Cisco Cisco Firepower Management Center 4000 User Guide
45-15
FireSIGHT 系统用户指南
第 45 章 网络发现简介
了解 NetFlow
•
需要应用数据,包括客户端信息、网络应用信息以及供应商和版本服务器信息
•
需要知道连接中的主机哪个是发起方,哪个是响应方
提示
表指出,可用数据取决于连接是否由
FireSIGHT 系统受管设备直接检测出,或者连接事件是否基于 NetFlow 数据。
每个受监控会话生成的连接事件的数量
对于受管设备直接检测到的连接,可在连接开始和/或结束时记录双向连接事件,具体取决于访问
控制规则操作。
控制规则操作。
但是,由于支持 NetFlow 的设备导出单向连接数据,因此,系统会始终为支持 NetFlow 的设备检
测到的每次连接至少生成两个连接事件,具体取决于设备如何配置。这也意味着,对于基于
NetFlow 数据的每次连接,摘要的连接数会每次递增 2,从而提供网络上实际发生的快速增长的
连接数量。
测到的每次连接至少生成两个连接事件,具体取决于设备如何配置。这也意味着,对于基于
NetFlow 数据的每次连接,摘要的连接数会每次递增 2,从而提供网络上实际发生的快速增长的
连接数量。
请注意,如果将支持 NetFlow 的设备配置为仅在连接结束时输出记录,系统将为该会话生成两个
连接事件。另一方面,如果将支持 NetFlow 的设备配置为即使在仍有连接的情况下也会按固定时
间间隔输出记录,系统将为设备导出的每个记录生成一个连接事件。例如,如果将支持 NetFlow
的设备配置为每 5 分钟输出一次长期连接的记录,且特定连接持续 12 分钟,那么系统将会为该会
话生成 6 个连接事件:
连接事件。另一方面,如果将支持 NetFlow 的设备配置为即使在仍有连接的情况下也会按固定时
间间隔输出记录,系统将为设备导出的每个记录生成一个连接事件。例如,如果将支持 NetFlow
的设备配置为每 5 分钟输出一次长期连接的记录,且特定连接持续 12 分钟,那么系统将会为该会
话生成 6 个连接事件:
•
前 5 分钟生成一对事件
•
第二个 5 分钟生成一对事件
•
连接终止时生成最后一对事件
为此, 思科强烈建议将支持 NetFlow 的设备配置为仅在受监控会话关闭时输出记录。
主机和操作系统数据
虽然可以配置网络发现策略以根据 NetFlow 记录将主机添加到网络映射,但主机配置文件不包含
连接中主机的任何操作系统或 NetBIOS 数据,系统也无法识别主机是否为网络设备 (网桥、路
由器、 NAT 设备或负载均衡器)。但是,可以使用主机输入功能手动设置主机的操作系统身份。
连接中主机的任何操作系统或 NetBIOS 数据,系统也无法识别主机是否为网络设备 (网桥、路
由器、 NAT 设备或负载均衡器)。但是,可以使用主机输入功能手动设置主机的操作系统身份。
应用程序数据
对于受管设备直接检测到的连接,系统可以通过检查连接中的数据包来识别应用协议、客户端和
网络应用。
网络应用。
系统处理 NetFlow 记录时,会使用
/etc/sf/services
中的端口关联来推断应用协议身份。但是,
这些应用协议不包含供应商或供应商信息,而且连接日志不包含关于会话中使用的客户端或网络
应用的信息。但是,可以使用主机输入功能手动提供这些信息。
应用的信息。但是,可以使用主机输入功能手动提供这些信息。
请注意,简单端口关联意味着在非标准端口上运行的应用协议可能不会被识别或被错误识别。此
外,如果不存在关联,系统会在连接日志中将应用协议标记为
外,如果不存在关联,系统会在连接日志中将应用协议标记为
unknown
。
漏洞映射
FireSIGHT 系统无法确定哪些漏洞可能会影响根据 NetFlow 记录添加到网络映射的主机,除非使
用主机输入功能手动设置主机操作系统的身份或应用协议身份。请注意,由于 NetFlow 连接中没
有客户端信息,因此您无法将客户端漏洞与 NetFlow 主机关联。
用主机输入功能手动设置主机操作系统的身份或应用协议身份。请注意,由于 NetFlow 连接中没
有客户端信息,因此您无法将客户端漏洞与 NetFlow 主机关联。
连接中发起方和响应方信息
对于受管设备直接检测到的连接,系统可确定哪个主机是发起方 (即,源),哪个主机是响应方
(即,目标)。但是, NetFlow 数据不包含发起方或响应方信息。