Cisco Cisco Firepower Management Center 4000 User Guide
34-17
FireSIGHT 系统用户指南
第 34 章 检测特定威胁
检测敏感数据
检测敏感数据
许可证:保护
敏感数据 (如社会保障号码、信用卡号码、驾驶证号码等)可能会被有意或无意地在互联网上泄
露。系统提供的敏感数据预处理程序能够检测 ASCII 文本中的敏感数据并为之生成事件,此功能
对于检测意外数据泄露特别有用。
露。系统提供的敏感数据预处理程序能够检测 ASCII 文本中的敏感数据并为之生成事件,此功能
对于检测意外数据泄露特别有用。
系统不会检测经过加密的或模糊的敏感数据,也不会检测压缩或编码格式 (例如 Base64 编码邮
件附件)的敏感数据。例如,系统会检测电话号码 (555)123-4567,但不会检测该号码经过模糊处
理的版本 (即,每个数字用空格分开,例如 (5 5 5) 1 2 3 - 4 5 6 7,或者通过 HTML 代码介入,例
如 <b>(555)</b>-<i>123-4567</i>)。但是,系统会检测采用 HTML 代码的号码
<b>(555)-123-4567</b>,在该号码中,没有介入代码中断编号模式。
件附件)的敏感数据。例如,系统会检测电话号码 (555)123-4567,但不会检测该号码经过模糊处
理的版本 (即,每个数字用空格分开,例如 (5 5 5) 1 2 3 - 4 5 6 7,或者通过 HTML 代码介入,例
如 <b>(555)</b>-<i>123-4567</i>)。但是,系统会检测采用 HTML 代码的号码
<b>(555)-123-4567</b>,在该号码中,没有介入代码中断编号模式。
提示
敏感数据预处理器可以检测使用 FTP 或 HTTP 上传和下载的未加密 Microsoft Word 文件中的敏感
数据;之所以可以这样,大概是因为 Word 文件单独分组 ASCII 文本和格式命令的方式。
数据;之所以可以这样,大概是因为 Word 文件单独分组 ASCII 文本和格式命令的方式。
系统通过将各个数据类型与流量进行比对来检测每个 TCP 会话中的敏感数据。可以为每种数据类
型和适用于入侵策略中所有数据类型的全局选项修改默认设置。思科提供了常用的预定义数据类
型。您也可以创建自定义数据类型。
型和适用于入侵策略中所有数据类型的全局选项修改默认设置。思科提供了常用的预定义数据类
型。您也可以创建自定义数据类型。
敏感数据预处理程序规则与每种数据类型相关联。可通过为数据类型启用相应的预处理器,为每
种数据类型启用敏感数据检测和事件生成。配置页面上的链接会将您指向 Rules 页面上的敏感数
据规则的过滤视图,可以在其中启用和禁用规则以及配置其他规则属性。
种数据类型启用敏感数据检测和事件生成。配置页面上的链接会将您指向 Rules 页面上的敏感数
据规则的过滤视图,可以在其中启用和禁用规则以及配置其他规则属性。
保存对入侵策略所做的更改时,如果与数据类型关联的规则已启用且敏感数据检测已禁用,可以
选择自动启用敏感数据预处理器。
选择自动启用敏感数据预处理器。
有关详细信息,请参阅以下各节:
•
•
•
•
•
•
•
•
部署敏感数据检测
许可证:保护
由于敏感数据检测可以对FireSIGHT 系统性能产生很大影响,思科建议您遵循以下指导原则:
•
选择 No Rules Active 默认策略作为基本入侵策略;有关详细信息,请参阅
。
•
确保在相应的网络分析策略中已启用以下设置:
– Application Layer Preprocessors
下的
FTP and Telnet Configuration
– Transport/Network Layer Preprocessors
下的
IP Defragmentation
和
TCP Stream Configuration