Cisco Cisco Firepower Management Center 2000 User Guide

Page of 1826

Summary of Contents of user guide for Cisco Cisco Firepower Management Center 2000

  • Page 1FireSIGHT 系统用户指南 5.4.1 版 2015 年 1 月 22 日 思科系统公司 www.cisco.com 思科在全球设有 200 多个办事处。 有关地址、电话号码和传真号码信息, 可查阅思科网站: www.cisco.com/go/offices 。
  • Page 2本手册中有关产品的规格和信息如有更改,恕不另行通知。我们相信本手册中的所有声明、信息和建议均准确可靠,但不提供任何明示或暗示的担保。用户应承 担使用产品的全部责任。 随产品一起提供的信息包含有产品配套的软件许可和有限担保,且构成本文的一部分。如果您找不到软件许可或有限担保,请与思科代表联系以索取副本。 思科所采用的 TCP 报头压缩是加州大学伯克莱分校 (UCB) 开发的一个程序的改版,是 UCB 的 UNIX 操作系统公共域版本的一部分。版权所有。 © 1981,加利福 尼亚州大学董事会。 无论在该手册中是否作出了其他担保,来自这些供应商的所有文档文件和软件都按“原样”提供且仍有可能存在缺陷。思科和上述供应商不承诺所有明示或暗示的 担保,包括(但不限于)对特定用途的适销性、适用性、非侵权性以及因交易、使用或商业惯例所衍生的担保。 在任何情况下,对于任何间接、特殊、连带发生或偶发的损坏,包括(但不限于)因使用或无法使用本手册而导致的任何利润损失或数据损失或损坏,思科及其供应 商概不负责,即使思科及其供应商已获知此类损坏的可能性也不例外。 思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。要查看思科商标的列表,请访问以下...
  • Page 3: 目录 目录 第 1 章 思科 FireSIGHT 系统简介 1-1 受管设备简介 1-1 2 系列和 3 系列 受管设备 1-2 64 位虚拟受管设备 1-3...
  • Page 4 目录 第 3 章 管理可重用对象 3-1 使用对象管理器 3-2 将对象分组 3-2 浏览、排序和过滤对象 3-3 使用网络对象 3-4 使用安全情报列表和源 3-4 使用全局白名单和黑名单 3-6 使用情报源...
  • Page 5 目录 第 4 章 管理设备 4-1 管理概念 4-1 防御中心可以管理哪些内容? 4-2 除策略和事件以外的其他功能 4-2 使用冗余防御中心 4-3 了解管理接口 4-3 使用单一管理接口 4-4 使用多个管理接口...
  • Page 6 目录 建立集群状态共享 4-33 对集群状态共享进行故障排除 4-34 分隔集群设备 4-37 管理堆叠设备 4-37 建立设备堆栈 4-39 编辑设备堆栈 4-40 配置堆栈中的单台设备 4-41 在堆叠设备上配置接口 4-41 分隔堆叠设备 4-42...
  • Page 7 目录 第 6 章 设置虚拟交换机 6-1 配置交换接口 6-1 配置物理交换接口 6-2 添加逻辑交换接口 6-3 删除逻辑交换接口 6-4 配置虚拟交换机 6-4 查看虚拟交换机 6-5 添加虚拟交换机...
  • Page 8 目录 查看汇聚接口统计数据 8-10 删除汇聚接口 8-11 第 9 章 设置混合接口 9-1 添加逻辑混合接口 9-1 删除逻辑混合接口 9-3 第 10 章 使用网关 VPN...
  • Page 9 目录 了解 NAT 规则条件 11-18 向 NAT 规则添加条件 11-18 搜索 NAT 规则条件列表 11-20 向 NAT 规则添加文字条件 11-20 在 NAT...
  • Page 10 目录 第 14 章 使用访问控制规则调整流量 14-1 创建和编辑访问控制规则 14-2 指定规则的评估顺序 14-4 使用条件指定规则处理的流量 14-5 使用规则操作确定流量处理和检查 14-6 将注释添加到规则中 14-11 管理策略中的访问控制规则 14-11 搜索访问控制规则...
  • Page 11 目录 第 18 章 使用入侵和文件策略控制流量 18-1 检查允许的流量中是否存在入侵和恶意软件 18-2 了解文件和入侵检查顺序 18-3 配置访问控制规则执行 AMP 或文件控制 18-5 配置访问控制规则以执行入侵防御 18-5 调整的入侵防御性能 18-7 限制入侵模式匹配...
  • Page 12 目录 Monitor 操作:延迟操作并确保日志记录 21-8 不解密操作:通过加密流量而不检查 21-8 阻止操作:阻止加密流量而不检查 21-8 解密操作:解密流量以进一步检查 21-9 管理策略中的 SSL 规则 21-10 搜索 SSL 规则 21-11 启用和禁用...
  • Page 13 目录 自定义入侵策略的优点 23-9 自定义策略的局限性 23-10 使用导航面板 23-12 解决冲突和提交策略更改 23-13 第 24 章 在网络分析或入侵策略中使用层 24-1 了解层堆栈 24-1 了解基本层 24-2 了解...
  • Page 14目录 了解 DCE/RPC 传输 27-4 选择 DCE/RPC 基于目标的策略选项 27-7 配置 DCE/RPC 预处理器 27-10 检测 DNS 域称服务器响应中的漏洞 27-13 了解 DNS 预处理器资源记录检查...
  • Page 15 目录 启用其他 POP 预处理器规则 27-50 解码 SMTP 流量 27-51 了解 SMTP 解码 27-51 配置 SMTP 解码 27-54 启用 SMTP...
  • Page 16 目录 使用 UDP 数据流预处理 29-28 配置 UDP 数据流预处理 29-28 第 30 章 调整被动部署中的预处理 30-1 了解自适应配置文件 30-1 通过预处理器使用自适应配置文件 30-2 自适应配置文件和...
  • Page 17 目录 第 33 章 为您的网络资产定制入侵防御 33-1 了解基本规则状态建议 33-2 了解高级规则状态建议 33-2 了解要检查的网络 33-2 了解规则开销 33-3 使用 FireSIGHT 建议 33-3 第...
  • Page 18 目录 在入侵规则中定义端口 36-8 指定方向 36-9 了解规则中的关键字和参数 36-9 定义入侵事件详细信息 36-10 搜索内容匹配 36-14 限制内容匹配 36-16 替换内联部署中的内容 36-27 使用 Byte_Jump 和 Byte_Test 36-28...
  • Page 19 目录 第 37 章 阻止恶意软件和禁止的文件 37-1 了解恶意软件防护和文件控制 37-2 配置恶意软件防护和文件控制 37-5 根据恶意软件防护和文件控制记录事件 37-5 集成 FireAMP 与 FireSIGHT 系统 37-6 基于网络的...
  • Page 20 目录 查看连接和安全情报数据 39-12 使用连接图 39-13 更改图形类型 39-14 选择数据集 39-17 查看有关汇总连接数据的信息 39-19 在工作流程页面上操作连接图 39-20 深入研究连接数据图 39-20 重定曲线图的中心点和缩放 39-21 选择数据进行绘图 39-22...
  • Page 21 目录 使用网络文件轨迹 40-30 审核网络文件轨迹 40-31 分析网络文件轨迹 40-32 第 41 章 处理入侵事件 41-1 查看入侵事件统计信息 41-2 主机统计信息 41-3 事件概述 41-3 事件统计信息...
  • Page 22 目录 创建事故 42-4 编辑事故 42-5 生成事故报告 42-5 创建定制事故类型 42-6 第 43 章 配置外部警报 43-1 使用警报响应 43-2 创建邮件警报响应 43-3 创建...
  • Page 23 目录 创建网络发现策略 45-19 使用发现规则 45-20 限制用户日志记录 45-25 配置高级网络发现选项 45-26 应用网络发现策略 45-32 第 46 章 增强网络发现 46-1 评估检测策略 46-1 受管设备是否正确布置?...
  • Page 24 目录 设置 Nmap 扫描 47-7 创建 Nmap 扫描实例 47-8 创建 Nmap 扫描目标 47-8 创建 Nmap 补救 47-10 管理 Nmap...
  • Page 25 目录 查看危害表现源事件 49-8 解决危害表现 49-9 使用主机配置文件中的操作系统 49-9 查看操作系统的标识 49-10 编辑操作系统 49-11 解决操作系统的标识冲突 49-12 使用主机配置文件中的服务器 49-13 服务器详细信息 49-14 编辑服务器标识 49-16...
  • Page 26 目录 协议明细 50-4 应用协议明细 50-4 OS 明细 50-4 查看发现性能 图表 50-5 了解发现事件工作流程 50-6 使用发现和主机输入事件 50-7 了解发现事件类型 50-8 了解主机输入事件类型 50-11 查看发现和主机输入事件...
  • Page 27 目录 使用漏洞 50-43 查看漏洞 50-44 了解漏洞表 50-45 停用漏洞 50-46 搜索漏洞 50-46 使用第三方漏洞 50-48 查看第三方漏洞 50-48 了解第三方漏洞表 50-49 搜索第三方漏洞 50-50...
  • Page 28 目录 设置规则和白名单优先级 51-44 将响应添加至规则和白名单 51-45 管理关联策略 51-46 激活和停用关联策略 51-47 编辑关联策略 51-47 删除关联策略 51-47 使用关联事件 51-48 查看关联事件 51-48 了解关联事件表 51-50...
  • Page 29 目录 第 53 章 创建流量量变曲线 53-1 提供基本量变曲线信息 53-3 指定流量量变曲线条件 53-3 流量量变曲线条件的语法 53-4 添加主机配置文件限定条件 53-5 用于主机配置文件限定条件的语法 53-5 设置量变曲线选项 53-7 保存流量量变曲线...
  • Page 30 目录 了解 Custom Analysis 构件 55-10 了解 Disk Usage 构件 55-22 了解 Interface Traffic 构件 55-23 了解 Intrusion Events...
  • Page 31 目录 新建报告模板 57-3 根据现有模板创建报告模板 57-5 从事件视图创建报告模板 57-8 通过导入控制面板或工作流程创建报告模板 57-9 编辑报告模板的各部分 57-11 使用报告模板部分中的搜索 57-16 使用输入参数 57-16 编辑报告模板中的文档属性 57-20 自定义封面 57-21...
  • Page 32 目录 预定义漏洞工作流程 58-10 预定义第三方漏洞工作流程 58-11 预定义相关性和白名单工作流程 58-11 预定义系统工作流程 58-12 已保存自定义工作流 58-12 使用工作流程 58-13 选择工作流程 58-14 了解工作流程工具栏 58-15 使用工作流程页面 58-16...
  • Page 33 目录 在搜索中使用通配符和符号 60-5 在搜索中使用对象和应用过滤器 60-5 在搜索中指定时间约束 60-5 在搜索中指定 IP 地址 60-6 在搜索中指定设备 60-6 在搜索中指定端口 60-7 停止长期查询 60-7 第 61...
  • Page 34 目录 自动执行证书撤销列表下载 62-4 自动运行 Nmap 扫描 62-5 为 Nmap 扫描准备系统 62-5 安排 Nmap 扫描 62-5 自动应用入侵策略 62-6 自动化生成报表 62-7...
  • Page 35 目录 配置邮件中继主机和通知地址 63-17 配置网络分析策略首选项 63-18 配置入侵策略首选项 63-19 指定其他语言 63-20 添加自定义登录横幅 63-20 配置SNMP 轮询 63-21 启用 STIG 合规性 63-22 同步时间...
  • Page 36 目录 第 65 章 许可 FireSIGHT 系统 65-1 了解许可 65-1 许可证类型和限制 65-2 许可高可用性对。 65-6 许可堆栈和集群设备 65-6 许可 2 系列设备...
  • Page 37 目录 第 68 章 使用运行状况监控 68-1 了解运行状况监控 68-1 了解运行状况策略 68-3 了解运行状况模块 68-3 了解运行状况监控配置 68-5 配置运行状况策略 68-6 了解默认运行状况策略 68-6 创建运行状况策略...
  • Page 38 目录 了解审计日志表 69-6 使用审计日志检查更改 69-7 搜索审计记录 69-8 查看系统日志 69-9 过滤系统日志消息 69-10 第 70 章 使用备份和恢复 70-1 创建备份文件 70-2 创建备份配置文件...
  • Page 39 目录 exit D-3 帮助 D-3 历史 D-3 logout D-4 ? (问号) D-4 ??(double question marks) D-4 显示命令 D-5 access-control-config...
  • Page 40目录 network-modules D-19 network-static-routes D-20 ntp D-20 perfstats D-20 portstats D-21 power-supply-status D-21 process-tree D-21 processes D-21 route D-22 routing-table...
  • Page 41 目录 generate-troubleshoot D-43 ldapsearch D-44 lockdown-sensor D-44 nat rollback D-44 reboot D-45 restart D-45 shutdown D-45 附录 E 安全、互联网接入和通信端口...
  • Page 42 目录 FireSIGHT 系统用户指南 xlii
  • Page 43: 思科 FireSIGHT 系统简介 第 1 章 思科 FireSIGHT 系统简介 思科 FireSIGHT® 系统是集成的网络安全和流量管理产品套件,部署在专用平台上或作为软件解 决方案。 系统旨在帮助您以符合组织的安全策略(网络保护准则)的方式处理网络流量。安全策略可能还包 括可接受的使用策略 (AUP),该策略向员工提供有关其可以如何使用组织的系统的准则。 设备监控流量以进行分析并向管理防御中心® 报告。内联部署的设备会影响流量。 提示 有多种型号的设备和防御中心。受管设备包括物理和虚拟 FirePOWER 设备、用于...
  • Page 44 第1章 思科 FireSIGHT 系统简介 受管设备简介 如果以内联方式部署,则系统可以使用访问控制来影响流量,借此可以精细指定如何处理进入、 退出和穿越网络的流量。您收集的有关网络流量的数据和从中获取的所有信息可用于根据以下条 件来过滤和控制该流量: • 简单、轻松确定的传输层和网络层特性:源和目标、端口、协议等等 • 有关流量的最新上下文信息,包括诸如信誉、风险、业务关联性、使用的应用或访问的 URL 之类的特性 • 组织中的 Microsoft Active Directory...
  • Page 45第1章 思科 FireSIGHT 系统简介 受管设备简介 64 位虚拟受管设备 可以使用 VMware vSphere Hypervisor 或 vCloud Director 环境将 64 位虚拟设备部署为 ESXi 主机。 您也可以在所有受支持...
  • Page 46 第1章 思科 FireSIGHT 系统简介 受管设备简介 无论安装和应用何种许可证, ASA FirePOWER 设备都不支持以下任何 FireSIGHT 系统功能: • ASA FirePOWER 设备不支持 FireSIGHT 系统的基于硬件的功能:集群、堆叠、交换,路由、 VPN、 NAT...
  • Page 47 第1章 思科 FireSIGHT 系统简介 受管设备简介 表 1-1 按设备型号支持的访问控制功能 (续) 2 系列 3 系列 ASA FirePOWER 虚拟 X -系列 特性或功能 设备...
  • Page 48 第1章 思科 FireSIGHT 系统简介 防御中心简介 表 1-2 按设备型号支持的管理和网络管理功能 (续) 2 系列 3 系列 ASA FirePOWER 虚拟 X -系列 特性或功能...
  • Page 49 第1章 思科 FireSIGHT 系统简介 防御中心简介 按防御中心型号汇总受支持功能 在运行 5.4.1 版时,所有防御中心都具有类似的功能,主要区别在于容量和速度。防御中心型号 根据其可以管理的设备数、其可以存储的事件数及其可以监控的主机和用户数而异。有关详情, 请参阅: • 第 4-1 页上的管理设备 • 第 63-14 页上的配置控制面板事件限制 •...
  • Page 50 第1章 思科 FireSIGHT 系统简介 5.4.1 版 随附的防御中心和设备 表 1-3 按防御中心型号支持的访问控制功能 (续) 2 系列 3 系列 虚拟 特性或功能 防御中心 防御中心...
  • Page 51第1章 思科 FireSIGHT 系统简介 5.4.1 版 随附的防御中心和设备 表 1-5 5.4.1 版 FireSIGHT 系统 防御中心和设备 (续) 型号/系列 系列 类型 82xx 子系列:...
  • Page 52 第1章 思科 FireSIGHT 系统简介 FireSIGHT 系统组件 FireSIGHT 系统组件 以下主题描述 FireSIGHT 系统的一些有助于组织安全性、可接受的使用策略和流量管理策略的关 键功能: • 第 1-10 页上的冗余和资源共享 • 第 1-11...
  • Page 53 第1章 思科 FireSIGHT 系统简介 FireSIGHT 系统组件 网络流量管理 利用 FireSIGHT 系统的网络流量管理功能可将受管设备用作贵公司网络基础设施的一部分。可以 配置 3 系列设备,使其在交换式、路由式或混合式 (交换路由式)环境中提供服务;执行网络地 址转换 (NAT) 以及创建安全虚拟专用网络 (VPN) 通道。 交换...
  • Page 54 第1章 思科 FireSIGHT 系统简介 FireSIGHT 系统组件 最简单的访问控制策略指导其目标设备使用其默认操作处理所有流量。可以将此默认操作设置为 阻止或信任所有流量而不进一步检查,或者检查入侵和发现数据的流量。 更复杂的访问控制策略可以根据安全智能数据将流量列入黑名单,以及使用访问控制规则对网络 流量日志记录和处理实行精细控制。这些规则可以简单也可以复杂,从而使用多个条件来匹配和 检查流量;可以按安全区域、网络或地理位置、 VLAN、端口、应用、所请求的 URL 和用户来控 制流量。高级访问控制选项包括解密、预处理和性能。 每个访问控制规则还具有操作,用于确定监控、信任、阻止还是允许匹配流量。当允许流量时, 可以指定系统首先使用入侵或文件策略检查该流量,以在任何漏洞、恶意软件或禁止的文件到达 资产或退出网络之前对其进行阻止。 SSL...
  • Page 55第1章 思科 FireSIGHT 系统简介 FireSIGHT 系统组件 无论是否存储检测到的文件,都可以将其提交给综合安全智能云,使用文件的 SHA-256 哈希值进 行简单的已知性质搜索。还可以提交文件进行动态分析,获取威胁评分。使用此上下文信息,可 以配置系统来阻止或允许特定的文件。 可以配置恶意软件防护,作为全局访问控制配置的一部分;与访问控制规则关联的文件策略可以 检查符合规则条件的网络流量。 FireAMP 集成 FireAMP 是思科的企业级高级恶意软件分析和防御解决方案,可以发现、了解并阻止高级恶意软 件爆发、高级持续性威胁和有针对性的攻击。 如果贵公司有订用 FireAMP,个人用户可以在计算机和移动设备...
  • Page 56 第1章 思科 FireSIGHT 系统简介 文档资源 外部数据库访问 数据库访问功能可以在防御中心上使用支持 JDBC SSL 连接的第三方客户端查询几个数据库表。 可以使用 Crystal Reports、Actuate BIRT 或 JasperSoft iReport 等行业标准报告工具来设计和提交查 询。也可以配置定制应用来查询思科数据。例如,可以创建...
  • Page 57第1章 思科 FireSIGHT 系统简介 文档体例 许可证约定 各个章节开头的许可证声明指出了使用本节所述功能所要求使用的许可证,详情如下: FireSIGHT FireSIGHT 许可证随附于防御中心中,执行主机、应用和用户发现要求使用此许可证。防御 中心上的FireSIGHT 许可证决定了利用防御中心及其受管设备可以监控多少单独的主机和用 户以及可以利用多少用户来执行用户控制。 保护 保护许可证允许受管设备进行入侵检测和防御、文件控制以及安全情报过滤。 可控性 可控性许可证允许受管设备执行用户和应用控制。它还允许设备执行交换和路由(包括 DHCP 中继)、NAT,并且允许集群设备和堆栈。可控性许可证要求具备保护许可证。 URL...
  • Page 58 第1章 思科 FireSIGHT 系统简介 IP 地址约定 访问约定 本文档每个程序开头的“访问”声明都指出了执行此程序所要求的预定用户角色。正斜杠隔开的 角色表示任何列出的角色都可执行此程序。下表定义了“访问”声明中出现的常用术语。 表 1-6 访问约定 访问术语 说明 Access Admin 用户必须具备访问控制管理员角色 管理 用户必须具备管理员角色...
  • Page 59第1章 思科 FireSIGHT 系统简介 IP 地址约定 同样, IPv6 使用网络 IP 地址结合前缀长度来定义指定块中的 IP 地址。例如, 2001:db8::/32 指定 的 IPv6 地址在 2001:db8:: 网络中,前缀长度为...
  • Page 60 第1章 思科 FireSIGHT 系统简介 IP 地址约定 FireSIGHT 系统用户指南 1-18
  • Page 61: 登录 FireSIGHT 系统 第 2 章 登录 FireSIGHT 系统 本章详细介绍使用基于设备的网络界面以及命令行界面 (CLI) 登录和注销 FireSIGHT 系统必须执 行的步骤。您还可以配置使用 LDAP 或 RADIUS 凭证的外部身份验证的用户帐户。 登录网络界面后,将指针悬停在特定区域上,上下文菜单功能会提供额外信息和有用的导航链接。 有关详细信息,请参阅以下各节: •...
  • Page 62 第2章 登录 FireSIGHT 系统 登录设备 注意事项 如果多次提供不正确的凭证,您的外壳程序访问帐户可能会被锁定。如果提供了正确的凭证,但 登录被拒绝,请联系系统管理员,而不要反复尝试登录。 在网络会话期间首次访问设备主页时,可以查看您上一次登录该设备的登录会话相关信息。您可 以查看与您上次登录相关的以下信息: • 登录的年、月、日和周 • 用 24 小时制表示的登录设备本地时间 • 上次用于访问设备的主机和域名 默认情况下,不活动达...
  • Page 63第2章 登录 FireSIGHT 系统 登录设备 在这种情况下,您可以从可用菜单选择一个不同的选项,也可以点击浏览器窗口的 Back 以返回到 上一页。 要采用 CAC 凭证通过网络界面登录设备,请执行以下操作: 访问:任何环境 步骤 1 按照贵组织的说明插入 CAC。 步骤 2 通过浏览器访问...
  • Page 64 第2章 登录 FireSIGHT 系统 注销设备 步骤 3 输入密码并按 Enter。 如果您的组织登录时使用 SecurID® 令牌,请将所用的令牌添加到您的 SecurID PIN 之后并将其用 作登录密码。例如,您的 PIN 为 1111,SecurID...
  • Page 65第2章 登录 FireSIGHT 系统 使用上下文菜单 入侵规则编辑器 入侵规则编辑器包含每个入侵规则的热点。您可以使用上下文菜单执行这些任务:编辑规则; 设置规则状态(包括禁用规则);配置阈值和抑制选项;查看规则文档。 事件查看器 事件页面(下钻式页面和表视图)包含每个事件、IP 地址以及某些检测文件 SHA-256 哈希值 的热点。对于大多数事件类型,您可以使用上下文菜单查看 Context Explorer 中的相关信息, 也可以在新窗口中向下钻取事件信息。在事件视图中,如果事件字段包含过长的文本以至于无 法全部显示,例如文件的 SHA-256...
  • Page 66 第2章 登录 FireSIGHT 系统 使用上下文菜单 FireSIGHT 系统用户指南 2-6
  • Page 67: 管理可重用对象 第 3 章 管理可重用对象 为了提高灵活性以及使网络界面更易于使用, FireSIGHT 系统允许创建命名对象;命名对象是将 名称与值相关联的可重用配置,这样当要使用某个值时,可以使用相应的命名对象代替。 可建以下类型的对象: • 表示 IP 地址和网络的基于网络的对象、端口/协议对、VLAN 标记、安全区域以及源/目标国家/ 地区(地理定位) • 表示智能情报源和列表的基于信誉的对象,基于类别和信誉的应用过滤器和文件列表 • 非基于信誉的对象(例如...
  • Page 68 第3章 管理可重用对象 使用对象管理器 • 第 3-37 页上的使用 PKI 对象 • 第 3-46 页上的使用地理定位对象 使用对象管理器 许可证:任何环境 可以使用对象管理器 (Objects > Object...
  • Page 69第3章 管理可重用对象 使用对象管理器 步骤 5 选择一个或多个对象,然后点击 Add。 • 使用 Shift 和 Ctrl 键可选择多个对象,或者右键单击并选择 Select All。 • 使用过滤器字段 ( ) 可搜索要包括的现有对象,在您键入时,该字段会更新以显示匹配项...
  • Page 70 第3章 管理可重用对象 使用网络对象 使用网络对象 许可证:任何环境 网络对象代表可单独指定或作为地址块指定的一个或多个 IP 地址。可在系统网络界面中的不同位 置使用网络对象和对象组(请参阅第 3-2 页上的将对象分组),包括访问控制策略、网络变量、入 侵规则、网络发现规则、事件搜索、报告,等等。 无法删除正在使用的网络对象。此外,在编辑用于访问控制策略、网络发现策略或入侵策略的网 络对象后,必须重新应用策略,才能使更改生效。 要创建网络对象: 访问:管理员/访问管理员/网络管理员 步骤 1 选择...
  • Page 71第3章 管理可重用对象 使用安全情报列表和源 比较源和列表 安全情报源是防御中心按配置的时间间隔从 HTTP 或 HTTPS 服务器下载的 IP 地址的动态集合。 由于源会定期更新,因此,系统可使用最新信息来过滤网络流量。为帮助您构建黑名单,思科提供 的 Intelligence Feed(有时称为 Sourcefire Intelligence Feed)代表被思科 VRT 确定为声誉不佳的...
  • Page 72 第3章 管理可重用对象 使用安全情报列表和源 安全情报对象快速参考 下表提供了可用于执行安全情报过滤的对象的快速参考。 表 3-1 安全情报对象功能 容量 全局白名单或黑名单 情报源 自定义源 自定义列表 网络对象 使用方法 默认情况下在访问控制策略中 在所有访问控制策略中作为白名单或黑名单对象 是否可以通过安全区 否...
  • Page 73第3章 管理可重用对象 使用安全情报列表和源 由于将 IP 地址添加到全局白名单或黑名单会影响访问控制,因此必须具有以下其中一种权限或角色: • 管理员访问权限 • 默认角色的组合:网络管理员或访问管理员,加上安全分析师和安全审批人 • 同时具有修改访问控制策略和应用访问控制策略权限的自定义角色;请参阅第 12-3 页上的使 用自定义用户角色管理部署 要使用上下文菜单将 IP 地址添加到全局白名单或黑名单: 访问:管理员/自定义 步骤...
  • Page 74 第3章 管理可重用对象 使用安全情报列表和源 为了帮助您构建黑名单,思科提供了 Intelligence Feed(有时称为 Sourcefire Intelligence Feed),其 中包括 VRT 确定为信誉不佳的 IP 地址的多个列表,这些列表会定期更新。情报源中的每个列表均 代表一个特定类别:开放中继、已知攻击者、伪造 IP 地址(虚假)等。在访问控制策略中,可以将任 何或所有类别加入到黑名单。 由于情报源会定期更新,因此系统可以使用最新信息来过滤网络流量。恶意...
  • Page 75第3章 管理可重用对象 使用安全情报列表和源 步骤 4 指定源 URL,或者,还可以指定 MD5 URL。 步骤 5 从 Update Frequency 选择更新频率。 可选择从两小时到一周不等的时间间隔。也可以禁用源更新。 步骤 6 点击 Save。...
  • Page 76 第3章 管理可重用对象 使用端口对象 要将新的安全情报列表上传到防御中心: 访问:管理员/访问管理员/网络管理员 步骤 1 在对象管理器的 Security Intelligence 页面上,点击 Add Security Intelligence。 系统将显示 Security Intelligence 弹出窗口。 步骤...
  • Page 77第3章 管理可重用对象 使用端口对象 端口对象以略有不同的方式代表不同协议: • 对于 TCP 和 UDP,端口对象代表传输层协议(协议号括在括号内,加上一个可选的相关端口 或端口范围)。例如:TCP(6)/22。 • 对于 ICMP 和 ICMPv6 (IPv6-ICMP),端口对象代表互联网层协议以及可选类型和代码。例 如:ICMP(1):3:3。 • 端口对象还可以代表不使用端口的其他协议。 请注意,思科提供已知端口的默认端口对象。可以修改或删除这些对象,但思科建议您创建自定...
  • Page 78 第3章 管理可重用对象 使用 VLAN 标记对象 端口对象添加成功。 使用 VLAN 标记对象 许可证:任何环境 配置的每个 VLAN 标记对象代表一个 VLAN 标记或标记范围。可在系统网络界面中的不同位置使 用 VLAN 标记对象和对象组(请参阅第 3-2...
  • Page 79第3章 管理可重用对象 使用应用过滤器 • 当使用包括 URL 条件的访问控制规则匹配网络流量时,系统会忽略加密协议(HTTP 和 HTTPS )。换句话说,如果阻止网站,将阻止发往该网站的 HTTP 和 HTTPS 流量,除非您使用 一个应用条件细化该规则。在创建 URL 对象时,您不需要指定创建对象时的协议。例如,使用 example.com 而不是 http://example.com/...
  • Page 80 第3章 管理可重用对象 使用应用过滤器 可以在访问控制规则中使用用户定义的应用过滤器,就像使用思科提供的应用过滤器一样。还可 以出于以下目的使用用户定义的过滤器: • 要使用事件查看器搜索应用;请参阅第 60-5 页上的在搜索中使用对象和应用过滤器 • 要限制报告模板中的表视图;请参阅第 57-16 页上的使用报告模板部分中的搜索 • 要过滤 Custom Analysis 控制面板构件中的应用统计信息;请参阅第 55-13...
  • Page 81第3章 管理可重用对象 使用变量集 • 右键单击某种过滤器类型并点击 Check All 或 Uncheck All。请注意,列表会指示已选择的每种类 型的过滤器数目。 • 要减少显示的过滤器,请在 Search by name 字段中键入搜索字符串;这对类别和标记尤其有 用。要清除搜索,请点击清除图标 — 。...
  • Page 82 第3章 管理可重用对象 使用变量集 当变量更准确地反映网络环境时,规则更加有效。至少应修改默认变量集中的的默认变量,如第 3-16 页上的优化预定义默认变量中所述。通过确保变量(例如 $HOME_NET)正确地定义网络且 $HTTP_SERVERS 包括网络上的所有网络服务器,从而优化处理和监控所有相关系统的可疑活动。 要使用变量,请将变量集链接到与访问控制规则相关的入侵策略或访问控制策略的默认操作。默 认情况下,默认设置集链接到访问控制策略使用的所有入侵策略。 有关详细信息,请参阅以下各节: • 第 3-16 页上的优化预定义默认变量 • 第 3-18...
