Cisco Cisco Firepower Management Center 4000 User Guide

54-12

FireSIGHT 系统用户指南

第 54 章      配置补救       

  创建补救

步骤 3

在 

 字段中，键入补救名称，其中包含 1 到 63 个字母数字字符，没有空格以及除

下划线 (_) 和连接号 (-) 以外的特殊字符。

步骤 4

在 

 字段中，键入补救说明，其中包含 0 到 255 个字母数字字符，包括空格和特殊字符。

步骤 5

如果计划使用此补救响应在发生入侵事件、连接事件或用户事件时触发的关联规则，请配置 

Which Address(es) From Event？

选项。

选择 

，扫描事件中源 IP 地址和目标 IP 地址代表的主机。

选择 

，扫描事件源 IP 地址代表的主机。

选择 

，扫描事件目标 IP 地址代表的主机。

如果计划使用此补救响应在发生发现事件或主机输入事件时触发的关联规则，默认情况下，补救
将扫描事件涉及到的主机的 IP 地址；无需配置此选项。

注

请不要分配 Nmap 补救，以响应触发流量配置文件变化的关联规则。

步骤 6

配置 

 选项：

要在以下主机上以隐形模式快速扫描，可发起但不完成 TCP 连接：

admin

 帐户拥有原始数据

包访问权限的主机，或未运行 IPv6 的主机，请选择 

。

要使用系统 

connect()

 调用 （可用于以下主机：防御中心上的 

admin

 帐户没有原始数据包访

问权限的主机，或未运行 IPv6 的主机）进行扫描，请选择 

。

要发送 ACK 数据包检查端口是否过滤，请选择 

。

要发送 ACK 数据包检查端口是否过滤，并确定端口是否否打开，请选择 

。

要使用 FIN/ACK 探针识别 BSD 派生的系统，请选择 

。

步骤 7

或者，除了 TCP 端口，如果还要扫描 UDP 端口，请针对 

 选项选择 

。

提示

UDP 端口扫描比 TCP 端口扫描需要更多时间。要加快扫描速度，请保持禁用该选项。

步骤 8

如计划使用此补救响应违反关联策略的情况，请配置 

 选项：

选择 

 可扫描关联事件中的端口，而不是第 

 步指定的端口。

如果扫描关联事件中的端口，请注意补救扫描的是第 

 步指定的 IP 地址的端口。这些端口也

将添加至补救的动态扫描目标。

选择 

 可仅扫描第 

 步指定的端口。

步骤 9

如果计划使用此补救响应关联策略违反事件，并希望使用运行检测引擎来检测事件的设备运行扫
描，请配置 

 选项：

要从运行报告检测引擎的设备进行扫描，请选择 

。

要从在补救中配置的设备进行扫描，请选择 

。

步骤 10

配置 

 选项：

要仅扫描 

nmap-services

 文件中列出的端口，而忽略其他端口设置，请选择 

，该文件可在

执行设置的受管设备上的 

/var/sf/nmap/share/nmap/nmap-services 

目录中找到。

要扫描所有 TCP 端口，请选择 

。

步骤 11

在 

 字段中，键入要在默认情况下使用 Nmap 语法按自己想要的顺序扫描的

端口。