Cisco Cisco Firepower Management Center 4000 User Guide
48-2
FireSIGHT 系统用户指南
第 48 章 使用网络映射
使用主机网络映射
从任何网络映射中,可查看任何主机的
主机配置文件,此文件全面概括系统收集的有关该主机的
所有信息。主机配置文件包含一般信息 (如主机名,操作系统和所有关联的 IP 地址)以及更多
特定信息 (包括检测的协议、应用、危害表现和主机上运行的客户端)。主机配置文件还包括有
关与主机及其检测的资产关联的漏洞的信息。有关主机配置文件的详细信息,请参阅
特定信息 (包括检测的协议、应用、危害表现和主机上运行的客户端)。主机配置文件还包括有
关与主机及其检测的资产关联的漏洞的信息。有关主机配置文件的详细信息,请参阅
。
如果对于调查某项不再感兴趣,可以从网络映射中将其删除。可从网络映射中删除主机和应用;
也可以删除或停用漏洞。如果系统检测到与已删除主机关联的活动,则会将该主机重新添加至网
络映射。同样,如果系统检测到应用发生更改 (例如,如果 Apache 网络服务器升级至最新版
本),则会将已删除应用重新添加至应用网络映射。如果系统检测到使主机易受攻击的更改,则
表明在特定主机上重新激活了漏洞。
也可以删除或停用漏洞。如果系统检测到与已删除主机关联的活动,则会将该主机重新添加至网
络映射。同样,如果系统检测到应用发生更改 (例如,如果 Apache 网络服务器升级至最新版
本),则会将已删除应用重新添加至应用网络映射。如果系统检测到使主机易受攻击的更改,则
表明在特定主机上重新激活了漏洞。
也可使用网络映射在全网停用漏洞,意味着将系统判定为易受攻击的这些主机视为可安全防御该
特定攻击或利用。
特定攻击或利用。
提示
如果要从网络映射永久排除主机或子网,请修改网络发现策略。您可能希望从监控中排除负载均
衡器和 NAT 设备。它们可能会创建过量并有误导性的事件,从而填充数据库并使防御中心过载。
有关详情,请参见
衡器和 NAT 设备。它们可能会创建过量并有误导性的事件,从而填充数据库并使防御中心过载。
有关详情,请参见
。
使用主机网络映射
许可证:FireSIGHT
使用主机网络映射查看网络上按分层树中子网排列的主机,以及向下钻取到特定主机的主机配置
文件。此网络映射视图提供系统检测到的所有唯一主机的计数,无论主机有一个 IP 地址还是多个
IP 地址。
文件。此网络映射视图提供系统检测到的所有唯一主机的计数,无论主机有一个 IP 地址还是多个
IP 地址。
虽然可配置网络发现策略以根据由支持 NetFlow 的设备导出的数据将主机添加至网络映射,但是
有关这些主机的可用信息有限。例如,除非使用主机输入功能提供操作系统数据,否则没有可用
于使用 NetFlow 数据添加至网络映射的主机的操作系统数据。
有关这些主机的可用信息有限。例如,除非使用主机输入功能提供操作系统数据,否则没有可用
于使用 NetFlow 数据添加至网络映射的主机的操作系统数据。
通过为网络创建自定义拓扑,可向主机网络映射中显示的子网分配有意义的标签,例如,部门名称。
也可根据在自定义拓扑中指定的公司查看主机网络映射;请参阅
可从主机网络映射中删除整个网络、子网或个别主机。例如,如果知道主机不再连接到网络,即
可从网络映射中将其删除以简化分析。如果系统此后检测到与已删除主机关联的活动,则会将该
主机重新添加至网络映射。如果要从网络映射永久排除主机或子网,请修改网络发现策略。有关
详情,请参见
可从网络映射中将其删除以简化分析。如果系统此后检测到与已删除主机关联的活动,则会将该
主机重新添加至网络映射。如果要从网络映射永久排除主机或子网,请修改网络发现策略。有关
详情,请参见
注
思科强烈建议不要从网络映射中删除网络设备,因为系统使用其位置确定网络拓扑 (包括为受监
控主机生成网络跃点和 TTL 值)。虽然无法从网络设备网络映射中删除网络设备,请确保勿从主
机网络映射中将其删除。
控主机生成网络跃点和 TTL 值)。虽然无法从网络设备网络映射中删除网络设备,请确保勿从主
机网络映射中将其删除。
要查看主机网络映射,请执行以下操作:
访问:管理员/任何安全分析师
步骤 1
选择
Analysis > Hosts > Network Map
,然后选择
Hosts
选项卡。
系统将显示主机网络映射,其中显示主机计数以及主机 IP 地址和 MAC 地址的列表。每个地址或
部分地址都是一条指向下一级的链接。
部分地址都是一条指向下一级的链接。