Cisco Cisco Firepower Management Center 4000 User Guide
49-5
FireSIGHT 系统用户指南
第 49 章 使用主机配置文件
使用主机配置文件中的基本主机信息
使用主机配置文件中的基本主机信息
许可证:FireSIGHT
主机配置文件包含有关检测到的主机或其他设备的基本信息。
主机配置文件中的每个基本字段的描述如下。
IP 地址
所有与主机相关的 IP 地址 (IPv4 和 IPv6)。 IPv6 主机通常至少有两个 IPv6 地址 (仅本地和
全局路由),也可能拥有 IPv4 地址。纯 IPv4 主机可拥有多个 IPv4 地址。如可用,路由主机
IP 地址还包含一个表明与地址相关的地理位置数据的旗帜图标和国家代码。有关该方面和其
他地理位置功能的详细信息,请参阅
全局路由),也可能拥有 IPv4 地址。纯 IPv4 主机可拥有多个 IPv4 地址。如可用,路由主机
IP 地址还包含一个表明与地址相关的地理位置数据的旗帜图标和国家代码。有关该方面和其
他地理位置功能的详细信息,请参阅
。
主机名
如果已知,为主机的完全限定域名。
NetBIOS Name
如可用,为主机的 NetBIOS 名称。为使用 NetBIOS 而配置的 Microsoft Windows 主机、以及
Macintosh、Linux 或其他平台都可以拥有一个 NetBIOS 名称。例如,配置为 Samba 服务器的
Linux 主机可拥有多个 NetBIOS 名称。
Macintosh、Linux 或其他平台都可以拥有一个 NetBIOS 名称。例如,配置为 Samba 服务器的
Linux 主机可拥有多个 NetBIOS 名称。
Device (Hops)
存在以下其中一种情况:
–
根据网络发现策略中的定义,主机所在网络的报告设备,或者
–
处理把主机添加至网络映射的 NetFlow 数据的设备
–
设备以及检测到主机的设备与设备名称后面括号里的主机之间的网络跳数。如果多台设
备可看见主机,报告设备以粗体显示。
备可看见主机,报告设备以粗体显示。
–
如果此字段为空,则以下两项任选一项:
–
按照网络发现策略中的规定,由未明确监控主机所在网络的设备将该主机添加到网络映
射中,或
射中,或
–
使用主机输入功能添加主机,并且未被 FireSIGHT 系统检测到
MAC Addresses (TTL)
主机被检测到的 MAC 地址或多个地址和相关 NIC 供应商,括号中为 NIC 硬件供应商和当前
生存时间 (TTL) 值。如果 MAC 地址以粗体显示,则 MAC 地址是系统通过 ARP 和 DHCP 流
量检测到的主机的实际 MAC 地址。如果有多台设备检测到主机,不管是哪台设备报告的地
址,防御中心都会显示与主机相关的所有 MAC 地址和 TTL 值。
生存时间 (TTL) 值。如果 MAC 地址以粗体显示,则 MAC 地址是系统通过 ARP 和 DHCP 流
量检测到的主机的实际 MAC 地址。如果有多台设备检测到主机,不管是哪台设备报告的地
址,防御中心都会显示与主机相关的所有 MAC 地址和 TTL 值。
可点击 MAC 地址查看具有同样 MAC 地址的主机列表。通常,路由器主机配置文件在该列表
中显示路经的网络分段中的主机 (IP 地址),以及频繁出现的监控路由器的 IP 地址 (针对
监控工作站和服务器)。 MAC 地址的真实 IP 地址以粗体显示。
中显示路经的网络分段中的主机 (IP 地址),以及频繁出现的监控路由器的 IP 地址 (针对
监控工作站和服务器)。 MAC 地址的真实 IP 地址以粗体显示。
Host Type
系统检测到的设备类型:主机、移动设备、越狱的移动设备、路由器、网桥、 NAT 设备或负
载均衡器。
载均衡器。
系统用于区分网络设备的方法包括:
–
分析思科发现协议 (CDP) 消息,可识别网络设备及其类型 (仅限思科设备)
–
检测生成树协议 (STP),可识别作为交换机或网桥的设备