Policy Enforcerに関する一般的な問題のトラブルシューティング

このトピックでは、発生する可能性のある一般的な問題領域とその修正方法について説明します。

Policy Enforcerのインストールのトラブルシューティング

Policy Enforcerのインストールに関する最も一般的な問題は、OVAファイルの作成と展開に関連して発生します。仮想マシンやOVAファイルに精通していない場合は、 VMwareのドキュメントを参照し、適切なVMware vSphereバージョンを選択してください。

他にも、以下のような点も考慮する必要があります。

正しいネットワーク構成で仮想マシンを構成する。これらの値は、インストールによって異なります。仮想マシンネットワークを構成するときは、次の点を知っておく必要があります。
- 仮想マシンのホスト名、IP アドレス、ネットワークマスク。
- 内部ネットワークを外部ネットワークに接続する既定のゲートウェイ。
- プライマリおよびセカンダリDNSサーバー。
- (オプション)NTP サーバー。
仮想マシンの IP アドレスと SSH ルート資格情報。仮想マシンを構成するときは、IP アドレスと ssh root パスワードを特定して記録する必要があります。Security Director がPolicy Enforcer仮想マシンと通信するには、Security Director の [PE 設定] ページ([管理] > PE 設定)にこれらの値を入力する必要があります。

仮想マシンの IP アドレスを忘れた場合は、仮想マシンに再度ログインします。セットアップスクリプトはログインするたびに自動的に実行されるため、設定を確認できます。

root パスワードを忘れた場合、それを取得する方法はありません。代わりに、パスワードをリセットする必要があります。Security DirectorのPE設定ページに新しいパスワードを入力してください。パスワードをリセットするには、「 CentOS root パスワードのリセット手順」を参照してください。

Juniper ATP Cloudレルムとデバイスの登録のトラブルシューティング

Juniper ATP Cloudには、無料とプレミアムの2つのサービスレベルがあります。無料モデルのソリューションは基本的なマルウェア検出を実行し、プレミアムモデルのソリューションはより多くの保護を提供します。Juniper ATP Cloudのライセンスタイプと各タイプの機能の詳細については、「 Sky Advanced Threat Preventionライセンス」を参照してください。

Juniper ATP Cloudでよくある問題領域は、以下のとおりです。

Juniper ATP Cloudでサポートされていないデバイスを登録しようとしています。サポートされているデバイスの詳細については、 Juniper ATP Cloudサポート対象プラットフォームガイドを参照してください。
Juniper ATP Cloudのファイル制限に達しました。Juniper ATP Cloudでは、検査のためにクラウドに送信できる1日あたりのファイル数に上限があります。SRXシリーズデバイスは、最大ファイル数に達すると一時停止状態になり、検査のためにファイルを送信できなくなります。デバイスは再び上限を下回ると、自動的に許可状態に変わります。デバイスタイプごとの1日あたりの最大ファイル数の詳細については、 Juniper ATP Cloudのファイル制限を参照してください。
vSRXインスタンスの登録に失敗します。適切なJuniper ATP Cloudライセンスがインストールされていることを確認します。vSRX導入環境でのライセンス管理について、詳しくは Juniper ATP Cloudライセンスの管理をご覧ください。

脅威ポリシーとポリシー適用グループのトラブルシューティング

このセクションでは、脅威ポリシーとポリシー適用グループで見られる一般的な問題を示します。

脅威ポリシーを作成したが、選択する適切なプロファイルが表示されていない。

[ 管理] > [PE 設定 ] を選択し、正しいモードが選択されていることを確認します。モードは、次の順序でのみ変更できます: クラウドフィードのみから ATP Cloud へ、 PEを使用したATP Cloudへ。
PE モードの Juniper ATP Cloud でポリシー適用グループに脅威ポリシーを割り当てる。

脅威ポリシーが適用され、指定されたプロファイルをサポートするデバイスにプッシュされます。プロファイルでサポートされていないデバイスは、分析結果とJunos Spaceジョブの詳細に表示されます。
IPアドレスサブネットを使用してポリシー適用グループを作成しますが、GUIにIPアドレスがリストされていません。

スイッチがサイトに割り当てられていること、およびアグリゲートスイッチで L3 インターフェイスが設定されていることを確認します。

HTTPS ベースのマルウェアが検出されない

HTTPSベースのマルウェアがJuniper ATP Cloudによって検出されない場合は、SRXシリーズデバイス(HTTPSフォワードプロキシ用)のルート証明書が無効である可能性があります。これは、CA プロファイル名が正しくない場合に発生することがあります。名前は policyEnforcer にする必要があります。

例えば：

Policy Enforcer を使用したルート証明書の読み込みの詳細については、ルート CA の読み込みを参照してください。

Policy EnforcerをSecurity Directorに追加できない

Policy EnforcerをSecurity Directorに追加できない場合は、次の手順を実行します。

Policy EnforcerとSecurity Directorが同じバージョンであるかどうかを確認します。
次のポートを必ず開いてください。
- 8080、443:Security DirectorまたはPolicy Enforcerをインターネットに接続するために使用されます。
- 443、8080:Policy EnforcerをSecurity Directorに接続するために使用されます。
コマンドを使用してPolicy Enforcerノード df -kh ディスク容量を確認し、十分なディスク容量があることを確認します。
Policy Enforcerのログファイルを確認します。詳細については、「 Policy Enforcer ログファイルの場所」を参照してください。

Policy EnforcerおよびSRXシリーズデバイス登録に関する問題のトラブルシューティング

Policy EnforcerとSRXシリーズデバイス登録の問題を解決するには、次の手順に従います。

Policy EnforcerとSecurity Directorが同じバージョンであるかどうかを確認します。
サポートされているSRXシリーズまたはEXシリーズデバイスを使用します。
SRXシリーズまたはEXシリーズデバイスは、サポートされているJunos OS リリースを実行している必要があります。詳細については、「サポートされているデバイス」を参照してください。
モデルクラウドフィード、ATP Cloudなどに対して、SRXシリーズがサポートする機能を確認します。
SRXシリーズプレミアム、ベーシック、フリーのライセンスと、サポートされている機能をご確認ください。
SRX550M、SRX340、SRX345 モデルの場合は、 set security forwarding-process enhanced-services-mode コマンドを使用します。

手記：
上記のコマンドではデバイスの再起動が必要なため、ダウンタイムを計画してください。
Junos Space では、デバイスの Junosバージョンに応じてスキーマが一致する必要があります。
デバイスが SLAX スクリプトを使用して直接登録されていないことを確認します。登録されている場合は、デバイスの登録を解除します。
デバイスがATP Cloudに直接登録されているか、Policy Enforcer経由で登録されているかを確認します。

例えば
- 出力が https://IPADDRESS:443/api/v1/manifest.xml の場合、デバイスは Policy Enforcer 経由で登録されています。 https://cloudfeeds.argon.junipersecurity.net/api/manifest.xmlすると、デバイスはATP Cloudに直接登録されます。
デバイスをレルム<RPC>への登録を開始すると、Security Directorでジョブがトリガーされ、これはSDSNモードPolicy Enforcer展開のATP CloudとATP Cloudでのみ表示されます。
SDSN を機能させるには、トポロジが「サポートされているトポロジ」に従っていることを確認します。エンドホスト接続は [Access Port] で、他の相互接続ポートは [Trunk Port] にする必要があります。