Cisco Cisco Firepower Management Center 4000 User Guide
49-10
FireSIGHT 系统用户指南
第 49 章 使用主机配置文件
使用主机配置文件中的操作系统
–
按照 《FireSIGHT 系统主机输入 API 指南》中的说明使用主机输入功能,将数据导入网
络映射
络映射
–
根据
的描述,手动输入操作系统的信息
OS Version/Version
操作系统版本。如果主机属于越狱的移动设备,版本后面的圆括号里会标识
Jailbroken
。
Source
选择以下值之一:
–
用户:
user_name
–
应用:
app_name
–
扫描仪:
scanner_type
(通过系统策略添加的 Nmap 或扫描仪)
–
FireSIGHT
系统可能从多个源协调数据,以确定操作系统的标识;请参阅
。
因为主机漏洞列表以及以主机为目标的事件的事件影响相关性取决于操作系统,可能要手动提供
更多具体的操作系统信息。此外,可标明已经应用到操作系统的修复,比如补丁包和更新,以及
使修复已经解决的漏洞失效。
更多具体的操作系统信息。此外,可标明已经应用到操作系统的修复,比如补丁包和更新,以及
使修复已经解决的漏洞失效。
例如,如果系统确定主机的操作系统为 Microsoft Windows 2003,但主机实际上运行的是
Microsoft Windows XP Professional SP2,可相应地设置操作系统的标识。设置更具体的操作系统
标识可以完善主机漏洞列表,以便该主机的影响相关性更具针对性、更准确。
Microsoft Windows XP Professional SP2,可相应地设置操作系统的标识。设置更具体的操作系统
标识可以完善主机漏洞列表,以便该主机的影响相关性更具针对性、更准确。
如果系统检测到的主机操作系统信息与由活动源提供的现有操作系统标识相冲突,会发生标识冲
突。当确实存在标识冲突时,系统同时使用漏洞标识和影响相关性。
突。当确实存在标识冲突时,系统同时使用漏洞标识和影响相关性。
尽管可根据启用了 NetFlow 的设备导出的数据配置网络发现策略,将主机添加至网络映射,但这
些主机的操作系统数据仍然不可用,除非设置了操作系统标识。有关详细信息,请参阅
些主机的操作系统数据仍然不可用,除非设置了操作系统标识。有关详细信息,请参阅
。
请注意,如果主机运行的操作系统违反了激活的网络发现策略中的合规性白名单,防御中心将为
操作系统信息标记白名单违规图标 (
操作系统信息标记白名单违规图标 (
)。此外,如果越狱的移动设备违反有效的白名单,该图标
会出现在该设备的操作系统旁边。
可以为主机的操作系统标识设置自定义显示字符串。上述自定义显示字符随后用于主机配置文件中。
注
请注意,改变主机的操作系统的信息可能会改变其符合合规性白名单的合规情况。
在网络设备的主机配置文件中,Operating Systems 一节的标签变为 Systems,并显示另外一个 Hardware
列。如果 Systems 下列出硬件平台值,该系统是网络设备后检测出的一个或多个移动设备。请注意,
移动设备可能有,也可能没有硬件平台信息,但不会检测到非移动设备系统的硬件平台信息。
列。如果 Systems 下列出硬件平台值,该系统是网络设备后检测出的一个或多个移动设备。请注意,
移动设备可能有,也可能没有硬件平台信息,但不会检测到非移动设备系统的硬件平台信息。
查看操作系统的标识
许可证:FireSIGHT
可查看发现的或添加的主机特定操作系统的标识。系统利用来源优先分级来确定主机当前的标
识。在标识列表中,当前标识以粗体突出显示。
识。在标识列表中,当前标识以粗体突出显示。
对于每个操作系统标识,主机配置文件可能包括
描
述的信息。
请注意,只有当主机存在多个操作系统标识时, View 按钮才可用。