一般的なPolicy Enforcerの問題のトラブルシューティング

最も一般的なPolicy Enforcerのインストールの問題は、OVAファイルの作成と展開に関連して発生します。仮想マシンまたは OVA ファイルに慣れていない場合は、VMware のドキュメントを参照し、適切な VMware vSphere バージョンを選択してください。

探すべきその他の領域は次のとおりです。

• 正しいネットワーク構成で仮想マシンを構成する。これらの値は、インストール済み環境によって異なります。仮想マシン ネットワークを構成するときは、次の点を知っておく必要があります。

  • 仮想マシンのホスト名、IPアドレス、ネットワークマスク。

  • 内部ネットワークを外部ネットワークに接続するデフォルト ゲートウェイ。

  • プライマリおよびセカンダリ DNS サーバー。

  • (オプション)NTP サーバー。

• 仮想マシンの IP アドレスと SSH ルートの資格情報。仮想マシンを設定する際、IP アドレスと ssh root パスワードを識別し、記録する必要があります。Security DirectorがPolicy Enforcer仮想マシンと通信するためには、Security DirectorのPE設定ページ([管理]>[PE設定]にこれらの値を入力する必要があります。

  仮想マシンの IP アドレスを忘れた場合は、仮想マシンに再度ログインします。セットアップスクリプトは、ログインするたびに自動的に実行されるため、設定を確認できます。

  root パスワードを忘れた場合、それを取得する方法はありません。代わりに、パスワードをリセットする必要があります。Security Director の PE 設定ページに新しいパスワードを必ず入力してください。パスワードをリセットするには、「 CentOS ルートパスワードのリセット手順」を参照してください。

ジュニパーATPクラウドには、無料とプレミアムの2つのサービスレベルがあります。無料のモデルソリューションは基本的なマルウェア検出を実行し、プレミアムモデルソリューションはより多くの保護を提供します。ジュニパーATPクラウドのライセンスタイプと各タイプの機能の詳細については、 Sky Advanced Threat Preventionライセンスを参照してください。

Juniper ATPクラウドによくある問題領域は、以下のとおりです。

• ジュニパーATPクラウドでサポートされていないデバイスを登録しようとしています。サポートされているデバイスの詳細については、 ジュニパーATPクラウドサポートプラットフォームガイド を参照してください。

• ジュニパーATPクラウドのファイルファイル数の上限に達しました。Juniper ATP Cloudでは、検査のためにクラウドに送信できる1日あたりのファイル数に上限を設けています。SRXシリーズのデバイスは、最大ファイル数に達すると一時停止状態になり、検査用にファイルを送信できなくなります。デバイスは、再び上限を下回ると、自動的に許可状態に変わります。デバイスタイプごとの1日あたりの最大ファイル数の詳細については、 Juniper ATPクラウドファイルの制限 を参照してください。

• vSRXインスタンスは登録できません。適切なジュニパーATPクラウドライセンスがインストールされていることを確認します。vSRX展開でのライセンス管理の詳細については 、 Juniper ATPクラウドライセンスの管理 を参照してください。

このセクションでは、脅威ポリシーとポリシー適用グループで見つかった一般的な問題をいくつか示します。

• 脅威ポリシーを作成しましたが、選択する適切なプロファイルが表示されません。

  [管理] > [PE 設定] を選択し、正しいモードが選択されていることを確認します。モードを変更できるのは、「クラウドフィードをATPクラウドのみからPE付きATPクラウドへ」の順序でのみ行います。

• PE モードを使用した Juniper ATP クラウドのポリシー適用グループに脅威ポリシーを割り当てる。

  脅威ポリシーが適用され、特定のプロファイルをサポートするデバイスにプッシュされます。デバイスがプロファイルでサポートされていない場合は、分析結果とJunos Spaceジョブの詳細に表示されます。

• IP アドレス サブネットを持つポリシー適用グループを作成しますが、GUI に IP アドレスが表示されません。

  スイッチがサイトに割り当てられ、L3インターフェイスが集合型スイッチで設定されていることを確認します。

HTTPSベースのマルウェアがJuniper ATPクラウドで検知されない場合、SRXシリーズデバイスのルート証明書(HTTPS転送プロキシ用)が無効である可能性があります。これは、CA プロファイル名が正しくない場合に発生することがあります。という名前 policyEnforcerにする必要があります。

例えば：

Policy Enforcerを使用したルート証明書の読み込みに関する詳細は、 ルートCAの負荷分散を参照してください。

Security DirectorにPolicy Enforcerを追加できない場合は、以下の手順に従ってください。

• Policy EnforcerとSecurity Directorが同じバージョンを使用しているかどうかを確認します。

• 次のポートを必ず開いてください。

  • 8080、443—Security DirectorまたはPolicy Enforcerをインターネットに接続するために使用されます。

  • 443, 8080—Policy EnforcerをSecurity Directorに接続するために使用します。

• コマンドを使用してPolicy Enforcerノードのディスク容量を確認し、十分なディスク容量 df -kh があることを確認します。

• Policy Enforcerのログファイルを確認します。詳細については、 Policy Enforcerのログファイルの場所を参照してください。

Policy EnforcerおよびSRXシリーズデバイス登録の問題を解決するには、次の手順を実行する必要があります。

• Policy EnforcerとSecurity Directorが同じバージョンを使用しているかどうかを確認します。

• サポートされているSRXシリーズまたはEXシリーズのデバイスを使用します。

• SRXシリーズまたはEXシリーズのデバイスで、サポートされているJunos OSリリースが実行されている必要があります。詳細については、「 サポートされているデバイス」を参照してください。

• モデルクラウドフィードやATPクラウドなどに対して、SRXシリーズでサポートされている機能を確認します。

• SRXシリーズのプレミアム、ベーシック、フリーライセンスとサポートされている機能を確認してください。

• SRX550M、SRX340、SRX345 モデルの場合は、 コマンドを使用します set security forwarding-process enhanced-services-mode 。

  メモ：

  上記のコマンドではデバイスの再起動が必要なため、ダウンタイムを計画してください。

• Junos Spaceは、デバイスのJunosのバージョンに応じて一致するスキーマを持っている必要があります。

• デバイスが SLAX スクリプトによって直接登録されていないことを確認します。登録されている場合は、デバイスの登録を解除します。

• デバイスがATPクラウドに直接登録されているか、Policy Enforcerを介して登録されているかを確認するには。

  例えば

  • https://IPADDRESS:443/api/v1/manifest.xml 出力を取得した場合。その後、デバイスはPolicy Enforcerを介して登録されます。https://cloudfeeds.argon.junipersecurity.net/api/manifest.xml を取得した場合、デバイスはATPクラウドに直接登録されます。

• デバイスのレルムへの登録を開始すると<RPC>ジョブがSecurity Directorでトリガーされ、これはATPクラウドおよびSDSNモードPolicy Enforcer導入のATPクラウドでのみ表示されます。

• SDSN を機能させるには、トポロジが サポートされているトポロジに従っている必要があります。エンド ホスト接続はアクセス ポートで、他の相互接続ポートはトランク ポートである必要があります。