Cisco Cisco Firepower Management Center 4000 User Guide
45-3
FireSIGHT 系统用户指南
第 45 章 网络发现简介
了解发现数据收集
了解用户数据收集
许可证:FireSIGHT
可以使用 FireSIGHT 系统监控网络上的用户活动,以便将威胁、终端和网络智能与用户身份信息
关联起来。通过将网络行为、流量和事件直接与单个用户相关联,系统可帮助您识别策略违规、
攻击或网络漏洞的来源。换句话说,系统会告诉您“谁”做了“什么事”。例如,您可以确定:
关联起来。通过将网络行为、流量和事件直接与单个用户相关联,系统可帮助您识别策略违规、
攻击或网络漏洞的来源。换句话说,系统会告诉您“谁”做了“什么事”。例如,您可以确定:
•
谁拥有作为影响程度为 Vulnerable (级别 1:红色)的入侵事件的目标的主机
•
谁发起了内部攻击或端口扫描
•
谁正在尝试未授权访问具有高主机重要性的服务器
•
谁正在耗用异常大量的带宽
•
谁尚未应用关键操作系统更新
•
谁正在使用即时消息软件或 P2P 文件共享应用,而这样做是违反公司的 IT 策略的
借助这些信息,可以采用有针对性的方法降低风险,阻止用户或用户活动,以及采取措施防止其
他人的活动中断。这些功能还可以大大改善审核控制并提高合规性。
他人的活动中断。这些功能还可以大大改善审核控制并提高合规性。
系统根据 LDAP 连接中的用户感知设置,从 Microsoft Active Directory LDAP 服务器下载用于访
问控制策略的用户。用户代理为这些用户将提供登录数据,这些用户将被添加到用户数据库。这
些用户称为
问控制策略的用户。用户代理为这些用户将提供登录数据,这些用户将被添加到用户数据库。这
些用户称为
访问受控用户。编写包含用户条件的访问控制策略时,请根据访问控制用户编写这些
条件。有关详细信息,请参阅
系统从用户登录 (从用户代理、在流量中检测到的应用数据或者从通过 POP3、 SMTP 或 IMAP
进行的邮件登录)检测用户数据时,会根据用户列表检查登录用户。如果登录用户与代理报告的
现有用户匹配,登录数据将会分配给该用户。如果登录与现有用户不匹配,会导致创建新用户,
除非登录是在 SMTP 流量中。 SMTP 流量中不匹配的登录将被丢弃。
进行的邮件登录)检测用户数据时,会根据用户列表检查登录用户。如果登录用户与代理报告的
现有用户匹配,登录数据将会分配给该用户。如果登录与现有用户不匹配,会导致创建新用户,
除非登录是在 SMTP 流量中。 SMTP 流量中不匹配的登录将被丢弃。
下图说明 FireSIGHT 系统如何收集和存储用户数据。