Cisco Cisco Firepower Management Center 4000 User Guide
第
章
42-1
FireSIGHT 系统用户指南
42
事故处理
事故处理是指一个组织在怀疑存在违反组织安全策略的情况下做出的响应。 FireSIGHT 系统包括
很多功能,在您收集和处理与事故调查相关的信息时为您提供支持。您可以使用这些功能收集可
能与事故相关的入侵事件和数据包数据。您还可以将事故当做一个存储库,存储您从 FireSIGHT
系统提取的任何活动的相关备注,缓解攻击造成的影响。例如,如果安全策略要求隔离来自您网
络的受危害主机,您就可以注意到事故中这种情况。
很多功能,在您收集和处理与事故调查相关的信息时为您提供支持。您可以使用这些功能收集可
能与事故相关的入侵事件和数据包数据。您还可以将事故当做一个存储库,存储您从 FireSIGHT
系统提取的任何活动的相关备注,缓解攻击造成的影响。例如,如果安全策略要求隔离来自您网
络的受危害主机,您就可以注意到事故中这种情况。
FireSIGHT 系统 还提供整个事故周期支持,让您可以在对攻击做出响应的过程中修改事故状态。
处理完事故时,您可以注意到根据所学到的经验已经对安全策略进行的任何修改。
处理完事故时,您可以注意到根据所学到的经验已经对安全策略进行的任何修改。
有关处理 FireSIGHT 系统中事故的详细信息,请参阅以下各节。
•
•
•
•
•
事故处理基本信息
许可证:保护
每个组织可能都有自己发现、定义和响应违反其安全策略情况的流程。以下各节介绍一些事故处
理基本信息以及如何将 FireSIGHT 系统纳入您的事故响应计划:
理基本信息以及如何将 FireSIGHT 系统纳入您的事故响应计划:
•
•
•
事故的定义
许可证:保护
通常,
事故指您怀疑可能涉及违反安全政策的一个或多个入侵事件。思科也使用本术语描述您在
FireSIGHT 系统中使用的以跟踪您对事故的响应的功能。
按照
中的说明,对网络资产可用性、机密性和完整性而言,某些入侵
事件比其他入侵事件更加重要。例如, FireSIGHT 系统提供的端口扫描检测功能可让您了解网络
上的端口扫描活动。但是,您的安全策略可能未明确禁止端口扫描或将其视为高优先级威胁,因
此,您可能不会采取任何直接行动,而只想保留全部端口扫描的日志以供日后调查研究之用。
上的端口扫描活动。但是,您的安全策略可能未明确禁止端口扫描或将其视为高优先级威胁,因
此,您可能不会采取任何直接行动,而只想保留全部端口扫描的日志以供日后调查研究之用。