Cisco Cisco Firepower Management Center 4000 User Guide
45-20
FireSIGHT 系统用户指南
第 45 章 网络发现简介
创建网络发现策略
如果要使用 FireSIGHT 系统执行入侵检测和防御,但不需要利用发现数据,可以通过禁用新发现
优化性能。首先,确保已应用的访问控制策略不包含带有用户条件、应用条件或 URL 条件的规
则。然后,从网络发现策略中移除所有规则,并将策略应用于受管设备。有关配置访问控制规则
的详细信息,请参阅
优化性能。首先,确保已应用的访问控制策略不包含带有用户条件、应用条件或 URL 条件的规
则。然后,从网络发现策略中移除所有规则,并将策略应用于受管设备。有关配置访问控制规则
的详细信息,请参阅
如果在发现规则中启用用户发现,可通过使用一组应用协议的流量中的用户登录活动来检测用
户。如有需要,可以禁用用于所有规则的特定协议中的发现。禁用某些协议有助于避免达到与
FireSIGHT 许可证相关的用户限制,从而为来自其他协议的用户保留可用用户数。
户。如有需要,可以禁用用于所有规则的特定协议中的发现。禁用某些协议有助于避免达到与
FireSIGHT 许可证相关的用户限制,从而为来自其他协议的用户保留可用用户数。
借助高级网络发现设置,可以管理记录哪些数据、如何存储发现数据、哪些危害表现 (IOC) 规则
处于活动状态、哪些漏洞映射用于影响评估,以及如果源提供冲突发现数据将会发生什么情况。
也可以为主机输入添加 NetFlow 设备和源。
处于活动状态、哪些漏洞映射用于影响评估,以及如果源提供冲突发现数据将会发生什么情况。
也可以为主机输入添加 NetFlow 设备和源。
有关详情,请参阅:
•
•
•
•
使用发现规则
许可证:FireSIGHT
发现规则允许您灵活调整为网络映射发现的信息,以仅包括所需的特定数据。网络发现策略中的
规则按顺序接受评估。请注意,尽管可使用重叠的监控条件创建规则,但这样做可能会影响系统
性能。
规则按顺序接受评估。请注意,尽管可使用重叠的监控条件创建规则,但这样做可能会影响系统
性能。
将主机或网络排除在监控范围外之后,被排除的主机或网络将不会显示在网络映射中,系统也不
会为其报告事件。思科建议将负载均衡器 (或负载均衡器上的特定端口)和 NAT 设备排除在监
控范围外。这些设备可能会创建过量并有误导性的事件,从而填充数据库并使防御中心过载。例
如,受监控的 NAT 设备可能会在短时间内显示其操作系统的多个更新。如果知道负载均衡器和
NAT 设备的 IP 地址,可以将它们排除在监控范围外。
会为其报告事件。思科建议将负载均衡器 (或负载均衡器上的特定端口)和 NAT 设备排除在监
控范围外。这些设备可能会创建过量并有误导性的事件,从而填充数据库并使防御中心过载。例
如,受监控的 NAT 设备可能会在短时间内显示其操作系统的多个更新。如果知道负载均衡器和
NAT 设备的 IP 地址,可以将它们排除在监控范围外。
提示
系统可通过检查网络流量识别许多负载均衡器和 NAT 设备。要确定网络上的哪些主机是负载均
衡器和 NAT 设备,请应用网络发现策略,等待系统填充网络映射,然后执行限制主机类型的主
机搜索。
衡器和 NAT 设备,请应用网络发现策略,等待系统填充网络映射,然后执行限制主机类型的主
机搜索。
此外,如果需要创建自定义服务器指纹,应暂时禁止监控用于与正在创建指纹的主机通信的 IP 地
址。否则,网络映射和发现事件视图中将会出现大量关于该 IP 地址代表的主机的不准确信息。创
建指纹后,可以配置策略,以便再次监控该 IP 地址。有关详细信息,请参阅
址。否则,网络映射和发现事件视图中将会出现大量关于该 IP 地址代表的主机的不准确信息。创
建指纹后,可以配置策略,以便再次监控该 IP 地址。有关详细信息,请参阅
此外,思科建议不要监控支持 NetFlow 的设备和FireSIGHT 系统受管设备所在的网段。尽管在理
想情况下应使用不重叠的规则来配置网络发现政策,但系统不会丢弃受管设备生成的重复连接日
志。请注意,不能丢弃关于受管设备和支持 NetFlow 的设备检测到连接的重复连接日志。
想情况下应使用不重叠的规则来配置网络发现政策,但系统不会丢弃受管设备生成的重复连接日
志。请注意,不能丢弃关于受管设备和支持 NetFlow 的设备检测到连接的重复连接日志。
有关详细信息,请参阅:
•
•
•
•