Cisco Cisco Firepower Management Center 4000 User Guide
第
章
34-1
FireSIGHT 系统用户指南
34
检测特定威胁
您可以在网络分析策略中使用多个预处理程序来检测对受监控网络的特定威胁,例如 Back Orifice
攻击、几种类型的端口扫描和试图利用超大流量颠覆网络的基于速率的攻击。请注意,当入侵规则
或规则参数要求禁用的预处理器时,尽管预处理器在网络分析策略网络界面中保持禁用状态,系统
还会自动使用其当前设置。有关详细信息,请参阅
攻击、几种类型的端口扫描和试图利用超大流量颠覆网络的基于速率的攻击。请注意,当入侵规则
或规则参数要求禁用的预处理器时,尽管预处理器在网络分析策略网络界面中保持禁用状态,系统
还会自动使用其当前设置。有关详细信息,请参阅
注意事项
某些具备自定义用户角色的用户无法通过标准菜单路径 (
Policies > Access Control > Network Analysis
Policy
) 访问网络分析策略。这些用户可以通过入侵策略访问网络分析策略:
Policies > Intrusion >
Intrusion Policy > Network Analysis Policy
。有关自定义用户角色的详细信息,请参阅
。
您还可以使用在入侵规则中配置的敏感数据检测来检测以非安全方式传输的敏感数字数据。
有关检测具体威胁的详细信息,请参阅以下各节。
•
说明了 Back Orifice 攻击检测。
•
介绍不同类型的端口扫描并说明如何在威胁发展成攻击之前使用
端口扫描检测来识别网络威胁。
•
说明如何限制拒绝服务 (DoS) 和 SYN 泛洪攻击。
•
说明如何在 ASCII 文本中检测和生成关于敏感数据 (例如,信
用卡号和社会保障号码)的事件。
检测 Back Orifice
许可证:保护
FireSIGHT 系统提供了一种检测是否存在 Back Orifice 程序的预处理器。此程序可用于获取对
Windows 主机的管理员访问权限。 Back Orifice 预处理器为 Back Orifice 神奇 cookie "*
Windows 主机的管理员访问权限。 Back Orifice 预处理器为 Back Orifice 神奇 cookie "*
!*QWTY?
"
(位于数据包的前八个字节且使用 XOR 加密)分析 UDP 流量。
Back Orifice 预处理器具有配置页面,但没有配置选项。如果启用此预处理器,还必须为其启用
下表中的预处理器规则,以生成相应的事件。有关详情,请参见
下表中的预处理器规则,以生成相应的事件。有关详情,请参见
。
表
34-1
Back Orifice GID:SIDs
预处理器规则 GID:SID
说明
105:1
检测到 Back Orifice 流量
105:2
检测到 Back Orifice 客户端流量