Cisco Cisco Firepower Management Center 4000 User Guide
38-6
FireSIGHT 系统用户指南
第 38 章 记录网络流量中的连接
决定要记录哪些连接
每当单一连接与与 SSL 或访问控制监控规则匹配时,系统均不会生成单独的事件。由于单一连接
可能与多条监控规则相匹配,记录至 防御中心数据库的每个连接事件均可能包含和显示关于该连
接匹配的前八条监控访问控制规则,以及第一条匹配的监控 SSL 规则的信息。
可能与多条监控规则相匹配,记录至 防御中心数据库的每个连接事件均可能包含和显示关于该连
接匹配的前八条监控访问控制规则,以及第一条匹配的监控 SSL 规则的信息。
与此相似,如果您将连接事件发送至外部系统日志或 SNMP 陷阱服务器,则每当单一连接与监控
规则相匹配时,系统均不会发送单独的警报。相反,系统在连接结束时发送的警报包含有关连接
匹配的 Monitor 规则的信息。
规则相匹配时,系统均不会发送单独的警报。相反,系统在连接结束时发送的警报包含有关连接
匹配的 Monitor 规则的信息。
提示
即使连接日志中的规则操作绝不会是
Monitor
,但您仍然可以对匹配 Monitor 规则的连接触发关联
策略违规。有关详细信息,请参阅
。
了解受信任连接的记录
许可证:因功能而异
受信任的连接由访问控制策略中的 Trust 访问控制规则或默认操作处理。您可以记录这些连接的
开始和结束;然而,请记住,系统不会检查受信任连接是否存在发现数据、入侵或受禁文件和恶
意软件,无论它们是否被加密。因此,受信任连接的事件只包含有限的信息。
开始和结束;然而,请记住,系统不会检查受信任连接是否存在发现数据、入侵或受禁文件和恶
意软件,无论它们是否被加密。因此,受信任连接的事件只包含有限的信息。
请注意,系统以不同方式记录 Trust 访问控制规则处理的 TCP 连接,具体取决于检测到相关连接
的设备:
的设备:
•
对于 3 系列设备,Trust 规则在第一个数据包中检测到的 TCP 连接会根据是否存在之前启用的
Monitor 规则生成不同的事件。如果 Monitor 规则处于活动状态,则系统评估数据包并生成连
接开始和结束事件。如果没有 Monitor 规则处于活动状态,则系统仅生成连接结束事件。
Monitor 规则生成不同的事件。如果 Monitor 规则处于活动状态,则系统评估数据包并生成连
接开始和结束事件。如果没有 Monitor 规则处于活动状态,则系统仅生成连接结束事件。
•
对于所有其他型号,Trust 规则在第一个数据包上检测到的 TCP 连接仅生成连接结束事件。系
统会在最终会话数据包之后一小时生成事件。
统会在最终会话数据包之后一小时生成事件。
了解受阻和交互式受阻连接的记录
许可证:因功能而异
当您记录受阻连接时,系统如何进行记录该连接取决于其受阻原因;当根据连接日志配置关联规
则时,必须记住这一点:
则时,必须记住这一点:
•
对于阻止已加密流量的 SSL 规则和 SSL 策略默认操作,系统记录连接结束事件。这是因为系
统无法确定连接是否使用会话中的第一个数据包加密。
统无法确定连接是否使用会话中的第一个数据包加密。
•
对于阻止已解密或非加密流量的访问控制规则和访问控制策略默认操作 (包括交互式阻止规
则),系统记录连接开始事件。匹配流量会被拒绝,无需进一步检查。
则),系统记录连接开始事件。匹配流量会被拒绝,无需进一步检查。
对于访问控制
或 SSL
规则阻止的会话的连接事件,其操作为
Block
或 Block with reset。受阻加密
连接的原因为
SSL Block
。
当用户浏览受禁网站时,交互式阻止访问控制规则导致系统显示警告页面,该等规则可供您配置
连接结束日志记录。这是因为,如果用户点击浏览警告页面,连接会被视为系统可以监控和记录
的已允许的新连接;请参阅
连接结束日志记录。这是因为,如果用户点击浏览警告页面,连接会被视为系统可以监控和记录
的已允许的新连接;请参阅
因此,对于与交互式阻止或交互式阻止并重置规则相匹配的数据包,系统可以生成以下连接事件:
•
用户的请求最初被阻止且警告页面显示时的连接开始事件;该事件的关联操作为
Interactive
Block
或
Interactive Block with reset
•
当用户点击警告页面并加载最初请求的页面时生成的多个连接开始或连接结束事件;这些事
件的关联操作为
件的关联操作为
Allow
,原因为
User Bypass
请注意,只有内联部署的设备才能阻止流量。因为受阻连接在被动部署中实际上未被阻止,所
以,系统可能会报告每条受阻连接的多个连接开始事件。
以,系统可能会报告每条受阻连接的多个连接开始事件。