Cisco Cisco Firepower Management Center 4000 Betriebsanweisung
17-9
FireSIGHT 系统用户指南
第 17 章 按照用户控制流量
使用用户代理报告 Active Directory 登录情况
使用用户代理报告 Active Directory 登录情况
许可证:FireSIGHT
在 Microsoft Windows 计算机上部署的用户代理可以监控 Microsoft Active Directory 服务器,然后在
贵组织的 LDAP 用户登录和注销主机时通知防御中心,或者由于其他原因用 Active Directory 凭证进
行身份验证。例如,您的组织可能使用依赖 Active Directory 进行集中身份验证的服务或应用。
贵组织的 LDAP 用户登录和注销主机时通知防御中心,或者由于其他原因用 Active Directory 凭证进
行身份验证。例如,您的组织可能使用依赖 Active Directory 进行集中身份验证的服务或应用。
代理报告的信息不仅可以用作贵组织中用户活动的记录,而且可以作为用户控制的基础。要使流
量与具有用户条件的访问控制规则相匹配,必须将受监控会话中的源或目标主机的 IP 地址与登录
的访问受控的用户相关联。您可以根据单个用户或这些用户所属的组来控制流量。
量与具有用户条件的访问控制规则相匹配,必须将受监控会话中的源或目标主机的 IP 地址与登录
的访问受控的用户相关联。您可以根据单个用户或这些用户所属的组来控制流量。
注
如果要执行用户控制,必须安装并使用用户代理。但是,用户代理只报告与 Active Directory 身份
验证相关的用户活动。通过用户感知,您可以查看代理报告的所有用户活动,以及在受管设备允
许的网络流量中检测到的其他活动。系统使用发现功能识别通过各种协议的登录尝试:AIM、
IMAP、 LDAP、 Oracle、 POP3、 SIP、 FTP、 HTTP 和 MDNS。有关详细信息,请参阅
验证相关的用户活动。通过用户感知,您可以查看代理报告的所有用户活动,以及在受管设备允
许的网络流量中检测到的其他活动。系统使用发现功能识别通过各种协议的登录尝试:AIM、
IMAP、 LDAP、 Oracle、 POP3、 SIP、 FTP、 HTTP 和 MDNS。有关详细信息,请参阅
要通过用户代理检索 LDAP 用户身份验证记录以进行用户感知或控制,请首先将每个防御中心配
置为允许从代理进行连接。在高可用性部署中,请在主要防御中心和辅助防御中心上启用代理通
信。用户代理可以一次连接到最多五个防御中心。您在防御中心上启用用户代理通信之后,可以
在 Windows 计算机上安装代理;请参阅
置为允许从代理进行连接。在高可用性部署中,请在主要防御中心和辅助防御中心上启用代理通
信。用户代理可以一次连接到最多五个防御中心。您在防御中心上启用用户代理通信之后,可以
在 Windows 计算机上安装代理;请参阅
最后,请将用户代理配置为从 Microsoft Active Directory 服务器接收数据并将信息报告给防御中
心。您也可以将代理配置为从报告中排除特定用户名和 IP 地址,以及将状态消息记录到本地事件
日志或 Windows 应用日志中。用户代理状态监控器运行状况模块监控与防御中心连接的代理;请
参阅
心。您也可以将代理配置为从报告中排除特定用户名和 IP 地址,以及将状态消息记录到本地事件
日志或 Windows 应用日志中。用户代理状态监控器运行状况模块监控与防御中心连接的代理;请
参阅
。
要配置防御中心以连接到用户代理,请执行以下操作:
访问:管理员/发现管理员
步骤 1
选择
Policies > Users
。
系统将显示 Users Policy 页面。
步骤 2
单击
Add User Agent
。
系统将显示 Add User Agent 弹出窗口。
步骤 3
为代理键入一个
名称
。
步骤 4
键入您计划安装代理的计算机的
主机名或地址
。必须使用 IPv4 地址;若使用 IPv6 地址,您将无法
配置防御中心连接到用户代理。
步骤 5
单击
Add User Agent
。
防御中心即可以连接到您所指定的计算机上的用户代理。要删除连接,请点击删除图标 (
) 并确
认您要删除该连接。
步骤 6
在您指定的计算机上安装用户代理。将其配置为从 Microsoft Active Directory 服务器接收数据并
将信息报告给防御中心。
将信息报告给防御中心。
有关最新详细信息,请参阅《
用户代理配置指南》。