  • Page 83 第3章 管理可重用对象 使用变量集 表 3-2 思科 (续)提供的变量 Variable Name 说明 是否需要修改? $FILE_DATA_PORTS 定义非加密端口,用于检测网络数据流中的文件的入侵 不需要。 规则。 $FTP_PORTS 定义网络上 FTP 服务器的端口,用于 FTP...
  • Page 84 第3章 管理可重用对象 使用变量集 表 3-2 思科 (续)提供的变量 Variable Name 说明 是否需要修改? $USER_CONF 提供一个通用工具,让您能够配置无法通过网络界面使用 不需要,除非功能描述中有指示或在 的一个或多个功能。请参阅第 3-28 页上的了解高级变量。 支持人员的指导下进行。 注意事项...
  • Page 85第3章 管理可重用对象 使用变量集 示例:将用户定义的变量到添加到自定义变量集 以下两个示例说明了将用户定义的变量添加到自定义变量集时变量集之间的交互。保存新变量时, 系统会提示您选择是否将配置值用作其他变量集的默认值。在以下示例中,您选择使用配置值。 请注意,除了 Var1 来自自定义变量集 1 以外,本示例与以上将 Var1 添加到默认变量集的示例完 全相同。将 Var1 的自定义值 192.168.1.0/24 添加到自定义变量集 1 会将该值复制到默认变量集,...
  • Page 86 第3章 管理可重用对象 使用变量集 注意事项 导入访问控制策略或入侵策略会以导入的默认变量覆盖默认变量集中的现有默认变量。如果现有 默认变量集包含不属于导入默认变量集的自定义变量,则会保留该唯一的变量。有关详细信息, 请参阅第 A-4 页上的导入配置。 下表总结了可用于管理变量集的操作。 表 3-3 变量集管理操作 要...... 您可以...... 显示变量集 选择 Objects >...
  • Page 87 第3章 管理可重用对象 使用变量集 管理变量 许可证:保护 可通过新建或编辑变量页面管理变量集中的变量。所有变量集的变量页面都将变量划分到 Customized Variables 和 Default Variables 页面区域。 默认变量是思科提供的变量。可以自定义默认变量的值。不能重命名或删除默认变量,也不能更 改其默认值。 自定义变量是以下其中一种变量: • 自定义的默认变量 编辑默认变量的值时,系统会将该变量从 Default Variables...
  • Page 88 第3章 管理可重用对象 使用变量集 要查看变量集中的变量,请执行以下操作: 访问:管理员/访问管理员/网络管理员 步骤 1 选择 Objects > Object Management。 系统将显示 Object Management 页面。 步骤 2 选择...
  • Page 89 第3章 管理可重用对象 使用变量集 可以创建或编辑两种类型的变量: • 网络变量指定网络流量中的主机的 IP 地址。请参阅第 3-25 页上的使用网络变量。 • 端口变量指定网络流量中的 TCP 或 UDP 端口,包括这两种端口类型的值 any。请参阅第 3-26 页上的使用端口变量。 指定是否要添加网络或端口变量类型时,页面会刷新以列出可用项目。在列表上方的搜索字段可...
  • Page 90 第3章 管理可重用对象 使用变量集 表 3-5 变量编辑操作 (续) 要...... 您可以...... 添加具有值 any 的变量 给变量命名并选择变量类型,然后在不配置值的情况下点击 Save。 注 变量名称必须是一个唯一的字母数字字符串 (区分大小写,不能包含除 下划线字符 (_)...
  • Page 91第3章 管理可重用对象 使用变量集 提示 如果网络或端口变量的包含变量列表和排除变量列表中的地址或端口重叠,排除的地址或端口优先。 步骤 7 或者,输入一个文字值,然后点击 Add。 对于网络变量,可以输入单个 IP 地址或地址块。对于端口变量,可以添加单个端口或端口范围, 用连字符 (-) 隔开上限和下限值。 如有需要,可重复此步骤输入多个文字值。 步骤 8 点击 Save...
  • Page 92 第3章 管理可重用对象 使用变量集 有关使用对象管理器创建单个网络对象和成组网络对象的信息,请参阅第 3-4 页上的使用网 络对象。 • 从 New Variable 或 Edit Variable 页面添加的单个网络对象(这些对象随后可添加到变量以及其 他现有和将来的变量) • 文字的、单个 IP...
  • Page 93第3章 管理可重用对象 使用变量集 仅 TCP 和 UDP 端口 (包括两种端口类型的值 any)是有效的变量值。如果使用新建或编辑变 量页面添加不是有效变量值的有效端口对象,对象将被添加到系统,但不会显示在可用对象 列表中。使用对象管理器编辑用于变量的端口对象时,只能将其值更改为有效的变量值。 • 单个文本端口值和端口范围 必须使用破折号 (-) 隔开端口范围。带有冒号 (:) 的端口范围表示具有向后兼容性,但不能在 创建的端口变量中使用冒号。...
  • Page 94 第3章 管理可重用对象 使用变量集 将指针悬停在变量集中的重置图标 ( ) 上可查看重置值。当自定义值和重置值相同时,这表示 以下其中一种情况属实: • 您在自定义或默认变量集中,而且在其中添加了值为 any 的变量 • 您在自定义变量集中,在其中添加了具有显式值的变量,并且选择了使用配置值作为默认值 将变量集链接到入侵策略 许可证:保护 默认情况下, FireSIGHT 系统会将默认变量集链接到访问控制策略中使用的所有入侵策略。应用使...
  • Page 95第3章 管理可重用对象 使用文件列表 借助此变量,可以在流量到达系统之前对流量应用 Berkeley 数据包过滤器 (BPF)。如果 SNORT_BPF 提供访问控制规则,应使用这些规则而不是此变量来强制执行过滤。此变量仅 出现在系统升级之前存在的配置中。 使用文件列表 许可证:恶意软件 受支持的设备:除 2 系列或 X -系列外的所有型号 受支持的防御中心:除 DC500 外的所有型号...
  • Page 96 第3章 管理可重用对象 使用文件列表 有关使用文件列表的详细信息,请参阅以下主题: • 第 2-4 页上的使用上下文菜单 • 第 3-30 页上的将多个 SHA-256 值上传到文件列表 • 第 3-31 页上的将单个文件上传到文件列表 •...
  • Page 97第3章 管理可重用对象 使用文件列表 步骤 3 点击要从源文件向其添加值的文件列表旁边的编辑图标 ( )。 系统将显示 File List 弹出窗口。 步骤 4 从 Add by 字段选择 List of...
  • Page 98 第3章 管理可重用对象 使用文件列表 将 SHA-256 值添加到文件列表 许可证:恶意软件 受支持的设备:除 2 系列或 X -系列外的所有型号 受支持的防御中心:除 DC500 外的所有型号 可以提交文件的 SHA-256 值以将其添加到文件列表。不能添加重复的 SHA-256...
  • Page 99第3章 管理可重用对象 使用文件列表 步骤 2 点击要编辑的 SHA-256 值旁边的编辑图标 ( )。 系统将显示 Edit SHA-256 弹出窗口。 提示 也可以从列表中删除文件。点击要移除的文件旁边的删除图标 ( )。 步骤 3...
  • Page 100 第3章 管理可重用对象 使用安全区域 使用安全区域 许可证:任何环境 安全区域由一个或多个内联接口、被动接口、交换接口、路由接口或 ASA 接口组成,可在各种 策略和配置中用于管理和分类流量。一个区域中的接口可以跨多个设备;也可以在一个设备上配 置多个区域。这使得您能够将网络划分为可以应用各种策略的网段。必须将至少一个接口分配到 安全区域,以根据该安全区域匹配流量,每个接口只能属于一个区域。 除了使用安全区域来对接口分组,还可以在系统网络界面中的不同位置(包括访问控制策略、网络 发现规则和事件搜索)使用区域。例如,可编写仅适用于特定源或目标区域的访问控制规则,或者 限制网络发现仅针对发往或来自特定区域的流量。 更新安全区域对象时,系统会保存对象的新版本。因此,如果同一安全区域中的受管设备具有不 同版本的安全区域对象,您可能会记录似乎是重复的连接。如果发现重复连接报告,可以将所有 受管设备更新为使用该对象的同一版本。在对象管理器中,可以编辑安全区域,移除所有受管设 备,保存对象,重新添加受管设备,以及再次保存对象。然后,重新应用所有受影响的设备策 略。有关应用设备策略的详细信息,请参阅第...
  • Page 101第3章 管理可重用对象 使用密码套件列表 步骤 6 从 Device > Interfaces 下拉列表中,选择包含要添加到区域的接口的设备。 步骤 7 选择一个或多个接口。 使用 Shift 和 Ctrl 键可选择多个对象。如果尚未配置受管设备上的接口,可以创建空区域,稍后 再向其添加接口;跳至第 10...
  • Page 102 第3章 管理可重用对象 使用可分辨名称对象 步骤 6 点击 Save。 密码套件列表创建成功。 使用可分辨名称对象 许可证:任何环境 受支持的设备:3 系列 每个可分辨名称对象代表所列出的公共密钥的使用者或颁发者的可分辨名称。可在 SSL 规则中使 用可分辨名称对象和对象组(请参阅第 3-2 页上的将对象分组)根据协商 SSL...
  • Page 103第3章 管理可重用对象 使用 PKI 对象 表 3-8 公用名属性通配符示例 属性 匹配 不匹配 CN=”*.com” example.com mail.example.com ampleexam.com example.text.com CN=”*.*.com” mail.example.com example.com example.text.com...
  • Page 104 第3章 管理可重用对象 使用 PKI 对象 可以手动输入证书和密钥信息,上传包含这些信息的文件,在某些情况下,还可以生成新的 CA 证书和私有密钥。 在对象管理器中查看 PKI 对象列表时,系统会将证书的使用者可分辨名称显示为对象值。将指针悬 停在该值上可查看证书使用者的完整可分辨名称。要查看其他证书的详细信息,请编辑 PKI 对象。 注 防御中心和受管设备在保存存储在内部 CA 对象和内部证书对象中的所有私有密钥之前,会使用 随机生成的密钥对它们进行加密。如果上传受密码保护的私有密钥,设备会使用用户提供的密码...
  • Page 105第3章 管理可重用对象 使用 PKI 对象 导入 CA 证书和私有密钥 许可证:任何环境 受支持的设备:3 系列 可以通过导入 X.509 v3 RSA 证书和私有密钥来配置内部 CA 对象。可以上传采用下列其中一种受 支持格式编码的文件: •...
  • Page 106 第3章 管理可重用对象 使用 PKI 对象 表 3-9 生成的内部 CA 属性 字段 允许的值 必填 Country Name (two-letter code) 两个字母字符 是...
  • Page 107第3章 管理可重用对象 使用 PKI 对象 步骤 2 在 PKI 下,选择 Internal CAs。 步骤 3 点击 Generate CA。 系统将显示 Generate Internal...
  • Page 108 第3章 管理可重用对象 使用 PKI 对象 注意事项 作为系统备份一部分下载的私有密钥将被解密,然后存储在未加密的备份文件中。有关详细信 息,请参阅第 70-2 页上的创建备份文件。 要下载内部 CA 证书和私有密钥,请执行以下操作: 访问:管理员/访问管理员/网络管理员 步骤 1 选择 Objects >...
  • Page 109第3章 管理可重用对象 使用 PKI 对象 • 隐私增强电子邮件 (PEM) 如果文件受密码保护,必须提供解密密码。如果证书采用 PEM 格式编码,还可以复制并粘贴信息。 仅当文件包含适当的证书信息时,才可以上传 CA 证书;系统在保存对象之前会对证书进行验证。 要导入可信 CA 证书,请执行以下操作: 访问:管理员/访问管理员/网络管理员 步骤 1...
  • Page 110 第3章 管理可重用对象 使用 PKI 对象 步骤 4 点击 Add CRL 上传 DER 或 PEM 编码的 CRL 文件。 步骤 5...
  • Page 111第3章 管理可重用对象 使用 PKI 对象 使用内部证书对象 许可证:任何环境 受支持的设备:3 系列 配置的每个内部证书对象代表一个属于组织的服务器公共密钥证书。此类对象由对象名称、公共 密钥证书和配对私有密钥组成。可以在 SSL 规则中使用内部证书对象和对象组(请参阅第 3-2 页 上的将对象分组),利用已知私有密钥来解密传入到组织其中一个服务器的流量。 可以通过上传基于 X.509 v3 RSA...
  • Page 112 第3章 管理可重用对象 使用地理定位对象 使用地理定位对象 许可证:FireSIGHT 受支持的设备:3 系列、虚拟、 ASA FirePOWER 受支持的防御中心:所有 (DC500 除外) 配置的每个地理定位对象代表系统识别为受监控网络上流量的源或目标的一个或多个国家/地区或 大洲。可在系统网络界面中的不同位置使用地理定位对象,包括访问控制策略、 SSL 策略和事件 搜索。例如,可编写阻止流向或来自某些国家/地区的流量的访问控制规则。有关按地理位置过滤 流量的信息,请参阅第 15-3...
  • Page 113: 管理设备 第 4 章 管理设备 防御中心是 FireSIGHT 系统中的关键组件。可以使用防御中心管理 FireSIGHT 系统组成的完整范 围的设备,以及汇聚、分析和应对这些设备在网络中检测到的威胁。 通过使用防御中心管理设备,可以执行以下操作: • 从单个位置为所有设备配置策略,从而更轻松地更改配置 • 在设备上安装各种类型的软件更新 • 向受管设备推送运行状况策略并从防御中心监控其运行状态 防御中心汇总并关联入侵事件、网络发现信息和设备性能数据,从而能够监控设备报告的相互关 联的信息,以及评估网络上出现的整体活动。...
  • Page 114 第4章 管理设备 管理概念 防御中心可以管理哪些内容? 可以使用防御中心作为 FireSIGHT 系统部署中的中央管理点来管理以下设备: • FirePOWER 受管设备 • 具备 FirePOWER 服务的 Cisco ASA 防火墙设备 • 基于软件的设备,例如虚拟设备和用于...
  • Page 115第4章 管理设备 了解管理接口 更新设备 思科会定期发布 FireSIGHT 系统更新,包括: • 入侵规则更新,其中可能包含新的和已更新的入侵规则 • 漏洞数据库更新 • 地理定位更新 • 软件补丁和更新 可以使用防御中心在其管理的设备上安装更新。 使用冗余防御中心 许可证:任何环境 受支持的防御中心:DC1000、 DC1500、...
  • Page 116 第4章 管理设备 了解管理接口 使用单一管理接口 许可证:任何环境 受支持的设备:任何环境 受支持的防御中心:任何环境 当您向防御中心注册您的设备时,会建立一个传送防御中心上的管理接口和设备上的管理接口之 间所有流量的通信信道。 下图显示默认的单一通信信道。一个接口传送包含管理和事件流量的通信信道。 使用多个管理接口 许可证:任何环境 受支持的设备:3 系列 受支持的防御中心:3 系列、虚拟 您可以启用并配置多个管理接口,每个接口使用唯一的 IP 地址(IPv4...
  • Page 117第4章 管理设备 了解管理接口 使用流量信道 许可证:任何环境 受支持的设备:3 系列 受支持的防御中心:3 系列、虚拟 在一个管理接口上使用两个流量信道时,会在防御中心和受管设备之间创建两个连接。一个信道 传送管理流量,一个信道传送事件流量,这两种流量在同一接口上单独进行传送。 以下示例显示同一接口上有两个独立流量信道的通信信道。 使用多个管理接口时,可以在两个管理接口上划分流量信道,进而可以通过添加两个接口的容量 来增加流量,从而进一步提高性能。一个接口传送管理流量信道,另一个接口传送事件流量信 道。如果任一接口发生故障,则所有流量重新路由到活动接口,并且连接得以维持。 下图显示了两个管理接口上的管理流量信道和事件流量信道。 可以使用专用管理接口仅传送来自多台设备的事件流量。在此配置中,每台设备分别注册到不同 管理接口上以传送管理流量信道,并且防御中心上的一个管理接口传送来自所有设备的所有事件 流量信道。如果任一接口发生故障,流量重新路由到活动接口,并且连接得以维持。请注意,由 于所有设备的事件流量都在同一接口上传送,因此未在网络之间隔离流量。...
  • Page 118 第4章 管理设备 在 NAT 环境中工作 在一个管理接口上使用两个流量信道时,会在防御中心和受管设备之间创建两个连接。一个信道 传送管理流量,一个信道传送事件流量,这两种流量在同一接口上单独进行传送。使用多个管理 接口时,可以在两个管理接口上划分流量信道,进而可以通过添加两个接口的容量来增加流量, 从而进一步提高性能。一个接口传送管理流量信道,另一个接口传送事件流量信道。如果任一接 口发生故障,则所有流量重新路由到活动接口,并且连接得以维持。 还可以使用专用管理接口仅传送来自多台设备的事件流量。在此配置中,每台设备分别注册到不 同管理接口上以传送管理流量信道,并且防御中心上的一个管理接口传送来自所有设备的所有事 件流量信道。如果任一接口发生故障,流量重新路由到活动接口,并且连接得以维持。请注意, 由于所有设备的事件流量都在同一接口上传送,因此未在网络之间隔离流量。 使用网络路由 许可证:任何环境 受支持的设备:3 系列 受支持的防御中心:3...
  • Page 119第4章 管理设备 配置高可用性 将设备添加到防御中心时,会在设备之间建立通信。建立通信所需的信息取决于环境是否使用 NAT: • 在不使用 NAT 的环境中,需要注册密钥以及两台设备的 IP 地址或完全限定域名。 • 在使用 NAT 的环境中,需要注册密钥和唯一 NAT ID。 注 NAT ID...
  • Page 120 第4章 管理设备 配置高可用性 注意事项 由于系统将某些功能限制为适用于主防御中心,因此如果该设备发生故障,则必须将辅助防御中 心升级为主用设备。请参阅第 4-13 页上的监控和更改高可用性状态。 有关设置高可用性的详细信息,请参阅以下各节: • 第 4-8 页上的使用高可用性列出实施高可用性时共享和未共享的配置。 • 第 4-11 页上的实施高可用性的准则概括要实施高可用性时必须遵循的准则。 • 第...
  • Page 121第4章 管理设备 配置高可用性 有关在高可用对的成员之间共享或未共享哪些配置的详细信息,请参阅: • 第 4-9 页上的共享配置 • 第 4-9 页上的运行状况和系统策略 • 第 4-10 页上的关联响应 • 第 4-10 页上的许可证...
  • Page 122 第4章 管理设备 配置高可用性 注 虽然系统策略由防御中心在高可用性对中共享,但是不会自动应用这些策略。如果希望系统策略 在两个防御中心上均相同,请在其同步后应用策略。 高可用性对中的防御中心共享以下系统和运行状况策略信息: • 系统策略 • 系统策略配置(在什么位置应用什么策略) • 运行状况策略 • 运行状况监控策略(在什么位置应用什么策略) • 哪些设备通过系统监控列入黑名单 • 哪些设备将单个运行状况监控策略列入黑名单...
  • Page 123第4章 管理设备 配置高可用性 云连接和恶意软件信息 许可证:任意或恶意软件 受支持的设备:任何设备, 2 系列或X -系列除外 受支持的防御中心:DC1000、 DC1500、 DC2000、 DC3000、 DC3500、 DC4000 虽然高可用性对中的防御中心共享文件策略和相关配置,但是它们既不共享综合安全智能云连 接,也不共享恶意软件性质。为了确保业务连续性并确保在两个防御中心上对检测到文件的恶意 软件的处置一致,主和辅助防御中心必须都有权访问云。有关详细信息,请参阅第 37-2 页上的了...
  • Page 124 第4章 管理设备 配置高可用性 设置高可用性 许可证:任何环境 受支持的防御中心:DC1000、 DC1500、 DC2000、 DC3000、 DC3500、 DC4000 要使用高可用性,必须将一个防御中心指定为主防御中心,将同一型号的另一个防御中心指定为辅 助防御中心。有关编辑两台设备之间的远程管理通信的信息,请参阅第 4-18 页上的编辑远程管理。 注意事项 思科建议您仅更改主防御中心上的配置,并将辅助防御中心作为备份。 在配置高可用性之前,请确保同步要链接的防御中心之间的时间设置。有关设置时间的详细信 息,请参阅第...
  • Page 125第4章 管理设备 配置高可用性 步骤 11 点击 High Availability。 系统将显示 High Availability 页面。 步骤 12 点击 primary 防御中心 选项。 系统将显示 Primary...
  • Page 126 第4章 管理设备 配置高可用性 步骤 3 点击 High Availability。 系统将显示 High Availability 页面。 步骤 4 在 High Availability Status 下,可以查看有关高可用性对中防御中心的以下信息:...
  • Page 127第4章 管理设备 配置高可用性 步骤 3 点击 High Availability。 系统将显示 High Availability 页面。 步骤 4 从 Handle Registered Devices 下拉列表中选择以下选项之一: •...
  • Page 128 第4章 管理设备 处理设备 步骤 2 点击滑块以启用两个防御中心之间的通信信道。 有关编辑两台设备之间的远程管理通信的信息,请参阅第 4-18 页上的编辑远程管理。 处理设备 许可证:任何环境 可以使用防御中心管理组成 FireSIGHT 系统的整个系列设备。管理设备时,会在防御中心和设备 之间设置双向、 SSL 加密的通信信道。防御中心 使用此信道向设备发送有关要如何分析和管理网 络流量的信息。...
  • Page 129第4章 管理设备 处理设备 表 4-1 设备列表字段 字段 说明 字段名称 每台设备的主机名、 IP 地址、设备型号和软件版本的列表。设备左侧 的状态图标表示其当前运行状态。 许可证类型 在受管设备上启用的许可证。 健康政策 设备的当前应用的运行状况策略。可以点击运行状况策略的名称查看策 略的只读版本。有关修改现有运行状况策略的信息,请参阅第 68-27 页...
  • Page 130 第4章 管理设备 处理设备 败。在解决导致失败的问题后,您必须手动向设备应用访问控制和网络发现策略。有关可能导致 访问控制策略应用失败的问题的详细信息,请参阅第 12-18 页上的对访问控制策略和规则进行故 障排除。 要配置本地设备的远程管理,请执行以下操作: 访问:管理 步骤 1 在要管理的设备的网络界面上,选择 System > Local > Registration。 系统将显示...
  • Page 131第4章 管理设备 处理设备 提示 可以点击滑块启用或禁用受管设备的管理。禁用管理会阻止防御中心和设备之间的连接,但是不 会从防御中心删除设备。如果不想再管理设备,请参阅第 4-23 页上的删除设备。 要编辑远程管理,请执行以下操作: 访问:管理 步骤 1 在设备的网络界面上,选择 System > Local > Registration。 系统将显示 Remote...
  • Page 132 第4章 管理设备 处理设备 将设备添加到防御中心 许可证:任何环境 管理设备时,会在防御中心和设备之间设置双向、 SSL 加密的通信信道。防御中心使用此信道向 设备发送有关要如何分析网络流量的信息。设备评估流量时,会生成事件并使用同一信道将其发 送到防御中心。有关配置该信道的详细信息,请参阅第 4-17 页上的配置远程管理。 请注意,不能添加运行多个主版本低于防御中心的软件的设备。例如,如果防御中心运行的是 5.4 版本,则可以添加运行 5.3.x 或更高版本的设备,但不能添加运行 5.2.x 版本的设备。...
  • Page 133第4章 管理设备 处理设备 步骤 4 在 Host 字段中,键入要添加的设备的 IP 地址或主机名。 设备的主机名是完全限定域名或通过本地 DNS 解析为有效 IP 地址的名称。 请注意,在 NAT 环境中,如果在将设备配置为由防御中心管理时已经指定防御中心的 IP 地址或...
  • Page 134 第4章 管理设备 处理设备 对设备应用更改 许可证:任何环境 在对设备、设备集群或设备堆栈的配置进行更改后,必须应用更改,然后更改才会在整个系统中 生效。请注意,设备必须有未应用的更改,否则此选项保持禁用。 请注意,如果您编辑接口并重新应用设备策略, Snort 重启设备上的所有接口实例,而不仅仅重 启您编辑的那些实例。 提示 可以从 Device Management 页面或从设备编辑器的 Interfaces 选项卡应用设备更改。 要将更改应用到设备,请执行以下操作:...
  • Page 135第4章 管理设备 管理设备组 步骤 3 点击 View Changes。 在新窗口中显示 Device Management Revision Comparison Report 页面。 步骤 4 点击 Previous 和...
  • Page 136 第4章 管理设备 管理设备组 添加设备组 许可证:任何环境 以下过程说明如何添加设备组,从而可以在多台设备上轻松应用策略和安装更新。 如果向组中添加堆栈或集群中的主设备,则会将两台设备均添加到该组中。如果将设备退栈或取 消集群,则两台设备均保留在该组中。 要创建设备组并向其添加设备,请执行以下操作: 访问:管理员/网络管理员 步骤 1 选择 Devices > Device Management。 系统将显示 Device...
  • Page 137第4章 管理设备 集群设备 步骤 5 点击 Add 将所选设备包含在设备组中。 步骤 6 要从设备组中移除所选设备,请点击删除图标 ( )。 步骤 7 点击 OK。 系统保存对设备组的更改。 删除设备组 许可证:任何环境...
  • Page 138 第4章 管理设备 集群设备 注意事项 请勿尝试在设备中安装思科未提供的硬盘驱动器。安装不受支持的硬盘驱动器可能会损坏设备。恶 意软件存储包套件仅可从思科购买,而且仅限用于 8000 系列设备。如果需要恶意软件存储包方面的 帮助,请与技术支持部门联系。有关详细信息,请参阅《FireSIGHT 系统恶意软件存储包指南》。 集群故障转移和维护模式 通过设备集群,系统手动或自动故障转移。通过使其中一个集群设备或堆栈进入维护模式,可以 手动触发故障转移。有关维护模式的详细信息,请参阅第 4-32 页上的使集群设备进入维护模式。 在主用设备或堆栈的运行状况受损之后、系统更新期间或具有管理员权限的用户关闭设备之后, 会发生自动故障转移。在主用设备或设备堆栈经历 NMSB 故障、...
  • Page 139第4章 管理设备 集群设备 路由式部署冗余 IP 网络中的主机必须使用众所周知的网关地址将流量发送到不同网络。在路由式部署中建立冗余 要求路由式接口共享网关地址,以便仅一个接口在任何指定时间处理该地址的流量。为此,必须 在虚拟路由器上保留相等数量的 IP 地址。一个接口通告地址。如果该接口发生故障,则备份接口 开始通告地址。 在非集群设备中,通过配置多个路由式接口之间共享的网关 IP 地址来使用 SFRP 建立冗余。可以在具 有或没有设备集群的情况下配置 SFRP。也可以使用动态路由协议(例如 OSPF 和...
  • Page 140 第4章 管理设备 集群设备 • 集群中的设备和堆栈必须匹配。必须将具有相同硬件配置的单一设备与单一设备进行集群,或 者将具有相同硬件配置的设备堆栈与设备堆栈进行集群,但存在恶意软件存储包时除外。例 如,可以将 3D8290 与 3D8290 进行集群;任一堆栈中无任何设备、一台设备或所有设备可能 具有已安装的恶意软件存储包。有关恶意软件存储包的详细信息,请参阅《FireSIGHT 系统恶 意软件存储包指南》。 注意事项 请勿尝试在设备中安装思科未提供的硬盘驱动器。安装不受支持的硬盘驱动器可能会损坏设备。恶意 软件存储包套件仅可从思科购买,而且仅限用于 8000 系列设备。如果需要恶意软件存储包方面的帮...
  • Page 141第4章 管理设备 集群设备 编辑设备集群 许可证:可控性 受支持的设备:3 系列 建立设备集群后,对设备配置进行的大多数更改还会更改整个集群的配置。 通过将指针悬停在 General 部分中状态图标的上方,可以查看集群的状态。还可以查看哪台设备 或堆栈是集群中的活动对等体和备份对等体。 有关详细信息,请参阅以下各节: • 第 4-43 页上的编辑常规设备设置 • 第 4-44...
  • Page 142 第4章 管理设备 集群设备 步骤 2 在要编辑配置的设备集群旁边,点击编辑图标 ( )。 系统将显示 Cluster 页面。 步骤 3 点击 Devices。 系统会显示“设备”页面。 步骤 4 从...
  • Page 143第4章 管理设备 集群设备 在集群设备上配置接口 许可证:可控性 受支持的设备:3 系列 可以在集群中的一台设备上配置接口。但是,还必须在集群中的对等设备上配置等效接口。对于 集群堆栈,请在堆栈的主设备上配置相同接口。配置虚拟路由器时,请选择要在其中配置路由器 的堆栈。有关详情,请参见第 7-7 页上的配置虚拟路由器。 集群设备的 Interfaces 页面包含在单个设备上找到的硬件和接口视图。有关详情,请参见第 4-52 页上的配置感应接口。 要在集群设备上配置接口,请执行以下操作: 访问:管理员/网络管理员 步骤...
  • Page 144 第4章 管理设备 集群设备 使集群设备进入维护模式 许可证:可控性 受支持的设备:3 系列 建立集群后,可以通过使其中一个集群设备或堆栈进入维护模式以对设备执行维护来手动触发故 障转移。在维护模式中,系统以管理方式中断除管理接口以外的所有接口。维护完成后,可以重 新启用设备以恢复正常运行。 注 不能同时使集群中的两个成员均进入维护模式。这样会阻止该集群检查流量。 要使集群设备进入维护模式,请执行以下操作: 访问:管理员/网络管理员 步骤 1 选择 Devices >...
  • Page 145第4章 管理设备 集群设备 步骤 7 再次点击切换维护模式图标 ( ) 使堆栈立即退出维护模式。 无需重新应用设备配置。 建立集群状态共享 许可证:可控性 受支持的设备:3 系列 集群设备或集群堆栈可通过集群状态共享同步尽可能多的状态,以便在设备或堆栈发生故障的情 况下,其他对等体可以接管而不中断流量。如果不进行状态共享,则以下功能可能无法正常执行 故障转移: • 严格 TCP...
  • Page 146 第4章 管理设备 集群设备 启用 点击该复选框以启用状态共享。清除该复选框以禁用状态共享。 Minimum Flow Lifetime 指定系统为会话发送任何同步消息之前该会话经过的最短时间(以毫秒为单位)。可以使用从 0 到 65535 的任何整数。系统不同步未达到最低流量生命周期的任何会话,并且,仅当连接接 收到数据包时系统才会同步。 Minimum Sync.Interval 指定会话的更新消息间隔的最短时间(以毫秒为单位)。可以使用从 0 到...
