Cisco Cisco Firepower Management Center 4000 Betriebsanweisung
52-5
FireSIGHT 系统用户指南
第 52 章 将 FireSIGHT 系统用作一个合规工具
了解合规白名单
请记住,与所有共享主机配置文件相同,如果对某个内置主机配置文件进行修改,则会影响到使
用该配置文件的所有白名单。同样,如果对某个内置应用协议、通信协议或客户端进行修改,则
会影响到使用它的所有白名单。
用该配置文件的所有白名单。同样,如果对某个内置应用协议、通信协议或客户端进行修改,则
会影响到使用它的所有白名单。
有关共享主机配置文件的详细信息,请参阅
。
了解白名单评估
许可证:FireSIGHT
创建白名单主机配置文件并保存该白名单后,可以将白名单添加至关联策略,如同添加一个关联
规则。有关详细信息,请参阅
规则。有关详细信息,请参阅
。
启用该关联策略后,系统会根据白名单的条件来评估其目标。然后,您可以使用主机属性网络映
射,获取网络上符合条白名单件的主机的整体视图。
射,获取网络上符合条白名单件的主机的整体视图。
分配给网络上每台主机的主机属性与白名单上的名称相同。此主机属性值可以为以下当中的一种:
•
合规
,适用于符合白名单条件的有效目标
•
违规
,适用于违反白名单的有效目标
•
未评估
,适用于出于任何原因尚未评估的无效目标和主机
请注意,如果网络规模庞大,并且系统正在根据白名单评估网络映射中的所有有效目标,则尚未
被评估的目标将被标记为
被评估的目标将被标记为
未评估
。系统完成处理后,更多的主机属性将从
未评估
更改为
合规
或
违规
。
系统每秒可以评估约 100 台主机。
此外,如果系统没有足够的信息来确定主机是否合规,则该主机可能会被标记为
未评估
。例如,
如果系统检测到一台新主机但尚未收集到在该主机上运行的操作系统、客户端、应用协议、网络
应用或通信协议的相关信息,就可能出现这种情况。
应用或通信协议的相关信息,就可能出现这种情况。
注
如果您从一台主机更改或删除主机属性,则执行更改或删除操作后,该主机将不再是有效的目
标,主机属性从
标,主机属性从
合规
或
违规
更改为
未评估
。
有关主机属性的详细信息,请参阅
。
了解白名单违规
许可证:FireSIGHT
完成白名单的初始评估后,当系统检测到某个有效目标违反了白名单时,会生成
白名单事件。白
名单事件是特殊类型的关联事件,会被记录到防御中心关联事件数据库中。您可以查看某个工作
流程中的白名单事件,或搜索特定的白名单事件。有关详细信息,请参阅
流程中的白名单事件,或搜索特定的白名单事件。有关详细信息,请参阅
。
当系统生成一个表示主机违规的事件时,产生白名单违规行为。同样地,发现事件可能表明之前
违规的主机现在的属性为合规,即使发生该事件时系统并未生成白名单。
违规的主机现在的属性为合规,即使发生该事件时系统并未生成白名单。
下列事件会改变主机的合规性:
•
系统检测到主机的操作系统发生变化
•
系统检测到主机的操作系统或主机上的应用协议存在身份冲突
•
系统检测到主机上有新的 TCP 服务器端口 (例如, SMTP 或网络服务器使用的端口)处于活
动状态,或主机上有新的 UDP 服务器正在运行
动状态,或主机上有新的 UDP 服务器正在运行
•
系统检测到主机上运行的 TCP 或 UDP 服务器发生变化,例如由于升级导致版本发生变化