Cisco Cisco Firepower Management Center 4000 User Guide
45-11
FireSIGHT 系统用户指南
第 45 章 网络发现简介
了解发现数据收集
通过客户端检测进行隐含应用协议检测
许可证:FireSIGHT
如果系统可识别未受监控的服务器与受监控主机之间的访问连接中使用的客户端,防御中心会推
断该连接使用与该客户端对应的应用协议。(由于系统仅跟踪监控网络上的应用,因此,连接日
志通常不包含有关监控主机用于访问未受监控的服务器的连接的应用协议信息。)
断该连接使用与该客户端对应的应用协议。(由于系统仅跟踪监控网络上的应用,因此,连接日
志通常不包含有关监控主机用于访问未受监控的服务器的连接的应用协议信息。)
通过客户端检测进行隐含应用协议检测有几种后果:
•
由于系统不会为这些服务器生成新的 TCP 端口或新的 UDP 端口事件,因此,服务器不会显示
在服务器表中。此外,不能将对这些应用协议的检测作为条件来触发事件警报或关联规则。
在服务器表中。此外,不能将对这些应用协议的检测作为条件来触发事件警报或关联规则。
•
由于应用协议未与主机关联,因此,不能查看主机配置文件中的详细信息,不能设置其服务
器身份,也不能使用流量量变曲线或关联规则的主机配置文件限定条件中的信息。此外,系
统不会根据此类检测将漏洞与主机关联。
器身份,也不能使用流量量变曲线或关联规则的主机配置文件限定条件中的信息。此外,系
统不会根据此类检测将漏洞与主机关联。
但是,可以触发关于连接中的应用协议信息的关联事件。还可以使用连接日志中的应用协议信息
创建连接跟踪程序和流量量变曲线。
创建连接跟踪程序和流量量变曲线。
主机限制和发现事件日志记录
许可证:FireSIGHT
如果系统检测到客户端、服务器或网络应用,它会生成发现事件,除非关联的主机已达到客户
端、服务器或网络应用的最大数量。
端、服务器或网络应用的最大数量。
主机配置文件最多为每个主机显示 16 个客户端、 100 个服务器和 100 个网络应用。有关详细信
息,请参阅
息,请参阅
。
表
45-3
FireSIGHT
系统对应用协议的标别
应用
说明
应用协议名称
如果应用协议属于以下情况,防御中心将会使用应用协议名称来识别应用协议:
•
由系统正确识别出
•
使用 NetFlow 数据识别出,并且
/etc/sf/services
中有端口应用协议关联
•
使用主机输入功能手动识别出
•
由 Nmap 或其他活动源识别出
pending
如果系统既不能正确识别也不能错误识别应用,防御中心会将应用协议识别为
pending
。
大多数情况下,系统需要收集和分析更多连接数据 (识别出的应用所在的数据),然后
才能识别待处理应用。
才能识别待处理应用。
在应用详细信息表、服务器表和主机配置文件中,只会对在其中检测到 (而不是由检测
到的客户端或网络应用流量暗示)特定应用协议流量的应用协议显示
到的客户端或网络应用流量暗示)特定应用协议流量的应用协议显示
pending
状态。
unknown
如果应用属于以下情况,防御中心会将应用协议识别为
unknown
:
•
不匹配系统的任何检测程序
•
应用协议是使用 NetFlow 数据识别出的,但
/etc/sf/services
中没有端口应用协议
关联
空白
已检查检测到的所有可用数据,并且没有识别出应用协议。在应用详细信息表、服务器
表中和主机配置文件中,对于在其中没有检测到应用协议的非 HTTP 通用客户端数据流
量,应用协议留空。
表中和主机配置文件中,对于在其中没有检测到应用协议的非 HTTP 通用客户端数据流
量,应用协议留空。