Cisco Cisco Firepower Management Center 4000 Betriebsanweisung
46-31
FireSIGHT 系统用户指南
第 46 章 增强网络发现
导入主机输入数据
有关详情,请参阅:
•
•
•
创建自定义产品映射
许可证:FireSIGHT
如果系统无法将网络映射中的服务器映射至 VDB 中的供应商和产品,则可为系统手动创建映射
以便在识别服务器时使用。激活自定义产品映射后,系统会将选定供应商和产品的漏洞映射至网
络映射中的出现供应商字符串的所有服务器。
以便在识别服务器时使用。激活自定义产品映射后,系统会将选定供应商和产品的漏洞映射至网
络映射中的出现供应商字符串的所有服务器。
注
自定义产品映射将应用至应用协议的所有出现位置,而无论应用数据的源如何 (如 Nmap、主机
输入功能或 FireSIGHT 系统自身)。然而,如果使用主机输入功能导入的数据的第三方漏洞映射
与通过自定义产品映射设置的映射发行冲突,则输入出现时,第三方漏洞映射将覆盖自定义产品
映射并使用第三方漏洞映射设置。有关详细信息,请参阅
输入功能或 FireSIGHT 系统自身)。然而,如果使用主机输入功能导入的数据的第三方漏洞映射
与通过自定义产品映射设置的映射发行冲突,则输入出现时,第三方漏洞映射将覆盖自定义产品
映射并使用第三方漏洞映射设置。有关详细信息,请参阅
可创建产品映射列表,然后通过激活或停用每份列表而一次性启用或禁用多个映射。选择将要映
射至的供应商后,系统将更新产品列表,以仅纳入该供应商提供的产品。
射至的供应商后,系统将更新产品列表,以仅纳入该供应商提供的产品。
创建自定义产品映射后,必须激活自定义产品映射列表。激活自定义产品映射列表后,系统将更
新出现指定供应商字符串的所有服务器。对于通过主机输入功能导入的数据,漏洞将更新,除非
已为此服务器显式设置产品映射。
新出现指定供应商字符串的所有服务器。对于通过主机输入功能导入的数据,漏洞将更新,除非
已为此服务器显式设置产品映射。
例如,如果贵公司将您的 Apache Tomcat 网络服务器的横幅修改为
Internal Web Server
,则可将供
应商字符串
Internal Web Server
映射至供应商
Apache
和产品
Tomcat
,然后激活包含该映射的列表,
出现标有
Internal Web Server
的服务器的所有主机均拥有数据库中的 Apache Tomcat 漏洞。
提示
可使用此功能将漏洞映至至本地入侵规则,只需将规则的 SID 映射至另一漏洞。
要创建自定义产品映射,请执行以下操作:
访问:管理
步骤 1
选择
Policies
> Application Detectors
,然后点击
Custom Product Mappings
。
系统将显示 Custom Product Mappings 页面。
步骤 2
点击
Create Custom Product Mapping List
。
系统将显示 Edit Custom Product Mappings List 页面。
步骤 3
在
Custom Product Mapping List Name
字段中键入名称。
步骤 4
点击
Add Vendor String
。
系统将显示 Add Vendor String 弹出窗口。
步骤 5
在
Vendor String
字段中,键入供应商字符串,该字符串标识应映射至选定供应商和产品值的应用。
步骤 6
从
Vendor
下拉列表,选择想要映射的供应商。
步骤 7
从
Product
下拉列表,选择想要映射的产品。
步骤 8
点击
Add
,以将已映射的供应商字符串添加至列表。