Cisco Cisco Firepower Management Center 4000 User Guide
45-13
FireSIGHT 系统用户指南
第 45 章 网络发现简介
了解发现数据收集
在事件中,如果存在推荐应用,它将被列为流量的网络应用,而 URL 则是被推荐站点的 URL。在上
述示例中,用于流量的连接事件的网络应用是 Facebook,但 URL 是 Advertising.com。如果未检测到
推荐网络应用,如果主机推荐自身,或者如果存在推荐链,被推荐应用在事件中可能会显示为网络
应用。在控制面板中,网络应用的连接和字节数包括网络应用与该应用推荐的流量相关的会话。
述示例中,用于流量的连接事件的网络应用是 Facebook,但 URL 是 Advertising.com。如果未检测到
推荐网络应用,如果主机推荐自身,或者如果存在推荐链,被推荐应用在事件中可能会显示为网络
应用。在控制面板中,网络应用的连接和字节数包括网络应用与该应用推荐的流量相关的会话。
请注意,如果创建专门针对被推荐流量的规则,应该为被推荐应用 (而不是为推荐应用)添加条
件。例如,要阻止从 Facebook 推荐的 Advertising.com 流量,可以向 Advertising.com 应用的访问
控制规则添加应用条件。
件。例如,要阻止从 Facebook 推荐的 Advertising.com 流量,可以向 Advertising.com 应用的访问
控制规则添加应用条件。
导入第三方发现数据
许可证:FireSIGHT
可使用 Nmap 主动扫描添加关于操作系统、应用和漏洞的信息,以此补充系统收集到的数据。有
关 Nmap 扫描和扫描结果的详细信息,请参阅
关 Nmap 扫描和扫描结果的详细信息,请参阅
。
还可以使用主机输入功能来补充系统通过监控网络流量收集到的信息,具体做法是,将通过 API
将第三方应用配置为可与 FireSIGHT 系统交互,或者手动添加数据。可以创建产品、漏洞和修复
程序映射,以将第三方数据映射到思科定义,从而实现操作系统和服务器的影响关联。有关主机
输入功能和映射第三方数据的详细信息,请参阅
将第三方应用配置为可与 FireSIGHT 系统交互,或者手动添加数据。可以创建产品、漏洞和修复
程序映射,以将第三方数据映射到思科定义,从而实现操作系统和服务器的影响关联。有关主机
输入功能和映射第三方数据的详细信息,请参阅
《FireSIGHT 系统主机输入 API 指南》和
系统会协调收集到的关于操作系统和服务器身份的数据,并根据指纹源优先级值、身份冲突解决
设置和收集时间确定每个身份。
设置和收集时间确定每个身份。
还可以配置网络映射以使用来自支持 NetFlow 设备的数据,从而改进网络映射和事件表。有关详
细信息,请参阅
细信息,请参阅
发现数据的用途
许可证:FireSIGHT
记录发现数据使得可以利用 FireSIGHT 系统中的许多功能,包括:
•
查看网络映射 (网络映射是对网络资产和拓扑的详细表示,可通过对主机和网络设备、主机
属性、应用协议或漏洞进行分组来查看);请参阅
属性、应用协议或漏洞进行分组来查看);请参阅
•
查看主机配置文件 (配置文件可完整展示检测到的主机的所有可用信息);请参阅
•
查看控制面板,(控制面板提供有关网络资产和用户活动的概览及其他功能);请参阅
•
查看关于系统记录的发现事件和用户活动的详细信息;请参阅
•
根据发现数据创建报告;请参阅
•
执行应用和用户控制,也就是说,使用应用条件和用户条件编写访问控制规则;请参阅
•
和
•
在系统生成有特定影响标记的入侵事件或特定类型的发现事件时,通过邮件、 SNMP 陷阱或
系统日志向您发出警报;请参阅
系统日志向您发出警报;请参阅