Cisco Cisco Firepower Management Center 4000 User Guide
46-6
FireSIGHT 系统用户指南
第 46 章 增强网络发现
使用自定义指纹技术
有管理员权限的用户还可配置系统,从而在标识冲突发生时生成事件。然后,该用户可设置带有
相关性规则的关联策略,规则将 Nmap 扫描用作相关性响应。如果事件发生, Nmap 会扫描主机
以获取经过更新的主机操作系统和应用数据。
相关性规则的关联策略,规则将 Nmap 扫描用作相关性响应。如果事件发生, Nmap 会扫描主机
以获取经过更新的主机操作系统和应用数据。
使用自定义指纹技术
许可证:FireSIGHT
FireSIGHT 系统包含有操作系统指纹,系统进行检测时,将其用于识别每个主机上的操作系统。
然而,有时系统会因为不存在与操作系统匹配的指纹而无法识别主机操作系统,或者错误地识别
主机操作系统。要纠正此问题,可创建
然而,有时系统会因为不存在与操作系统匹配的指纹而无法识别主机操作系统,或者错误地识别
主机操作系统。要纠正此问题,可创建
自定义指纹,指纹提供未知或识别错误的操作系统所独有
的操作系统特征模式,以便提供用于标识的操作系统名称。
如果系统无法匹配主机操作系统,则无法识别主机漏洞,因为系统通过其操作系统指纹为每个主
机派生漏洞列表。例如,如果系统检测到运行 Microsoft Windows 的主机,则表明系统存储了
Microsoft Windows 漏洞列表,其根据检测到的 Windows 操作系统将该列表添加至该主机的主机
配置文件。
机派生漏洞列表。例如,如果系统检测到运行 Microsoft Windows 的主机,则表明系统存储了
Microsoft Windows 漏洞列表,其根据检测到的 Windows 操作系统将该列表添加至该主机的主机
配置文件。
例如,如果网络上有多个运行新试用版 Microsoft Windows 的设备,系统无法确定操作系统,因
此无法将漏洞映射至主机。然而,知道系统拥有 Microsoft Windows 的漏洞列表,您可能想要为
某个主机创建自定义的指纹,以便随后可将该指纹用来识别运行相同操作系统的其他主机。可将
Microsoft Windows 漏洞列表的映射纳入指纹中,以便将该列表与匹配指纹的每个主机关联。
此无法将漏洞映射至主机。然而,知道系统拥有 Microsoft Windows 的漏洞列表,您可能想要为
某个主机创建自定义的指纹,以便随后可将该指纹用来识别运行相同操作系统的其他主机。可将
Microsoft Windows 漏洞列表的映射纳入指纹中,以便将该列表与匹配指纹的每个主机关联。
创建自定义指纹时,可添加操作系统信息的自定义显示,而且可为操作系统选择其供应商、产品
名称和产品版本,操作系统应将该等信息用作指纹漏洞列表的模型。防御中心将为运行相同操作
系统的任何主机列出与该指纹关联的漏洞集。如果创建的自定义指纹没有任何漏洞映射,则系统
将使用该指纹来分配在其中提供的自定义操作系统信息。如果系统发现的新流量源自已检测到而
且目前驻留在网络映射中的主机,系统会使用新的指纹信息来更新主机。首次检测到使用该操作
系统的任何新主机时,系统还会使用新的指纹来识别这些主机。
名称和产品版本,操作系统应将该等信息用作指纹漏洞列表的模型。防御中心将为运行相同操作
系统的任何主机列出与该指纹关联的漏洞集。如果创建的自定义指纹没有任何漏洞映射,则系统
将使用该指纹来分配在其中提供的自定义操作系统信息。如果系统发现的新流量源自已检测到而
且目前驻留在网络映射中的主机,系统会使用新的指纹信息来更新主机。首次检测到使用该操作
系统的任何新主机时,系统还会使用新的指纹来识别这些主机。
在尝试设置主机指纹前,应确定为何主机未被正确识别,从而决定自定义指纹技术是否为可行的
解决方案。有关详细信息,请参阅
解决方案。有关详细信息,请参阅