Cisco Cisco Firepower Management Center 4000 User Guide
45-7
FireSIGHT 系统用户指南
第 45 章 网络发现简介
了解发现数据收集
用户活动数据库
许可证:FireSIGHT
用户活动数据库包含网络中用户活动的记录,记录可来自受用户代理监控的 Active Directory
LDAP 服务器的连接或是通过网络发现得到。系统会在以下情况下记录事件:
LDAP 服务器的连接或是通过网络发现得到。系统会在以下情况下记录事件:
•
系统检测到单独的登录或注销
•
系统检测到新用户
•
您手动删除用户
•
系统检测到不在数据库中的用户,但因已达到FireSIGHT许可限制而无法添加该用户
可以使用防御中心网络界面查看系统检测到的用户活动。有关查看、搜索和删除用户活动的信
息,请参阅
息,请参阅
。如果要使用版本 2.1 的用户代理将 LDAP 登录数据发
送到防御中心,必须在您想要让代理连接的每个防御中心上为每个代理配置连接。该连接允许代
理在与 防御中心 之间建立一个安全的连接,代理可以通过此连接发送登录数据。如果代理配置
为排除特定用户名,那么这些用户名的登录数据不会报告给 防御中心。
理在与 防御中心 之间建立一个安全的连接,代理可以通过此连接发送登录数据。如果代理配置
为排除特定用户名,那么这些用户名的登录数据不会报告给 防御中心。
此外,如果您正计划实施用户访问控制,则必须设置代理与待收集数据的每个 Microsoft Active
Directory 服务器之间的连接,并配置用户感知参数。
Directory 服务器之间的连接,并配置用户感知参数。
FireSIGHT 系统会尽可能地将用户活动与其他类型的事件关联。例如,入侵事件可以指出在事件
发生时登录源主机和目标主机的用户。
发生时登录源主机和目标主机的用户。
系统还使用用户活动生成
主机历史记录 (跟踪每个用户登录到的主机)和用户历史记录 (跟踪
登录到每个主机的用户)。系统以图形表示过去 24 小时里每个用户的活动和每个主机的登录情
况。有关详细信息,请参阅
况。有关详细信息,请参阅
访问受控用户数据库
许可证:可控性
访问受控用户数据库包含可在访问控制规则中使用的用户和组,因此,可使用 FireSIGHT 系统执
行用户控制。这些用户可以是以下两种类型之一:
行用户控制。这些用户可以是以下两种类型之一:
•
访问受控用户为可以添加到访问控制规则以执行用户控制的用户。在配置防御中心-LDAP 服
务器连接时,可指定访问受控用户必须所在的组。
务器连接时,可指定访问受控用户必须所在的组。
•
非访问受控用户是其他检测到的用户。
在配置防御中心-LDAP 服务器连接时,可指定访问受控用户必须所在的组,如
中所述。
如果要使用版本 2.1 的用户代理将 LDAP 登录和注销数据发送到版本 5.x 的防御中心,必须在您
想要让代理连接的每个防御中心上为每个代理配置连接。该连接允许代理在与 防御中心 之间建
立一个安全的连接,代理可以通过此连接发送用户活动数据。
想要让代理连接的每个防御中心上为每个代理配置连接。该连接允许代理在与 防御中心 之间建
立一个安全的连接,代理可以通过此连接发送用户活动数据。
如果代理配置为排除特定用户名,那么这些用户名的用户活动数据将不会报告给防御中心。这些
已排除的用户名仍保留在数据库中,但不与 IP 地址关联。
已排除的用户名仍保留在数据库中,但不与 IP 地址关联。
此外,如果您正计划实施用户访问控制,则必须设置代理与待收集数据的每个 Microsoft Active
Directory 服务器之间的连接,并配置用户感知参数。
Directory 服务器之间的连接,并配置用户感知参数。
可在访问控制中使用的最大用户数取决于 FireSIGHT 许可证。配置防御中心-LDAP 服务器连接
时,请确保所包含的用户总数小于 FireSIGHT 用户许可证数量。有关详情,请参见
时,请确保所包含的用户总数小于 FireSIGHT 用户许可证数量。有关详情,请参见