Cisco Cisco Firepower Management Center 4000 User Guide
45-29
FireSIGHT 系统用户指南
第 45 章 网络发现简介
创建网络发现策略
要更新漏洞设置,请执行以下操作:
管理员/发现管理员
步骤 1
点击
Vulnerabilities to use for Impact Assessment
旁边的编辑图标 (
)。
系统将显示 Edit Vulnerability Settings 弹出窗口。
步骤 2
根据需要更新设置。
步骤 3
点击
Save
,以保存漏洞设置并返回到网络发现策略的 Advanced 选项卡。
必须应用网络发现策略,所做的更改才会生效。有关详细信息,请参阅
。
设置危害表现规则
许可证:FireSIGHT
要使系统检测和标记危害表现 (IOC),必须首先在发现规则中至少激活一个 IOC 规则。每个 IOC
规则对应于一种类型的 IOC 标记,所有 IOC 规则均由思科预定义;您不能创建原始规则。可根据
网络和组织需要启用任何或全部规则。例如,如果使用诸如 Microsoft Excel 等软件的主机从未出
现在监控网络上,可决定不启用与基于 Excel 的威胁相关的 IOC 。有关 IOC 功能的详细信息,请
参阅
规则对应于一种类型的 IOC 标记,所有 IOC 规则均由思科预定义;您不能创建原始规则。可根据
网络和组织需要启用任何或全部规则。例如,如果使用诸如 Microsoft Excel 等软件的主机从未出
现在监控网络上,可决定不启用与基于 Excel 的威胁相关的 IOC 。有关 IOC 功能的详细信息,请
参阅
启用 IOC 规则后,必须启用与之相关的 FireSIGHT 系统功能 (例如,入侵防御和恶意软件防护);
如果未启用规则的相关功能,将不会收集相关数据,规则也将无法触发。有关 IOC 规则类型及其相
关功能的详细信息,请参阅
如果未启用规则的相关功能,将不会收集相关数据,规则也将无法触发。有关 IOC 规则类型及其相
关功能的详细信息,请参阅
要设置发现策略中的危害表现规则,请执行以下操作:
管理员/发现管理员
步骤 1
点击
Indications of Compromise Settings
旁边的编辑图标 (
)。
系统将显示 Edit Indications of Compromise Settings 弹出窗口。
步骤 2
要关闭或关闭整个 IOC 功能,请点击
Enable IOC
旁边的滑块。
步骤 3
要启用或禁用单个 IOC 规则,请点击相应规则的
Enabled
列中的滑块。
步骤 4
点击
Save
,以保存 IOC 规则设置并返回到发现策略的 Advanced 选项卡。
已保存您的更改。
必须应用网络发现策略,所做的更改才会生效。有关详细信息,请参阅
。
添加支持 NetFlow 的设备
许可证:FireSIGHT
如果已启用支持 NetFlow 的设备上的 NetFlow 功能,可以使用这些设备导出的连接数据来补充思
科设备收集的连接数据。
科设备收集的连接数据。
在发现规则中使用支持 NetFlow 的设备之前,必须配置要使用的设备 (请参阅
),然后将它们添加到网络发现策略。