  • Page 147第4章 管理设备 集群设备 状态共享统计主要是发送和接收的集群同步流量的不同方面的计数器,以及一些其他错误计数 器。此外,可以查看集群中每台设备的最新系统日志。 有关可以查看的每台设备的统计以及如何能够将其用于对集群状态共享配置进行故障排除的详细 信息,请参阅以下各节。 Messages Received (Unicast) Messages received 是从集群对等体接收的集群同步消息的数量。 该值应该接近对等体发送的消息数。在活动使用期间,值可能不匹配,但应该接近。如果流 量停止,则值应该变得稳定,并且接收的消息会与发送的消息匹配。 要进行故障排除,应该同时查看接收的消息数和发送的消息数,比较增加率,并确保值接 近。每个对等体上的发送值应该以与反对等体上的接收值大致相同的速率递增。 如果接收的消息数停止递增或递增速度慢于对等体发送消息的速度,请与技术支持部门联系。 Packets Received...
  • Page 148 第4章 管理设备 集群设备 Bytes Sent Bytes sent 是组成发送到对等体的集群同步消息的发送的总字节数。 此数据在与接收的消息数比较的过程中有用。在活动使用期间,值可能不匹配,但应该接 近。在对等体上接收的字节数应该接近,但是不大于该值。 如果接收的总字节数不是以与发送的字节数大致相同的速率递增,请与技术支持部门联系。 Tx Errors Tx errors 是系统为要发送到集群对等体的消息分配空间时遇到的内存分配失败数。 该值在两个对等体上均应该始终为零。如果此数字不为零,或者如果数字稳定增大(表示系统 遇到无法分配内存错误),请与技术支持部门联系。 Tx...
  • Page 149第4章 管理设备 管理堆叠设备 分隔集群设备 许可证:可控性 受支持的设备:3 系列 中断设备集群时,主用设备或堆栈保留完整部署功能。除非选择保持接口配置处于活动状态,在 此情况下备份设备或堆栈会恢复正常操作,否则备份设备或堆栈会丢失其接口配置并故障转移到 主用设备或堆栈。中断集群始终移除备份设备上被动接口的配置。中断集群后,维护模式中的任 何设备都会恢复正常操作。 要分隔集群设备,请执行以下操作; 访问:管理员/网络管理员 步骤 1 选择 Devices > Device Management。...
  • Page 150 第4章 管理设备 管理堆叠设备 • 3D8370(一台具有 40G 容量的主设备和两台辅助设备) • 3D8390(一台具有 40G 容量的主设备和三台辅助设备) 有关堆叠配置的详细信息,请参阅《FireSIGHT 系统安装指南》。有关恶意软件存储包的详细信 息,请参阅《FireSIGHT 系统恶意软件存储包指南》。 注意事项 请勿尝试在设备中安装思科未提供的硬盘驱动器。安装不受支持的硬盘驱动器可能会损坏设备。 恶意软件存储包套件仅可从思科购买,而且仅限用于 8000...
  • Page 151第4章 管理设备 管理堆叠设备 建立设备堆栈 许可证:任何环境 受支持的设备:3D8140、3D8200 子系列、3D8300 子系列、3D9900 可以通过堆叠两个基于光纤的 3D9900、两个 3D8140 设备、最多四个 3D8250、一个 3D8260、一 个 3D8270、一个 3D8290、最多四个 3D8350、一个 3D8360、一个 3D8370...
  • Page 152 第4章 管理设备 管理堆叠设备 步骤 5 点击 Add 以选择要用于组成堆栈的设备。 系统将显示 Add Secondary Connection 弹出窗口。下图显示 3D8140 的主设备的前视图。 步骤 6 从 Slot...
  • Page 153第4章 管理设备 管理堆叠设备 配置堆栈中的单台设备 许可证:任何环境 受支持的设备:3D8140、3D8200 子系列、3D8300 子系列、3D9900 建立设备堆栈后,仍可以仅配置堆栈内一台设备的部分属性。在设备编辑器的 Devices 页面上, 可以按照与单台设备的 Devices 页面上相同的方式对堆栈中配置的设备进行更改。 可以更改设备的显示名称,查看系统设置,关闭或重新启动设备,查看运行状况信息,以及编辑 设备管理设置。 有关详细信息,请参阅以下各节: • 第 4-43...
  • Page 154 第4章 管理设备 编辑设备配置 步骤 2 在要配置接口的堆叠设备旁边,点击编辑图标 ( )。 系统将显示该设备的 Stack 页面。 步骤 3 点击 Interfaces。 系统将显示 Interfaces 页面。 步骤...
  • Page 155第4章 管理设备 编辑设备配置 • 第 4-46 页上的编辑设备管理设置 • 第 4-47 页上的了解高级设备设置 编辑常规设备设置 许可证:任何环境 Device 选项卡的 General 部分显示以下列出的受管设备设置,您可以更改这些设置。 字段名称 为受管设备分配的名称。 Transfer...
  • Page 156 第4章 管理设备 编辑设备配置 启用和禁用设备许可证 许可证:任何环境 受支持的设备:3 系列、虚拟设备、 X -系列和 ASA FirePOWER 如果在防御中心上有可用的许可证,则可以启用设备上的许可证。请注意: • 可控性、恶意软件和 URL 过滤许可证需要保护许可证。 • 不能在虚拟设备、用于 Blue...
  • Page 157第4章 管理设备 编辑设备配置 编辑设备系统设置 许可证:任何环境 Device 选项卡的 System 部分显示只读系统信息表,如下表中所述。 表 4-2 System 部分表字段 字段 说明 型号 受管设备的型号名称和编号。 串行 受管设备的机箱的序列号。 时间...
  • Page 158 第4章 管理设备 编辑设备配置 查看设备的运行状况 许可证:任何环境 Device 选项卡的 Health 部分显示运行状况相关信息。可以查看显示受管设备的当前运行状况的图 标。也可以点击该图标以导航至该设备的 Health Monitor 页面。有关详情,请参见第 68-38 页上 的解释运行状况监视器状态。 可以点击 Policy 链接查看当前应用的运行状况策略的只读版本。有关详情,请参见第...
  • Page 159第4章 管理设备 编辑设备配置 步骤 5 在 Host 字段中,输入管理主机的名称或 IP 地址。 步骤 6 点击 Save。 已保存您的更改。请注意,应用设备配置后,更改才会生效;有关详细信息,请参阅第 4-22 页上 的对设备应用更改。 了解高级设备设置 许可证:任何环境...
  • Page 160 第4章 管理设备 编辑设备配置 如果您从低于 5.3 的版本升级,则会保留现有设置。如果选择该选项,则可以更改旁路阈值。默 认设置为 3000 毫秒 (ms)。有效范围为 250 ms 到 60,000 ms。 通常,在超过延迟阈值后使用入侵策略中的 Rule Latency Thresholding...
  • Page 161第4章 管理设备 编辑设备配置 步骤 8 或者,配置快速路径规则。有关详细信息,请参阅第 4-49 页上的配置快速路径规则。 步骤 9 点击 Save。 已保存您的更改。请注意,应用设备配置后,更改才会生效;有关详细信息,请参阅第 4-22 页上 的对设备应用更改。 配置快速路径规则 许可证:任何环境 受支持的设备:8000 系列、3D9900...
  • Page 162 第4章 管理设备 编辑设备配置 步骤 3 点击 Device。 系统将显示 Devices 选项卡。 步骤 4 在 Advanced 部分旁边,点击编辑图标 ( )。 系统将显示 Advanced...
  • Page 163第4章 管理设备 编辑设备配置 请注意,最外层的 VLAN ID 用于快速路径规则。 提示 要编辑现有快速路径规则,请点击规则旁边的编辑图标 ( )。 要添加 IPv6 快速路径规则,请执行以下操作: 访问:管理员/网络管理员 步骤 1 选择 Devices >...
  • Page 164 第4章 管理设备 配置感应接口 删除快速路径规则 许可证:任何环境 受支持的设备:8000 系列、3D9900 以下过程说明如何删除任何 IPv4 或 IPv6 快速路径规则。 要删除任何快速路径规则,请执行以下操作: 访问:管理员/网络管理员 步骤 1 选择 Devices >...
  • Page 165第4章 管理设备 配置感应接口 下表说明如何使用物理硬件视图。 表 4-4 使用硬件视图 要...... 您可以...... 查看网络模块的类型、部件号和序列号 将光标悬停在网络模块左下角的黑色圆 圈上方。 在接口表视图中选择接口 点击接口。 打开接口编辑器 双击接口。 查看接口的名称、接口的类型、接口是否具有链路、 将光标悬停在接口上方。 接口的速度设置,以及接口当前是否处于旁路模式 查看有关错误或警告的详细信息...
  • Page 166 第4章 管理设备 配置感应接口 表 4-5 接口表视图字段 (续) 字段 说明 MAC 地址 为交换式和路由式功能启用接口时,所显示的该接口的 MAC 地址。 对于虚拟设备,会显示 MAC 地址,以便可以将设备上配置的网络适配器与 Interfaces 页面上显示的接口匹配。用于...
  • Page 167第4章 管理设备 配置感应接口 • 第 6-1 页上的设置虚拟交换机 • 第 7-1 页上的设置虚拟路由器 • 第 8-1 页上的设置汇聚接口 • 第 9-1 页上的设置混合接口 配置高可用性链路接口...
  • Page 168 第4章 管理设备 配置感应接口 步骤 9 点击 Save。 已保存您的更改。请注意,应用设备配置后,更改才会生效;有关详细信息,请参阅第 4-22 页上 的对设备应用更改。 配置感应接口 MTU 许可证:任何环境 如果更改接口或内联集上的最大传输单位 (MTU),则以下功能可能会受影响: • 流量检查,包括应用感知和控制、URL 过滤、入侵检测和防御以及连接日志记录...
  • Page 169第4章 管理设备 配置感应接口 注 既不能更改 ASA FirePOWER 接口的类型,也不能从 FireSIGHT 防御中心禁用接口。 要编辑 ASA FirePOWER 接口,请执行以下操作: 访问:管理员/网络管理员 步骤 1 选择 Devices >...
  • Page 170 第4章 管理设备 配置感应接口 防止连接日志记录重复 许可证:任何环境 更新安全区域对象时,系统会保存对象的新版本。因此,如果同一安全区域中的受管设备具有接 口中配置的安全区域对象的不同修订版本,则可记录看似重复的连接。 如果发现重复连接报告,可以将所有受管设备更新为使用该对象的同一版本。 要跨设备同步安全区域对象修订版本,请执行以下操作: 访问:管理员/网络管理员 步骤 1 选择 Devices > Device Management。 系统将显示 Device...
  • Page 171: 设置 IPS 设备 第 5 章 设置 IPS 设备 您可以被动或内联 IPS 部署方式配置设备。在被动部署中,您可以在网络流量的带外部署系统。 在内联部署中,您可以将两个端口绑定在一起,从而在网段上透明配置系统。 以下各节介绍如何在 FireSIGHT 系统中配置设备进行被动和内联部署: • 第 5-1 页上的了解被动 IPS 部署...
  • Page 172 第5章 设置 IPS 设备 了解内联 IPS 部署 注意事项 更改最大传输单位 (MTU) 会中断设备流量。 MTU 的设置范围可能因 FireSIGHT 系统设备型号和 接口类型而异。有关详情,请参见第 4-56 页上的配置感应接口 MTU。...
  • Page 173第5章 设置 IPS 设备 配置内联接口 配置内联接口 许可证:保护 您可以将受管设备的一个或多个物理端口配置为内联接口。在一对内联接口处理内联部署中的流 量之前,必须将这对内联接口分配给内联集。 请注意,如果您编辑接口并重新应用设备策略, Snort 重启设备上的所有接口实例,而不仅仅重 启您编辑的那些实例。此外,请注意,如果您将内联对中的接口设置为不同的速度或者接口协商 为不同的速度,系统将向您发出警报。 安装思科软件包时,可以将 用于 Blue Coat X-系列的思科 NGIPS接口配置为被动或内联接口。您...
  • Page 174 第5章 设置 IPS 设备 配置内联集 步骤 10 点击 Save。 内联接口配置成功。请注意,应用设备配置后,更改才会生效;有关详细信息,请参阅第 4-22 页 上的对设备应用更改。 配置内联集 许可证:保护 在内嵌部署使用内联接口之前,必须配置内联集和分配内联接口对。内联集是设备上的一个或多 个内联接口对的集合;一个内联接口对每次只能属于一个内联集。 您可以将受管设备上的接口配置为在您网络上的主机和外部主机之间通过不同的内联接口对路由 流量,具体取决于设备流量是入站流量还是出站流量。这是异步路由配置。如果您部署异步路...
  • Page 175第5章 设置 IPS 设备 配置内联集 注 如果将多个接口对分配到单个内联接口集,但在复制流量时遇到问题,则重新配置以帮助系统唯 一地识别数据包。例如,您可以重新指定接口对以分隔内联集或修改您的安全区域。 对于有内联集的设备,在设备重新启动后,自动设置软件网桥传输数据包。如果设备正在重新启 动,没有任何软件网桥在运行。如果在内联集中开启旁路模式,在设备重新启动时将变为硬件旁 路模式。在这种情况下,当系统出现故障并恢复运行时,可能由于设备链路的重新协商丢失了几 秒钟的数据包。但是,当 Snort 重新启动时,系统会传递流量。 注意事项 您对现有内联集的更改可能会将阻断设备的流量。更改最大传输单位 (MTU) 会中断设备的流量; 一些数据包未经检测即被传输和丢弃。 MTU...
  • Page 176 第5章 设置 IPS 设备 配置内联集 要添加内联集,请执行以下操作: 访问:管理员/网络管理员 步骤 1 选择 Devices > Device Management。 系统将显示 Device Management 页面。 步骤...
  • Page 177第5章 设置 IPS 设备 配置内联集 配置高级内联集选项 许可证:保护 受支持的设备:因功能而异 在配置内联集时可以考虑使用多个选项。有关各个选项的详细信息,请参阅以下各节。 分路模式 受支持的设备:3 系列、3D9900 当您创建一个内联或带有失效开放接口集的内联时,分路模式在 3D9900 和 3 系列设备上可用。 在分路模式下,设备部署内联,但是包级流不通过设备,而是每个数据包副本发送到设备,并且 网络流量不会受到干扰。由于您使用的是数据包副本而不是数据包本身,设置为丢弃的规则和使 用替换关键字的规则不会影响包数据流。但是,这些类型的规则在触发时会生成入侵事件,而且...
  • Page 178 第5章 设置 IPS 设备 配置内联集 严格 TCP 执行 受支持的设备:3 系列 为最大程度地提高 TCP 的安全性,可以启用严格执行,以阻断三次握手尚未完成的连接。严格执 行功能也阻止: • 三次握手尚未完成的连接的非 SYN TCP 数据包...
  • Page 179第5章 设置 IPS 设备 配置内联集 删除配置为失效开放的光纤内联集的旁路模式 许可证:保护 受支持的设备:2 系列(除了 3D9900) 在将光纤内联集配置为失效开放的 2 系列设备上启用链路状态传播并且设备进入旁路模式时,所 有网络流量通过内联集,无需进行分析。当链路恢复,配置为失效开放的大多数光纤内联集不会 从旁路自动返回。您可以使用命令行工具强制内联集退出旁路模式。 此工具在将光纤内联接口配置为失效开放的内联集中工作。在将铜内联接口设置为失效开放的内 联集上,不必使用该工具。 注 如果您对设备上配置为失效开放的内联集有任何问题,请联系支持人员。 要强制将设备上配置为失效开放的光纤内联集退出旁路模式,请执行以下操作:...
  • Page 180 第5章 设置 IPS 设备 为 Blue Coat X 系列接口配置思科 NGIPS 为 Blue Coat X 系列接口配置思科 NGIPS 许可证:保护 受支持的设备:X -系列...
  • Page 181: 设置虚拟交换机 第 6 章 设置虚拟交换机 可以在第二层部署配置受管设备,使它在两个或多个网络之间提供数据包交换。在第二层部署, 可以在受管设备上将虚拟交换机配置为独立运行的广播域,将网络划分为多个逻辑分段。虚拟交 换机根据主机的媒体访问控制 (MAC) 地址来确定在哪里发送数据包。 当配置虚拟交换机时,交换机起初会通过交换机的每个可用端口来广播数据包。随着时间的推 移,交换机使用标记的回传流量了解哪些主机驻留在连接到每个端口的网络上。 虚拟交换机必须包含两个或多个交换接口来处理流量。对于每个虚拟交换机,配置作为交换接口 的组端口的流量受到限制。例如,如果用四个交换接口配置虚拟交换机,通过某个广播端口发送 的数据包只能通过交换机的其余三个端口转发出去。 配置物理交换接口时,必须将它分配到虚拟交换机。还可以根据需要在物理端口定义其他逻辑交 换接口。在 3 系列受管设备上,可将多个物理接口组合到一个称为链路聚合组 (LAG)...
  • Page 182 第6章 设置虚拟交换机 配置交换接口 有关详细信息,请参阅以下各节: • 第 6-2 页上的配置物理交换接口 • 第 6-3 页上的添加逻辑交换接口 • 第 6-4 页上的删除逻辑交换接口 配置物理交换接口 许可证:可控性 受支持的设备:3...
  • Page 183第6章 设置虚拟交换机 配置交换接口 步骤 10 在 MTU 字段中,键入最大传输单位 (MTU),它指定允许的最大数据包。 MTU 的设置范围可能因 FireSIGHT 系统设备型号和接口类型而异。有关详情,请参见第 4-56 页 上的配置感应接口 MTU。 步骤 11 点击...
  • Page 184 第6章 设置虚拟交换机 配置虚拟交换机 步骤 10 在 MTU 字段中,键入最大传输单位 (MTU),它指定允许的最大数据包。 MTU 的设置范围可能因 FireSIGHT 系统设备型号和接口类型而异。有关详情,请参见第 4-56 页 上的配置感应接口 MTU。 步骤 11...
  • Page 185第6章 设置虚拟交换机 配置虚拟交换机 • 第 6-6 页上的配置高级虚拟交换机设置 • 第 6-8 页上的删除虚拟交换机 查看虚拟交换机 许可证:可控性 受支持的设备:3 系列 Device Management 页面的 Virtual Switches...
  • Page 186 第6章 设置虚拟交换机 配置虚拟交换机 要添加虚拟交换机,请执行以下操作: 访问:管理员/网络管理员 步骤 1 选择 Devices > Device Management。 系统将显示 Device Management 页面。 步骤 2 在需要添加虚拟交换机的设备旁,点击编辑图标...
  • Page 187第6章 设置虚拟交换机 配置虚拟交换机 如果虚拟交换机在 VLAN 之间路由,类似于单臂路由, BPDU 将通过不同的逻辑交换接口进出设 备,但是在同一个物理交换接口。因此, STP 确认设备为冗余网络环路,可在特定第二层部署产生 问题。为了防止这种情况出现,可在域级别配置虚拟交换机,让设备在监控流量时删除 BPDU。 注 思科强烈建议在配置计划于设备集群中部署的虚拟交换机时启用 STP。 为最大程度地提高 TCP 的安全性,可以启用严格执行,以阻断三次握手尚未完成的连接。严格执 行功能也阻止:...
  • Page 188 第6章 设置虚拟交换机 配置虚拟交换机 步骤 11 或者,选择 Strict TCP Enforcement 来启用严格 TCP 执行。 如果将虚拟交换机与逻辑混合接口关联,则不会显示此选项,并且交换机使用与该逻辑混合接口 关联的虚拟路由器相同的设置。 步骤 12 或者,选择 Drop BPDUs以在域级别删除...
  • Page 189: 设置虚拟路由器 第 7 章 设置虚拟路由器 可在第 3 层部署中配置受管设备,使其在两个或多个接口之间路由流量。必须为每个接口分配一 个 IP 地址,并将这些接口分配给虚拟路由器以路由流量。在 3 系列受管设备上,可将多个物理接 口分组到单个逻辑路由接口中,这称为链路聚合组 (LAG)。此单个聚合逻辑链路在两个端点之间 提供更高的带宽、冗余和负载均衡。 可对系统进行配置,使其根据目标地址做出数据包转发决策,从而对数据包进行路由。配置为路 由接口的接口将接收和转发第 3 层流量。路由器根据转发条件从输出接口获取目标,访问控制规...
  • Page 190 第7章 设置虚拟路由器 配置路由接口 有关详细信息,请参阅以下各节: • 第 7-2 页上的配置物理路由接口 • 第 7-4 页上的添加逻辑路由接口 • 第 7-6 页上的删除逻辑路由接口 • 第 7-6...
  • Page 191第7章 设置虚拟路由器 配置路由接口 步骤 8 从 Mode 下拉列表中,选择一个选项来指定链路模式或选择 Autonegotiation 来指定将该接口配置为 自动协商速度和双工设置。请注意,模式设置仅适用于铜接口。 注 8000 系列设备上的接口不支持半双工选项。 步骤 9 从 MDI/MDIX 下拉列表中,选择一个选项来指定将接口配置为 MDI(媒体依赖接口)、MDIX...
  • Page 192 第7章 设置虚拟路由器 配置路由接口 步骤 22 点击 Save。 物理路由接口配置成功。请注意,只有应用设备配置,更改才会生效;请参阅第 4-22 页上的对设 备应用更改。 添加逻辑路由接口 许可证:可控性 受支持的设备:3 系列 对于每个物理路由接口,可添加多个逻辑路由接口。必须将每个逻辑接口与 VLAN 标记关联,以 处理物理接口接收的带有该特定标记的流量。必须向虚拟路由器分配逻辑路由接口以路由流量。...
  • Page 193第7章 设置虚拟路由器 配置路由接口 步骤 9 选择 Enabled 复选框,以使路由接口处理流量。 如清除此复选框,则将禁用并强制性断开该接口。如果禁用物理接口,则会同时禁用与其相关的 所有逻辑接口。 步骤 10 在 MTU 字段中,键入最大传输单位 (MTU),它指定允许的最大数据包。请注意, MTU 是第 2 层...
  • Page 194 第7章 设置虚拟路由器 配置路由接口 删除逻辑路由接口 许可证:可控性 受支持的设备:3 系列 删除逻辑路由接口时,会将它从其所驻留的物理接口删除,并会删除分配给它的的虚拟路由器和 安全区域。 要删除路由接口,请执行以下操作: 访问:管理员/网络管理员 步骤 1 选择 Devices > Device Management。 系统将显示...
  • Page 195第7章 设置虚拟路由器 配置虚拟路由器 步骤 2 在要为其配置 SFRP 的设备旁,点击编辑图标 ( )。 系统将显示该设备的 Interfaces 选项卡。 步骤 3 在要为其配置 SFRP 的接口旁,点击编辑图标 ( )。...
  • Page 196 第7章 设置虚拟路由器 配置虚拟路由器 查看虚拟路由器 许可证:可控性 受支持的设备:3 系列 Device Management 页面的 Virtual Routers 选项卡 (Devices > Device Management > Virtual...
  • Page 197第7章 设置虚拟路由器 配置虚拟路由器 • 第 7-14 页上的设置 RIP 配置 • 第 7-19 页上的设置 OSPF 配置 • 第 7-26 页上的设置虚拟路由器过滤条件 •...
  • Page 198 第7章 设置虚拟路由器 配置虚拟路由器 设置 DHCP 中继 许可证:可控性 受支持的设备:3 系列 DHCP 提供 Internet 主机的配置参数。尚未获得 IP 地址的 DHCP 客户端不能直接与广播域之外的 DHCP 服务器通信。要使...
  • Page 199第7章 设置虚拟路由器 配置虚拟路由器 设置 DHCPv6 中继 许可证:可控性 受支持的设备:3 系列 以下步骤介绍如何在虚拟路由器上设置 DHCPv6 中继。 注 不能通过在同一设备上运行的两个或多个虚拟路由器运行 DHCPv6 中继链。 要设置 DHCPv6 中继,请执行以下操作: 访问:管理员/网络管理员...
  • Page 200 第7章 设置虚拟路由器 配置虚拟路由器 有关详细信息,请参阅以下各节: • 第 7-12 页上的了解静态路由表视图 • 第 7-12 页上的添加静态路由 了解静态路由表视图 许可证:可控性 受支持的设备:3 系列 Virtual Router 编辑器的...
  • Page 201第7章 设置虚拟路由器 配置虚拟路由器 步骤 4 在要向其添加静态路由的虚拟路由器旁,点击编辑图标 ( )。 系统将显示 Edit Virtual Router 弹出窗口。 步骤 5 点击 Static 以显示静态路由选项。 步骤 6...
  • Page 202 第7章 设置虚拟路由器 配置虚拟路由器 设置 RIP 配置 许可证:可控性 受支持的设备:3 系列 路由信息协议 (RIP) 是一种动态路由协议,专为小型 IP 网络设计,它依靠跳数确定路由。最佳路 由采用的跳数最少。 RIP 允许的最大跳数为 15。此跳数限值也限制 RIP...
  • Page 203第7章 设置虚拟路由器 配置虚拟路由器 步骤 9 在 Metric 字段中,键入接口的度量值。如有来自不同 RIP 实例的路由可用且它们都有相同的优先 级,则度量值最低的路由会成为首选路由。 步骤 10 从 Mode 下拉列表中,选择下列选项之一。 • Multicast - 默认模式。在此模式下,RIP...
  • Page 204 第7章 设置虚拟路由器 配置虚拟路由器 配置 RIP 配置的高级设置 许可证:可控性 受支持的设备:3 系列 可配置与影响协议行为的各种超时值和其他功能相关的高级 RIP 设置。 注意事项 如将任一高级 RIP 设置更改为错误值,将导致路由器无法与其他 RIP 路由器成功通信。 要配置...
  • Page 205第7章 设置虚拟路由器 配置虚拟路由器 添加 RIP 配置的导入过滤条件 许可证:可控性 受支持的设备:3 系列 可添加导入过滤条件,以指定在由 RIP 进入路由表时,哪些路由会被接受或拒绝。导入过滤条件 的应用顺序与其在表中的出现顺序相同。 在添加导入过滤条件时,请使用在虚拟路由器上配置的过滤条件之一。有关配置过滤条件的详细 信息,请参阅第 7-26 页上的设置虚拟路由器过滤条件。 提示 要编辑 RIP...
  • Page 206 第7章 设置虚拟路由器 配置虚拟路由器 添加 RIP 配置的导出过滤条件 许可证:可控性 受支持的设备:3 系列 可添加导出过滤条件,以指定在从路由表导出至 RIP 时,哪些路由会被接受或拒绝。导出过滤条 件的应用顺序与其在表中的出现顺序相同。 在添加导出过滤条件时,请使用在虚拟路由器上配置的过滤条件之一。有关配置过滤条件的详细 信息,请参阅第 7-26 页上的设置虚拟路由器过滤条件。 要添加 RIP...
  • Page 207第7章 设置虚拟路由器 配置虚拟路由器 设置 OSPF 配置 许可证:可控性 受支持的设备:3 系列 开放最短路径优先 (OSPF) 是一个自适应路由协议,它使用链路状态通告获取来自其他路由器的 信息并向其他路由器通告路由,从而动态地确定路由。路由器会保留其与目标之间的链路信息, 以做出路由决定。 OSPF 向每个路由接口分配一个开销,并将开销最低的路由视为最佳路由。 有关详细信息,请参阅以下各节: • 第 7-19...
  • Page 208 第7章 设置虚拟路由器 配置虚拟路由器 步骤 4 在要向其添加 OSPF 常规选项的虚拟路由器旁,点击编辑图标 ( )。 系统将显示 Edit Virtual Router 弹出窗口。 步骤 5 点击 Dynamic...
  • Page 209第7章 设置虚拟路由器 配置虚拟路由器 接口 选择要为其配置 OSPF 的接口。已从 Interfaces 选项卡中禁用的接口将无法使用 类型 从以下选项中选择 OSPF 接口的类型︰ – Broadcast - 在广播网络中,泛洪和呼叫消息使用组播发送,即同一数据包会发送给所有 邻居。此选项指定路由器负责同步链路状态数据库并发起网络链路状态通告。此网络类 型不能用在物理上非广播多路访问 (NBMP)...
  • Page 210 第7章 设置虚拟路由器 配置虚拟路由器 Wait Time 键入路由器在开始选举和建立邻接关系之间等待的时间,单位为秒。 Dead Interval 键入当路由器未收到来自邻居的消息时,在宣告邻居崩溃之前需等待的时间,单位为秒。如 已定义该值,则它会覆盖由失效计数计算而来的值。 Dead Count 键入一个数字值,该值与 问询间隔的乘积会指定当路由器未收到来自邻居的消息时,在宣告 邻居崩溃之前需等待的时间,单位为秒。 要编辑 OSPF 区域接口,请点击编辑图标 (...
  • Page 211第7章 设置虚拟路由器 配置虚拟路由器 提示 要编辑邻居,请点击编辑图标 ( )。要删除邻居,请点击删除图标 ( )。 步骤 15 点击 OK。 OSPF 区域接口添加成功。 步骤 16 点击 Save。 OSPF...
  • Page 212 第7章 设置虚拟路由器 配置虚拟路由器 步骤 10 在 Router ID 字段中,键入路由器的 IP 地址。 步骤 11 从 Authentication下拉列表中,选择虚拟链路将使用的身份验证配置文件。 步骤 12 在 Hello...
  • Page 213第7章 设置虚拟路由器 配置虚拟路由器 步骤 7 在 Import Filters 下方,点击添加图标 ( )。 系统将显示 Add Import Filter 弹出窗口。 步骤 8 从 Name...
  • Page 214 第7章 设置虚拟路由器 配置虚拟路由器 步骤 10 点击 OK。 导出过滤条件添加成功。 提示 要更改导出过滤条件的顺序,请根据需要点击上移 ( ) 和下移 ( ) 图标。也可在列表中上下拖 动过滤条件。 步骤 11...
  • Page 215 第7章 设置虚拟路由器 配置虚拟路由器 表 7-3 虚拟路由器过滤条件表视图字段(续) 字段 说明 OSPF Path Type 仅适用于 OSPF 协议。路径类型可是以下其中一项: • Ext-1 • Ext-2 • Inter...
  • Page 216 第7章 设置虚拟路由器 配置虚拟路由器 步骤 15 点击添加。 Destination Network 字段填充成功。 步骤 16 如已选择 All 或 OSPF 作为协议,则在 Path Type 下方,选择适用于该过滤条件的选项。...
  • Page 217第7章 设置虚拟路由器 配置虚拟路由器 步骤 6 点击 Add Authentication Profile。 系统将显示 Add Authentication Profile 弹出窗口。 步骤 7 在 Authentication Profile Name...
