Cisco Cisco Firepower Management Center 4000 User Guide
1-13
FireSIGHT 系统用户指南
第 1 章 思科 FireSIGHT 系统简介
FireSIGHT 系统组件
无论是否存储检测到的文件,都可以将其提交给综合安全智能云,使用文件的 SHA-256 哈希值进
行简单的已知性质搜索。还可以提交文件进行
行简单的已知性质搜索。还可以提交文件进行
动态分析,获取威胁评分。使用此上下文信息,可
以配置系统来阻止或允许特定的文件。
可以配置恶意软件防护,作为全局访问控制配置的一部分;与访问控制规则关联的文件策略可以
检查符合规则条件的网络流量。
检查符合规则条件的网络流量。
FireAMP 集成
FireAMP 是思科的企业级高级恶意软件分析和防御解决方案,可以发现、了解并阻止高级恶意软
件爆发、高级持续性威胁和有针对性的攻击。
件爆发、高级持续性威胁和有针对性的攻击。
如果贵公司有订用 FireAMP,个人用户可以在计算机和移动设备(又叫做终端)上安装 FireAMP
连接器。这些轻量级代理与思科云通信,后者又与防御中心通信。
连接器。这些轻量级代理与思科云通信,后者又与防御中心通信。
如果组织的安全策略不允许使用传统云服务器连接,则可获取并配置思科的私有内部云解决方案
(FireAMP 私有云),它是一种虚拟机,充当公共思科云的压缩本地版本。
配置防御中心连接云之后,可以使用防御中心 Web 界面查看由于贵公司终端上的扫描、检测和隔
离而生成的基于终端的恶意软件事件。防御中心还使用 FireAMP 数据生成和跟踪威胁对主机的影
响的指示信息以及显示网络文件轨迹。
离而生成的基于终端的恶意软件事件。防御中心还使用 FireAMP 数据生成和跟踪威胁对主机的影
响的指示信息以及显示网络文件轨迹。
使用 FireAMP 门户 (
) 配置 FireAMP 部署。此门户可帮助快速识别和隔
离恶意软件。可以识别恶意软件爆发,跟踪它们的发展轨迹,了解其影响,并学习如何成功恢
复。还可以使用 FireAMP 创建自定义防御,根据群组策略阻止执行某些应用,以及创建自定义白
名单。
复。还可以使用 FireAMP 创建自定义防御,根据群组策略阻止执行某些应用,以及创建自定义白
名单。
网络文件轨迹
网络文件轨迹功能可以跟踪网络中的文件传输路径。系统使用 SHA-256 哈希值跟踪文件;因此,
要跟踪文件,系统必须执行以下一项操作︰
要跟踪文件,系统必须执行以下一项操作︰
•
计算文件的 SHA-256 哈希值并使用该值执行恶意软件云查找
•
利用防御中心与贵公司 FireAMP 订用的集成接收基于终端的威胁并隔离与该文件相关的数据
每个文件都具有相关的轨迹图,其中包含文件在一段时间内的传输轨迹视觉展示和与文件相关的
其他信息。
其他信息。
可为网络服务、协调和服务管理功能体现出网络价值的
有几种方法可以使用应用程序编程接口 (API) 来与系统交互。有关详细信息,可以从以下任一支
持站点下载更多文档:
持站点下载更多文档:
•
Sourcefire:
(
)
•
思科:
(
)
eStreamer
Event Streamer (eStreamer) 可以将几种事件数据从思科设备传输至定制开发的客户端应用。创建客
户端应用后,可以将其连接到 eStreamer 服务器(防御中心或物理受管设备),启动 eStreamer 服
务,并开始交换数据。
户端应用后,可以将其连接到 eStreamer 服务器(防御中心或物理受管设备),启动 eStreamer 服
务,并开始交换数据。
eStreamer 集成要求定制编程,但是可以向设备请求获取特定数据。如果在网络管理应用中显示网
络主机数据,就可以写入一个程序来从防御中心检索主机重要性或漏洞数据并将该信息添加到显
示中。
络主机数据,就可以写入一个程序来从防御中心检索主机重要性或漏洞数据并将该信息添加到显
示中。