Cisco Cisco Firepower Management Center 4000 User Guide

38-10

FireSIGHT 系统用户指南

第 38 章      记录网络流量中的连接       

  记录安全情报 （黑名单）决策

记录受监控且列入黑名单的连接

对于安全情报功能监控而不是阻止的连接，系统会将连接结束安全情报和连接事件记录至 防
御中心数据库。无论之后 SSL 策略、访问控制规则或访问控制默认操作如何处理连接，都会
发生这种记录。

对于这些连接事件，操作取决于连接的最终性质。

 字段包含 

IP Monitor

 以及连接可能

已被记录的任何其他原因。

请注意，对于受监控的连接，系统还可能会生成连接开始事件，具体取决于稍后处理该连接
的访问控制规则或默认操作中的日志记录设置。

要记录已列入黑名单的连接，请执行以下操作：

访问：管理员/访问管理员/网络管理员

步骤 1

选择 

。

系统将显示 Access Control Policy 页面。

步骤 2

点击想要配置的访问控制策略旁的编辑图标  (

)。

系统将显示访问控制策略编辑器。

步骤 3

选择 Security Intelligence 选项卡。

屏幕上将会显示访问控制策略的安全情报设置。

步骤 4

点击记录图标  (

)。

系统将显示 Blacklist Options 弹出窗口。

步骤 5

选择 

 复选框。

步骤 6

指定要将连接和安全情报事件发送到何处。有以下选项可供选择：

要将事件发送到防御中心，请选择

防御中心

。

要将事件发送至外部系统日志服务器，请选择 

，然后从下拉列表选择系统日志警报响

应。或者，您可以通过点击添加图标  (

)  来添加系统日志警报响应；请参阅

要将连接事件发送至 SNMP 陷阱服务器，请选择 

，然后从下拉列表选择 SNMP 警报

响应。或者，您可以通过点击添加图标  (

)  来添加 SNMP 警报响应；请参阅

必须将事件发送至防御中心，如果要将已列入黑名单的对象设置为仅监控，或对安全情报过滤生
成的连接事件执行任何其他基于防御中心的分析。有关详细信息，请参阅

步骤 7

点击 

 设置日志记录选项。

Security Intelligence 选项卡将会再次显示。

步骤 8

点击 

。

只有应用访问控制策略才能使更改生效；请参阅

。