  • Page 218 第7章 设置虚拟路由器 配置虚拟路由器 要删除虚拟路由器,请执行以下操作︰ 访问:管理员/网络管理员 步骤 1 选择 Devices > Device Management。 系统将显示 Device Management 页面。 步骤 2 在要为其删除虚拟路由器的设备旁,点击编辑图标...
  • Page 219: 设置汇聚接口 第 8 章 设置汇聚接口 您可以将多个物理以太网接口组合到3 系列 受管设备上的单一逻辑链路,这些设备或者在提供网 络间数据包交换的第 2 层部署中配置,或者在路由接口间流量的第 3 层部署中配置。此单一汇聚 逻辑链路在两个终端之间提供更高的带宽、冗余和负载均衡。 可以通过创建一个交换或路由链路汇聚组或 LAG 来创建汇聚链路。当创建汇聚组时,会创建称 为汇聚接口的逻辑接口。对一个上层实体而言, LAG 看起来像单一逻辑链路,并且数据流量通过...
  • Page 220 第8章 设置汇聚接口 配置 LAG 当您创建交换或路由汇聚接口时,会自动创建同一类型的链路汇聚组并进行编号。例如,当您创建 第一个 LAG(交换或路由)时,此汇聚接口可以使用受管设备的 Interfaces 选项卡上的 lag0 标签进行 识别。将物理和逻辑接口与此 LAG 相关联时,在分层树菜单中的主要 LAG 下面以嵌套方式显示这 些接口。请注意,交换 LAG 只能包含交换的物理接口,路由...
  • Page 221第8章 设置汇聚接口 配置 LAG • Source and Destination IP • Source and Destination MAC • Source and Destination Port 注...
  • Page 222 第8章 设置汇聚接口 配置 LAG 配置 LACP 许可证:可控性 受支持的设备:3 系列 链路汇聚控制协议 (LACP) 作为 IEEE 802.3ad 的组件,是交换系统和端口信息以创建和维护 LAG 捆绑包的一种方法。当启用 LACP 时,在...
  • Page 223第8章 设置汇聚接口 配置 LAG 要配置交换 LAG 接口,请执行以下操作: 访问:管理员/网络管理员 步骤 1 选择 Devices > Device Management。 系统将显示 Device Management 页面。 步骤...
  • Page 224 第8章 设置汇聚接口 配置 LAG 步骤 13 从 Link Selection Policy 下拉列表中选择支持您的部署方案的选项 :Highest Port Count(冗余)、 Highest Total Bandwidth(速度)、Stable(维护链路状态下没有额外更改)或者 LACP Priority(自...
  • Page 225第8章 设置汇聚接口 配置 LAG 注意事项 更改最大传输单位 (MTU) 会中断设备上的流量并造成丢包。 MTU 的设置范围可能因 FireSIGHT 系统设备型号和接口类型而异。有关详情,请参见第 4-56 页上的配置感应接口 MTU。 要编辑现有路由 LAG 接口,请点击接口旁的编辑图标 ( )。...
  • Page 226 第8章 设置汇聚接口 配置 LAG 步骤 14 在 Address 字段中,使用 CIDR 表示法键入路由 LAG 接口的 IP 地址和子网掩码。请注意: • 不能添加网络和广播地址,或静态 MAC 地址...
  • Page 227第8章 设置汇聚接口 配置 LAG 注 在 FireSIGHT 系统设备与第三方网络设备之间配置汇聚接口时,请选择 LACP Priority。 步骤 25 从 Tunnel Level 下拉列表中选择支持您的部署方案的选项(可以是 Inner 或 Outer)。 请注意,在配置第...
  • Page 228 第8章 设置汇聚接口 配置 LAG 注意事项 如果更改最大传输单位 (MTU),则将中断设备上已路由或已交换的流量,并丢弃数据包。 MTU 的设置范围可能因 FireSIGHT 系统设备型号和接口类型而异。有关详情,请参见第 4-56 页上的配 置感应接口 MTU。 要编辑现有逻辑 LAG 接口,请点击接口旁的编辑图标 (...
  • Page 229第8章 设置汇聚接口 配置 LAG 步骤 2 点击要查看逻辑汇聚接口统计数据所在设备旁的编辑图标 ( )。 系统将显示该设备的 Interfaces 选项卡。 步骤 3 点击要查看接口统计数据所在接口旁的视图图标 ( )。 系统将显示 Statistics 弹出窗口。...
  • Page 230 第8章 设置汇聚接口 配置 LAG FireSIGHT 系统用户指南 8-12
  • Page 231: 设置混合接口 第 9 章 设置混合接口 在使 FireSIGHT 系统在虚拟路由器与虚拟交换机之间桥接流量的受管设备上,可配置逻辑混合接 口。如果虚拟交换机接口收到的 IP 流量发送至关联混合逻辑接口的 MAC 地址,则系统将其作为 第 3 层流量处理,并根据目标 IP 地址对该流量进行路由或做出响应。如果系统收到任何其他流 量,则将其作为第 2...
  • Page 232 第9章 设置混合接口 添加逻辑混合接口 步骤 3 从 Add 下拉菜单中,选择 Add Logical Interface。 系统将显示 Add Interface 弹出窗口。 步骤 4 点击 Hybrid,系统将显示混合接口选项。...
  • Page 233第9章 设置混合接口 添加逻辑混合接口 删除逻辑混合接口 许可证:可控性 受支持的设备:3 系列 以下步骤说明如何删除逻辑混合接口。 要删除混合接口,请执行以下操作: 访问:管理员/网络管理员 步骤 1 选择 Devices > Device Management。 系统将显示 Device Management...
  • Page 234 第9章 设置混合接口 添加逻辑混合接口 FireSIGHT 系统用户指南 9-4
  • Page 235: 使用网关 VPN 第 10 章 使用网关 VPN 虚拟专用网络 (VPN) 是一种网络连接,通过诸如 Internet 或其他网络之类公共资源在终端之间建 立安全隧道。可将 FireSIGHT 系统配置为在思科受管设备的虚拟路由器之间构建的安全 VPN 隧 道。系统利用互联网协议安全 (IPSec) 协议套件建立隧道。 在思科...
  • Page 236 第 10 章 使用网关 VPN 了解 VPN 部署 了解 IKE FireSIGHT 系统使用 IKE 协议对两个网关共同进行身份验证,并为隧道协商 SA。此流程包含两 个阶段。 IKE 阶段 1...
  • Page 237第 10 章 使用网关 VPN 了解 VPN 部署 在典型星型部署中,集线器节点位于总部。叶节点位于分支机构并发起大部分流量。每个节点均 必须属于支持 VPN 的受管设备。 请注意,星型部署仅支持 IKE 第 2 版。 以下图表显示了一个典型的星型 VPN 部署。...
  • Page 238 第 10 章 使用网关 VPN 管理 VPN 部署 有关详情,请参见第 10-9 页上的配置网格 VPN 部署。 管理 VPN 部署 许可证:VPN 受支持的设备:3 系列...
  • Page 239 第 10 章 使用网关 VPN 管理 VPN 部署 表 10-1 VPN 部署管理操作 要...... 您可以...... 新建 VPN 部署 点击 Add。有关详情,请参见第 10-5...
  • Page 240 第 10 章 使用网关 VPN 管理 VPN 部署 Pre-shared Key 定义一个用于身份验证的唯一预共享密钥。系统会将该密钥用于部署中的所有 VPN,除非为 每个终端对指定一个预共享密钥。 设备 可选择一台受管设备,包括设备堆栈或集群,作为部署的终端。对于思科受管设备(不受正在 使用的防御中心管理),请选择 Other,然后为此终端指定一个 IP 地址。...
  • Page 241第 10 章 使用网关 VPN 管理 VPN 部署 提示 要编辑现有点对点部署,请点击部署旁边的编辑图标 ( )。在最初保存部署之后,不能编辑部署 类型。两个用户不应同时编辑同一部署;然而,请注意,网络界面不会阻止同时编辑。 要配置点对点 VPN 部署,请执行以下操作: 访问:管理员/网络管理员 步骤 1 选择...
  • Page 242 第 10 章 使用网关 VPN 管理 VPN 部署 类型 单击 Star 指定正在配置星型部署。 Pre-shared Key 定义一个用于身份验证的唯一预共享密钥。 设备 可选择一台受管设备,包括设备堆栈或集群,作为部署的终端。对于思科受管设备(不受正在 使用的防御中心管理),请选择 Other,然后为此终端指定一个...
  • Page 243第 10 章 使用网关 VPN 管理 VPN 部署 要配置星型部署,请执行以下操作: 访问:管理员/网络管理员 步骤 1 选择 Devices > VPN。 系统将显示 VPN 页面。 步骤...
  • Page 244 第 10 章 使用网关 VPN 管理 VPN 部署 字段名称 为部署提供一个唯一名称。 类型 点击 Mesh 指定正在配置网格部署。 Pre-shared Key 定义一个用于身份验证的唯一预共享密钥。 设备 可选择一台受管设备,包括设备堆栈或集群,作为部署的终端。对于思科受管设备(不受正在...
  • Page 245第 10 章 使用网关 VPN 管理 VPN 部署 提示 要编辑现有网格部署,请点击此部署旁边的编辑图标 ( )。在最初保存部署之后,不能编辑部署 类型。要更改部署类型,必须删除部署并新建一个部署。两个用户不应同时编辑同一部署;然 而,请注意,网络界面不会阻止同时编辑。 要配置网格 VPN 部署,请执行以下操作: 访问:管理员/网络管理员 步骤 1...
  • Page 246 第 10 章 使用网关 VPN 管理 VPN 部署 Other Algorithm Allowed 选择此复选框可对算法列表中未列出、但远程对等体拟用的算法启用自动协商。 Algorithm 在部署中指定第一阶段和第二阶段算法方案以保护数据。为两个阶段选择 Cipher、Hash 和 Diffie - Hellman...
  • Page 247第 10 章 使用网关 VPN 管理 VPN 部署 步骤 8 点击 Save。 更改已保存,系统将显示 VPN 页面。 请注意,只有应用部署才能使其生效;请参阅第 10-13 页上的应用 VPN 部署。...
  • Page 248 第 10 章 使用网关 VPN 管理 VPN 部署 要查看 VPN 状态,请执行以下操作: 访问:管理员/网络管理员 步骤 1 选择 Devices > VPN。 系统将显示...
  • Page 249第 10 章 使用网关 VPN 管理 VPN 部署 NAT 遍历 如果显示 Yes,至少一个 VPN 终端驻留在带有网络地址转换的设备之后。 IKE 状态 IKE SA 的状态:正在连接,已建立,正在删除或正在销毁。 IKE...
  • Page 250 第 10 章 使用网关 VPN 管理 VPN 部署 使用 VPN 部署对比视图 许可证:VPN 受支持的设备:3 系列 在 VPN 部署对比视图中,可先查看对部署已做出的更改,然后再应用这类更改。报告显示当前 部署与拟用部署之间的所有差异。可借此机会发现任何潜在的配置错误。 对比视图以并排格式显示两种部署,并在对比视图的左右两侧的标题栏中用名称标识每个部署。...
  • Page 251: 使用 NAT 策略 第 11 章 使用 NAT 策略 网络地址转换 (NAT) 策略决定系统如何借助网络地址转换实现路由。可以配置一个或多个 NAT 策略,然后将其应用于一个或多个受管设备。目前,只能为每个设备应用一个策略。 可以将 NAT 规则添加到策略来控制系统如何处理网络地址转换。每个规则包含用于识别要转换 的特定流量的一组条件。可以创建以下类型的规则: • 静态(提供对目标网络或者端口和协议的一对一转换) • 动态...
  • Page 252 第 11 章 使用 NAT 策略 规划和实施 NAT 策略 规划和实施 NAT 策略 许可证:任何环境 可以用不同的方法配置 NAT 策略来管理特定的网络需求。本节提供有关可用于部署 NAT 策略的 一些方法的信息。...
  • Page 253 第 11 章 使用 NAT 策略 配置 NAT 策略 下表总结了在 NAT 策略的 Edit 页面可执行的配置操作。 表 11-1 NAT 策略配置操作 要...... 您可以.........
  • Page 254 第 11 章 使用 NAT 策略 配置 NAT 策略 表 11-2 目标设备管理操作(续) 要...... 您可以...... 选择要添加到所选目标列表的可用设 点击要添加的设备的名称;使用 Ctrl 和 Shift...
  • Page 255 第 11 章 使用 NAT 策略 在 NAT 策略中整理规则 步骤 7 如有需要,可以点击删除图标 ( ) 删除选定设备列表中的设备;或者,使用 Ctrl 和 Shift 键选择 多台设备,右键单击,然后选择...
  • Page 256 第 11 章 使用 NAT 策略 在 NAT 策略中整理规则 表 11-3 NAT 规则整理操作(续) 要...... 您可以...... 将剪切或复制的规则粘贴到规 右键单击要在其中粘贴选定规则的规则行的空白区域,然后选择 Paste above...
  • Page 257 第 11 章 使用 NAT 策略 管理 NAT 策略 管理 NAT 策略 许可证:可控性 受支持的设备:3 系列 在 NAT 策略页面 (Devices >...
  • Page 258 第 11 章 使用 NAT 策略 管理 NAT 策略 要创建 NAT 策略,请执行以下操作: 访问:管理员/网络管理员 步骤 1 选择 Devices > NAT。...
  • Page 259第 11 章 使用 NAT 策略 管理 NAT 策略 步骤 2 点击要配置的 NAT 策略旁边的编辑图标 ( )。 系统将显示 NAT 策略的 Edit...
  • Page 260 第 11 章 使用 NAT 策略 管理 NAT 策略 NAT 策略报告包含下表所述的各个部分。 表 11-6 NAT 策略报告的组成部分 项 说明 标题页 指明策略报告的名称、策略上次修改的日期和时间以及上次修改策略的用...
  • Page 261第 11 章 使用 NAT 策略 管理 NAT 策略 使用 NAT 策略比较视图 许可证:可控性 受支持的设备:3 系列 比较视图会以并排格式显示两个策略,每个策略由比较视图左侧和右侧标题栏中的名称确定。比 较运行配置之外的两个策略时,最后修改的时间和最后修改的用户将会随策略名称显示。 两个策略之间的差异将会突出显示: • 蓝色指示突出显示的设置在两个策略中不同,不同之处以红色文本标注。...
  • Page 262 第 11 章 使用 NAT 策略 管理 NAT 策略 步骤 3 从 Compare Against 下拉列表中选择要进行比较的类型: • 要比较两个不同的策略,请选择 Other Policy。...
  • Page 263第 11 章 使用 NAT 策略 管理 NAT 策略 应用完整的 NAT 策略 许可证:可控性 受支持的设备:3 系列 可以随时应用 NAT 策略。应用某个 NAT 策略,会同时将所有相关的规则配置、对象和策略更改应...
  • Page 264 第 11 章 使用 NAT 策略 创建和编辑 NAT 规则 提示 也可以从 NAT 页面 (Devices > NAT) 打开该弹出窗口,具体操作是,在相应策略的 Status 列中点击...
  • Page 265第 11 章 使用 NAT 策略 了解的 NAT 规则类型 条件 规则条件确定要转换的特定流量。条件可以通过多个属性(包括安全区域、网络和传输协议端 口)的任意组合来匹配流量。 有关添加条件的详细信息,请参阅第 11-17 页上的了解 NAT 规则条件和条件机制和第 11-21 页上的处理 NAT...
  • Page 266 第 11 章 使用 NAT 策略 了解的 NAT 规则类型 静态 静态规则提供对目标网络或者端口和协议的一对一转换。配置静态转换时,可以配置源区域、目 标网络和目标端口。不能配置目标区域或源网络。 必须指定原始目标网络。对于目标网络,只能选择包含单个 IP 地址的网络对象和组,或者输入代 表单个 IP 地址的文字 IP...
  • Page 267 第 11 章 使用 NAT 策略 了解 NAT 规则条件和条件机制 下表总结了可以根据指定的 NAT 规则类型配置的 NAT 规则条件类型: 表 11-8 每种 NAT 规则类型可用的 NAT...
  • Page 268 第 11 章 使用 NAT 策略 了解 NAT 规则条件和条件机制 了解 NAT 规则条件 许可证:任何环境 可以设置 NAT 规则来匹配满足下表所述的任何条件的流量: 表 11-9 NAT...
  • Page 269第 11 章 使用 NAT 策略 了解 NAT 规则条件和条件机制 表 11-10 向 NAT 规则添加条件 (续) 要...... 您可以...... 将可用条件列表中的选定网络条件和 点击 Add...
  • Page 270 第 11 章 使用 NAT 策略 了解 NAT 规则条件和条件机制 搜索 NAT 规则条件列表 许可证:任何环境 可以过滤可用的 NAT 规则条件列表来限制列表中显示的项目数量。列表会在您键入内容时进行 更新,以显示匹配的项目。 如有需要,可以搜索对象名称以及为对象配置的值。例如,如果有一个名为 Texas...
  • Page 271第 11 章 使用 NAT 策略 处理 NAT 规则中不同类型的条件 每个相关条件页面都提供添加文字值所需的控件。如果在配置字段中键入的值是无效的,将会显 示为红色文本,直至被识别为是有效值。键入的值被识别为有效值后,将会变为蓝色文本。识别 到有效值后,呈灰色显示的 Add 按钮将会激活。添加的文字值立即显示在选定条件列表中。 有关添加每种类型的文字值的具体详细信息,请参阅以下各节: • 第 11-23 页上的将源网络条件添加到动态 NAT...
  • Page 272 第 11 章 使用 NAT 策略 处理 NAT 规则中不同类型的条件 注 可以保存和应用带有被禁用接口的策略,但规则无法提供任何转换,直至接口被启用。 右侧列出的两个条目是供 NAT 规则用于匹配用途的源区域和目标区域。如果规则配置了值,当 您编辑规则时,这些列表将显示现有值。如果源区域列表为空,规则将会匹配来自任何区域或接 口的流量。如果目标区域列表为空,规则将会匹配流向任何区域或接口的流量。 对于带有绝不会在目标设备上触发的区域组合的规则,系统会显示警告。 注 可以保存和应用带有这种区域组合的策略,但规则不提供任何转换。...
  • Page 273第 11 章 使用 NAT 策略 处理 NAT 规则中不同类型的条件 步骤 5 保存或继续编辑规则。 必须应用 NAT 策略来使更改生效;请参阅第 11-12 页上的应用 NAT 策略。 将源网络条件添加到动态...
  • Page 274 第 11 章 使用 NAT 策略 处理 NAT 规则中不同类型的条件 步骤 5 或者,点击 Available Networks 列表上方的 ( ) 图标添加单个网络对象。 可以向每个网络对象添加多个...
  • Page 275第 11 章 使用 NAT 策略 处理 NAT 规则中不同类型的条件 要将目标网络条件添加到 NAT 规则,请执行以下操作: 访问:管理员/网络管理员 步骤 1 选择规则 Edit 页面上的 Destination Network...
  • Page 276 第 11 章 使用 NAT 策略 处理 NAT 规则中不同类型的条件 由于静态 NAT 规则是一对一转换,因此, Available Ports 列表仅包含只有一个端口的端口对象和端 口对象组。对于静态转换,只能将一个对象或文字值添加到 Original Port 或...
  • Page 277第 11 章 使用 NAT 策略 处理 NAT 规则中不同类型的条件 列表更新以显示所选的内容。有关详细信息,请参阅第 11-20 页上的向 NAT 规则添加文字条件。 所选条件添加成功 步骤 7 保存或继续编辑规则。 必须应用 NAT...
  • Page 278 第 11 章 使用 NAT 策略 处理 NAT 规则中不同类型的条件 FireSIGHT 系统用户指南 11-28
  • Page 279: 访问控制策略入门 第 12 章 访问控制策略入门 访问控制策略确定系统如何处理网络上的非快速路径流量。可以配置一个或多个访问控制策略, 然后应用于一个或多个受管设备。目前,只能为每个设备应用一个策略。 最简单的访问控制策略指导其目标设备使用其默认操作处理所有流量。可以将此默认操作设置为 阻止或信任所有流量而不进一步检查,或者检查流量中是否存在入侵和发现数据。 请注意,只有内联部署的设备才能影响流量的流动。将配置为阻止或修改流量的访问控制策略应 用于被动部署的设备会出现意外结果。在某些情况下,系统会阻止将内联配置应用于被动部署的 设备。 本章说明如何创建和应用简单访问控制策略。它还包含有关管理访问控制策略的基本信息:编 辑、更新、比较等等。有关详情,请参阅: • 第 12-2 页上的访问控制许可证和角色要求 • 第...
  • Page 280 第 12 章 访问控制策略入门 访问控制许可证和角色要求 在创建基本访问控制策略后,请参阅以下章节以获取有关根据部署定制该策略的详细信息: • 第 13-1 页上的使用安全情报 IP 地址信誉实施黑名单说明如何根据最新信誉情报将连接立即列 入黑名单(阻止)。 • 第 19-1 页上的了解流量解密说明如何使用 SSL 策略阻止加密流量而不对其进行检查,或者选...
  • Page 281 第 12 章 访问控制策略入门 访问控制许可证和角色要求 表 12-1 访问控制的许可证和型号要求 (续) 要应用以下访问控制策略... 许可证 支持的防御中心 支持的设备 使用地理位置数据执行访问控制 FireSIGHT 任意, DC500 除外 3 系列...
  • Page 282 第 12 章 访问控制策略入门 创建基本访问控制策略 表 12-3 示例访问控制自定义角色 (续) Access Control Intrusion & Network File Policy Policy Applier Intrusion...
  • Page 283第 12 章 访问控制策略入门 创建基本访问控制策略 提示 首次创建访问控制策略时,不能选择信任流量作为默认操作。如果要在默认情况下信任所有流 量,请在创建策略后更改默认操作。 使用 Access Control Policy 页面 (Policies > Access Control) 创建新访问控制策略和管理现有访问控制 策略。根据是否将设备注册到防御中心以及注册方式,两个预定义访问控制策略中的任一策略可 能会显示并已应用于设备:...
  • Page 284 第 12 章 访问控制策略入门 创建基本访问控制策略 设置对网络流量的默认处理和检查 许可证:任何环境 在创建访问控制策略时,必须选择默认操作。访问控制策略的默认操作决定系统如何处理如下流量: • 未被安全情报列入黑名单 • 未被 SSL 检查阻止(仅限加密流量) • 不与策略中的任何规则相匹配(Monitor 规则除外,该规则匹配并记录但不处理或检查流量) 因此,当应用的访问控制策略不包含任何访问控制规则或安全情报配置,并且不调用 SSL...
  • Page 285第 12 章 访问控制策略入门 创建基本访问控制策略 下图说明 Block All Traffic 和 Trust All Traffic 默认操作。 下图说明 Intrusion Prevention 和 Network Discovery...
  • Page 286 第 12 章 访问控制策略入门 创建基本访问控制策略 • 如要允许所有流量,并用网络发现对其进行检查,选择 Network Discovery Only。 • 如要同时使用网络发现和入侵策略检查所有流量,选择一项入侵策略,所有入侵策略都以标 签 Intrusion Prevention 开头。记住,入侵策略可以阻止流量。 注意事项 请勿使用 Experimental...
  • Page 287第 12 章 访问控制策略入门 管理访问控制策略 要在访问控制策略中管理目标设备,请执行以下操作: 访问:管理员/访问管理员/网络管理员 步骤 1 选择 Policies > Access Control。 系统将显示 Access Control Policy 页面。 步骤...
  • Page 288 第 12 章 访问控制策略入门 编辑访问控制策略 表 12-6 访问控制策略管理操作 (续) 要...... 您可以...... 请参阅...... 查看在访问控制策略中列出当前 点击报告图标 第 12-21 页上的生成当前访问控制设置报告 配置设置的 PDF...
  • Page 289第 12 章 访问控制策略入门 编辑访问控制策略 目标 在您可以应用访问控制策略之前,请使用 Targets 选项卡识别受管设备,包括要应用策略的设 备组。有关详细信息,请参阅第 12-8 页上的为访问控制策略设置目标设备。 安全智能 安全情报是抵御恶意互联网内容的第一道防线。通过此功能可根据最新信誉情报立即将连接 列入黑名单(阻止)。要确保连续访问重要资源,可以使用自定义白名单覆盖黑名单。此流量 过滤发生在任何其他基于策略的检测、分析或流量处理(包括规则和默认操作)之前。有关详 细信息,请参阅第 13-1 页上的使用安全情报 IP...
  • Page 290 第 12 章 访问控制策略入门 了解过期策略警告 – 用于根据网络的主机操作系统改进被动部署中数据包片段和 TCP 数据流的重组的自适应 配置文件;请参阅第 30-1 页上的调整被动部署中的预处理 – 入侵检测、文件控制、文件存储、动态分析和高级恶意软件防护的性能选项;请参阅第 18-7 页上的调整的入侵防御性能和第 18-17 页上的调整文件和恶意软件检查性能和存储 当您编辑访问控制策略时,会有一条消息指明您有未保存的更改。要保留更改,必须在退出策略...
  • Page 291第 12 章 访问控制策略入门 应用访问控制策略 • 更改访问控制策略中使用的任何可重用对象或配置,或其调用的策略:网络、端口、 VLAN 标记、 URL 和地理定位对象;安全情报列表和源;应用过滤器或检测器;入侵策略变量集; 文件列表;解密相关对象、安全区域等等。 • 更新系统软件、入侵规则或漏洞数据库 (VDB)。 请记住,可以从 Web 界面中的多个位置更改其中某些配置。例如,可以使用对象管理器 (Objects >...
  • Page 292 第 12 章 访问控制策略入门 应用访问控制策略 当 Snort® 进程重新启动时,会发生流量中断;例如,在防御中心应用升级后将新版本 Snort 推送 至受管设备的访问控制策略时,在包含共享对象规则的规则导入后首次应用策略时,以及在某些 情况下安装 VDB 更新时,该进程会重新启动。如果通过高级选项卡选中 Inspect Traffic During Policy Apply,则系统在策略应用期间会继续检查流量。...
  • Page 293第 12 章 访问控制策略入门 应用访问控制策略 应用完整的策略 许可证:任何环境 受支持的设备: 您可以随时将访问控制策略应用于其目标设备。应用访问控制策略还会应用任何与当前运行的策 略不同的关联策略: • SSL 策略 • 网络分析策略 • 入侵策略 • 文件策略 弹出窗口将会允许您以单一的快速应用操作的形式同时应用所有的策略。使用快速应用选项时,...
  • Page 294 第 12 章 访问控制策略入门 应用访问控制策略 请注意,无论应用何种入侵策略,应用访问控制策略都会自动应用与该策略的目标设备上当前运 行的 SSL、网络分析和文件策略不同的所有关联策略。无法独立应用这些策略。 访问控制策略列 Access Control Policy 列提供了指示是否应用访问控制策略的复选框。 提示 尽管可以在应用任务仍处于任务队列,即应用任务尚未完成时重新应用策略,但是这样做没有任 何的好处。 状态消息会指示策略目前是最新的,还是已过期。当策略已过期时,可以方便地在新的浏览器窗 口中显示该策略与当前运行策略的比较。比较不会包含访问控制策略关联的入侵策略的差异。 入侵策略列...
  • Page 295第 12 章 访问控制策略入门 IPS 或仅发现性能注意事项 请注意, Inspect Traffic During Policy Apply 选项在默认情况下处于选中状态,并在策略应用期间允许 流量检查。如果相比于流量检查,您更注重连接,请通过高级选项卡取消选中此选项。 可以在 Task Status 页面 (System >...
  • Page 296 第 12 章 访问控制策略入门 对访问控制策略和规则进行故障排除 • 确保访问控制策略的默认入侵策略设置为 No Rules Active;请参阅第 25-1 页上的设置用于访问 控制的默认入侵策略。 • 选择 Network Discovery Only 作为策略的默认操作。请勿为执行入侵检查的策略选择默认操作。...
  • Page 297 第 12 章 访问控制策略入门 对访问控制策略和规则进行故障排除 表 12-7 访问控制错误图标 图标 说明 详细信息 错误 如果规则或配置存在错误,则更正错误之前无法应用策略,即便禁用任何受影响的规则也是如此。 警告 可以应用显示规则或其他警告的访问控制策略。但是,以警告标记的错误配置不起作用。 例如,您可以应用这样包含被取代的规则,或者因为配置不当(使用空对象组的条件、不匹配任 何应用的应用过滤器、在没有启用云通信的情况下配置 URL 条件等)而无法匹配流量的规则的 策略。这些规则不评估流量。如果禁用存在警告的规则,警告图标将会消失。如果在没有纠正潜...
  • Page 298 第 12 章 访问控制策略入门 对访问控制策略和规则进行故障排除 避免入侵策略和变量集激增 可用于在访问控制策略中检查流量的唯一入侵策略的数量取决于设备上的资源和策略的复杂性: 可以将一个入侵策略与每个 Allow 和 Interactive Block 规则相关联,还可与默认操作相关联。每 一唯一的入侵策略和变量集对计为一个策略。 如果超过了设备支持的入侵策略数量,请重新评估您的访问控制策略。您可能希望整合入侵策略 或变量集,从而能够将单个入侵策略/变量集对与多个访问控制规则相关联。 查看选择的策略数以及这些策略在访问控制策略中的以下每个位置中使用的变量集的数量: Advanced 访问控制策略设置中的...
  • Page 299第 12 章 访问控制策略入门 生成当前访问控制设置报告 将规则排序以提高和避免取代 许可证:任何环境 系统已对访问控制策略中的规则进行编号,从 1 开始。系统通过对规则编号进行升序排序来自上 而下地将流量与规则进行匹配。除 Monitor 规则之外,流量匹配的第一个规则即是处理该流量的 规则。 适当的访问控制规则顺序可减少处理网络流量所需的资源并防止规则取代。虽然创建的规则对于 每个组织和部署都是唯一的,但在对可以优化性能同时满足需求的规则进行排序时,要遵循一些 通用准则。 按重要性从高到低对规则进行排序 首先,必须对规则进行排序,以满足组织的需求。将必须应用于所有流量的优先级规则放置在策略 顶部附近。例如,如果要检查来自单个用户的流量中是否存在入侵(使用...
  • Page 300 第 12 章 访问控制策略入门 比较访问控制策略 表 12-8 访问控制策略报告的各个章节 项 说明 策略信息 提供策略的名称和说明、上次修改策略的用户的名称以及策略上次修改 的日期和时间 设备目标 列出作为策略目标的受管设备。 HTTP 阻止响应 提供使用策略阻止网站时向用户显示的页面有关的详细信息。 HTTP...
