Cisco Cisco Firepower Management Center 4000 Betriebsanweisung
第
章
39-1
FireSIGHT 系统用户指南
39
使用连接与安全情报数据
在受管设备监控网络主机生成的流量时,其可为其检测到的连接生成日志。访问控制和 SSL 策略
中的各种设置可供您精细控制记录哪些连接、何时记录连接以及在何处存储数据。在大多数情况
下,您均可记录连接的开始和/或结束。
中的各种设置可供您精细控制记录哪些连接、何时记录连接以及在何处存储数据。在大多数情况
下,您均可记录连接的开始和/或结束。
当记录连接时,系统会生成
连接事件。每当连接被列入黑名单 (加以阻止)或被基于信誉的安全
情报功能监控时,您还可以记录特殊类型的连接事件,称为
安全情报事件。
连接日志,称为
连接事件,包含有关检测到的会话的数据。您应根据贵组织的安全和合规需求记录
连接;您可以记录除了在到达访问控制之前已在设备级别通过快速路径的连接以外的任何连接。
除了您配置的日志记录外,系统会自动记录检测到被禁止的文件、恶意软件或入侵尝试的大多数
连接。除非您完全禁用连接事件存储,否则系统会将这些连接结束事件保存到防御中心数据库供
进一步分析。有关配置连接日志记录的详细信息,请参阅
连接。除非您完全禁用连接事件存储,否则系统会将这些连接结束事件保存到防御中心数据库供
进一步分析。有关配置连接日志记录的详细信息,请参阅
注
虽然可以使用任何设备和许可证记录连接,但可用于任何单个连接或安全情报事件的信息取决于
若干因素,包括许可证。有关详细信息,请参阅
若干因素,包括许可证。有关详细信息,请参阅
。
要补充受管设备采集到的连接数据,您可以使用由 NetFlow 启用设备生成的记录来生成连接事
件。如果将 NetFlow 启用设备部署在 FireSIGHT 系统受管设备无法监控的网络中,则此功能特别
有用。
件。如果将 NetFlow 启用设备部署在 FireSIGHT 系统受管设备无法监控的网络中,则此功能特别
有用。
注
由于 NetFlow 数据收集与访问控制不相关,因此,您无法对想要记录的 NetFlow 连接进行精细控
制。 FireSIGHT 系统受管设备检测由 NetFlow 启用设备导出的记录,依据这些记录中的数据生成
单向连接结束事件,并最终将这些事件发送至防御中心,以便在数据库中进行记录。 NetFlow 记
录无法生成安全情报事件,也不会记录到外部服务器。有关详细信息,请参阅
制。 FireSIGHT 系统受管设备检测由 NetFlow 启用设备导出的记录,依据这些记录中的数据生成
单向连接结束事件,并最终将这些事件发送至防御中心,以便在数据库中进行记录。 NetFlow 记
录无法生成安全情报事件,也不会记录到外部服务器。有关详细信息,请参阅
。
有关使用连接和安全情报事件的详细信息,请参阅:
•
•
•
•
•
•