Cisco Cisco Firepower Management Center 4000 User Guide
第
章
17-1
FireSIGHT 系统用户指南
17
按照用户控制流量
访问控制策略中的访问控制规则对网络流量日志记录和处理进行精细控制。访问控制规则的用户条
件可供您执行
件可供您执行
用户控制 - 通过根据登录主机的 LDAP 用户限制流量来管理哪些流量可以穿越网络。
用户控制通过将
访问受控的用户与 IP 地址相关联来实现。部署的代理监控指定用户登录和注销主
机或因其他原因用 Active Directory 凭证进行身份验证。例如,贵组织可能使用依赖于 Active
Directory 进行集中身份验证的服务或应用。。
Directory 进行集中身份验证的服务或应用。。
要使流量与具有用户条件的访问控制规则相匹配,必须将受监控会话中的源或目标主机的 IP 地址
与登录的访问受控的用户相关联。您可以根据单个用户或这些用户所属的组来控制流量。
与登录的访问受控的用户相关联。您可以根据单个用户或这些用户所属的组来控制流量。
您可以将用户条件相互组合及与其他类型的条件组合来创建访问控制规则。这些访问控制规则可
能很简单,也可能很复杂,使用多个条件匹配和检查流量。有关访问控制规则的详细信息,请参
阅
能很简单,也可能很复杂,使用多个条件匹配和检查流量。有关访问控制规则的详细信息,请参
阅
。
注
基于硬件的快速路径规则、基于安全情报的流量过滤以及一些解码和预处理在访问控制规则评估
网络流量之前发生。您还可以配置 SSL 检查功能在访问控制规则对已加密的流量进行评估之前阻
止或解密它。
网络流量之前发生。您还可以配置 SSL 检查功能在访问控制规则对已加密的流量进行评估之前阻
止或解密它。
用户控制需要可控性许可证并且仅受 LDAP 用户和组(访问受控用户)支持,使用监控 Microsoft
Active Directory 服务器的用户代理报告的登录和注销记录。
Active Directory 服务器的用户代理报告的登录和注销记录。
但是,只要有 FireSIGHT 许可证,您仍然可以利用用户感知,这是用户控制的基础。通过用户感
知,您可以查看代理报告的用户活动以及
知,您可以查看代理报告的用户活动以及
非访问受控用户的其他活动,当受管设备检查允许的流
量是否存在发现数据时,系统可以检测到这些活动。系统可以识别通过各种协议的登录尝试:
AIM、IMAP、LDAP、Oracle、POP3、SIP、FTP、HTTP 和 MDNS。
AIM、IMAP、LDAP、Oracle、POP3、SIP、FTP、HTTP 和 MDNS。
要为系统报告的用户活动添加情景,您可以查询您的部署中的 LDAP 服务器,不仅可以检索访问
受控用户的元数据,而且可以检索一些非访问受控用户的元数据:用户发现检测到的 POP3 和
IMAP 用户以及由用户发现或用户代理检测其活动的 LDAP 用户。
受控用户的元数据,而且可以检索一些非访问受控用户的元数据:用户发现检测到的 POP3 和
IMAP 用户以及由用户发现或用户代理检测其活动的 LDAP 用户。
用户感知功能可使所有部署类型确定“谁”在执行“什么操作”。例如,您可以确定:
•
谁正在尝试未授权访问具有高主机重要性的服务器
•
谁正在耗用异常大量的带宽
•
谁尚未应用关键操作系统更新
•
谁正在使用即时消息软件或 P2P 文件共享应用,而这样做是违反公司的 IT 策略的
•
谁拥有作为影响程度为 Vulnerable(级别 1 :红色)的入侵事件的目标的主机(需要保护)
•
谁发起了内部攻击或端口扫描(需要保护)