  • Page 301第 12 章 访问控制策略入门 比较访问控制策略 有两个可以用来比较策略的工具: • 比较视图仅会以并排格式显示两个策略之间的差异。每个策略的名称将会显示在比较视图左 侧和右侧的标题栏中,当选择 Running Configuration 时除外,在这种情况下,空白栏代表当前的 活动策略。 可以使用此工具来在 Web 界面中查看和导航两个策略(在其差异突出显示的情况下)。 • 比较报告会以类似策略报告的格式(但采用 PDF 格式)创建仅有两个策略之间的差异的记录。...
  • Page 302 第 12 章 访问控制策略入门 比较访问控制策略 策略比较报告的格式与策略报告相同,有一处例外:策略报告包含策略中的所有配置,而策略比 较报告仅列出策略之间的那些不同配置。访问控制策略比较报告包含第 12-22 页上的表 12-8 中描 述的部分。 提示 可以使用类似的操作步骤比较 SSL、网络分析、入侵、文件、系统或运行状况策略。 要比较两个访问控制策略,请执行以下操作: 访问:管理员/访问管理员/网络管理员 步骤 1...
  • Page 303: 使用安全情报 IP 地址信誉实施黑名单 第 13 章 使用安全情报 IP 地址信誉实施黑名单 作为防御恶意互联网内容的第一道防线,FireSIGHT 系统包括安全情报功能,可供您根据最新声誉 情报立即将连接列出黑入单(阻止),再也无需资源更密集型深入分析。安全情报过滤要求具备保 护许可证,支持除 2 系列之外的所有受管设备。 安全情报通过阻止具有已知不良声誉的 IP 地址的往返流量而发挥作用。这种流量过滤发生于任何其 他基于策略的检查、分析或流量处理之前(但是其确实发生于快速路径等硬件级别处理之后)。 请注意,您可以通过 IP 地址手动限制流量来创建可执行与安全情报过滤类似的功能的访问控制规...
  • Page 304 第 13 章 使用安全情报 IP 地址信誉实施黑名单 选择安全情报战略 选择安全情报战略 许可证:保护 受支持的设备:任何防御中心,除了 2 系列 受支持的防御中心:除 DC500 外的所有型号 构建黑名单最简易的方式是使用情报源,该情报源跟踪已知为开放中继、已知攻击者、伪造 IP 地 址(虚假地址)的...
  • Page 305第 13 章 使用安全情报 IP 地址信誉实施黑名单 建立安全情报白名单和黑名单 监控连接而不将其列入黑名单 如果您不确定是否想要将特殊 IP 地址或地址集列入黑名单,则可使用“仅监控”设置,该设置允 许系统将匹配连接传递给访问控制规则,但也将匹配项记录到黑名单并生成连接结束安全情报事 件。请注意,无法将全局黑名单设置为仅监控。有关详细信息,请参阅: 考虑一下这样的情况,在使用第三方源实施阻止之前,想要先对该源进行测试。当将源设置为仅 监控时,系统允许已被阻止的连接,以便系统能对其进行进一步的分析,但是也会记录这些连接 中的每一个连接,以供进行评估。 在被动部署中,为提高性能,思科 建议始终采用仅监控的设置。被动部署的受管设备无法影响流 量;与将系统配置为阻止流量相比,没有任何优势。此外,因为阻止的连接实际上在被动部署中 并未被阻止,因此,系统可能针对每条已阻止连接报告多个连接开始事件。...
  • Page 306 第 13 章 使用安全情报 IP 地址信誉实施黑名单 建立安全情报白名单和黑名单 要构建访问控制策略的安全情报白名单和黑名单,请执行以下操作: 访问:管理员/访问管理员/网络管理员 步骤 1 选择 Policies > Access Control。 系统将显示 Access Control...
  • Page 307第 13 章 使用安全情报 IP 地址信誉实施黑名单 建立安全情报白名单和黑名单 搜索添加至白名单或黑名单的对象 许可证:保护 受支持的设备:任何防御中心,除了 2 系列 受支持的防御中心:除 DC500 外的所有型号 如果有多个网络对象、组、源和列表,可以使用搜索功能来限制要添加至黑名单或白名单的对象。 要搜索添加至白名单或黑名单的对象,请执行以下操作: 访问:管理员/访问管理员/网络管理员 步骤 1...
  • Page 308 第 13 章 使用安全情报 IP 地址信誉实施黑名单 建立安全情报白名单和黑名单 FireSIGHT 系统用户指南 13-6
  • Page 309: 使用访问控制规则调整流量 第 14 章 使用访问控制规则调整流量 在访问控制策略中,访问控制规则提供在多台受管设备之间处理网络流量的精细方法。 注 基于硬件的快速路径规则、基于安全情报的流量过滤以及一些解码和预处理发生在通过访问控制 规则评估网络流量之前。您还可以配置 SSL 检查功能,以在访问控制规则评估加密流量之前阻止 或解密该流量。 系统按您指定的顺序将流量与访问控制规则相匹配。在大多数情况下,系统根据所有规则条件匹 配流量的第一个访问控制规则处理网络流量。条件可以简单,也可以复杂;可通过安全区域、网 络或地理位置、 VLAN、端口、应用、请求的 URL 和用户控制流量。 每个规则也有操作,确定是否监控、信任、阻止或允许匹配的流量。当允许流量时,指定系统使 用入侵或文件策略先检查流量,以在漏洞、恶意软件或禁止的文件到达您的资产或退出网络之前...
  • Page 310 第 14 章 使用访问控制规则调整流量 创建和编辑访问控制规则 • 规则 2:Trust 继续评估流量。允许匹配的流量传至目标,无需进一步检查。不匹配的流量继 续根据下一规则进行评估。 • 规则 3:Block 第三次评估流量。匹配的流量被阻止,无需进一步检查。不匹配的流量继续根 据最终规则进行评估。 • 规则 4:Allow 是最终规则。对于此规则,允许匹配的流量;但检测和阻止流量内禁止的文...
  • Page 311第 14 章 使用访问控制规则调整流量 创建和编辑访问控制规则 Inspection 访问控制规则的检查选项管理系统如何检查和阻止您意外允许的恶意流量。当允许流量使用 规则时,您可以指定系统使用入侵或文件策略先检查流量,以在漏洞、恶意软件或禁止的文 件到达您的资产或退出网络之前予以阻止。 Logging 规则的日志记录设置管理系统保存其处理流量的记录。您可以记录匹配规则的流量。一般来 说,您可以在连接开始和/或结束时记录会话。您可以将连接记录到防御中心数据库,以及系 统日志 (syslog) 或 SNMP 陷阱服务器中。 备注 每次保存对访问控制规则所做的更改时,您都可以添加一个注释。 使用访问控制规则编辑器添加和编辑访问控制规则;通过访问控制策略编辑器的...
  • Page 312 第 14 章 使用访问控制规则调整流量 创建和编辑访问控制规则 • 对于 Allow 和 Interactive Block 规则,配置规则的 Inspection 选项;请参阅第 18-1 页上的使用 入侵和文件策略控制流量。 • 在...
  • Page 313 第 14 章 使用访问控制规则调整流量 创建和编辑访问控制规则 使用条件指定规则处理的流量 许可证:因功能而异 受支持的设备:因功能而异 受支持的防御中心:因功能而异 访问控制规则的条件确定该规则处理的流量类型。条件可以简单,也可以复杂;可通过安全区 域、网络或地理位置、 VLAN、端口、应用、请求的 URL 和用户控制流量。 向访问控制规则中添加条件时,请记住以下几点: • 每个规则可以配置多个条件。为使规则应用于流量,流量必须匹配规则中的所有条件。例如, 您可以使用单个规则为特定主机(区域或网络条件)执行 URL 过滤(URL...
  • Page 314 第 14 章 使用访问控制规则调整流量 创建和编辑访问控制规则 表 14-1 访问控制规则条件类型 (续) 这些条件...... 匹配流量...... 详细信息 Ports 按照其源端口或目标端口 对于 TCP 和 UDP 而言,您可以基于传输层协议控制流量。对于...
  • Page 315第 14 章 使用访问控制规则调整流量 创建和编辑访问控制规则 Monitor 操作:延迟操作并确保日志记录 许可证:任何环境 Monitor 操作不影响流量;匹配的流量既不会被立即允许,也不会被立即拒绝。相反,系统会根据 其他规则匹配流量,以确定允许还是拒绝该流量。所匹配的第一个非 Monitor 规则确定流量和任 何进一步的检查。如果没有其他匹配的规则,系统使用默认操作。 由于 Monitor 规则的主要目的是跟踪网络流量,因此系统会自动记录监控流量的连接结束事件。 即,即使流量不匹配其他规则,且您不对默认操作进行日志记录,系统也会记录连接。有关详细 信息,请参阅第 38-5...
  • Page 316 第 14 章 使用访问控制规则调整流量 创建和编辑访问控制规则 对于未加密的 HTTP 流量,当系统阻止网络请求时,您可以使用解释连接被拒绝的自定义页面覆 盖默认的浏览器或服务器页面。系统将此自定义页面称为 HTTP 响应页面;请参阅第 16-15 页上 的显示被阻止 URL 的自定义网页。 对于已解密和加密的 (HTTPS) 流量,...
  • Page 317第 14 章 使用访问控制规则调整流量 创建和编辑访问控制规则 Allow 操作:允许和检查流量 许可证:任何环境 Allow 操作允许匹配的流量通过。当您允许流量时,可以使用关联的入侵或文件策略(或两者)进 一步检查和阻止未加密或解密的网络流量: • 借助保护许可证,您可以使用入侵策略,根据入侵检测和防御配置分析网络流量,或者丢弃 恶意数据包。 • 借助保护许可证,还可以使用文件策略执行文件控制。借助文件控制,可以检测和阻止用户通 过特定应用协议上传(发送)或下载(接收)特定类型的文件。 • 借助恶意软件许可证,您还可以使用文件策略执行基于网络的高级恶意软件防护 (AMP)。基...
  • Page 318 第 14 章 使用访问控制规则调整流量 创建和编辑访问控制规则 您可以在连接开始和结束时记录允许的网络流量。 借助 3 系列设备信任或阻止流量的限制 许可证:任何环境 受支持的设备:3 系列 当您将访问控制策略应用到 3 系列设备时,系统可能改进满足具体标准的访问控制规则。已改进 规则利用 3 系列设备上的专用硬件立即转向或阻止不需要深度数据包检测的流量。它们的优点在 于其确定流量的正确路径的速度。...
  • Page 319第 14 章 使用访问控制规则调整流量 管理策略中的访问控制规则 IPv6 流量处理 系统可以检查 IPv4 和 IPv6 流量。IPv6 检查包括 4in6、6in4、6to4 和 6in6 隧道方案;当 UDP 报头 指定端口...
  • Page 320 第 14 章 使用访问控制规则调整流量 管理策略中的访问控制规则 对于每个规则,策略编辑器显示其名称、条件概要、规则操作以及传达规则检查和日志记录选项 的图标。其他图标表示注释、警告、错误和其他重要信息,如下表所述。被禁用的规则在规则名 称下方呈灰色显示并带有相应的标记 (disabled)。 表 14-2 了解访问控制策略编辑器 图 标 说明 您可以...... 入侵检测 点击活动(黄色)检查图标编辑规则的检查选项;请参阅第 18-1...
  • Page 321第 14 章 使用访问控制规则调整流量 管理策略中的访问控制规则 搜索访问控制规则 许可证:任何环境 可以使用字母数字字符串(包括空格和可打印的特殊字符)在访问控制规则列表中搜索匹配值。搜 索会检查规则名称和已添加至规则的任意规则条件。对于规则条件,搜索会匹配可以为每个条件 类型(区域、网络、应用程序等)添加的任意名称或值。这包括各个对象名称或值、组对象名称、组 内的各个对象名称或值以及文本值。 可以使用部分或完整的搜索字符串。对于每个匹配规则,匹配值列将会突出显示。例如,如果在 所有或部分规则上搜索字符串 100Bao,已添加 100Bao 应用程序的每个规则的 Applications 列都会 突出显示。如果有名为 100Bao...
  • Page 322 第 14 章 使用访问控制规则调整流量 管理策略中的访问控制规则 步骤 3 点击 OK。 页面将会更新,从而显示针对选择的设备和设备组的规则,并且隐藏针对未选择的设备和设备组 的规则。 启用和禁用规则 许可证:任何环境 创建访问控制规则时,默认情况下启用规则。如果您禁用某规则,系统将不用该规则来评估网络 流量并停止为该规则生成警告和错误。在查看访问控制策略中的规则列表时,禁用的规则会呈灰 色显示,不过,您仍然可以修改它们。请注意,您还可以使用规则编辑器启用或禁用访问控制规 则;请参阅第 14-2 页上的创建和编辑访问控制规则。...
  • Page 323第 14 章 使用访问控制规则调整流量 管理策略中的访问控制规则 要移动规则,请执行以下操作: 访问:管理员/访问管理员/网络管理员 步骤 1 在策略(包含要移动的规则)的访问控制策略编辑器中,通过点击每个规则的空白区域来选择规 则。使用 Ctrl 和 Shift 键选择多个规则。 您选择的规则突出显示。 步骤 2 移动规则。可以剪切、粘贴或拖放规则。 要将规则剪切并粘贴到新位置,请右键点击选定的规则并选择...
  • Page 324 第 14 章 使用访问控制规则调整流量 管理策略中的访问控制规则 步骤 4 点击 OK。 您的类别成功添加。您可以点击自定义类别旁边的编辑图标 ( ) 编辑其名称,或者点击删除图 标 ( ) 删除此类别。删除的类别中的规则将会添加至以上类别。 步骤 5...
  • Page 325: 使用基于网络的规则控制流量 第 15 章 使用基于网络的规则控制流量 访问控制策略中的访问控制规则对网络流量日志记录和处理进行精细控制。基于网络的条件可供 您使用以下一个或多个条件管理哪些流量可以穿越您的网络: • 源和目标安全区域 • 源和目标 IP 地址或地理位置 • 数据包的最内部的 VLAN 标记 • 源端口和目标端口,还包括传输层协议和 ICMP...
  • Page 326 第 15 章 使用基于网络的规则控制流量 通过安全区域控制流量 通过安全区域控制流量 许可证:任何环境 访问控制规则中的区域条件可供您按流量的源和目标安全区域控制流量。安全区域是一个或多个 接口的组合,这些接口可能位于多台设备上。您在设备的初始设置期间选择的选项,称为其检测 模式,确定系统最初如何配置设备的接口以及这些接口是否属于安全区域。 一个简单的示例就是,当您注册带内联检测模式的设备时,防御中心创建两个区域︰内部和外 部,并将设备上的第一对接口分配到这些区域。连接到网络内侧的主机表示受保护资产。 为了扩展此情景,您可以部署其他相同配置的设备(由同一防御中心管理)以保护多个不同位置的 类似资源。就像第一台设备一样,每台这些设备均保护其内部安全区域中的资产。 提示 您不需要将所有内部(或外部)接口组合到单个区域中。选择对您的部署和安全策略有意义的组合 方式。有关创建区域的详细信息,请参阅第 3-34 页上的使用安全区域。...
  • Page 327第 15 章 使用基于网络的规则控制流量 按网络或地理位置控制流量 步骤 3 查找并选择您要从 Available Zones 添加的用户和组。 要搜索需要添加的区域,请点击 Available Zones 列表上方的 Search by name 提示,然后键入区域名 称。列表会在您键入内容时进行更新,以显示匹配区域。...
  • Page 328 第 15 章 使用基于网络的规则控制流量 按网络或地理位置控制流量 下图显示的网络条件与阻止源自您的内部网络并尝试访问位于朝鲜或 93.184.216.119 (example.com) 的连接的访问控制规则相对应。 在此示例中,称为专用网络的网络对象组(包括 IPv4 和 IPv6 专用网络网络对象,未显示)表示您 的内部网络。此示例还手动指定了 example.com IP 地址,并使用系统提供的朝鲜地理定位对象代 表朝鲜...
  • Page 329第 15 章 使用基于网络的规则控制流量 控制 VLAN 流量 步骤 6 保存或继续编辑规则。 您必须应用更改的访问控制策略以使更改生效;请参阅第 12-13 页上的应用访问控制策略。 控制 VLAN 流量 许可证:任何环境 受支持的设备:任何防御中心,除了ASA FirePOWER 访问控制规则中的...
  • Page 330 第 15 章 使用基于网络的规则控制流量 通过端口和 ICMP 代码控制流量 步骤 3 查找并选择您要从 Available VLAN Tags 添加的 VLAN,如下所述: • 要动态添加 VLAN 标记,以便随后可将其添加到条件,请点击...
  • Page 331第 15 章 使用基于网络的规则控制流量 通过端口和 ICMP 代码控制流量 • 要与即源自特定 Selected Source Ports 又流向特定 Selected Destination Ports 的流量相匹配,请同时 配置二者。 如果同时将源和目标端口添加至条件,则只能添加共享单一传输协议(TCP 或...
  • Page 332 第 15 章 使用基于网络的规则控制流量 通过端口和 ICMP 代码控制流量 步骤 6 保存或继续编辑规则。 您必须应用更改的访问控制策略以使更改生效;请参阅第 12-13 页上的应用访问控制策略。 FireSIGHT 系统用户指南 15-8
  • Page 333: 使用基于信誉的规则控制流量 第 16 章 使用基于信誉的规则控制流量 访问控制策略中的访问控制规则对网络流量日志记录和处理实行精细控制。 k traffic logging and handling.访问控制规则中的基于信誉的条件允许通过情景化网络流量并在适当情况下对其进行限 制来管理哪些流量可以穿越网络。访问控制规则监管以下类型的基于信誉的控制: • 通过应用条件可执行应用控制,它不仅根据单独的应用还根据应用的基本类型(类型、风险、 业务关联性和标记)来控制应用流量。 • 通过 URL 条件可执行 URL...
  • Page 334 第 16 章 使用基于信誉的规则控制流量 控制应用流量 控制应用流量 许可证:可控性 受支持的设备:任意,2 系列或 X -系列除外 FireSIGHT 系统在分析 IP 流量时,可以识别网络上的常用应用并将其分类。系统使用此基于发现 的应用感知功能使您可以控制网络上的应用流量。 了解应用控制 通过访问控制规则中的应用条件,可以执行此应用控制。在单个访问控制规则中,有多种方法可 以指定要控制其流量的应用:...
  • Page 335第 16 章 使用基于信誉的规则控制流量 控制应用流量 • 通过保存 Available Applications 列表中的应用搜索创建的过滤器。此项表示按子字符串匹配分 组的应用集。 • Available Applications 列表中的单独应用。 在 Web 界面中,添加到条件的过滤器会在上方列出并与单独添加的应用分隔开来。 请注意,当应用访问控制策略时,对于具有应用条件的每个规则,系统会生成要匹配的唯一应用 的列表。换句话说,可以使用重叠过滤器和单独指定的应用确保完整覆盖。...
  • Page 336 第 16 章 使用基于信誉的规则控制流量 控制应用流量 在此情况下,系统仅显示 Medium 或 High Risk 类型和 Medium 或 High Business Relevance 类型中 均包含的那些应用。 查找并选择过滤器...
  • Page 337第 16 章 使用基于信誉的规则控制流量 控制应用流量 选择与条件的过滤器相匹配的所有应用 一旦通过搜索或使用 Application Filters 列表中的过滤器进行限制, Available Applications 列表的顶部 便会显示 All apps matching the filter 选项。...
  • Page 338 第 16 章 使用基于信誉的规则控制流量 控制应用流量 您也可以拖放所选应用和过滤器。过滤器会显示在标题 Filters 下,应用显示在标题 Applications 下。 提示 在将其他过滤器添加到此应用条件中之前,请点击 Clear All Filters 清除现有选择。 步骤 6 或者,点击...
  • Page 339第 16 章 使用基于信誉的规则控制流量 阻止 URL 处理推荐流量 要创建用于处理 Web 服务器所推荐的流量 (如广告流量)的规则,请为被推荐应用而非推荐应 用添加条件.有关详细信息,请参阅第 45-12 页上的特殊注意事项:被推荐网络应用。 自动启用应用检测器 必须为策略中的每个应用规则条件启用至少一个检测器(请参阅第 46-24 页上的激活和停用检测 器)。如果没有为应用启用检测器,则系统自动为该应用启用所有系统提供的检测器;如果不存在 检测器,则系统为该应用启用最新修改的用户定义的检测器。...
  • Page 340 第 16 章 使用基于信誉的规则控制流量 阻止 URL Action: Allow Application: HTTPS URL: example.com 第二个规则阻止对同一网站进行 HTTP 访问: Action: Block Application: HTTP...
  • Page 341第 16 章 使用基于信誉的规则控制流量 阻止 URL 基于信誉的 URL 阻止的优点 通过 URL 类别和信誉,可以快速创建访问控制规则的 URL 条件。例如,可以创建用于识别和阻 止 Abused Drugs 类别中所有 High Risk...
  • Page 342 第 16 章 使用基于信誉的规则控制流量 阻止 URL 构建 URL 条件时,警告图标指示无效配置。有关详细信息,请将指针悬停在图标上方并参阅第 12-18 页上的对访问控制策略和规则进行故障排除。 要使用类别和信誉数据按所请求的 URL 控制流量,请执行以下操作: 访问:管理员/访问管理员/网络管理员 步骤 1 在面向要按 URL...
  • Page 343第 16 章 使用基于信誉的规则控制流量 阻止 URL 要在访问控制规则中手动指定将允许或阻止的 URL,可以键入单个文本 URL。或者,可以使用 URL 对象配置 URL 条件,这些条件可重用,并会将名称与 URL 或 IP 地址关联。 提示 创建 URL...
  • Page 344 第 16 章 使用基于信誉的规则控制流量 阻止 URL • 要搜索将添加的 URL 对象和组,请点击 Categories and URLs 列表上方的 Search by name or value...
  • Page 345第 16 章 使用基于信誉的规则控制流量 阻止 URL • 会话现在或曾经加密 • 因访问控制规则提升而受 3 系列 设备阻止 • 如果系统直至连接已建立并允许传递若干数据包后才能识别连接中的所请求 URL,如上所述 有关详细信息,请参阅第 16-15 页上的显示被阻止 URL...
  • Page 346 第 16 章 使用基于信誉的规则控制流量 阻止 URL • 可以将任一类型的 Interactive Block 规则与文件和入侵策略关联。系统也可以使用发现来检查 此用户允许的流量。有关详细信息,请参阅第 18-1 页上的使用入侵和文件策略控制流量。 • 以交互方式阻止的流量的日志记录选项与允许流量的日志记录选项相同,但请记住,如果用 户不绕过交互阻止,系统仅会记录连接开始事件。 请注意,在系统最初警告用户时,它会使用 Interactive...
  • Page 347第 16 章 使用基于信誉的规则控制流量 阻止 URL 显示被阻止 URL 的自定义网页 许可证:任何环境 受支持的设备:任何防御中心,除了 2 系列 当系统阻止用户的 HTTP Web 请求时,该用户在浏览器中看到的内容取决于如何使用访问控制规 则的操作来阻止会话。您应该选择: • Block...
  • Page 348 第 16 章 使用基于信誉的规则控制流量 阻止 URL • 如要禁止系统显示 HTTP 响应页面,可以选择 None。请注意,为交互阻止的会话选择此选项 可防止用户点击以继续操作;系统会在无交互的情况下阻止会话。 步骤 4 点击 Save。 必须应用访问控制策略,使更改生效。有关详细信息,请参阅第 12-13 页上的应用访问控制策略。...
  • Page 349: 按照用户控制流量 第 17 章 按照用户控制流量 访问控制策略中的访问控制规则对网络流量日志记录和处理进行精细控制。访问控制规则的用户条 件可供您执行用户控制 - 通过根据登录主机的 LDAP 用户限制流量来管理哪些流量可以穿越网络。 用户控制通过将访问受控的用户与 IP 地址相关联来实现。部署的代理监控指定用户登录和注销主 机或因其他原因用 Active Directory 凭证进行身份验证。例如,贵组织可能使用依赖于 Active Directory...
  • Page 350 第 17 章 按照用户控制流量 向访问控制规则添加用户条件 借助这些信息,可以采用有针对性的方法降低风险,以及采取措施防止中断他人的活动。用户控 制增强了阻止 LDAP 用户和用户活动的能力。用户感知和控制功能相结合,可显著提高审核控制 并提高合规性。有关详细信息,请参阅第 45-3 页上的了解用户数据收集。 下表列出了对用户感知和控制的要求 有关用户代理的最新详细信息,请参阅《用户代理配置指南》。 表 17-1 用户感知和控制要求 要求 用户感知...
  • Page 351第 17 章 按照用户控制流量 向访问控制规则添加用户条件 在您可以执行用户控制之前,您必须: • 在防御中心与 Microsoft Active Directory 服务器之间配置连接;请参阅第 17-4 页上的检索访 问受控用户和 LDAP 用户元数据。 • 在 Microsoft...
  • Page 352 第 17 章 按照用户控制流量 检索访问受控用户和 LDAP 用户元数据 检索访问受控用户和 LDAP 用户元数据 许可证:FireSIGHT或可控性 受支持的设备:因功能而异 受支持的防御中心:因功能而异 如果要执行用户控制(即,编写包含用户条件的访问控制规则),必须配置 防御中心与贵组织的至 少一个 Microsoft Active Directory...
  • Page 353 第 17 章 按照用户控制流量 检索访问受控用户和 LDAP 用户元数据 注 即使您从 LDAP 服务器移除系统检测到的用户,防御中心也不会从其用户数据库中移除这些用户; 您必须手动删除。但是,在防御中心下一次更新访问受控用户列表时, LDAP 更改会反映在访问控 制规则中。 下表列出了可与受监控用户关联的 LDAP 元数据。请注意,要成功从 LDAP 服务器检索用户元数...
  • Page 354 第 17 章 按照用户控制流量 检索访问受控用户和 LDAP 用户元数据 用户和组访问控制参数 要执行用户控制,请指定要在访问控制规则中用作条件的组。 包含某个组即会自动包含该组的所有成员(包括任何子组的成员)。但是,如果要在访问控制 规则中使用子组,必须明确包含要使用的子组。还可排除组和单个用户。排除某个组将会排除 该组的所有成员,即使用户是包含的组的成员。 可在访问控制中使用的最大用户数取决于 FireSIGHT 许可证。选择要包含的用户和组时,请 确保用户总数小于 FireSIGHT 用户许可证数量。如果访问控制参数范围太宽泛,防御中心会 尽可能获取有关更多用户的信息,并报告无法在任务队列中检索的用户数。...
  • Page 355第 17 章 按照用户控制流量 检索访问受控用户和 LDAP 用户元数据 步骤 8 在 User Name 和 Password 字段中指定要用于验证 LDAP 目录的访问权限的识别用户名和密码。确 认密码。 例如,如果您在连接到某个 OpenLDAP...
  • Page 356 第 17 章 按照用户控制流量 检索访问受控用户和 LDAP 用户元数据 按需更新用户控制参数 许可证:可控性 受支持的设备:任何设备, 2 系列或 X -系列除外 受支持的防御中心:除 DC500 外的所有型号 如果更改 LDAP...
  • Page 357第 17 章 按照用户控制流量 使用用户代理报告 Active Directory 登录情况 使用用户代理报告 Active Directory 登录情况 许可证:FireSIGHT 在 Microsoft Windows 计算机上部署的用户代理可以监控 Microsoft Active Directory...
  • Page 358 第 17 章 按照用户控制流量 使用用户代理报告 Active Directory 登录情况 FireSIGHT 系统用户指南 17-10
  • Page 359: 使用入侵和文件策略控制流量 第 18 章 使用入侵和文件策略控制流量 入侵策略和文件策略在 FireSIGHT 系统中共同发挥作用,作为允许流量到达其目的地之前的最后 一道防线。 • 入侵策略监管系统的入侵防御功能;请参阅第 23-1 页上的了解网络分析和入侵策略。 • 文件策略监管系统的基于网络的文件控制和高级恶意软件防护 (AMP) 功能;请参阅第 37-8 页 上的了解和创建文件策略。...
  • Page 360 第 18 章 使用入侵和文件策略控制流量 检查允许的流量中是否存在入侵和恶意软件 有关检测流量中是否存在入侵、受禁文件和恶意软件的详细信息,请参阅: • 第 18-2 页上的检查允许的流量中是否存在入侵和恶意软件 • 第 18-7 页上的调整的入侵防御性能 • 第 18-17 页上的调整文件和恶意软件检查性能和存储 检查允许的流量中是否存在入侵和恶意软件...
  • Page 361第 18 章 使用入侵和文件策略控制流量 检查允许的流量中是否存在入侵和恶意软件 策略中的第四个也是最后一条规则(Allow 规则)按照以下顺序调用各种其他策略以检查和处理匹 配的流量: • 发现︰网络发现策略 — 首先,网络发现策略检查流量是否存在发现数据。发现是被动分析, 并不影响流量的流动。尽管不显式启用发现,但您可以增强或禁用它。但是,允许流量不会 自动保证发现数据收集。系统仅对涉及网络发现策略显式监控的 IP 地址的连接进行发现。有 关详细信息,请参阅第 45-1 页上的网络发现简介。 •...
  • Page 362 第 18 章 使用入侵和文件策略控制流量 检查允许的流量中是否存在入侵和恶意软件 注 可检测 Intrusion Prevention 或 Network Discovery Only 默认操作允许的流量是否存在发现数据和入 侵,但不能检测其是否存在受禁文件或恶意软件。您无法将文件策略与访问控制默认操作相关联。 您不需要在同一规则中同时执行文件和入侵检查。对于匹配 Allow 或 Interactive...
  • Page 363第 18 章 使用入侵和文件策略控制流量 检查允许的流量中是否存在入侵和恶意软件 配置访问控制规则执行 AMP 或文件控制 许可证:保护或恶意软件 受支持的设备:因功能而异 受支持的防御中心:因功能而异 访问控制策略可能有多个与文件策略相关联的访问控制规则。您可以为任何 Allow 或 Interactive Block 访问控制规则配置文件检测,这样,您就可在网络中不同类型的流量到达其最终目的地之 前,将不同的文件和恶意软件检测配置文件与其匹配。 当系统根据文件策略中的设置检测到受禁文件(包括恶意软件)时,会自动将事件记录到防御中心数 据库中。如果您不想记录文件或恶意软件事件,则可按每条访问控制规则禁用此日志记录功能。将文...
