Cisco Cisco Firepower Management Center 4000 User Guide
第
章
46-1
FireSIGHT 系统用户指南
46
增强网络发现
FireSIGHT 系统收集的有关网络流量的信息对您最有价值,因为系统可以参考该信息来识别网络
上最易受攻击和最重要的主机。
上最易受攻击和最重要的主机。
例如,如果网络上有多个运行自定义版本的 SuSE Linux 的设备,系统无法识别操作系统,因此无
法将漏洞映射至主机。然而,知道系统拥有 SuSE Linux 的漏洞列表,您可能想要为某个主机创建
自定义的指纹,以便随后可将该指纹用来识别运行相同操作系统的其他主机。可将 SuSE Linux 漏
洞列表的映射纳入指纹中,以便将该列表与匹配指纹的每个主机关联。
法将漏洞映射至主机。然而,知道系统拥有 SuSE Linux 的漏洞列表,您可能想要为某个主机创建
自定义的指纹,以便随后可将该指纹用来识别运行相同操作系统的其他主机。可将 SuSE Linux 漏
洞列表的映射纳入指纹中,以便将该列表与匹配指纹的每个主机关联。
系统还允许使用主机输入功能,将来自第三方系统的主机数据直接输入至网络映射。然而,第三
方操作系统或应用数据不会自动映射至漏洞信息。如果想要为使用第三方操作系统、服务器和应
用协议数据的主机查看漏洞并执行影响关联,必须将来自第三方系统的供应商和版本信息映射至
漏洞数据库 (VDB) 中列出的供应商和版本。您也可能想要持续维护主机输入数据。请注意,即使
将应用数据映射至 FireSIGHT 系统供应商和版本定义,导入的第三方漏洞也不用于客户端或网络
应用的影响评估。
方操作系统或应用数据不会自动映射至漏洞信息。如果想要为使用第三方操作系统、服务器和应
用协议数据的主机查看漏洞并执行影响关联,必须将来自第三方系统的供应商和版本信息映射至
漏洞数据库 (VDB) 中列出的供应商和版本。您也可能想要持续维护主机输入数据。请注意,即使
将应用数据映射至 FireSIGHT 系统供应商和版本定义,导入的第三方漏洞也不用于客户端或网络
应用的影响评估。
如果系统无法识别网络主机上运行的应用协议,则可创建用户定义的应用协议检测器以便系统根
据端口或模式识别应用。还可以导入、激活和停用某些应用检测器,以便进一步自定义
FireSIGHT 系统的应用检测功能。
据端口或模式识别应用。还可以导入、激活和停用某些应用检测器,以便进一步自定义
FireSIGHT 系统的应用检测功能。
还可使用 Nmap 主动扫描器的扫描结果替换操作系统和应用数据的检测,或者使用第三方漏洞来
扩充漏洞列表。系统可以协调来自多个源的数据,从而确定应用的标识。有关系统如何执行此操
作的详细信息,请参阅
扩充漏洞列表。系统可以协调来自多个源的数据,从而确定应用的标识。有关系统如何执行此操
作的详细信息,请参阅
有关详细信息,请参阅以下各节:
•
•
•
•
•
评估检测策略
许可证:FireSIGHT
在对系统的默认检测功能进行任何更改之前,应分析哪些主机未被正确地识别以及原因,以便可
以决定实施哪些解决方案。请使用以下信息作为决策指南:
以决定实施哪些解决方案。请使用以下信息作为决策指南:
•
•