Cisco Cisco Firepower Management Center 4000 User Guide

Page of 1826
 
46-4
FireSIGHT 系统用户指南
  
 46       增强网络发现       
  增强网络映射
系统可使用为主机操作系统收集的所有被动指纹来创建
派生指纹。系统通过应用公式来创建派生
指纹,该公式使用每个收集的指纹的置信值和标识之间的证实指纹数据的数量来计算最有可能的
标识。常见元素在标识之间进行识别
如果在网络上使用用户定义的应用检测器,则可通过创建自定义检测器来扩充系统的应用检测功
能,自定义检测器可向系统提供其识别这些应用所需的信息。 NetFlow 还可将被动检测的应用信
息添加至网络映射。
请注意,系统不会使用分类为
未知的应用协议和操作系统数据,因为其无法解释数据。受管设备
会将该标识向防御中心报告为
未知
,标识数据将不用于派生指纹。
了解主动检测
许可证:FireSIGHT
主动检测是对网络映射的补充,是通过主动源收集的数据,如主机操作系统和应用信息。例如,
可使用 Nmap 扫描器仪主动扫描网络上的目标主机。 Nmap 可发现主机上的操作系统和应用。
此外,主机输入功能可用于将
主机输入数据主动添加至网络映射。有两种不同类别的主机输入数据:
  •
可以 FireSIGHT 系统用户界面修改主机操作系统或应用标识 通过接口添加的数据为用户输入
数据。
  •
还可使用命令行实用程序导入数据。导入的数据为
主机导入输入数据。
系统将为每个主动源保留一个标识。如果运行 Nmap 扫描实例,例如,先前的扫描结果将替代为
新的扫描结果。然而,如果运行 Nmap 扫描,然后用结果通过命令行导入的客户端的数据替代这
些结果,系统将同时保留来自 Nmap 结果的标识以及来自导入客户端的标识。然后,系统会使用
系统策略中设置的优先级来确定哪个主动标识用作当前标识。
请注意,用户输入视为一个源,即使其来自不同的源。例如,如果用户 A 通过主机配置文件设置
操作系统,然后用户 B 通过主机配置文件更改该定义,用户 B 设置的定义将保留,而用户 A 设置
的定义将丢弃。此外,请注意,用户输入会覆盖所有其他的主动源,并会用作当前标识 (如果其
存在)。
了解当前标识
许可证:FireSIGHT
主机上的应用或操作系统的
当前标识是系统发现最有可能正确的标识。
系统会将操作系统或应用的当前标识用于以下用途:
  •
分配漏洞至主机
  •
影响评估
  •
评估针对操作系统标识、主机配置文件合格性以及合规性白名单写入的相关性规则
  •
在工作流程的“主机和服务器”表格视图中进行显示 
  •
在主机配置文件中进行显示 
  •
在 Discovery Statistics 页面上计算操作系统和应用统计 
系统会使用源优先级来确定哪个主动标识应该用作应用或操作系统的当前标识。