  • Page 364 第 18 章 使用入侵和文件策略控制流量 检查允许的流量中是否存在入侵和恶意软件 只要系统使用入侵策略来评估流量,它便会使用关联的变量集。变量集中的变量代表通常在入侵 规则中用来识别源 IP 地址、目标 IP 地址、源端口和目标端口的值。您还可以使用入侵策略中的 变量表示规则抑制和动态规则状态中的 IP 地址。 提示 即使您使用系统提供的入侵策略,思科仍强烈建议您配置系统的入侵变量以准确反映您的网络环 境。至少,修改默认变量集中的默认变量;请参阅第 3-16 页上的优化预定义默认变量。...
  • Page 365第 18 章 使用入侵和文件策略控制流量 调整的入侵防御性能 注意事项 请勿选择 Experimental Policy 1,除非思科代表指示这样做。思科使用该策略进行测试。 步骤 7 或者,请更改与入侵策略关联的变量集。 可以点击显示的编辑图标 ( ),在新浏览器选项卡中编辑变量集;请参阅第 3-15 页上的使用变 量集。 步骤...
  • Page 366 第 18 章 使用入侵和文件策略控制流量 调整的入侵防御性能 步骤 3 选择 Advanced 选项卡。 系统将显示访问控制策略高级设置页面。 步骤 4 点击 Performance Settings 旁的编辑图标 ( ),然后在出现的弹出窗口中选择...
  • Page 367第 18 章 使用入侵和文件策略控制流量 调整的入侵防御性能 表 18-2 正则表达式约束选项(续) 选项 说明 Match Recursion Limit 指定是否覆盖 Match Recursion Limit。您有以下选项: State • 选择...
  • Page 368 第 18 章 使用入侵和文件策略控制流量 调整的入侵防御性能 下表介绍在确定为每个数据包或数据流记录的事件数量时可配置的选项。 表 18-3 入侵事件记录限制选项 选项 说明 Maximum Events 为给定数据包或数据包流可存储的最多事件数量。 Stored Per Packet Maximum Events...
  • Page 369第 18 章 使用入侵和文件策略控制流量 调整的入侵防御性能 了解数据包延迟阈值设置 许可证:保护 可在需要将设备延迟保持在可接受水平时平衡安全性,只需启用数据包延迟阈值。数据包延迟阈 值用于度量适用的解码器、预处理程序和规则在处理数据包时所需的总时间,并在处理时间超过 可配置阈值时停止对数据包的检查。 数据包延迟阈值度量所需时间,而不仅是处理时间,目的是为了更准确地反映规则在处理数据包 时实际所需的时间。然而,延迟阈值功能是基于软件实现的延迟管理功能,并不能实施严格的定 时功能。 延迟阈值的得失分别为:实现性能和延迟优势的同时,也会导致未经检查的数据包可能包含攻 击。但是,数据包延迟阈值提供的工具可用于平衡安全性与连接性。 当解码器开始处理时,每个数据包的计时器开始计时。计时器会持续计时,直到数据包的所有处 理工作结束或处理时间在计时测试点超过阈值。 如上图所示,数据包延迟计时在以下测试点测试: • 在所有解码器和预处理程序的处理完成之后且在规则处理开始之前...
  • Page 370 第 18 章 使用入侵和文件策略控制流量 调整的入侵防御性能 数据包延迟阈值功能对被动式部署和内嵌式部署的性能均有提升作用,并且可以停止检测需要大 量处理时间的数据包,从而降低延迟。例如,这些性能优势可以在以下情形中发挥出来: • 对于被动和内联式部署,多个规则依序检查一个数据包需要过长的时间 • 对于内联式部署,网络性能不佳(例如,当有人下载超大文件时)期间,数据包处理变慢。 在被动式部署中,停止数据包的处理可能无助于恢复网络性能,这是因为,只不过转至处理下一 数据包而已。 配置数据包延迟阈值设置  许可证:保护 默认情况下系统提供的 Balanced Security and...
  • Page 371第 18 章 使用入侵和文件策略控制流量 调整的入侵防御性能 步骤 2 点击想要编辑的访问控制策略旁的编辑图标 ( )。 系统将显示访问控制策略编辑器。 步骤 3 选择 Advanced 选项卡。 系统将显示访问控制策略高级设置页面。 步骤 4 点击...
  • Page 372 第 18 章 使用入侵和文件策略控制流量 调整的入侵防御性能 计时器测量每次根据一组规则处理数据包所用的处理时间。任何时候,只要规则处理时间超出指 定的规则延迟阈值,系统就会递增计数器的计数。如果连续超出阈值的次数达到了指定的数值, 系统就会执行下列操作: • 按指定的期限暂停规则 • 触发事件以指明规则已暂停 • 暂停时间到期时重新启用规则 • 触发事件以指明规则已重新启用 当该组规则已暂停时,或当规则违规次数非连续时,系统会将计数器清零。如在暂停规则前允许 一定次数的连续违规,则将忽略对性能的影响无足轻重的偶发性违规,转而专注于反复超出规则 延迟阈值的规则所造成的更大影响。...
  • Page 373第 18 章 使用入侵和文件策略控制流量 调整的入侵防御性能 注 系统不会根据已暂停的规则对数据包进行评估。本可触发事件的已暂停规则无法触发该事件,同 时,丢弃规则无法丢弃该数据包。 通过暂停在处理数据包时耗时最长的规则,规则延迟阈值可提高被动和内联部署模式下的系统性 能,并缩短内联部署中的延迟。在可配置的时间到期之前,系统不会根据被暂停的规则对数据包 再次进行评估,从而留出时间让过载设备进行恢复。例如,这些性能优势可以在以下情形中发挥 出来: • 匆忙写就、大量未经测试的规则需要过长的处理时间 • 网络性能不佳期间(例如,当有人下载超大文件时),数据包检查变慢。 配置规则延迟阈值 许可证:保护 可修改规则延迟阈值、已暂停规则的暂停时间以及暂停规则前必须连续超出阈值的次数。 如果规则处理数据包时所用时间超过...
  • Page 374 第 18 章 使用入侵和文件策略控制流量 调整的入侵防御性能 要配置规则延迟阈值,请执行以下操作: 访问:管理员/访问管理员/网络管理员 步骤 1 选择 Policies > Access Control。 系统将显示 Access Control Policy 页面。...
  • Page 375 第 18 章 使用入侵和文件策略控制流量 调整文件和恶意软件检查性能和存储 步骤 1 选择 Policies > Access Control。 系统将显示 Access Control Policy 页面。 步骤 2 点击想要编辑的访问控制策略旁的编辑图标...
  • Page 376 第 18 章 使用入侵和文件策略控制流量 调整文件和恶意软件检查性能和存储 表 18-8 高级访问控制的文件和恶意软件检测选项(续) 字段 说明 默认值 范围 备注 可存储的最小文件大小 指定使用文件规则,系 6144 (6KB) 0 -...
  • Page 377第 18 章 使用入侵和文件策略控制流量 调整文件和恶意软件检查性能和存储 系统将显示访问控制策略高级设置页面。 步骤 4 点击 Files and Malware Settings 旁边的编辑图标 ( )。 系统将显示 Files and Malware...
  • Page 378 第 18 章 使用入侵和文件策略控制流量 调整文件和恶意软件检查性能和存储 FireSIGHT 系统用户指南 18-20
  • Page 379: 了解流量解密 第 19 章 了解流量解密 默认情况下,系统无法检查采用安全套接字层 (SSL) 或传输层安全 (TLS) 协议加密的流量。作为 访问控制的一部分, SSL 检查功能可供您阻止已加密流量而不进行检查,或者使用访问控制检查 已加密或解密的流量。系统在处理已加密会话时会记录流量的详细信息。检查已加密流量与分析 已加密会话数据双管齐下,可以更好地了解和控制网络中的已加密应用和流量。 如果系统检测通过 TCP 连接进行的 SSL 或...
  • Page 380 第 19 章 了解流量解密 SSL 检查要求 SSL 检查要求 许可证:因功能而异 受支持的设备:3 系列 仅某些设备型号支持 SSL 检查。除了您的配置设置和许可证之外,如何在网络中部署设备也会影 响到您控制和解密已加密流量时可以采取的操作。 配置 SSL 检查时可用的功能和操作取决于您的用户角色。系统包括专门为各种管理员和分析师设 计的预定义用户角色,您可以创建具有特殊访问权限的自定义用户角色。...
  • Page 381 第 19 章 了解流量解密 SSL 检查要求 表 19-1 SSL 检查的许可证和型号要求 要应用具有以下功能的 SSL 策略... 许可证 支持的防御中心 支持的设备 根据区域、网络、VLAN、端口或 SSL 相关条 任何环境...
  • Page 382 第 19 章 了解流量解密 分析 SSL 检查设备部署 收集配置 SSL 规则的必备信息 许可证:功能相关 SSL 检查依赖于大量支持公钥基础架构 (PKI) 信息。考虑贵组织的流量模式以确定可配置的匹配 规则条件。收集下表列出的信息: 表 19-3 SSL...
  • Page 383第 19 章 了解流量解密 分析 SSL 检查设备部署 保险业务流程 LifeIns 的保险员在线向 Medical Repository Example, LLC medical data repository (MedRepo ) 提交已加密的医疗信息请求。...
  • Page 384 第 19 章 了解流量解密 分析 SSL 检查设备部署 用户也可以配置访问控制以检查已加密的申请表流量是否存在虚假的申请数据,并在检测到虚假 数据时予以记录。 在以下情景中,用户向客户服务部门提交在线表单。用户的浏览器建立与服务器的 TCP 连接,然 后启动 SSL 握手。受管设备接收该流量的副本。客户端和服务器完成 SSL 握手,建立已加密会 话。系统根据握手和连接详情记录连接并对已加密流量的副本执行操作。 有关详细信息,请参阅以下部分:...
  • Page 385第 19 章 了解流量解密 分析 SSL 检查设备部署 不解密被动部署中的已加密流量 许可证:任何环境 受支持的设备:3 系列 对于包含有关保单的请求的所有 SSL 加密流量,系统允许该流量通过而不解密它,并记录连接。 下图说明允许已加密流量通过而无需进一步检查的系统。 发生接下来的步骤: 1. 用户提交纯文本请求 (info)。客户端加密此 (AaBb)...
  • Page 386 第 19 章 了解流量解密 分析 SSL 检查设备部署 发生接下来的步骤: 1. 用户提交纯文本请求 (form)。客户端加密此 (AaBb) 并将已加密流量发送到客户服务部门。 2. LifeIns 的路由器接收已加密流量并将其路由到客户服务部门服务器。它还将副本镜像到受管 设备。 3. 客户服务部门服务器接收已加密信息请求...
  • Page 387第 19 章 了解流量解密 分析 SSL 检查设备部署 发生接下来的步骤: 1. 用户提交纯文本请求 (fake)。客户端加密此 (CcDd) 并将已加密流量发送到客户服务部门。 2. LifeIns 的路由器接收已加密流量并将其路由到客户服务部门服务器。它还将副本镜像到受管 设备。 3. 客户服务部门服务器接收已加密的信息请求 (CcDd)...
  • Page 388 第 19 章 了解流量解密 分析 SSL 检查设备部署 • 解密从 MedRepo 发送到 LifeIns 的保险部门以及从 LifeIns 的初级保险员发送到 MedRepo 的请 求部门的所有已加密流量 •...
  • Page 389第 19 章 了解流量解密 分析 SSL 检查设备部署 发生接下来的步骤: 1. 用户提交纯文本请求 (help)。客户端加密此 (AaBb) 并将已加密流量发送到 MedRepo 的请求部 门服务器。 2. LifeIns 的路由器接收已加密流量并将其路由到请求部门服务器。 3....
  • Page 390 第 19 章 了解流量解密 分析 SSL 检查设备部署 在内联部署中阻止已加密的流量 许可证:任何环境 受支持的设备:3 系列 对于从 LifeIns 的保险部门错误发送到 MedRepo 的客户服务部门的所有 SMTPS 邮件流量,系统在 SSL...
  • Page 391第 19 章 了解流量解密 分析 SSL 检查设备部署 发生接下来的步骤: 1. 用户提交纯文本请求 (stats)。客户端加密此 (AaBbC) 并将已加密流量发送到保险部门服务器。 2. 外部路由器接收流量并将其路由到保险部门服务器。 3. 受管设备使用通过上载的已知私钥获取的会话密钥将此流量解密为纯文本 (stats)。 访问控制策略继续使用自定义入侵策略处理已解密的流量,且不查找欺骗尝试。设备传输已 加密流量...
  • Page 392 第 19 章 了解流量解密 分析 SSL 检查设备部署 发生接下来的步骤: 1. 用户提交纯文本请求 (spoof),将流量修改为像是来自 MedRepo, LLC。客户端加密此 (FfGgH) 并将已加密流量发送到保险部门服务器。 2. 受管设备使用通过上载的已知私钥获取的会话密钥将此流量解密为纯文本 (spoof)。 访问控制策略继续使用自定义入侵策略处理已解密的流量,且查找欺骗尝试。设备阻止流...
  • Page 393第 19 章 了解流量解密 分析 SSL 检查设备部署 3. 受管设备使用通过重签服务器证书获取的会话密钥和私钥将此流量解密为纯文本 (help)。 访问控制策略继续使用自定义入侵策略处理已解密的流量,且不查找不当请求。设备重新加 密流量 (CcDd),允许其通过。设备在会话结束后生成连接事件。 4. 外部路由器接收流量并将其路由到请求部门服务器。 5. 请求部门服务器接收已加密信息 (CcDd) 并将其解密为纯文本 (help)。...
  • Page 394 第 19 章 了解流量解密 分析 SSL 检查设备部署 FireSIGHT 系统用户指南 19-16
  • Page 395: SSL 策略使用入门 第 20 章 SSL 策略使用入门 SSL 策略决定系统如何处理网络上的加密流量。可以配置一个或多个 SSL 策略。您将 SSL 策略与 访问控制策略相关联,然后将访问控制策略应用于受管设备。当设备检测到 TCP 握手时,访问控 制策略首先处理并检查流量。如果它随后识别出通过 TCP 连接建立的 SSL 加密会话,则...
  • Page 396 第 20 章 SSL 策略使用入门 创建基本 SSL 策略 • 第 12-1 页上的访问控制策略入门介绍如何将访问控制策略应用于设备。 • 第 14-1 页上的使用访问控制规则调整流量介绍如何配置访问控制规则以检查已解密的流量。 • 第 21-1...
  • Page 397第 20 章 SSL 策略使用入门 创建基本 SSL 策略 要创建 SSL 策略,请执行以下操作: 访问:管理员/访问管理员/网络管理员 步骤 1 选择 Policies > SSL。 系统将显示 SSL...
  • Page 398 第 20 章 SSL 策略使用入门 创建基本 SSL 策略 要设置 SSL 策略的默认操作,请执行以下操作: 访问:管理员/访问管理员/网络管理员 步骤 1 选择 Policies > SSL。 系统将显示...
  • Page 399 第 20 章 SSL 策略使用入门 创建基本 SSL 策略 表 20-3 无法解密的流量类型 类型 说明 默认操作 可执行的操作 未知密码套件 系统无法识别该密码套件。 继承默认操作 不解密 阻止...
  • Page 400 第 20 章 SSL 策略使用入门 编辑 SSL 策略 步骤 5 点击 Save,以保存更改。 您必须应用关联的访问控制策略以使更改生效;请参阅第 12-13 页上的应用访问控制策略。 编辑 SSL 策略 许可证:任何环境...
  • Page 401 第 20 章 SSL 策略使用入门 编辑 SSL 策略 表 20-4 SSL 策略配置操作(续) 要...... 您可以...... 启用或禁用现有规则 右键单击选定的规则,选择 State,然后选择 Disable 或 Enable。被禁用的规则在...
  • Page 402 第 20 章 SSL 策略使用入门 使用访问控制应用解密设置 使用访问控制应用解密设置 许可证:任何环境 受支持的设备:3 系列 在对 SSL 策略做出任何更改之后,必须应用与其关联的访问控制策略。有关详细信息,请参阅第 12-13 页上的应用访问控制策略。 应用 SSL 策略时,请谨记以下几点: •...
  • Page 403第 20 章 SSL 策略使用入门 生成当前流量解密设置的报告 生成当前流量解密设置的报告 许可证:任何环境 SSL 策略报告是对特定时间点的策略和规则配置的记录。报告可用于审核或检查当前配置。 提示 还可以生成 SSL 比较报告,用以将某个策略与当前应用的策略或其他策略作比较。有关详细信 息,请参阅第 20-10 页上的比较 SSL 策略。 SSL...
  • Page 404 第 20 章 SSL 策略使用入门 比较 SSL 策略 比较 SSL 策略 许可证:任何环境 要查看策略更改是否符合贵组织的标准或优化系统性能,可以检查这两个 SSL 策略之间的区别。 可以比较任意两个策略,也可以将当前应用的策略与另一策略进行比较。在进行比较后,或者生 成 PDF 报告来记录两个策略之间的差异。...
  • Page 405第 20 章 SSL 策略使用入门 比较 SSL 策略 使用 SSL 策略比较报告 许可证:任何环境 SSL 策略比较报告是策略比较视图中识别出的两个 SSL 策略之间或者某个策略与当前应用的策略 之间所有差异的记录,其文件格式为 PDF。可以使用此报告来进一步检查两个策略配置之间差 异,以及保存和分发比较结果。 对于您能够访问的任何策略,都可以通过比较视图生成...
  • Page 406 第 20 章 SSL 策略使用入门 比较 SSL 策略 FireSIGHT 系统用户指南 20-12
  • Page 407: SSL 规则入门 第 21 章 SSL 规则入门 在 SSL 策略中, SSL 规则提供一种精细的方法来跨多台受管设备处理加密流量:阻止流量而不进 一步检查;不解密流量并通过访问控制对其进行检查;或者解密流量以进行访问控制分析。 系统会按照您所指定的顺序将流量与 SSL 规则相匹配。在大多数情况下,系统根据第一个 SSL 规 则(使用规则的所有条件来匹配流量)处理加密流量。条件可以简单也可以复杂;可以按安全区 域、网络或地理位置、VLAN、端口、应用、请求的 URL、用户、证书、证书可分辨名称、证书状...
  • Page 408 第 21 章 SSL 规则入门 在此场景中,按如下方式评估流量: • 第一, Undecryptable Traffic Action 评估加密流量。对于系统无法解密的流量,系统会将其 阻止而不进一步检查,或者使其通过以进行访问控制检查。不匹配的加密流量继续根据下一 规则进行评估。 • 第二,使用 SSL Rule 1:...
  • Page 409 第 21 章 SSL 规则入门 配置支持检查信息 • SSL Rule 5: Decrypt - Resign 是最终规则。如果流量与此规则相匹配,则系统使用已上传的 CA 证书对服务器证书重新签名,然后充当中间人解密流量。然后,根据访问控制规则评估 解密流量。访问控制规则以相同方式处理已解密和未加密的流量。作为此额外检查的结果, 系统可以阻止流量。所有剩余流量将被重新加密,才会被传输到目标。与 SSL 规则不匹配的...
  • Page 410 第 21 章 SSL 规则入门 了解和创建 SSL 规则 有关详细信息,请参阅: • 第 3-35 页上的使用密码套件列表 • 第 3-42 页上的使用可信证书颁发机构对象 • 第...
  • Page 411第 21 章 SSL 规则入门 了解和创建 SSL 规则 要创建或修改 SSL 规则,请执行以下操作: 访问:管理员/访问管理员/网络管理员 步骤 1 选择 Policies > SSL。 系统将显示 SSL...
  • Page 412 第 21 章 SSL 规则入门 了解和创建 SSL 规则 除了按照编号排序规则之外,还可按类别对规则进行分组。默认情况下,系统提供三个类别:管 理员、标准和根。您可以添加自定义类别,但是不能删除系统提供的类别或更改类别的顺序。有 关更改现有规则的位置或类别的信息,请参阅第 21-12 页上的更改 SSL 规则的位置或类别。 要在编辑或创建规则时将规则添加到类别,请执行以下操作: 访问:管理员/访问管理员/网络管理员 步骤 1...
  • Page 413 第 21 章 SSL 规则入门 了解和创建 SSL 规则 表 21-1 SSL 规则条件类型(续) 此条件...... 与加密流量相匹配...... 详细信息 Users 按照会话中涉及的用户 根据登录到加密、受监控会话中涉及的主机的 LDAP 用...
  • Page 414 第 21 章 SSL 规则入门 了解和创建 SSL 规则 当系统阻止或信任加密会话时,可以记录连接事件。无论系统稍后如何处理或检查流量,您都可 以强制系统记录其解密的连接,以通过访问控制规则进一步检查。加密会话的连接日志包含有关 加密的详细信息,例如用于加密该会话的证书。只能记录连接结束事件,但是: • 对于被阻止连接 (Block、Block with reset),系统立即结束会话并生成事件 • 对于受信任连接 (Do...
  • Page 415第 21 章 SSL 规则入门 了解和创建 SSL 规则 提示 请注意,在被动或内联(触点模式)部署中不能使用 Block 或 Block with reset 操作,因为设备不是 直接检查流量。如果创建具有 Block 或 Block...
  • Page 416 第 21 章 SSL 规则入门 管理策略中的 SSL 规则 • 在被动或内联(触点模式)部署中无法使用 Decrypt - Resign 操作,因为设备不会直接检查流量。 如果创建具有 Decrypt - Resign 操作的规则,该规则在安全区域中包含被动或内联(触点模式)...
  • Page 417第 21 章 SSL 规则入门 管理策略中的 SSL 规则 对于每个规则,策略编辑器会显示其名称和条件摘要,以及规则操作。图标表示警告、错误和其 他重要信息。已禁用的规则会显示为灰色,而且规则名称下方会带有(disabled) 标记。有关图标 的详细信息,请参阅第 21-14 页上的对 SSL 规则进行故障排除。 有关管理 SSL 规则的信息,请参阅: •...
  • Page 418 第 21 章 SSL 规则入门 管理策略中的 SSL 规则 要搜索规则,请执行以下操作: 访问:管理员/访问管理员/网络管理员 步骤 1 在要搜索的策略的 SSL 策略编辑器中,点击 Search Rules 提示,键入搜索字符串,然后按 Enter...
  • Page 419第 21 章 SSL 规则入门 管理策略中的 SSL 规则 有关详情,请参阅: • 第 21-13 页上的移动 SSL 规则 • 第 21-13 页上的添加新 SSL...
  • Page 420 第 21 章 SSL 规则入门 管理策略中的 SSL 规则 要添加新的类别,请执行以下操作: 访问:管理员/访问管理员/网络管理员 步骤 1 如果要移动规则,在包含该规则的策略的 SSL 策略编辑器中,点击 Add Category。 提示 如果您的策略已经包含规则,则可以点击现有规则所在行的空白区域,先设置新类别的位置,然...
  • Page 421 第 21 章 SSL 规则入门 管理策略中的 SSL 规则 表 21-2 SSL 错误图标 (续) 图标 说明 详细信息 错误 如果规则或其他 SSL 策略配置存在错误,则无法应用策略,直至更正问题为止。...
  • Page 422 第 21 章 SSL 规则入门 管理策略中的 SSL 规则 任何类型的规则条件都可以争抢后续规则。例如,以下的第一个规则中的 VLAN 范围包含第二个 规则中的 VLAN,因此第一个规则将争抢第二个规则: Rule 1: do not decrypt VLAN...
  • Page 423第 21 章 SSL 规则入门 管理策略中的 SSL 规则 请考虑以下场景,其中受信任 CA (好 CA )错误地将 CA 证书颁发给恶意实体 (坏 CA),但是 尚未撤销该证书。您希望阻止使用由不受信任 CA 颁发的证书加密的流量,但是以其他方式允许...
  • Page 424 第 21 章 SSL 规则入门 管理策略中的 SSL 规则 配置流量解密 当配置流量解密时,请记住以下准则: • 流量解密需要处理资源来解密流量以及通过访问控制检查该流量。创建注重于小范围的解密规 则 (相比于广泛的解密规则)可减少系统解密的流量,从而减少解密流量所需的处理资源。请 尽可能阻止或选择不解密加密流量,而不是解密后使用访问控制规则允许或阻止流量。 • 如果将证书状态条件配置为根据根颁发者 CA 信任流量,请将根...
  • Page 425: 使用 SSL 规则调整流量解密 第 22 章 使用 SSL 规则调整流量解密 基本 SSL 规则将其规则操作应用于由设备检查的所有加密流量。为更好地控制和解密加密流量, 可以配置规则条件来处理和记录特定类型的流量。每个 SSL 规则可包含 0 个、 1 个或多个规则条 件;仅当流量与该 SSL 规则中的每个条件匹配时,规则才会匹配流量。...
  • Page 426 第 22 章 使用 SSL 规则调整流量解密 使用基于网络的条件控制加密流量 可以将基于网络的条件相互结合以及与其他类型的条件结合来创建 SSL 规则。这些规则可以简单 也可以复杂,使用多个条件来匹配和检查流量。有关 SSL 规则的详细信息,请参阅第 21-1 页上 的SSL 规则入门。 有关详细信息,请参阅以下各节: •...
  • Page 427第 22 章 使用 SSL 规则调整流量解密 使用基于网络的条件控制加密流量 要按区域控制加密流量,请执行以下操作: 访问:管理员/访问管理员/网络管理员 步骤 1 在要按区域控制加密流量的 SSL 策略中,创建新 SSL 规则或编辑现有规则。 有关详细说明,请参阅第 21-4 页上的了解和创建 SSL...
  • Page 428 第 22 章 使用 SSL 规则调整流量解密 使用基于网络的条件控制加密流量 该示例手动指定离岸控股公司的服务器 IP 地址,并使用系统提供的开曼群岛地理定位对象表示开 曼群岛 IP 地址。 可以在单一网络条件中向 Source Networks 和 Destination Networks...
  • Page 429第 22 章 使用 SSL 规则调整流量解密 使用基于网络的条件控制加密流量 控制加密 VLAN 流量 许可证:任何环境 受支持的设备:3 系列 通过 SSL 规则中的 VLAN 条件,可以控制 VLAN 标记的流量。系统使用最内部的...
  • Page 430 第 22 章 使用 SSL 规则调整流量解密 使用基于网络的条件控制加密流量 步骤 4 点击 Add to Rule 或将选定对象添加到 Selected VLAN Tags 列表。 您也可以拖放所选对象。...
  • Page 431第 22 章 使用 SSL 规则调整流量解密 根据用户控制加密流量 • 要搜索将添加的基于 TCP 的端口对象和组,请点击 Available Ports 列表上方的 Search by name or value 提示,然后键入对象的名称或对象中端口的值。列表会在您键入内容时进行更新,以显...
  • Page 432 第 22 章 使用 SSL 规则调整流量解密 按信誉控制加密流量 要按用户控制加密流量,请执行以下操作: 访问:管理员/访问管理员/网络管理员 步骤 1 在要按用户控制加密流量的 SSL 策略中,创建新的 SSL 规则或编辑现有规则。 有关详细说明,请参阅第 21-4 页上的了解和创建...
  • Page 433第 22 章 使用 SSL 规则调整流量解密 按信誉控制加密流量 根据应用控制加密流量 许可证:可控性 受支持的设备:3 系列 当 FireSIGHT 系统分析加密 IP 流量时,它可以在解密加密会话之前识别和分类网络上常用的加密 应用。系统使用此基于发现的应用感知功能,允许您控制网络上的加密应用流量。 SSL 规则中的应用条件允许您执行此应用控制。在单个 SSL...
  • Page 434 第 22 章 使用 SSL 规则调整流量解密 按信誉控制加密流量 • 通过保存 Available Applications 列表中应用的搜索创建的过滤器。此项表示按子字符串匹配分 组的应用集。 • Available Applications 列表中的单个应用。 在 Web...
  • Page 435第 22 章 使用 SSL 规则调整流量解密 按信誉控制加密流量 要搜索过滤器,请点击 Available Filters 列表上方的 Search by name 提示,然后键入名称。列表会在 您键入内容时进行更新,以显示匹配的过滤器。 选择过滤器完成后,使用 Available Applications 列表将这些过滤器添加到规则中;请参阅第...
  • Page 436 第 22 章 使用 SSL 规则调整流量解密 按信誉控制加密流量 以此方式构建应用条件时,添加到 Selected Applications and Filters 列表的过滤器的名称是过滤器中 表示的过滤器类型加上每个类型的最多三个过滤器的名称的并置。相同类型的过滤器如果超过三 个,后面会加上省略号 (...)。例如,以下过滤器名称在 Risks 类型下包含两个过滤器,在 Business...
  • Page 437第 22 章 使用 SSL 规则调整流量解密 按信誉控制加密流量 对加密应用控制的限制 许可证:可控性 受支持的设备:3 系列 执行应用控制时,请记住以下要点。 加密应用识别 系统可以识别使用 StartTLS 进行加密的未加密应用。这包括诸如 SMTPS、 POPS、 FTPS、 TelnetS...
  • Page 438 第 22 章 使用 SSL 规则调整流量解密 按信誉控制加密流量 执行基于信誉的 URL 阻止 许可证:URL 过滤 受支持的设备:3 系列 通过 URL 过滤许可证,可以根据所请求的 URL 的类别和信誉来控制用户对网站的访问:...
  • Page 439第 22 章 使用 SSL 规则调整流量解密 按信誉控制加密流量 下表总结如何构建以上显示的条件。请注意,不能使用信誉限定文本 URL 或 URL 对象。 表 22-2 示例:构建 URL 条件 要阻止...... 请选择此类别或 URL...
  • Page 440 第 22 章 使用 SSL 规则调整流量解密 根据加密属性控制流量 对 URL 检测和阻止的限制 许可证:URL 过滤 受支持的设备:3 系列 执行 URL 检测和阻止时,请记住以下要点。 URL 识别的速度...
  • Page 441第 22 章 使用 SSL 规则调整流量解密 根据加密属性控制流量 按证书可分辨名称控制加密流量 许可证:任何环境 受支持的设备:3 系列 通过 SSL 规则中的可分辨名称,可以根据颁发服务器证书的 CA 或证书持有者来处理和检查加密 流量。根据颁发者可分辨名称,可以根据颁发站点服务器证书的 CA 处理流量。 当配置规则条件时,可以手动指定文本值,引用可分辨名称对象,或者引用包含多个对象的可分...
  • Page 442 第 22 章 使用 SSL 规则调整流量解密 根据加密属性控制流量 在单个 DN 条件中,可以向 Subject DNs 添加最多 50 个文本值和可分辨名称对象,并向 Issuer DNs 添加最多 50...
