Cisco Cisco Firepower Management Center 4000 User Guide
23-6
FireSIGHT 系统用户指南
第 23 章 了解网络分析和入侵策略
比较系统提供的策略与自定义策略
生成入侵事件
许可证:保护
当系统识别可能的入侵时,它会生成
入侵或预处理程序事件 (有时统称为入侵事件)。受管设备
将其事件传输到防御中心,在其中可以查看聚合数据并更好地了解针对网络资产的攻击。在内联
部署中,受管设备还可以丢弃或替换已知有害的数据包。
部署中,受管设备还可以丢弃或替换已知有害的数据包。
数据库中的每个入侵事件均包括事件报头并包含有关事件名称和分类的信息;源和目标 IP 地址;
端口;生成事件的进程;事件的日期和时间,以及有关攻击源及其目标的情景信息。对于基于数
据包的事件,系统还记录触发事件的数据包的已解码的数据包报头和负载的副本。
端口;生成事件的进程;事件的日期和时间,以及有关攻击源及其目标的情景信息。对于基于数
据包的事件,系统还记录触发事件的数据包的已解码的数据包报头和负载的副本。
数据包解码器、预处理程序和入侵规则引擎都可能导致系统生成事件。例如:
•
如果数据包解码器 (在网络分析策略中配置)接收少于 20 字节 (没有任何选项或负载的 IP
数据报的大小)的 IP 数据包,解码器将此解释为异常流量。如果之后启用了用于检查数据包
的入侵策略中的配套解码器规则,则系统会生成预处理程序事件。
数据报的大小)的 IP 数据包,解码器将此解释为异常流量。如果之后启用了用于检查数据包
的入侵策略中的配套解码器规则,则系统会生成预处理程序事件。
•
如果 IP 分片重组预处理程序遇到一系列重叠的 IP 片段,则预处理程序会将此解释为可能的
攻击,当启用了配套预处理程序规则时,系统会生成预处理程序事件。
攻击,当启用了配套预处理程序规则时,系统会生成预处理程序事件。
•
在入侵规则引擎内,大多数标准文本规则和共享对象规则编写为在由数据包触发时会生成入
侵事件。
侵事件。
随着数据库累计入侵事件,您可以开始分析潜在攻击。系统还提供必要的工具,可以用来审查入
侵事件并评估它们在网络环境和安全策略中是否重要。
侵事件并评估它们在网络环境和安全策略中是否重要。
比较系统提供的策略与自定义策略
许可证:保护
新建访问控制策略是使用 FireSIGHT 系统管理流量的初始步骤之一。默认情况下,新建的访问控
制策略调用系统提供的网络分析和入侵策略来检查流量。
制策略调用系统提供的网络分析和入侵策略来检查流量。
下图显示内联入侵防御部署中新建的访问控制策略最初如何处理流量。预处理和入侵防御阶段突
出显示。
出显示。
请注意以下各种操作的方式:
•
默认网络分析策略监管访问控制策略处理的
所有流量的预处理。最初,系统提供的 Balanced
Security and Connectivity 网络分析策略是默认策略。
•
访问控制策略的默认操作允许所有非恶意流量 (由系统提供的 Balanced Security and
Connectivity 入侵策略确定)通过。由于默认操作允许流量通过,在入侵策略能够检查并可能
阻止恶意流量之前,发现功能可以检查流量中的主机、应用和用户数据。
Connectivity 入侵策略确定)通过。由于默认操作允许流量通过,在入侵策略能够检查并可能
阻止恶意流量之前,发现功能可以检查流量中的主机、应用和用户数据。
•
策略使用默认的安全情报选项 (仅全局白名单和黑名单),不使用 SSL 解密已加密的流量,
并且不使用访问控制规则对网络流量执行特殊处理和检查。
并且不使用访问控制规则对网络流量执行特殊处理和检查。
可以采取用于调整入侵防御部署的一个简单步骤是使用系统提供的一组不同的网络分析和入侵策
略为作为默认值。思科通过 FireSIGHT 系统提供了多对网络分析和入侵策略。
略为作为默认值。思科通过 FireSIGHT 系统提供了多对网络分析和入侵策略。