Cisco Cisco Firepower Management Center 4000 User Guide
38-8
FireSIGHT 系统用户指南
第 38 章 记录网络流量中的连接
决定要记录哪些连接
如果您不想要记录文件或恶意软件事件,您可以通过清除访问控制规则编辑器的 Logging 选项卡
上的
上的
Log Files
复选框,来针对每条访问控制规则禁用此日志记录。有关完全禁用文件和恶意软件
事件存储的信息,请参阅
注
思科建议您保持启用文件和恶意软件日志记录。
无论您是否保存文件和恶意软件事件,当网络流量违反文件策略时,系统均会自动将关联连接的
结束记录至 防御中心数据库,而无论调用访问控制规则的日志记录配置如何;请参阅
结束记录至 防御中心数据库,而无论调用访问控制规则的日志记录配置如何;请参阅
连接记录的许可证和型号要求
许可证:因功能而异
因为您在访问控制和 SSL 策略中配置了连接日志记录,所以,您可以记录这些策略能够成功处理
的任何连接。
的任何连接。
虽然不管 防御中心上的许可证如何您均可创建访问控制和 SSL 策略,但访问控制的某些方面要求
您先在目标设备上启用特定许可功能,然后才可能应用该策略。此外,一些功能仅在某些型号上
可用。
您先在目标设备上启用特定许可功能,然后才可能应用该策略。此外,一些功能仅在某些型号上
可用。
请注意,利用防御中心随附的 FireSIGHT 许可证,您可以根据连接记录中的信息将主机、用户和
应用数据添加到网络映射中以及查看与连接事件关联的危害表现 (IOC)。除了 DC500,您也可以
查看与连接关联的地理位置数据 (源或目标国家/地区或大陆)。
应用数据添加到网络映射中以及查看与连接事件关联的危害表现 (IOC)。除了 DC500,您也可以
查看与连接关联的地理位置数据 (源或目标国家/地区或大陆)。
下表说明您必须具备哪些许可证,才能成功配置 SSL 检查,从而记录由访问控制策略处理的连接。
表
38-2
访问控制策略中对于连接记录的许可证和型号要求
要记录连接...
许可证
支持的防御中心。
支持的设备
对使用网络、 VLAN、端口或文字 URL
条件处理的流量
条件处理的流量
任何环境
任何环境
任何设备,除了:
•
2 系列设备无法执行
URL 过滤
URL 过滤
•
ASA FirePOWER 设备
无法执行 VLAN 过滤
无法执行 VLAN 过滤
对使用地理定位数据处理的流量
FireSIGHT
除 DC500 外的所有型号
任何设备, 2 系列或 X -系
列除外
列除外
关联于:
•
声誉不良的 IP 地址 (安全情报过滤)
•
未加密或解密流量中的入侵或受禁文件
保护
任何环境
任意设备,除了 2 系列设
备不能执行安全情报过滤
之外
备不能执行安全情报过滤
之外
与未加密或解密流量中检测到的恶意软件
关联
关联
恶意软件
除 DC500 外的所有型号
任何设备, 2 系列或 X -系
列除外
列除外
对通过用户控制或应用控制处理的流量
可控性
除 DC500 外的所有型号
任何设备, 2 系列或 X -系
列除外
列除外
对于系统使用 URL 类别和声誉数据进行
过滤的流量,为受监控主机请求的 URL
显示 URL 类别和 URL 声誉信息
过滤的流量,为受监控主机请求的 URL
显示 URL 类别和 URL 声誉信息
URL 过滤
除 DC500 外的所有型号
任何设备,除了 2 系列