  • Page 443第 22 章 使用 SSL 规则调整流量解密 根据加密属性控制流量 按证书控制加密流量 许可证:任何环境 受支持的设备:3 系列 通过 SSL 规则中的证书条件,可以根据用于对加密流量进行加密的服务器证书来处理和检查该流 量。可以配置具有一个或多个证书的条件;如果证书与该条件的任何证书相匹配,则流量与规则 相匹配。 构建基于证书的 SSL 规则条件时,可以上传服务器证书;将证书另存为外部证书对象,该对象可重 用并会将名称与服务器证书相关联。或者,可以使用现有外部证书对象和对象组来配置证书条件。...
  • Page 444 第 22 章 使用 SSL 规则调整流量解密 根据加密属性控制流量 步骤 4 点击 Add to Rule 将所选对象添加到 Subject Certificates 列表中。 您也可以拖放所选对象。 步骤...
  • Page 445第 22 章 使用 SSL 规则调整流量解密 根据加密属性控制流量 要向策略中添加受信任 CA,请执行以下操作: 访问:管理员/访问管理员/网络管理员 步骤 1 选择 Policies > SSL。 系统将显示 SSL Policy 页面。...
  • Page 446 第 22 章 使用 SSL 规则调整流量解密 根据加密属性控制流量 下表介绍系统如何根据加密服务器证书的状态评估加密流量。 表 22-4 证书状态规则条件标准 状态检查 状态设置为 Yes 状态设置为 No 已撤销 策略信任颁发服务器证书的 CA,并且上传...
  • Page 447第 22 章 使用 SSL 规则调整流量解密 根据加密属性控制流量 下图说明根据若干状态的存在或缺失进行匹配的证书状态规则条件。由于配置原因,如果规则与 使用由无效用户颁发的证书、自签名证书、无效证书或已到期证书加密的传入流量相匹配,则该 规则使用已知密钥来解密流量。 请注意,即使证书可能匹配多个状态,但是规则仅对流量执行一次操作。 要按服务器证书状态检查加密流量,请执行以下操作: 访问:管理员/访问管理员/网络管理员 步骤 1 在要根据服务器证书状态控制加密流量的 SSL 策略中,创建新的 SSL 规则或编辑现有规则。...
  • Page 448 第 22 章 使用 SSL 规则调整流量解密 根据加密属性控制流量 按密码套件控制加密流量 许可证:任何环境 受支持的设备:3 系列 通过 SSL 规则中的密码套件条件,可以根据用于协商加密会话的密码套件来处理和检查加密流 量。思科提供可向密码套件规则条件中添加的预定义密码套件。您还可以添加包含多个密码套件 的密码套件列表对象。有关密码套件列表的详细信息,请参阅第 3-35 页上的使用密码套件列表。 注...
  • Page 449第 22 章 使用 SSL 规则调整流量解密 根据加密属性控制流量 按加密协议版本控制流量 许可证:任何环境 受支持的设备:3 系列 通过 SSL 规则中的会话条件,可以根据用于加密流量的 SSL 或 TLS 版本来检查加密流量。可以 选择根据使用 SSL...
  • Page 450 第 22 章 使用 SSL 规则调整流量解密 根据加密属性控制流量 FireSIGHT 系统用户指南 22-26
  • Page 451: 了解网络分析和入侵策略 第 23 章 了解网络分析和入侵策略 网络分析和入侵策略作为 FireSIGHT 系统的 入侵检测和防御功能的一部分,共同发挥作用。术语 入侵检测通常指被动分析网络流量以寻找潜在入侵,并存储攻击数据用于安全分析的过程。术语 入侵防御包括入侵检测的概念,但是增加了在恶意流量流经网络时对其进行拦截或更改的能力。 在入侵防御部署中,当系统检查数据包时: • 网络分析策略监管如何对流量进行解码和预处理,以便进一步评估,尤其是针对可能预示入 侵企图的异常流量。 • 入侵策略使用入侵和预处理程序规则 (有时统称为入侵规则)根据模式检查已解码的数据包 中是否存在攻击。入侵策略与变量集配对,允许您使用指定值准确反映您的网络环境。 网络分析和入侵策略由父访问控制策略在不同时间调用。在系统分析流量期间,网络分析...
  • Page 452 第 23 章 了解网络分析和入侵策略 了解策略如何检查流量是否存在入侵 • 第 18-1 页上的使用入侵和文件策略控制流量说明如何配置系统通过将入侵策略与父访问控制策 略相关联使用入侵策略仅检查您感兴趣的流量。还说明了如何配置高级入侵策略性能选项。 • 第 29-1 页上的配置高级传输/网络设置说明如何配置全局适用于由访问控制策略的目标设备处 理的所有流量的高级传输和网络预处理程序设置。您可以在访问控制策略而不是网络分析或 入侵策略中配置这些高级设置。 • 第 26-1...
  • Page 453第 23 章 了解网络分析和入侵策略 了解策略如何检查流量是否存在入侵 请注意,对于单条连接,尽管系统会选择先网络分析策略再选择访问控制策略 (如图所示),但 在选择访问控制规则之后还是会进行一些预处理 (特别是应用层预处理)。这不会影响您如何在 自定义网络分析策略中配置预处理。 有关详情,请参阅: • 第 23-3 页上的解码、规范化和预处理:网络分析策略 • 第 23-4 页上的访问控制规则:入侵策略选择 •...
  • Page 454 第 23 章 了解网络分析和入侵策略 了解策略如何检查流量是否存在入侵 • Modbus 和 DNP3 SCADA 预处理程序检测异常流量并向入侵规则提供数据。监控与数据采集 (SCADA) 协议可监视和控制工业、基础设施以及工厂流程 (例如制造、生产、水处理、配 电、机场和运输系统等)并从中获取数据。有关详细信息,请参阅第 28-1 页上的配置 SCADA 预处理。...
  • Page 455第 23 章 了解网络分析和入侵策略 了解策略如何检查流量是否存在入侵 入侵检查:入侵策略、规则和变量集 许可证:保护 可使用入侵防御作为系统在允许流量到达目的地之前的最后一道防线。入侵策略监管系统如何检 查流量是否存在安全违规,并且在内联部署中可以阻止或修改恶意流量。入侵策略的主要功能是 管理启用哪些入侵和预处理程序规则及其如何配置。 入侵和预处理程序规则 入侵规则是一组指定的关键字和参数,用于检测企图利用网络漏洞的行为;系统使用入侵规则分 析网络流量以检查其是否符合规则中的条件。系统将数据包与每条规则中指定的条件进行比较, 如果数据包数据符合规则中指定的所有条件,则触发此规则。 系统包括 VRT 创建的以下类型的规则: • 共享对象入侵规则,该规则已编译,无法修改 (诸如源和目标端口和...
  • Page 456 第 23 章 了解网络分析和入侵策略 比较系统提供的策略与自定义策略 生成入侵事件 许可证:保护 当系统识别可能的入侵时,它会生成入侵或预处理程序事件 (有时统称为入侵事件)。受管设备 将其事件传输到防御中心,在其中可以查看聚合数据并更好地了解针对网络资产的攻击。在内联 部署中,受管设备还可以丢弃或替换已知有害的数据包。 数据库中的每个入侵事件均包括事件报头并包含有关事件名称和分类的信息;源和目标 IP 地址; 端口;生成事件的进程;事件的日期和时间,以及有关攻击源及其目标的情景信息。对于基于数 据包的事件,系统还记录触发事件的数据包的已解码的数据包报头和负载的副本。 数据包解码器、预处理程序和入侵规则引擎都可能导致系统生成事件。例如: • 如果数据包解码器...
  • Page 457第 23 章 了解网络分析和入侵策略 比较系统提供的策略与自定义策略 或者,您可以通过创建和使用自定义策略来定制您的入侵防御部署。不过,您可能会发现这些策 略中配置的预处理程序选项、入侵规则和其他高级设置无法满足网络的安全需求。通过调整网络 分析和入侵策略,可以非常精细地配置系统如何处理网络流量并检查其是否存在入侵。 有关详情,请参阅: • 第 23-7 页上的了解系统提供的策略 • 第 23-8 页上的自定义策略的优点 • 第 23-10...
  • Page 458 第 23 章 了解网络分析和入侵策略 比较系统提供的策略与自定义策略 No Rules Active 入侵策略 在 No Rules Active 入侵策略中,所有入侵规则和高级设置均已禁用。如果您要创建自己的入 侵策略而不是将其基于系统提供的其他策略之一中的已启用规则,则此策略提供一个起点。 注意事项 思科使用另一个策略 Experimental Policy...
  • Page 459第 23 章 了解网络分析和入侵策略 比较系统提供的策略与自定义策略 注 如果禁用自定义网络分析策略中的预处理程序,但系统稍后需要使用该预处理程序利用已启用的 入侵或预处理程序规则对数据包进行评估,系统会自动启用并使用预处理程序,不过它在网络分 析策略网络界面中保持禁用。 • 在适当情况下指定端口,以某些预处理程序的活动为重点。例如,可以确定要对 DNS 服务器 响应或加密 SSL 会话进行监控的其他端口,或者确定解码 telnet、 HTTP 和 RPC...
  • Page 460 第 23 章 了解网络分析和入侵策略 比较系统提供的策略与自定义策略 • 禁止入侵事件通知和设置个别规则或全体入侵策略的阈值也可以防止系统被大量事件淹没。 有关详细信息,请参阅第 32-20 页上的按策略过滤入侵事件通知。 • 除了网络界面中的各种入侵事件视图之外,您还可以启用将日志记录到系统日志工具或者将 事件数据发送到 SNMP 陷阱服务器。根据策略,您可以指定入侵事件通知限制,设置发送到 外部日志记录工具的入侵事件通知,以及配置对入侵事件的外部响应。请注意,除了基于策 略的这些警报配置,对于每个规则或规则组,您还可以在入侵事件上全局启用或禁用邮件警 报。无论处理数据包的是哪个入侵策略,都会使用您的邮件警报设置。有关详细信息,请参 阅第...
  • Page 461第 23 章 了解网络分析和入侵策略 比较系统提供的策略与自定义策略 其各自的进程中可能由入侵策略检查。换句话说,使用特定网络分析策略预处理数据包不保证将 通过任何特殊入侵策略检查该数据包。您必须仔细配置访问控制策略,以使其调用正确的网络分 析和入侵策略来评估特殊数据包。 下图重点显示网络分析策略 (预处理)选择阶段如何先于且独立于入侵防御 (规则)阶段发生。 为简单起见,此图省去了发现和文件/恶意软件检查阶段。它还突出显示默认网络分析和默认动作 入侵策略。 在此情景中,访问控制策略配置为拥有两条网络分析规则和一个默认网络分析策略: • Network Analysis Rule A 预处理与...
  • Page 462 第 23 章 了解网络分析和入侵策略 使用导航面板 使用导航面板 许可证:保护 网络分析和入侵策略使用类似的网络界面编辑和保存对其配置做出的更改;请参阅: • 第 26-3 页上的编辑网络分析策略 • 第 31-4 页上的编辑入侵策略 编辑任一类型的策略时,导航面板会出现在网络界面左侧。下图显示网络分析策略 (左侧)和入 侵策略...
  • Page 463第 23 章 了解网络分析和入侵策略 解决冲突和提交策略更改 Settings (网络分析策略)和 Advanced Settings (入侵策略) 网络分析策略中的 Settings 页面可供您启用或禁用预处理程序以及访问预处理程序配置页面。展 开 Settings 链接会显示指向策略中所有已启用预处理程序的个别配置页面的子链接。有关详细信 息,请参阅第 26-5 页上的在网络分析策略中配置预处理器。 入侵策略中的...
  • Page 464 第 23 章 了解网络分析和入侵策略 解决冲突和提交策略更改 • 如果在网络分析策略中禁用内联模式,但是启用内联规范化预处理程序,则仍然可以保存该策 略。然而,系统会警告您规范化设置将被忽略。禁用内联模式还会导致系统忽略允许预处理程 序修改或阻止流量的其他设置,包括校验和验证和基于速率的攻击防御。有关详细信息,请参 阅第 26-4 页上的允许预处理器影响内联部署中的流量和第 29-6 页上的规范化内联流量。 提交、放弃和缓存策略更改 在编辑网络分析或入侵策略时,如果您退出策略编辑器但不保存更改,则系统会缓存这些更改。即 使注销系统或系统崩溃,更改依然会被缓存下来。系统缓存可以按照每个用户一个网络分析和一个 入侵策略来存储未保存的更改;编辑同一类型的另一个策略之前,必须提交或放弃更改。编辑另一 个策略而不保存对第一个策略的更改时,或者导入入侵规则更新时,系统会放弃缓存的更改。...
  • Page 465: 在网络分析或入侵策略中使用层 第 24 章 在网络分析或入侵策略中使用层 拥有众多受管设备的大型组织可能具有许多入侵策略和网络分析策略来支持不同部门、业务单位 或 (某些情况下)不同公司的独特需求。这两种策略类型中的配置均纳入称为层的构建块中,您 可以使用层有效地管理多个策略。 层在入侵和网络分析策略中以基本相同的方式工作。您可创建和编辑任一策略类型,无需刻意使 用层。可以修改策略配置,并且,如果尚未向策略中添加用户层,则系统会自动将您的更改纳入 单个可配置层 (初始命名为 My Changes)。或者,也可添加最多 200 个层,可在其中配置设置的 任何组合。可以复制、合并、移动和删除用户层,并且最重要的是,可与同一类型的其他策略共 享个别用户层。 有关详细信息,请参阅以下各节:...
  • Page 466 第 24 章 在网络分析或入侵策略中使用层 了解层堆栈 在使用多层时,请注意以下问题: • 当策略中的最高层为只读层或第 24-9 页上的在策略之间共享层中描述的共享层时,系统将在 入侵策略中自动添加一个用户可配置层作为最高层,前提是执行以下两项操作之一: – 在入侵策略 Rules 页面上修改规则操作 (即规则状态、事件过滤、动态状态或警报)。有 关详细信息,请参阅第 32-1 页上的使用规则调整入侵策略。...
  • Page 467第 24 章 在网络分析或入侵策略中使用层 了解层堆栈 了解系统提供的基本策略 许可证:保护 思科通过 FireSIGHT 系统提供了多对网络分析和入侵策略。通过使用系统提供的网络分析和入侵 策略,您可以借鉴思科漏洞研究团队 (VRT) 的经验。对于这些策略, VRT 会设置入侵和预处理程 序规则状态,以及提供预处理程序和其他高级设置的初始配置。可以按现状使用系统提供的这些 策略,也可以将其用作自定义策略的基础。 如果使用系统提供的策略作为基础,则导入规则更新可能修改基本策略中的设置。但是,可将自 定义策略配置为不对系统提供的其基本策略做出这些更改。这使您能够根据独立于规则更新导入 的计划手动更新系统提供的基本策略。在任一情况下,规则更新对基本策略所做出的更改不会更...
  • Page 468 第 24 章 在网络分析或入侵策略中使用层 了解层堆栈 步骤 4 保存策略、继续编辑、放弃更改、恢复基本策略中的默认配置设置,或在系统缓存中保留变更后 退出。有关详细信息,请参阅第 23-13 页上的解决冲突和提交策略更改。 允许规则更新修改系统提供的基本策略 许可证:保护 您导入的规则更新会为系统提供的策略提供能够已修改的网络分析预处理程序设置、已修改的入 侵策略高级设置、新的和已更新的入侵规则,以及已修改的现有规则状态。规则更新还可以删除 规则并提供新规则类别和默认变量。有关详细信息,请参阅第 66-13 页上的导入规则更新和本地 规则文件。...
  • Page 469第 24 章 在网络分析或入侵策略中使用层 了解层堆栈 步骤 3 选择或清除 Update when a new Rule Update is installed 复选框。 在清除此复选框的情况下保存策略,然后导入规则更新时,在 Base Policy...
  • Page 470 第 24 章 在网络分析或入侵策略中使用层 管理层 管理层 许可证:保护 Policy Layers 页面为网络分析或入侵策略提供完整层堆叠的单页摘要。在此页面上可以添加共享 和非共享层,复制、合并、移动和删除层,访问每层的摘要页面,以及访问配置页面了解各层中 已启用、禁用和覆盖的配置。 对于每层,您均可查看以下信息: • 层是为内置、共享用户还是非共享用户层 • 哪些层包含最高 (即有效的)预处理程序或高级设置配置 (按功能名称)...
  • Page 471第 24 章 在网络分析或入侵策略中使用层 管理层 要使用 Policy Layers 页面,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 编辑策略时,请在导航面板中点击 Policy Layers。 系统将显示 Policy Layers 摘要页面。 步骤...
  • Page 472 第 24 章 在网络分析或入侵策略中使用层 管理层 步骤 2 点击要编辑的用户层旁的编辑图标 ( )。 系统将显示该层的摘要页面。 步骤 3 可执行以下操作: • 修改层名称。 • 添加或修改层说明。 步骤...
  • Page 473第 24 章 在网络分析或入侵策略中使用层 管理层 合并层 许可证:保护 可以将网络分析或入侵策略中的用户可配置层与其下方的下一个用户层合并。合并层保留任一层 特有的所有设置,并且如果两层均包含同一预处理程序、入侵规则或高级设置的设置,则会接受 更高层中的设置。合并层保留下层的名称。 如在一个策略中创建的一个共享层已添加至其他策略,则可将紧接共享层并在其之上的非共享层 与该共享层合并,但不能将该共享层与其下方的非共享层合并。 如在一个策略中添加了在其他策略中创建的共享层,则可将该共享层合并到紧接其下方的非共享 层,合并生成的层将不再共享;不能将非共享层合并到其下方的共享层。 要将用户层与其下方的用户层合并,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 编辑策略时,请在导航面板中点击 Policy...
  • Page 474 第 24 章 在网络分析或入侵策略中使用层 管理层 示例主策略中的扁平化网络设置不大可能对流量监控有用,但配置和更新站点特定策略所节省的 时间使得它成为策略层的一种有用应用。 也可使用许多其他层配置。例如,您可以按公司、部门、网络甚至用户来界定策略层。对于入侵 策略而言,还可以在一个层中纳入高级设置,而在另一个层中纳入规则设置。 提示 当基本策略是在其中已创建要共享的层的自定义策略时,不能向策略中添加共享层。如要尝试保 存更改,将出现一条错误消息,指明策略包括循环依赖。有关详细信息,请参阅第 24-3 页上的了 解自定义基本策略。 要与其他策略共享一个层,您必须执行以下操作: • 在要共享的层的层摘要页面上启用共享。 •...
  • Page 475 第 24 章 在网络分析或入侵策略中使用层 管理层 在层中配置入侵规则 许可证:保护 在入侵策略中,可为任何用户可配置层中的规则设定规则状态、事件过滤、动态状态、警报和规 则评论。访问要进行更改的层之后,可以按照在入侵策略 Rules 页面上所用的相同方法在该层的 Rules 页面上添加设置;请参阅第 32-1 页上的使用规则调整入侵策略。 可以在该层的 Rules 页面上查看个别层设置,也可以在 Rules 页面的策略视图中查看所有设置的...
  • Page 476 第 24 章 在网络分析或入侵策略中使用层 管理层 可在层规则设置表中修改任何设置。有关配置入侵规则的详细信息,请参阅第 32-1 页上的使用规 则调整入侵策略。 要从可编辑层删除单项设置,请双击该层 Ruels 页面的规则消息,以显示规则详细信息。在要删 除的设置旁,单击 Delete,然后双击 OK。 步骤 3 保存策略、继续编辑、放弃更改、恢复基本策略中的默认配置设置,或在系统缓存中保留变更后 退出。有关详细信息,请参阅第...
  • Page 477第 24 章 在网络分析或入侵策略中使用层 管理层 系统将显示一个确认弹出窗口。 注 移除从共享层或基本策略派生的规则设置会导致忽略从更低层或基本策略中对该规则做出的任何 更改。要停止忽略从更低层或基本策略做出的更改,请在最高层的摘要页面上将规则状态设置为 Inherit。有关详细信息,请参阅第 32-18 页上的设置规则状态。 步骤 4 点击 OK。 系统移除规则中选定的设置并将剩余设置复制至策略中的最高可编辑层。参阅此操作步骤的说 明,了解影响系统复制剩余设置的条件。 步骤 5...
  • Page 478 第 24 章 在网络分析或入侵策略中使用层 管理层 配置层中的预处理程序和高级设置 许可证:保护 您使用类似的机制在网络分析策略中配置预处理程序和在入侵策略中配置高级设置。您可以启用 和禁用预处理程序 (在网络分析 Settings 页面上)和入侵策略高级设置 (在入侵策略 Advanced Settings 页面上)。这些页面还提供所有相关功能的有效状态的摘要。例如,如果网络分析 SSL 预处理程序在一层中已禁用但在更高层中已启用,则 Settings...
  • Page 479第 24 章 在网络分析或入侵策略中使用层 管理层 要修改用户层中的预处理程序/高级设置,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 编辑策略时,请在导航面板中展开 Policy Layers,然后点击要修改的层的名称。 系统将显示该层的摘要页面。 步骤 2 可以采取 Layer 摘要页面操作表中的任何操作。 步骤 3...
  • Page 480 第 24 章 在网络分析或入侵策略中使用层 管理层 FireSIGHT 系统用户指南 24-16
  • Page 481: 自定义流量预处理 第 25 章 自定义流量预处理 访问控制策略中的多项高级设置可监管需要特定专门技术才能做出的入侵检测和防御配置。高级 设置通常只需要很少的修改或者不需要修改,不通用于各个部署。 本章介绍如何设置以下首选项: • 第 25-1 页上的设置用于访问控制的默认入侵策略说明如何更改访问控制策略的默认入侵策 略,用于在系统准确确定如何检查流量之前初始检查流量。 • 第 25-2 页上的使用网络分析策略自定义预处理说明如何通过分配自定义网络分析策略预处理 匹配流量,根据特定安全区域、网络和 VLAN 定制某些流量预处理选项。...
  • Page 482 第 25 章 自定义流量预处理 使用网络分析策略自定义预处理 • No Rules Active 是在您首先选择 Block all traffic 或 Network Discovery 默认操作时访问控制策略的 默认入侵策略。尽管选择此选项会禁用对上述已允许数据包的入侵检测,但是,如果您对入 侵数据不感兴趣,它可提高性能。...
  • Page 483第 25 章 自定义流量预处理 使用网络分析策略自定义预处理 对于采用复杂部署的高级用户,可以创建多个网络分析策略,每个策略经过定制以不同方式预处 理流量。然后,可以将系统配置为使用这些策略通过不同的安全区域、网络或 VLAN 监管流量的 预处理。(请注意, ASA FirePOWER 设备无法通过 VLAN 限制预处理。) 为此,请向访问控制策略中添加自定义网络分析规则。每条规则无有: • 一组规则条件,用于识别想要预处理的特定流量 • 一条关联的网络分析策略,想要用来预处理符合所有规则条件的流量...
  • Page 484 第 25 章 自定义流量预处理 使用网络分析策略自定义预处理 指定要使用网络分析规则进行预处理的流量 许可证:任何环境 受支持的设备:因功能而异 在访问控制策略的高级设置中,可以使用网络分析规则定制网络流量的预处理配置。类似于访问 控制规则,网络分析规则从 1 开始编号。 在系统预处理流量时,它将数据包按照升序规则编号自上而下的顺序与网络分析规则相匹配,然 后根据所有条件都匹配的第一个规则预处理流量。下表描述可添加到规则的条件。 表 25-1 网络分析规则条件类型 此条件… 匹配流量......
  • Page 485第 25 章 自定义流量预处理 使用网络分析策略自定义预处理 步骤 5 点击 Network Analysis 选项卡,然后从 Network Analysis Policy 下拉列表中选择一条策略,以便将网络 分析策略与规则相关联。 系统使用您选择的网络分析策略预处理符合规则的所有条件的流量。请注意,如果选择用户创建 的策略,则可点击编辑图标 ( )...
  • Page 486 第 25 章 自定义流量预处理 使用网络分析策略自定义预处理 步骤 5 保存或继续编辑规则。 只有应用访问控制策略才能使更改生效;请参阅第 12-13 页上的应用访问控制策略。 按每个网络预处理流量 许可证:任何环境 网络分析规则中的网络条件可供您按流量的源 IP 地址和目标 IP 地址预处理流量。您可以手动为 想要预处理的流量指定源...
  • Page 487第 25 章 自定义流量预处理 使用网络分析策略自定义预处理 步骤 6 保存或继续编辑规则。 只有应用访问控制策略才能使更改生效;请参阅第 12-13 页上的应用访问控制策略。 按 VLAN 预处理流量 许可证:任何环境 受支持的设备:任何防御中心,除了ASA FirePOWER 网络分析规则中的 VLAN 条件可供您控制如何预处理具有...
  • Page 488 第 25 章 自定义流量预处理 使用网络分析策略自定义预处理 管理网络分析规则 许可证:任何环境 网络分析规则只是指定如何预处理与这些限制条件匹配的流量的一组配置和条件。可以在现有访 问控制策略的高级选项中创建和编辑网络分析规则。每条规则只属于一个策略。 要编辑自定义网络分析规则,请执行以下操作: 访问:管理员/访问管理员/网络管理员 步骤 1 在想要更改自定义预处理配置的访问控制策略中,选择 Advanced 选项卡,然后点击 Intrusion and Network...
  • Page 489: 网络分析策略使用入门 第 26 章 网络分析策略使用入门 网络分析策略管理许多流量预处理选项,并供访问控制策略中的高级设置调用。网络分析相关预 处理发生在安全情报黑名单和 SSL 解密之后进行,但在入侵或文件检查开始之前进行。 默认情况下,系统使用平衡的安全性和网络分析策略预处理由访问控制策略处理的所有流量。但 是,您可以选择不同的默认网络分析策略执行此预处理。为方便您使用,系统提供多种无法修改 的网络分析策略供选择,这些策略由思科漏洞研究团队 (VRT) 针对安全性和连接的特定平衡专门 进行过调整。您也可以用具有自定义预处理设置的自定义网络分析策略替换此默认策略。 提示 系统提供的入侵和网络分析策略具有类似的名称,但包含不同的配置。例如,平衡安全性和连接 网络分析策略和平衡安全性和连接入侵策略配合工作并可以在入侵规则更新中同时更新。但是, 网络分析策略管理的主要是预处理选项,而入侵策略管理的主要是入侵规则。第 23-1...
  • Page 490 第 26 章 网络分析策略使用入门 创建自定义网络分析策略 创建自定义网络分析策略 许可证:保护 当您创建新的网络分析策略时必须为其提供唯一的名称,指定基本策略并选择内联模式。 基本策略定义网络分析策略的默认设置。修改新策略中的设置会覆盖 (但不会更改)基本策略中 的该设置。您可以使用系统提供的策略或自定义策略作为您的基本策略。有关详细信息,请参阅 第 24-2 页上的了解基本层。 网络分析策略的内联模式允许预处理器修改 (标准化)和丢弃流量,从而使攻击者避开检测的可 能性最小化。请注意,在被动部署中,系统无法影响流量传输,无论内联模式如何设置。有关详 细信息,请参阅第 26-4...
  • Page 491第 26 章 网络分析策略使用入门 管理网络分析策略 管理网络分析策略 许可证:保护 在 Network Analysis Policy 页面(Policies > Access Control,然后点击 Network Analysis Policy)上,可 以查看当前自定义网络分析策略以及以下信息: •...
  • Page 492 第 26 章 网络分析策略使用入门 编辑网络分析策略 表 26-2 网络分析策略编辑操作 (续) 要...... 您可以...... 请参阅...... 更改基本策略 从 Policy Information 页面上的 第 24-3...
  • Page 493第 26 章 网络分析策略使用入门 编辑网络分析策略 • 系统可以丢弃具有无效校验和的数据包;请参阅第 29-5 页上的验证校验和。 • 系统可以丢弃匹配基于速率的攻击防护设置的数据包;请参阅第 34-8 页上的防御基于速率的 攻击。 要使网络分析策略中配置的预处理器影响流量,还必须启用并正确配置预处理器,并正确部署受管 设备内联,也就是说,与内联接口集内联。最后,您必须启用网络分析策略的 Inline Mode 设置。 如果要评估您的配置如何在内联部署中起作用,而不会实际修改流量,您可以禁用内联模式。在...
  • Page 494 第 26 章 网络分析策略使用入门 编辑网络分析策略 提示 要将预处理器的配置恢复为基本策略中的设置,请点击预处理器配置页面上的 Revert to Defaults。 出现提示时,请确认您要恢复。 当您禁用预处理器时,子链接和 Edit 将不再显示,但您的配置将被保留。请注意,为了执行其特 定分析,许多预处理器和入侵规则要求首先以某种方式对流量进行解码或预处理。如果您禁用一 个必要的预处理器,系统会自动使用其当前设置,但是,预处理器在网络分析策略网络界面中将 保持禁用状态。 注 在大多数情况下,配置预处理器要求特定专业知识,并且通常很少需要修改或不需要任何修改。...
  • Page 495第 26 章 网络分析策略使用入门 生成当前网络分析设置的报告 传输层/网络层预处理器 网络层和传输层预处理器检测网络层和传输层的漏洞。数据包发送到预处理器之前,数据包解码 器将数据包报头和负载转换为便于预处理器和入侵规则引擎使用的格式;它还检测数据包报头中 的各种异常行为。 表 26-5 传输层和网络层预处理器设置 想了解以下内容...... 请参阅...... 校验和验证 第 29-5 页上的验证校验和 内联规范化 第...
  • Page 496 第 26 章 网络分析策略使用入门 比较两个网络分析策略或版本 表 26-7 网络分析策略报告项 项 说明 策略信息 提供策略的名称和说明、上次修改策略的用户的名称以及策略上次修改的 日期和时间 并指明是否可以启用内联规范化,当前规则更新版本,以及基 本策略是否锁定为当前规则更新。 设置 列出所有已启用预处理器设置及其配置。 还可以生成比较两个网络分析策略或同一策略的两个版本的比较报告。有关详细信息,请参阅第 26-8...
  • Page 497第 26 章 网络分析策略使用入门 比较两个网络分析策略或版本 使用网络分析策略比较视图 许可证:保护 比较视图以并列格式显示两个策略或策略版本,每个策略或策略版本在比较视图的左右两侧标题 栏上通过名称来识别。上次修改时间和最近一次做出修改的用户会与策略名称一起显示。 两个策略之间的差异将会突出显示: • 蓝色指示突出显示的设置在两个策略中不同,不同之处以红色文本标注。 • 绿色指示突出显示的设置在一个策略中存在,但在另一个策略中不存在。 您可以执行下表中的任何操作。 表 26-8 网络分析策略比较视图操作 要...... 您可以.........
  • Page 498 第 26 章 网络分析策略使用入门 比较两个网络分析策略或版本 步骤 2 点击 Compare Policies。 系统将显示 Select Comparison 窗口。 步骤 3 从 Compare Against...
