Cisco Cisco Firepower Management Center 4000 User Guide

47-6

FireSIGHT 系统用户指南

第 47 章      配置主动扫描       

  了解 Nmap 扫描

据 Nmap 扫描，将指纹与已知在主机上运行的操作系统相关联。尽可能创建自定义指纹，而不是
通过第三方来源 （例如， Nmap）输入静态数据，因为自定义指纹允许系统继续监控主机操作系
统并按需更新。

要使用 Nmap 发现操作系统，请执行以下操作：

访问：管理员/发现管理员

步骤 1

为 Nmap 模块配置扫描实例。

有关详细信息，请参阅

步骤 2

使用以下设置创建 Nmap 补救：

启用 

，可扫描与新服务器相关的端口。

启用 

，可检测主机的操作系统信息。

启用 

，可检测服务器厂商和版本信息。

启用 

，因为已知存在主机。

有关创建 Nmap 补救的信息，请参阅

步骤 3

创建在系统检测具有未知操作系统的主机时可触发的关联规则。

该规则应在

发生发现事件

并且

主机的操作系统信息已更改

且符合以下条件时触发：

操作系统名称未知

。

有关创建关联规则的信息，请参阅

。

步骤 4

创建包含关联规则的关联策略。

有关创建关联策略的更多信息，请参阅

步骤 5

在关联策略中，将在以前步骤中创建的 Nmap 补救作为响应添加至在第 3 步中创建的规则。

步骤 6

激活关联策略。

步骤 7

清除网络映射上的主机，强制网络发现重新启动，重建网络映射。

步骤 8

一两天后，搜索关联策略生成的事件。分析在主机上检测到的操作系统的 Nmap 结果，弄清网络
上是否有系统无法识别的特殊主机配置。

有关分析 Nmap 结果的详细信息，请参阅

。

步骤 9

如果发现未知操作系统的 Nmap 结果相同的主机，请为其中一台主机创建自定义指纹，并用它识
别未来的类似主机。

有关详细信息，请参阅

示例：响应新主机

许可证：FireSIGHT

当系统在子网中检测到可能被入侵的新主机时，您可能想扫描该主机，确保获取该主机漏洞的准
确信息。

要完成此操作，可创建和激活关联策略，当子网中出现新主机时进行检测，启动补救以对主机上
执行 Nmap 扫描。

激活关联策略后，可定期查看补救状态视图 (

Policy & Response > Responses > Remediations > Status)，

查

看补救启动时间。补救的动态扫描目标应当包括其因服务器检测而扫描的主机的 IP 地址。根据 
Nmap 检测的操作系统和服务器，查看这些主机的主机配置文件，弄清主机上是否存在需要解决
的漏洞。