Cisco Cisco Firepower Management Center 4000 User Guide
第
章
49-1
FireSIGHT 系统用户指南
49
使用主机配置文件
主机配置文件可完整展现系统搜集到的有关单台主机的全部信息。通过主机配置文件,可获得主
机名和操作系统等主机的一般信息。例如,可通过主机配置文件,快速找到主机的 MAC 地址。
机名和操作系统等主机的一般信息。例如,可通过主机配置文件,快速找到主机的 MAC 地址。
配置文件还包含
主机属性信息。主机属性指可应用于主机的用户定义的说明。例如,可指定能表
明主机所在建筑物的主机属性。通过主机简档,您可以查看相关主机应用的现有主机属性,也可
以修改主机属性的值。再如,可利用
以修改主机属性的值。再如,可利用
主机重要性属性指定特定主机的业务重要性,并根据主机重
要性定制关联策略和警报。
此外,主机配置文件还包含与服务器、客户端和在特定主机运行的主机协议相关的信息,包括它
们是否符合合规性白名单。可从服务器列表上删除服务器并查看那些服务器的详情。此外,还可
查看服务器的
们是否符合合规性白名单。可从服务器列表上删除服务器并查看那些服务器的详情。此外,还可
查看服务器的
连接事件,以及检测到服务器流量的会话的日志信息。此外,还可查看客户端详情
和连接事件,以及从主机配置文件中删除服务器、客户端或主机协议。
如果 FireSIGHT 系统部署包括 FireSIGHT 许可证,可在主机配置文件中查看危害表现 (IOC)。这
些指示关系到与主机相关的各种数据 (入侵事件、安全情报、连接事件、及文件事件或恶意软件
事件),以确定监控网络上的主机是否可能遭受恶意侵害。可在主机配置文件中查看主机的 IOC
标记,查看与 IOC 有关的事件,将 IOC 标记标记为已解决、并编辑发现策略中的 IOC 规则状态。
些指示关系到与主机相关的各种数据 (入侵事件、安全情报、连接事件、及文件事件或恶意软件
事件),以确定监控网络上的主机是否可能遭受恶意侵害。可在主机配置文件中查看主机的 IOC
标记,查看与 IOC 有关的事件,将 IOC 标记标记为已解决、并编辑发现策略中的 IOC 规则状态。
如果部署包括保护许可证,可定制系统处理流量的方式,以便其更好地适应主机上的操作系统的
类型,以及主机正在运行的服务器和客户端。有关详细信息,请参阅
类型,以及主机正在运行的服务器和客户端。有关详细信息,请参阅
此外,如果已经配置系统对主机进行跟踪,还可查看主机的用户历史信息。然后,用户在过去二
十四小时的活动以图形方式显示。
十四小时的活动以图形方式显示。
可修改主机配置文件中的主机漏洞列表。可使用该功能跟踪主机中哪些漏洞已经修补。此外,还
可利用修复程序来修补漏洞,并把已经修补的漏洞自动标记为无效。
可利用修复程序来修补漏洞,并把已经修补的漏洞自动标记为无效。
可利用思科系统生成的漏洞信息,以及利用主机输入功能导入到防御中心上的第三方扫描仪检测
到的漏洞信息。
到的漏洞信息。
或者,进行 Nmap 扫描以增加主机配置文件中有关服务器和操作系统的信息。 Nmap 扫描仪主动
扫描主机以获得在主机上运行的操作系统和服务器的有关信息。扫描结果会添加到主机操作系统
和服务器标识列表。
扫描主机以获得在主机上运行的操作系统和服务器的有关信息。扫描结果会添加到主机操作系统
和服务器标识列表。
请注意,并非网络上的所有主机都可使用主机配置文件。可能的原因包括:
•
由于超时,主机已从网络映射删除
•
已达到 FireSIGHT 主机许可证限制
•
主机所在网段不受网络发现策略的监控
请注意,主机配置文件信息随主机类型和主机可用信息的不同而发生变化。例如,如果系统检测
到使用非基于 IP 的协议 (比如 STP、 SNAP 或 IPX)的主机,系统会将主机作为 MAC 主机添加
至网络映射,而且为主机提供的信息少于 IP 主机。
到使用非基于 IP 的协议 (比如 STP、 SNAP 或 IPX)的主机,系统会将主机作为 MAC 主机添加
至网络映射,而且为主机提供的信息少于 IP 主机。