Cisco Cisco Firepower Management Center 4000 Betriebsanweisung
45-4
FireSIGHT 系统用户指南
第 45 章 网络发现简介
了解发现数据收集
如图所示,有三种用户数据来源,有三个存储数据的位置。有关用户数据收集的详细信息,请参阅:
•
•
•
•
•
•
•
托管设备
许可证:FireSIGHT
可以使用网络发现策略配置受管设备,以使它们被动检测在您指定的网络上的 LDAP、 AIM、
POP3、 IMAP、 Oracle、 SIP (VoIP)、 FTP、 HTTP、 MDNS 和 SMTP 登录。请注意,如果在网络
发现规则中启用用户发现,将会自动启用主机发现。
POP3、 IMAP、 Oracle、 SIP (VoIP)、 FTP、 HTTP、 MDNS 和 SMTP 登录。请注意,如果在网络
发现规则中启用用户发现,将会自动启用主机发现。
注
受管设备仅将用于 LDAP 连接的 Kerberos 登录解释为 LDAP 身份验证。受管设备无法检测使用协
议 (例如 SSL 或 TLS)的加密 LDAP 身份验证。
议 (例如 SSL 或 TLS)的加密 LDAP 身份验证。
设备检测登录时,它会将以下信息发送到防御中心 (这些信息将被记录为用户活动):
•
识别出的登录用户名
•
登录时间
•
登录使用的 IP 地址,可能是用户的主机 (用于 LDAP、 POP3、 IMAP 和 AIM 登录)、服务
器 (用于 HTTP、 MDNS、 FTP、 SMTP 和 Oracle 登录)或会话发起方 (用于 SIP 登录)的
IP 地址
器 (用于 HTTP、 MDNS、 FTP、 SMTP 和 Oracle 登录)或会话发起方 (用于 SIP 登录)的
IP 地址
•
用户的邮件地址 (用于 POP3、 IMAP 和 SMTP 登录)
•
检测到登录的设备名称
如果之前已检测到该用户,防御中心会更新该用户的登录历史记录。请注意,防御中心可以使用
POP3 和 IMAP 登录中的邮件地址与 LDAP 用户 关联。这意味着,举例来说,如果防御中心检测
到新的 IMAP 登录,且 IMAP 登录中的邮件地址与某个现有 LDAP 用户的邮件地址匹配,则
IMAP 登录不会创建新用户,而是会更新该 LDAP 用户的历史记录。
POP3 和 IMAP 登录中的邮件地址与 LDAP 用户 关联。这意味着,举例来说,如果防御中心检测
到新的 IMAP 登录,且 IMAP 登录中的邮件地址与某个现有 LDAP 用户的邮件地址匹配,则
IMAP 登录不会创建新用户,而是会更新该 LDAP 用户的历史记录。
如果之前从未检测到该用户,防御中心会将该用户添加到用户数据库。唯一的 AIM、 SIP 和
Oracle 登录始终会创建新用户记录,因为这些登录事件中没有防御中心可与其他登录类型关联的
数据。
Oracle 登录始终会创建新用户记录,因为这些登录事件中没有防御中心可与其他登录类型关联的
数据。
在以下情况下,防御中心不会记录用户活动或用户身份:
•
网络发现策略被配置为忽略登录类型,如
•
受管设备检测到 SMTP 登录,但用户数据库不包含之前使用匹配的邮件地址检测到的
LDAP、 POP3 或 IMAP 用户
LDAP、 POP3 或 IMAP 用户