeeds.argon.junipersecurity.net/api/manifest.xml erhalten, wird das Gerät direkt bei ATP Cloud registriert.

• Wenn Sie mit der Registrierung des Device to Realm <RPC> Device to Realm beginnen, wird der Auftrag in Security Director ausgelöst, der nur für ATP-Cloud und ATP-Cloud mit SDSN-Modus Policy Enforcer Bereitstellung sichtbar ist.

• Damit SDSN funktioniert, stellen Sie sicher, dass die Topologien gemäß Unterstützte Topologien entsprechen. Die End-Host-Verbindung sollte "Access Port" und die anderen verbundenen Ports "Trunk Port" sein.