Cisco Cisco Firepower Management Center 4000 User Guide
52-7
FireSIGHT 系统用户指南
第 52 章 将 FireSIGHT 系统用作一个合规工具
创建合规白名单
创建合规白名单
许可证:FireSIGHT
创建白名单时,您可以调查整个网络或某个特定网段。调查网络后,使用适用于系统在该网段上
检测到的各操作系统的一个配置文件来填充白名单。默认情况下,这些主机配置文件允许系统在
适用的操作系统上检测到的所有客户端、应用协议、网络应用和通信协议。
检测到的各操作系统的一个配置文件来填充白名单。默认情况下,这些主机配置文件允许系统在
适用的操作系统上检测到的所有客户端、应用协议、网络应用和通信协议。
然后,您必须指定白名单的目标。您可以将白名单配置为评估受监控网络上的所有主机,也可以
将白名单限制为只评估特定的网段甚至是个别主机。还可以进一步限制白名单,只评估具备特定
主机属性或者属于某个特定的 VLAN 的主机。如果已对网络进行了调查,默认情况下,您已调查
的网段即表示白名单目标。您可以编辑或删除已调查的网络,也可以添加新的目标。
将白名单限制为只评估特定的网段甚至是个别主机。还可以进一步限制白名单,只评估具备特定
主机属性或者属于某个特定的 VLAN 的主机。如果已对网络进行了调查,默认情况下,您已调查
的网段即表示白名单目标。您可以编辑或删除已调查的网络,也可以添加新的目标。
接下来,创建表示合规主机的主机配置文件。白名单中的主机配置文件指定了允许在目标主机上运
行的操作系统、客户端、应用协议、网络应用及通信协议。您可以配置全局主机配置文件,编辑任
一网络调查创建的主机配置文件,添加新的主机配置文件,以及添加和编辑共享主机配置文件。
行的操作系统、客户端、应用协议、网络应用及通信协议。您可以配置全局主机配置文件,编辑任
一网络调查创建的主机配置文件,添加新的主机配置文件,以及添加和编辑共享主机配置文件。
最后,保存该白名单并将其添加至活动的关联策略。系统开始评估目标主机是否合规,在主机违
反白名单时生成白名单事件,并触发针对白名单违规行为配置的任何响应。有关合规白名单的更
详细的说明,请参阅
反白名单时生成白名单事件,并触发针对白名单违规行为配置的任何响应。有关合规白名单的更
详细的说明,请参阅
提示
也可以从主机的表视图中创建一份白名单。有关详细信息,请参阅
。
要创建一份合规白名单,请执行以下操作:
访问:管理
步骤 1
选择
Policies > Correlation
,然后点击
White List
。
系统将显示 White List 页面。
步骤 2
点击
New White List
。
系统将显示 Survey Network 页面。
步骤 3
或者,调查网络:
•
。
•
要在不调查网络的情况下创建白名单,请点击
Skip
并继续执行下一步。
系统将显示 Create White List 页面。
步骤 4
在
Name
字段中,输入新的白名单的名称。
步骤 5
在
Description
字段中,输入白名单的简短描述。
步骤 6
要在网络中允许越狱的移动设备,请启用
Allow Jailbroken Mobile Devices
。要让白名单评估的所有
越狱设备生成一个白名单违规事件,请禁用该选项。
步骤 7
指定白名单的目标。您可以编辑或删除网络调查创建的目标并添加新的目标。或者,根据主机属
性或 VLAN ID 进一步限制目标。有关详细信息,请参阅
性或 VLAN ID 进一步限制目标。有关详细信息,请参阅
。
步骤 8
创建表示合规主机的主机配置文件。您可以配置全局主机配置文件,编辑网络调查创建的主机配
置文件,添加新的主机配置文件,以及添加和编辑共享主机配置文件。有关详细信息,请参阅
置文件,添加新的主机配置文件,以及添加和编辑共享主机配置文件。有关详细信息,请参阅