FireSIGHT Virtual Defence Center i brak geolokalizacji

[peper]

Hej,

Mam postawiony Virtual Defence Center i dodane do niego firewalle z licencjami Control i Protection. Mam wgraną najnowszą bazę Geolocation i politykę, które matchuje any source i any destination. Widzę, że system wykrywa aplikacje, OS, protokoły itd. ale w zakładce Geolocation jest wieczne "no data". Skończyły mi się trochę pomysły co może być nie tak a manual póki co mało pomocny.

Drugie pytanie to jak przetestować czy jakiś typ ataku jest blokowany, czy alerty działają dobrze itp? W tradycyjnym IPS były sygnatury na ping i wystarczyło je uaktywnić by sprawdzić czy eventy się generują i są blokowane zgodnie z polityką. Widzę w Intrusion Policy parę polityk odnoszących się do ICMP jest, mógłbym stworzyć własną dt. czystego pinga (o ile takiej nie ma) choć może jest jakieś inne best practice w testowaniu poprawności działania rozwiązania?

Pozdrawiam,

[michaliwanczuk]

takie głupie pytanie - czy wykonałeś upgrade geolokalizacji ?

[peper]

Michał, przeczytaj początek mojego drugiego zdania

Wygląda na to, że statystyki się nie generują gdyż np w summary hostów generujących połączenia widzę flagi

[eljot]

Mega skrót myślowy to ostatnie zdanie, czytałem je z 10 razy:D

A jak klikasz np. w connection events w flagę przy IP to się okienko z geo-szczegółami otwiera?
Co do testowania, ja ( widziałem to na jakimś video ) włączam sygnaturę 1:409 i testuję npingiem wpisując błędny kod dla echo reply. Tylko trzeba inspekcję icmp na asie wyłączyć...
Trudno tu chyba best practice wskazać.

[peper]

@eljot - nie sprawdzałem, spojrzę w poniedziałek. Trochę brakuje mi dobrych guide-ów do tego, choć instrukcja jak ma się czas rzeczywiście wczytywać w szczegóły może i nie będzie najgorsza. Na razie przestawiłem w tryb bypass dopóki to w produkcję nie wejdzie wiec może rozgryzę to jeszcze trochę jak będzie czas

[peper]

Sprawdziłem i się otwiera, więc wygląda jakby był tylko problem z dashboard :/