Cisco Cisco Firepower Management Center 4000 User Guide
34-18
FireSIGHT 系统用户指南
第 34 章 检测特定威胁
检测敏感数据
•
将包括含敏感数据配置的入侵策略的访问控制策略应用于为敏感数据检测保留的单独设备;
有关详细信息,请参阅
有关详细信息,请参阅
选择全局敏感数据检测选项
许可证:保护
全局敏感数据检测选项用于控制预处理器的工作方式。可以修改指定以下内容的全局选项:
•
预处理器是否在触发数据包中替换信用卡号或社会保障号的最后四位数
•
网络上的哪些目标主机监控敏感数据
•
单个会话中所有数据类型总共出现多少次会产生事件
请注意,全局敏感数据选项是特定于策略的并适用于所有数据类型。
您可以配置以下全局敏感数据检测选项。
掩码
在触发数据包中用 X 替换信用卡号或社会保障号的最后四位数。掩码数字显示在网络界面中
的入侵事件数据包视图中和下载的数据包中。有关详情,请参见
的入侵事件数据包视图中和下载的数据包中。有关详情,请参见
。
网络
指定监控敏感数据的目标主机。可以指定单个 IP 地址或地址块,或者单个 IP 地址和/或地址
块的逗号分隔列表。系统会将空白字段解读为
块的逗号分隔列表。系统会将空白字段解读为
any
,意指任何目标 IP 地址。有关在
FireSIGHT 系统中使用 IPv4 和 IPv6 地址块的详细信息,请参阅
Global Threshold
指定在生成全局阈值事件之前预处理器必须在任何组合中检测的单个会话中所有数据类型出
现的总次数。可以指定 1 至 65535 之间的任意数字。
现的总次数。可以指定 1 至 65535 之间的任意数字。
思科建议将此选项的值设置为大于在策略中启用的任何单个数据类型的最高阈值。有关详
情,请参见
情,请参见
。
关于全局阈值,请注意:
–
必须启用预处理器规则 139:1 才能检测和生成关于数据类型出现次数的事件。有关在入侵
策略中启用规则的详细信息,请参阅
策略中启用规则的详细信息,请参阅
。
–
在每个会话中,预处理器最多生成一个全局阈值事件。
–
全局阈值事件与具体数据类型事件无关;也就是说,预处理器会在达到全局阈值时生成
事件,而不管任何具体数据类型的事件阈值是否达到,反之亦然。
事件,而不管任何具体数据类型的事件阈值是否达到,反之亦然。
选择具体数据类型选项
许可证:保护
具体数据类型确定了在指定目标网络流量中可以针对其进行检测并生成事件的敏感数据。可以为
指定以下内容的数据类型选项修改默认设置:
指定以下内容的数据类型选项修改默认设置:
•
某种检测到的数据类型必须达到才能生成单个会话事件的阈值
•
每种数据类型要监控的目标端口
•
每种数据类型要监控的应用协议