Cisco Cisco Firepower Management Center 4000 User Guide
46-9
FireSIGHT 系统用户指南
第 46 章 增强网络发现
使用自定义指纹技术
提示
如果点击
Create
,状态会短暂显示
New
,然后切换至
Pending
,此状态会保持不变,直到发现匹配
指纹的流量,然后状态会切换至
Ready
。
步骤 13
将指定的 IP 地址用作目标 IP 地址,访问您尝试为其设置指纹的主机,并发起至设备的 TCP 连接。
例如,从想要为其设置指纹的主机访问防御中心的网络界面,或者从主机使用 SSH 登录至防御中
心。如在使用 SSH,请使用以下的命令:
心。如在使用 SSH,请使用以下的命令:
ssh -b localIPv6address DCmanagementIPv6address
其中,
localIPv6address
是在第 7 步中指定的目前已分配至主机的 IPv6 地址,
DCmanagementIPv6address
是防御中心的管理 IPv6 地址。
然后, Custom Fingerprint 页面重新加载,其状态为“就绪”。
注
要创建准确的指纹,收集指纹的设备必须发现流量。如果通过交换机进行连接,系统可能不会发
现流向系统而不是设备的流量。
现流向系统而不是设备的流量。
步骤 14
指纹技术服务器
许可证:FireSIGHT
服务器指纹根据 SYN-ACK 数据包识别操作系统,主机使用这种数据包来响应通向运行的 TCP 应
用的传入连接。在开始之前,应获取关于想要为其设置指纹的主机的以下信息:
用的传入连接。在开始之前,应获取关于想要为其设置指纹的主机的以下信息:
•
主机与用于获取指纹的设备之间的网络跳数。思科强烈建议将设备上不使用的接口直接连接
至主机所连接至的相同子网。
至主机所连接至的相同子网。
•
连接至主机所在网络的 (设备上的)网络接口。
•
主机的实际的操作系统供应商、产品和版本。
•
未在使用的 IP 地址,并在主机所在网络上得到授权。
提示
如果防御中心不与受监控的主机直接联系,指定服务器指纹属性时,可以指定离想要为其设置指
纹的主机最近的受管设备。
纹的主机最近的受管设备。
要获取主机的服务器指纹,请执行以下操作:
访问:管理员/发现管理员
步骤 1
选择
Policies
>
Network Discovery,
然后点击
Custom Operating Systems
。
系统将显示 Custom Fingerprint 页面。
步骤 2
点击
Create Custom Fingerprint
。
系统将显示 Create Custom Fingerprint 页面。
步骤 3
从
Device
列表,选择想要用于收集指纹的防御中心或受管设备。
步骤 4
在
Fingerprint Name
字段中,键入指纹的标识名称。