Cisco Cisco Firepower Management Center 4000 User Guide

45-5

FireSIGHT 系统用户指南 

第 45 章      网络发现简介 

  了解发现数据收集  

用户代理

许可证：FireSIGHT

如果组织使用 Microsoft Active Directory LDAP 服务器，思科建议安装用户代理，以便通过 Active 
Directory 服务器监控用户活动。如果要执行用户控制，必须安装和使用用户代理；代理将用户与 
IP 地址关联，从而允许将访问控制规则与要触发的用户条件关联。使用一个代理可监控最多五台 
Active Directory 服务器上的用户活动。

要使用代理，必须配置连接到代理的每个防御中心与监控的 LDAP 服务器之间的连接。此连接不
仅允许检索用户代理检测到的登录和注销用户的元数据，还可用于指定在访问控制规则中使用的
用户和组。有关针对用户发现配置 LDAP 服务器的详细信息，请参阅

。

每个代理均可通过定期按计划轮询或实时监控来监控使用加密流量的登录。用户登录计算机时

（无论是在工作站登录还是通过远程桌面登录）， Active Directory 服务器会生成登录。

代理还可以监控和报告用户注销情况。当检测到用户从主机 IP 地址注销时，代理会生成注销。当
检测到登录主机的用户已更改时 （在 Active Directory 服务器报告用户已更改之前），代理也会生
成注销。将注销数据与登录数据结合起来，便对登录到网络的用户有了更全面的了解。

轮询 Active Directory 服务器允许代理在定义的轮询时间间隔批量检索用户活动数据。一旦 Active 
Directory 接收到用户活动数据，实时监控就会将这些数据传输到代理。

可以将代理配置为不报告与特定用户名或 IP 地址相关的登录或注销。这项配置很有用，例如，排
除共享服务器上 （如文件共享和打印服务器）的重复登录，以及排除为排除故障登录设备的用户。

代理将所有检测到的登录和注销 （不包括排除的用户名或 IP 地址）发送到防御中心，作为用户
活动进行记录和报告。代理检测 防御中心 版本并以适当的数据格式发送登录记录。对受管设备
直接检测到的用户活动提供补充。用户代理报告的登录将用户与 IP 地址相关联，从而允许触发包
含用户条件的访问控制规则。

用户代理在用户登录网络或者账户因其他原因使用 Active Directory 凭证进行身份验证时，对用户
活动进行监控。版本 2.1 用户代理对主机上的交互式用户登录、远程桌面登录、文件共享身份验
证、计算机帐户登录、用户注销以及用户已从其注销的远程桌面会话进行监测。

检测到的登录类型决定代理如何报告登录，以及主机配置文件中登录的显示方式。主机的

授权用

户登录会导致映射到主机 IP 地址的当前用户更改为新登录的用户。其他类型的登录不会更改主机
的当前用户，或者仅当主机上的现有用户没有该主机的授权用户登录时，才会更改该主机的当前
用户。在这些情况下，如果预期的用户不再处于登录状态，代理会生成该用户的注销。仅在主机
上的现有用户没有该主机的授权用户登录时，网络发现检测到的用户登录才会更改该主机的当前
用户。代理检测到的登录对网络映射有下列影响：

当代理检测到用户对主机的交互式登录或检测到远程桌面登录时，该代理报告主机的授权用
户登录并将主机的当前用户更改为新用户。

如果代理检测到使用文件共享身份验证的登录，则报告主机的用户登录活动，但不更改主机
的当前用户。

如果代理检测到计算机帐户登录主机，则生成 NetBIOS 名称更改发现事件，主机配置文件也
会反映对 NetBIOS 名称的更改。

如果代理检测到一个已排除用户名的登录活动，则不向防御中心报告此登录活动。

发生登录或其他身份验证活动时，代理会向防御中心发送以下信息：

用户的 LDAP 用户名 

发生登录或其他身份验证的时间

用户主机的 IP 地址和本地链路地址 （如果代理计算机帐户登录报告的是 IPv6 地址）