Cisco Cisco Firepower Management Center 4000 User Guide
38-2
FireSIGHT 系统用户指南
第 38 章 记录网络流量中的连接
决定要记录哪些连接
决定要记录哪些连接
许可证:任何环境
利用访问控制和 SSL 策略中的各种设置,您可以记录您的设备监控的所有非快速路径连接。在大
多数情况下,您均可记录连接的开始和/或结束。然而,因为受阻流量会被立即拒绝,无需进一步
检查,在大多数情况下,您只能记录已阻止或列入黑名单的流量的连接开始事件;没有要记录的
唯一连接结束。
多数情况下,您均可记录连接的开始和/或结束。然而,因为受阻流量会被立即拒绝,无需进一步
检查,在大多数情况下,您只能记录已阻止或列入黑名单的流量的连接开始事件;没有要记录的
唯一连接结束。
当您记录连接事件后,您可以将它保存至防御中心数据库,以便使用 FireSIGHT 系统进行进一步
分析。或者,您可以将连接数据发送到外部系统日志或 SNMP 陷阱服务器。
分析。或者,您可以将连接数据发送到外部系统日志或 SNMP 陷阱服务器。
提示
要使用 FireSIGHT 系统对连接数据执行详细分析,思科建议您将关键连接的结束事件记录到防御
中心数据库中。
中心数据库中。
有关详情,请参阅:
•
•
•
•
•
记录关键连接
许可证:任何环境
您应该根据组织的安全和合规性要求记录连接。如果您的目标是限制所生成事件的数量和提高性
能,则只能启用对分析至关重要的连接的日志记录。然而,如果出于分析目的,您想要广泛了解
网络流量,则可启用其他连接的日志记录。访问控制和 SSL 策略中的各种设置可供您精细控制记
录哪些连接、何时记录连接以及在何处存储数据。
能,则只能启用对分析至关重要的连接的日志记录。然而,如果出于分析目的,您想要广泛了解
网络流量,则可启用其他连接的日志记录。访问控制和 SSL 策略中的各种设置可供您精细控制记
录哪些连接、何时记录连接以及在何处存储数据。
注意事项
在拒绝服务 (DoS) 攻击期间,记录受阻 TCP 连接可能会影响系统的性能,而且多个类似事件使数
据库系统不堪重负。在对 Block 规则启用日志记录之前,请考虑该规则是否监控面向互联网的接
口或其他易受 DoS 攻击的接口上的流量。
据库系统不堪重负。在对 Block 规则启用日志记录之前,请考虑该规则是否监控面向互联网的接
口或其他易受 DoS 攻击的接口上的流量。
除了您可以配置的日志记录,系统还会自动记录在其中检测到受禁文件、恶意软件或入侵尝试的大
多数连接。除非您使用系统策略完全禁用连接事件存储,否则无论您的其他日志记录配置如何,系
统均将这些连接结束事件保存至防御中心数据库,以供进一步分析。所有连接事件都会使用 Action
和 Reason 字段反映为何会被自动记录;请参阅
多数连接。除非您使用系统策略完全禁用连接事件存储,否则无论您的其他日志记录配置如何,系
统均将这些连接结束事件保存至防御中心数据库,以供进一步分析。所有连接事件都会使用 Action
和 Reason 字段反映为何会被自动记录;请参阅
和
安全情报黑名单决策 (可选)
每当基于声誉的安全情报功能阻止连接或将其接列入黑名单,您均可记录该连接。或者,如同被
动部署中的建议,您可使用仅监控设置进行安全情报过滤。这使得系统可以进一步分析本应列入
黑名单的连接,并仍将匹配项记录至黑名单。通过安全情报监控,您还可以使用安全情报信息创
建流量配置文件。
动部署中的建议,您可使用仅监控设置进行安全情报过滤。这使得系统可以进一步分析本应列入
黑名单的连接,并仍将匹配项记录至黑名单。通过安全情报监控,您还可以使用安全情报信息创
建流量配置文件。
当您启用安全情报日志记录时,黑名单匹配项会生成安全情报事件以及连接事件。安全情报事件
是您可以单独查看和分析的一种特殊类型的事件,也可以单独存储和删除。有关详细信息,请参
阅
是您可以单独查看和分析的一种特殊类型的事件,也可以单独存储和删除。有关详细信息,请参
阅