  • Page 499: 使用应用层预处理器 第 27 章 使用应用层预处理器 您在网络分析策略中配置应用层预处理器,该预处理器准备流量,以便使用在入侵策略中启用的 规则检查该流量。有关详情,请参见第 23-1 页上的了解网络分析和入侵策略。 应用层协议可以多种方式呈现相同的数据。思科提供应用层协议解码器,这些解码器可将特定类 型的数据包数据规范化为入侵规则引擎可以分析的格式。规范化应用层协议编码使得规则引擎可 以有效地将相同的内容相关规则应用于其数据以不同方式呈现的数据包,并获得有意义的结果。 当入侵规则或规则参数要求禁用的预处理器时,系统会自动使用其当前设置,即使其在网络分析 策略网络界面中保持禁用状态。有关详细信息,请参阅第 23-10 页上的自定义策略的局限性。 注意事项 有些具有自定义用户角色的用户无法通过标准菜单路径 (Policies >...
  • Page 500 第 27 章 使用应用层预处理器 解码 DCE/RPC 流量 • 第 27-57 页上的使用 SSH 预处理器检测攻击解释如何识别和处理 SSH 加密流量中的漏洞。 • 第 27-60 页上的使用...
  • Page 501第 27 章 使用应用层预处理器 解码 DCE/RPC 流量 选择全局 DCE/RPC 选项 许可证:保护 DCE/RPC 预处理器全局选项控制预处理器的工作方式。修改这些选项可能会对性能或检测能力 造成负面影响,但 Memory Cap Reached 选项除外。除非您已充分理解此预处理器及其与已启用的 DCE/RPC 规则之间的交互,否则请勿修改这些选项。尤其是,必须确保...
  • Page 502 第 27 章 使用应用层预处理器 解码 DCE/RPC 流量 了解基于目标的 DCE/RPC 服务器策略 许可证:保护 可以创建一个或多个基于目标的服务器策略,并使用这些策略将 DCE/RPC 预处理器配置为像指 定类型的服务器一样检查 DCE/RPC 流量。基于目标的策略配置包括识别在网络上识别出的主机 上运行的 Windows...
  • Page 503第 27 章 使用应用层预处理器 解码 DCE/RPC 流量 思科建议您使用默认检测端口 (可以是已知端口,也可以是各协议的常用端口)。在非默认端口 检测到 DCE/RPC 流量的情况下才可以添加端口。 启用自动检测端口时,请确保将端口范围设置为 1024 到 65535,以便覆盖整个临时端口范围。请 注意,很少会为 RPC over HTTP...
  • Page 504 第 27 章 使用应用层预处理器 解码 DCE/RPC 流量 下图说明了 DCE/RPC 预处理器开始为不同传输处理 DCE/RPC 流量的点。 对于上图,请注意以下几点: • 已知 TCP 或 UDP 端口...
  • Page 505第 27 章 使用应用层预处理器 解码 DCE/RPC 流量 Microsoft IIS 代理服务器和 DCE/RPC 服务器可以位于同一主机上,也可以位于不同的主机上。对 于这两种情况,都提供独立的代理和服务器选项。对于上图,请注意以下几点: • DCE/RPC 服务器监控端口 593 的 DCE/RPC 客户端流量,但防火墙阻止该端口。...
  • Page 506 第 27 章 使用应用层预处理器 解码 DCE/RPC 流量 请注意,默认策略中的 default 设置指定受监控网段上其他基于目标的策略未涵盖的所有 IP 地址。因此,不能且不需要为默认策略指定 IP 地址或 CIDR 块/前缀长度,并且不能在其他策 略中将此设置留空或使用地址记法来表示 any (例如,...
  • Page 507第 27 章 使用应用层预处理器 解码 DCE/RPC 流量 启用此选项后,可以添加任意发现 DCE/RPC 流量的端口,但是这项操作一般并不必要,因 为网络服务器通常使用默认端口传输 DCE/RPC 和其他流量。启用此选项后,不可以启用 RPC over HTTP Proxy Auto-Detect Ports,但如果检测到的客户端 RPC...
  • Page 508 第 27 章 使用应用层预处理器 解码 DCE/RPC 流量 SMB File Inspection 启用 SMB 流量检查以检测文件。您有以下选项: – 选择 Off 禁用文件检查。 – 选择...
  • Page 509第 27 章 使用应用层预处理器 解码 DCE/RPC 流量 要配置 DCE/RPC 预处理器,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 选择 Policies > Access Control 显示 Access...
  • Page 510 第 27 章 使用应用层预处理器 解码 DCE/RPC 流量 • 要将预处理器设置为会检测是否有企图连接到特定 SMB 共享资源的情况,请在 SMB Invalid Shares 字段中输入用以识别共享资源的单一字符串或字符串的逗号分隔列表 (字符串不区分大 小写)。或者,用引号将单个字符串引起来 (旧版软件要求这样做,但现在不再有此要求) 例如,要检测名为...
  • Page 511第 27 章 使用应用层预处理器 检测 DNS 域称服务器响应中的漏洞 检测 DNS 域称服务器响应中的漏洞 许可证:保护 DNS 预处理器会检查 DNS 域称服务器响应中是否存在以下具体漏洞: • RData 文本字段中的溢出尝试 • 过时的...
  • Page 512 第 27 章 使用应用层预处理器 检测 DNS 域称服务器响应中的漏洞 理论上,任何类型的资源记录均可用于域名服务器响应消息的 Answer、 Authority 或 Additional Information 部分。 DNS 预处理器会检查这三个响应部分中的资源记录是否存在其会检测的漏洞。 Type 和 RData...
  • Page 513第 27 章 使用应用层预处理器 检测 DNS 域称服务器响应中的漏洞 检测试验性 DNS 资源记录类型 许可证:保护 RFC 1035 将多种资源记录类型识别为试验性类型。由于这些是试验性记录类型,因此,某些系统 未对其进行说明,可能容易产生漏洞。在正常 DNS 响应中不会遇到这些记录类型,除非故意将 网络配置为包含这些记录类型。 可以将系统配置为会检测试验性资源记录类型。下表列出并说明这些记录类型。 表...
  • Page 514 第 27 章 使用应用层预处理器 解码 FTP 和 Telnet 流量 步骤 5 或者,可以修改 Settings 区域中的以下任何内容: • 在 Ports 字段中指定 DNS...
  • Page 515第 27 章 使用应用层预处理器 解码 FTP 和 Telnet 流量 Detect Encrypted Traffic 检测加密 Telnet 和 FTP 会话。 可以启用规则 125:7 和...
  • Page 516 第 27 章 使用应用层预处理器 解码 FTP 和 Telnet 流量 • 如有需要,可选择 Continue to Inspect Encrypted Data,以便在数据流加密后继续检查数据流,以 及如果数据流再次解码,可以对其进行处理。 步骤 6...
  • Page 517第 27 章 使用应用层预处理器 解码 FTP 和 Telnet 流量 步骤 2 点击要编辑的策略旁边的编辑图标 ( )。 如果在另一策略中的更改尚未保存,请点击 OK 放弃这些更改并继续操作。有关保存其他策略中 尚未保存的更改的详细信息,请参阅第 23-13 页上的解决冲突和提交策略更改。...
  • Page 518 第 27 章 使用应用层预处理器 解码 FTP 和 Telnet 流量 网络 使用此选项可指定 FTP 服务器的一个或多个 IP 地址。 可以指定单个 IP 地址或地址块,也可以指定由单个地址和/或地址块组成并以逗号分隔的列 表。最多可配置...
  • Page 519第 27 章 使用应用层预处理器 解码 FTP 和 Telnet 流量 Detect Telnet Escape Codes within FTP Commands 使用此选项可检测何时在 FTP 命令通道上使用 Telnet...
  • Page 520 第 27 章 使用应用层预处理器 解码 FTP 和 Telnet 流量 注 如果要在 TYPE 命令中包含复杂的表达式,应将表达式放在空格之间。此外,应将每个操作数放 在空格之间。例如,键入字符 char A | B ,而非...
  • Page 521第 27 章 使用应用层预处理器 解码 FTP 和 Telnet 流量 新条目将出现在页面左侧的 FTP 服务器列表中,突出显示以表明其已被选定;Configuration 部分会进行更新,以反映所添加的策略的当前配置。 • 修改现有服务器配置文件的设置。点击在页面左侧 FTP Server 中添加的配置文件的配置地址, 或者点击 default。...
  • Page 522 第 27 章 使用应用层预处理器 解码 FTP 和 Telnet 流量 步骤 7 或者,修改相关的故障排除选项 (但应仅在支持人员要求的情况下才这样做);点击 Troubleshooting Options 旁边的 + 号可展开故障排除选项部分。 步骤...
  • Page 523第 27 章 使用应用层预处理器 解码 FTP 和 Telnet 流量 配置客户端级别 FTP 选项 许可证:保护 可以为 FTP 客户端配置客户端配置文件,以监控来自客户端的 FTP 流量。有关可设置用于监控客 户端的选项的更多信息,请参阅第 27-24...
  • Page 524 第 27 章 使用应用层预处理器 解码 HTTP 流量 请注意,不能修改默认配置文件中的 Network 设置。默认配置文件适用于网络上未在其他策 略中识别出的所有客户端主机。 • 在 Max Response Length 字段中指定来自 FTP 客户端的响应的最大长度...
  • Page 525第 27 章 使用应用层预处理器 解码 HTTP 流量 使用 HTTP 检查预处理器时,请注意以下几点: • 预处理器引擎无状态地执行 HTTP 规范化。也就是说,它会逐个数据包进行 HTTP 字符串规 范化,并且只能处理已由 TCP 数据流预处理器重组的 HTTP...
  • Page 526 第 27 章 使用应用层预处理器 解码 HTTP 流量 Maximum Decompressed Data Depth 当启用 Inspect Compressed Data (或者 Decompress SWF File...
  • Page 527第 27 章 使用应用层预处理器 解码 HTTP 流量 配置文件总数 (包括默认配置文件)上限为 255 个,此外,最多可在 HTTP 服务器列表中包 含 496 个字符 (约 26 个条目),为所有服务器配置文件总共最多可指定 256...
  • Page 528 第 27 章 使用应用层预处理器 解码 HTTP 流量 如果会话包含的响应字节小于指定值,规则将会根据需要在多个数据包中彻底检查给定 会话中的所有响应数据包。如果会话包含的响应字节大于指定值,规则将会根据需要在 多个数据包中仅检查该会话中的指定字节数。 请注意,流量深度值小可能会导致针对 Ports 中定义的服务器端流量的规则出现漏报。大 多数这些规则针对的是,可能处于非报头数据的大约前 100 字节中的 HTTP 报头或内容。 报头长度通常少于...
  • Page 529第 27 章 使用应用层预处理器 解码 HTTP 流量 例如,将 Small Chunk Size 设置为 10 并将 Consecutive Small Chunks 设置为 5,可检测包含 10...
  • Page 530 第 27 章 使用应用层预处理器 解码 HTTP 流量 Normalize UTF Encodings to UTF-8 如果启用了 Inspect HTTP Responses,此选项检测 HTTP 响应中的 UTF-16LE、...
  • Page 531第 27 章 使用应用层预处理器 解码 HTTP 流量 表 27-6 规范化 Javascript 选项规则 (续) 规则 会触发事件的情况 120:10 Javascript 模糊数据中的连续空格数量大于或等于为允许的最大连续空格 数量配置的值。 120:11...
  • Page 532 第 27 章 使用应用层预处理器 解码 HTTP 流量 您可以启用规则 120:14、 120:15、 120:16 和 120:17 来生成此选项的事件,如下所述: 表 27-8 解压缩 PDF 文件...
  • Page 533第 27 章 使用应用层预处理器 解码 HTTP 流量 选择服务器级别的 HTTP 规范化编码选项 许可证:保护 可以选择服务器级别的 HTTP 规范化选项来指定为 HTTP 流量进行规范化的编码类型,并使系统 针对包含指定类型编码的流量生成事件。 如果在以下描述中未提到任何预处理器规则,该选项不与预处理规则相关。 ASCII Encoding...
  • Page 534 第 27 章 使用应用层预处理器 解码 HTTP 流量 Multi-Slash Obfuscation 将连续的多个斜杠规范化为一个斜杠。 可以启用规则 119:8 为此选项生成事件。有关详情,请参见第 32-18 页上的设置规则状态。 IIS Backslash Obfuscation 将反斜杠规范化为正斜杠。...
  • Page 535第 27 章 使用应用层预处理器 解码 HTTP 流量 Max Chunk Encoding Size 检测 URI 数据中异常大的数据块的大小。 可以启用规则 119:16 和 119:22 为此选项生成事件。有关详情,请参见第 32-18...
  • Page 536 第 27 章 使用应用层预处理器 解码 HTTP 流量 可以指定单个 IP 地址或地址块,或者单个 IP 地址和/或地址块的逗号分隔列表。最多可在列 表中包含 496 个字符,为所有服务器配置文件总共最多可指定 256 个地址条目,总共最多可 创建 255...
  • Page 537第 27 章 使用应用层预处理器 使用 Sun RPC 预处理器 表 27-9 其他 HTTP 检查预处理器规则 预处理器规则 GID:SID 说明 120:5 如果在 HTTP 响应流量中遇到...
  • Page 538 第 27 章 使用应用层预处理器 解码会话发起协议 配置 Sun RPC 预处理器 许可证:保护 可以按照以下步骤配置 Sun RPC 预处理器。有关 Sun RPC 预处理器的配置选项的详细消息,请参 阅第 27-39...
  • Page 539第 27 章 使用应用层预处理器 解码会话发起协议 SIP 预处理器负责: • 解码和分析 SIP 2.0 流量 • 提取包括 SDP 数据 (如果有)在内的 SIP 报头和消息正文,并将提取的数据传递给规则引 擎,以进行进一步检查...
  • Page 540 第 27 章 使用应用层预处理器 解码会话发起协议 请注意,除了为此选项指定的方法外,总共 32 种方法中包括入侵规则中使用 sip_method 关 键字的指定方法。有关详情,请参见第 36-57 页上的 sip_method。 Maximum Dialogs within a Session...
  • Page 541第 27 章 使用应用层预处理器 解码会话发起协议 配置 SIP 预处理器 许可证:保护 可按照以下步骤配置 SIP 预处理器。 要配置 SIP 预处理器,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 选择 Policies...
  • Page 542 第 27 章 使用应用层预处理器 配置 GTP 命令通道 表 27-10 其他 SIP 预处理器规则 (续) 预处理器规则 GID:SID 说明 140:10 如果 To...
  • Page 543第 27 章 使用应用层预处理器 解码 IMAP 流量 要配置 GTP 命令通道,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 选择 Policies > Access Control 显示 Access...
  • Page 544 第 27 章 使用应用层预处理器 解码 IMAP 流量 选择 IMAP 预处理器选项 许可证:保护 以下列表说明可修改的 IMAP 预处理器选项。 请注意,解码 (或提取,如果 MIME 邮件附件不要求解码)涵盖多个附件 (如果有)以及同时...
  • Page 545第 27 章 使用应用层预处理器 解码 IMAP 流量 配置 IMAP 预处理器 许可证:保护 可按照以下步骤配置 IMAP 预处理器。有关 IMAP 预处理器配置选项的更多信息,请参阅第 27-46 页上的选择 IMAP 预处理器选项。...
  • Page 546 第 27 章 使用应用层预处理器 解码 POP 流量 启用其他 IMAP 预处理器规则 许可证:保护 下表中的 IMAP 预处理器规则与特定配置选项无关。与其他 IMAP 预处理器规则一样,如果要使 这些规则生成事件,必须启用它们。有关启用规则的详细信息,请参阅第 32-18 页上的设置规则...
  • Page 547第 27 章 使用应用层预处理器 解码 POP 流量 端口 指定用于检查 POP 流量的端口。可指定 0 到 65535 之间的整数。使用逗号分隔多个端口号。 Base64 Decoding Depth 指定要从每个 Base64...
  • Page 548 第 27 章 使用应用层预处理器 解码 POP 流量 步骤 3 点击左侧导航面板中的 Settings。 系统将显示 Settings 页面。 步骤 4 您有两种选择,具体取决于是否启用了 Application Layer...
  • Page 549第 27 章 使用应用层预处理器 解码 SMTP 流量 解码 SMTP 流量 许可证:保护 SMTP 预处理器指示规则引擎对 SMTP 命令进行规范化。预处理器还可以提取和解码客户端到服 务器流量中的邮件附件,并根据不同的软件版本,提取邮件的文件名、地址和报头数据,以在显 示 SMTP 流量触发的入侵事件时提供上下文。 使用...
  • Page 550 第 27 章 使用应用层预处理器 解码 SMTP 流量 Ignore Data 不处理邮件数据;仅处理 MIME 邮件报头数据。 Ignore TLS Data 不处理根据传输层安全协议加密的数据。 No Alerts 当随附的预处理器规则处于启用状态时禁用入侵事件。...
  • Page 551第 27 章 使用应用层预处理器 解码 SMTP 流量 即使此列表为空,预处理器仍允许下列有效命令:ATRN AUTH BDAT DATA DEBUG EHLO EMAL ESAM ESND ESOM ETRN EVFY EXPN...
  • Page 552 第 27 章 使用应用层预处理器 解码 SMTP 流量 可指定 1 到 65535 字节,或者指定 0 以解码数据包中的所有 QP 编码数据。指定 -1 将会忽略 QP...
  • Page 553第 27 章 使用应用层预处理器 解码 SMTP 流量 要配置 SMTP 解码选项,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 选择 Policies > Access Control 显示 Access...
  • Page 554 第 27 章 使用应用层预处理器 解码 SMTP 流量 注 即使 Valid Commands 列表为空,预处理器仍会将下列命令看作有效命令:ATRN、 AUTH、 BDAT、 DATA、 DEBUG、 EHLO、 EMAL、 ESAM、...
  • Page 555第 27 章 使用应用层预处理器 使用 SSH 预处理器检测攻击 启用 SMTP 最大解码内存警报 许可证:保护 可以启用 SMTP 预处理器规则 124:9,以便当启用的预处理器使用系统允许用于解码以下类型编 码数据的最大内存量时生成事件: • Base64 • 7...
  • Page 556 第 27 章 使用应用层预处理器 使用 SSH 预处理器检测攻击 选择 SSH 预处理器选项 许可证:保护 本节介绍了可用于配置 SSH 预处理器的选项。 如果发生以下任何一种情况,预处理器将停止检查会话流量: • 对于某个数量的加密数据包,服务器与客户端之间发生有效交换;连接继续保持。 • 在达到在...
  • Page 557第 27 章 使用应用层预处理器 使用 SSH 预处理器检测攻击 Number of Encrypted Packets to Inspect 指定每个会话待检查的加密数据包的数量。 将此选项设置为 0 将允许所有流量通过。 减少待检查的加密数据包的数量可能会导致一些攻击避开检测。增加待检查的加密数据包的 数量可能会对性能造成负面影响。 Number...
  • Page 558 第 27 章 使用应用层预处理器 使用 SSL 预处理器 配置 SSH 预处理器 许可证:保护 本节说明如何配置 SSH 预处理器。 要配置 SSH 预处理器,请执行以下操作: 访问:管理员/入侵管理员 步骤...
  • Page 559第 27 章 使用应用层预处理器 使用 SSL 预处理器 有关详细信息,请参阅以下各节: • 第 27-61 页上的了解 SSL 预处理 • 第 27-61 页上的启用 SSL 预处理器规则...
  • Page 560 第 27 章 使用应用层预处理器 使用 SSL 预处理器 下表说明了可启用的 SSL 预处理器规则。 表 27-14 SSL 预处理器规则 预处理器规则 GID:SID 说明 137:1 在服务器问候消息之后检测到客户端问候消息,后者是无效的,被视为异常...
  • Page 561第 27 章 使用应用层预处理器 使用 SSL 预处理器 步骤 2 点击要编辑的策略旁边的编辑图标 ( )。 如果在另一策略中的更改尚未保存,请点击 OK 放弃这些更改并继续操作。有关保存其他策略中 尚未保存的更改的详细信息,请参阅第 23-13 页上的解决冲突和提交策略更改。 系统将显示 Policy...
  • Page 562 第 27 章 使用应用层预处理器 使用 SSL 预处理器 FireSIGHT 系统用户指南 27-64
  • Page 563: 配置 SCADA 预处理 第 28 章 配置 SCADA 预处理 您在网络分析策略中配置监控与数据采集 (SCADA) 预处理器,该预处理器准备流量以备使用 在入侵策略中启用的规则进行检查。有关详情,请参见第 23-1 页上的了解网络分析和入侵策略。 SCADA 协议可监视和控制工业、基础设施以及工厂流程 (例如制造、生产、水处理、配电、机 场和运输系统等)并从中获取数据。 FireSIGHT 系统为您可在网络分析策略中配置的 Modbus...
  • Page 564 第 28 章 配置 SCADA 预处理 配置 Modbus 预处理器 表 28-1 Modbus 预处理器规则 预处理器规则 GID:SID 说明 144:1 如果 Modbus...
  • Page 565第 28 章 配置 SCADA 预处理 配置 DNP3 预处理器 配置 DNP3 预处理器 许可证:保护 分布式网络协议 (DNP3) 是一种 SCADA 协议,最初开发用于为电站之间提供一致的通信。DNP3 还广泛应用于供水、废物处置、运输及其他行业。 DNP3...
  • Page 566 第 28 章 配置 SCADA 预处理 配置 DNP3 预处理器 步骤 2 点击要编辑的策略旁边的编辑图标 ( )。 如果在另一策略中的更改尚未保存,请点击 OK 放弃这些更改并继续操作。有关保存其他策略中 尚未保存的更改的详细信息,请参阅第 23-13...
  • Page 567: 配置传输和网络层预处理 第 29 章 配置传输和网络层预处理 您在网络分析策略中的网络层预处理器上配置大多数传输,从而使用在入侵策略中启用的规则准 备用于检查的流量。有关详细信息,请参阅第 23-1 页上的了解网络分析和入侵策略。 传输和网络层预处理器检测对 IP 分片、校验和验证及 TCP 和 UDP 会话预处理加以利用的攻击。 在将数据包发送到预处理器之前,数据包解码器将数据包报头和负载转换为便于预处理器和入侵 规则引擎使用的格式,并检测数据包报头的各种异常行为。在数据包解码后到将数据包发送到其 他预处理器之前这段期间,内联规范化预处理器会对流量进行规范化以便进行内联部署。 当入侵规则或规则参数要求禁用的预处理器时,尽管预处理器在网络分析策略网络界面中保持禁...
  • Page 568 第 29 章 配置传输和网络层预处理 配置高级传输/网络设置 以下各节介绍这些设置: • 第 29-2 页上的忽略 VLAN 报头 • 第 29-3 页上的使用入侵丢弃规则启动活动响应 • 第 29-4...
  • Page 569第 29 章 配置传输和网络层预处理 配置高级传输/网络设置 使用入侵丢弃规则启动活动响应 许可证:保护 丢弃规则是指规则状态设置为 Drop and Generate Events 的入侵规则或预处理器规则。在内联部署 中,系统通过丢弃触发数据包并阻止数据包起始的会话来对 TCP 或 UDP 丢弃规则作出响应。在 被动部署中,系统无法丢弃数据包,并且除使用活动响应的情况以外,不会阻止会话。 提示...
  • Page 570 第 29 章 配置传输和网络层预处理 配置高级传输/网络设置 步骤 2 点击想要编辑的访问控制策略旁的编辑图标 ( )。 系统将显示访问控制策略编辑器。 步骤 3 选择 Advanced 选项卡。 系统将显示访问控制策略高级设置页面。 步骤 4...
  • Page 571第 29 章 配置传输和网络层预处理 验证校验和 验证校验和 许可证:保护 系统可验证所有协议级校验和,以确保接收完整的 IP、 TCP、 UDP 和 ICMP 传输,且基本级别的 数据包在传输过程中未被篡改或意外修改。校验和使用算法来验证数据包中协议的完整性。如果 系统计算所得的值与终端主机在数据包中写入的值相同,则数据包将被视为未更改。 禁用校验和验证可能使网络容易受到插入攻击。请注意,系统不生成校验和验证事件。在内联部 署中,您可以将系统配置为会丢弃校验和无效的数据包。 要配置校验和,请执行以下操作: 访问:管理员/入侵管理员...
  • Page 572 第 29 章 配置传输和网络层预处理 规范化内联流量 规范化内联流量 许可证:保护 内联规范化预处理器会将流量规范化,从而尽可能降低攻击者在内联部署中得以避开检测的可能性。 如果在网络分析策略中启用内联规范化预处理器,系统测试以下两个条件以确保使用内联部署: • 在策略中已启用 Inline Mode。请参阅第 26-4 页上的允许预处理器影响内联部署中的流量。 • 启用内联规范化的访问控制策略已应用到以内联方式部署或使用内联集的设备。 仅当两个条件均得到满足时,预处理器才会对指定流量进行规范化。 您可以指定...
  • Page 573第 29 章 配置传输和网络层预处理 规范化内联流量 Normalize IPv4 启用 IPv4 流量规范化。此选项处于启用状态并且为 Reset TTL 设置的值会启用 TTL 规范化时, 系统还会根据需要规范化 TTL 字段。启用此选项后,还可以启用 Normalize Don’t...
  • Page 574 第 29 章 配置传输和网络层预处理 规范化内联流量 Clear URG if Urgent Pointer is Not Set 如果未设置紧急指针,则清除 TCP 报头 URG 控制位。 Normalize...
  • Page 575第 29 章 配置传输和网络层预处理 规范化内联流量 Allow These TCP Options 禁用您在流量中允许的特定 TCP 选项的规范化。 系统不对您明确允许的选项进行规范化。系统会通过将您未明确允许的选项设置为 No Operation (TCP 选项 1)来规范化这些选项。 系统始终允许 Maximum...
  • Page 576 第 29 章 配置传输和网络层预处理 对 IP 数据包进行分片重组 要配置内联规范化预处理器,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 选择 Policies > Access Control 显示 Access Control...
  • Page 577第 29 章 配置传输和网络层预处理 对 IP 数据包进行分片重组 了解 IP 分片漏洞 许可证:保护 启用 IP 分片重组可以帮助您检测针对网络上主机的攻击 (例如泪滴 [teardrop] 攻击)和针对系统 本身的资源消耗攻击 (例如 Jolt2...
  • Page 578 第 29 章 配置传输和网络层预处理 对 IP 数据包进行分片重组 表 29-1 基于目标的分片重组策略 (续) 策略 操作系统 首页 Mac OS HP-UX Linux Linux...
  • Page 579第 29 章 配置传输和网络层预处理 对 IP 数据包进行分片重组 Timeout 指定预处理器引擎在重组分片数据包时可用的最长时间 (以秒为单位)。如果在指定的时间 段内无法重组数据包,则预处理器引擎会停止尝试重组数据包并丢弃接收到的片段。 Minimum TTL 指定数据包可具有的可接受最小 TTL 值。此选项检测基于 TTL 的插入攻击。 您可以启用规则 123:1...
  • Page 580 第 29 章 配置传输和网络层预处理 了解数据包解码 步骤 3 点击左侧导航面板中的 Settings。 系统将显示 Settings 页面。 步骤 4 根据是否已启用 Transport/Network Layer Preprocessors 下的...
  • Page 581第 29 章 配置传输和网络层预处理 了解数据包解码 检测非标准端口上的 Terado 检查除端口 3544 以外的其他 UDP 端口上识别的 IPv6 流量的 Teredo 隧道。 系统始终检查存在的 IPv6 流量。默认情况下,IPv6 检查包括...
  • Page 582 第 29 章 配置传输和网络层预处理 了解数据包解码 TCP 选项 说明 23 损坏 (SPCS) 24 SNAP 26 TCP 压缩过滤器 由于这些是试验性选项,因此,某些系统未对其进行说明,可能容易产生漏洞。 注 除上表中列出的试验性选项外,系统还将选项编号大于...
  • Page 583第 29 章 配置传输和网络层预处理 了解数据包解码 要生成此选项的事件,可以启用除了与其他数据包解码器选项专门相关的规则以外的任何数 据包解码器规则。有关详细信息,请参阅第 32-18 页上的设置规则状态 请注意,以下规则生成异常 IPv6 流量触发的事件:116:270 至 116:274、 116:275 至 116:283、 116:291、 116:292、 116:295、...
  • Page 584 第 29 章 配置传输和网络层预处理 使用 TCP 数据流预处理 使用 TCP 数据流预处理 许可证:保护 TCP 协议定义连接可以处于的各种状态。每个 TCP 连接通过源 IP 地址和目标 IP 地址以及源端口...
  • Page 585第 29 章 配置传输和网络层预处理 使用 TCP 数据流预处理 选择 TCP 全局选项 许可证:保护 TCP 数据流预处理器有一个控制 TCP 数据流预处理器如何发挥功能的全局选项。 没有预处理器规则与此选项关联。 Packet Type Performance Boost...
  • Page 586 第 29 章 配置传输和网络层预处理 使用 TCP 数据流预处理 表 29-2 TCP 操作系统策略 (续) 策略 操作系统 Windows Windows 98 Windows NT...
  • Page 587第 29 章 配置传输和网络层预处理 使用 TCP 数据流预处理 Timeout 规则引擎在状态表中保持数据流处于非活动状态的秒数 (介于 1 和 86400 之间)。如果数据 流在指定时间内未重组,则入侵规则引擎会将其从状态表中删除。 注 如果受管设备部署在网络流量可能达到设备的带宽限制的网段上,则应该考虑将该值设置为较高 的值 (例如 600...
  • Page 588 第 29 章 配置传输和网络层预处理 使用 TCP 数据流预处理 您可以启用规则 129:9 和 129:10 来生成此选项的事件。有关详细信息,请参阅第 32-18 页上 的设置规则状态。 Consecutive Small Segments 启用...
  • Page 589第 29 章 配置传输和网络层预处理 使用 TCP 数据流预处理 Perform Stream Reassembly on Client Ports, Server Ports, Both Ports 为客户端端口和/或服务器端口指定用于识别要重组的数据流预处理器流量的端口的逗号分隔 列表。请参阅第 29-23...
  • Page 590 第 29 章 配置传输和网络层预处理 使用 TCP 数据流预处理 您可以指定端口和/或服务。您可以为客户端端口和/或服务器端口的任意组合指定单独的端口列 表。您还可以为客户端服务和/或服务器服务指定单独的服务列表。例如,假设您要重组以下内容: • 来自客户端的 SMTP (端口 25)流量 • FTP 服务器响应 (端口 21)...
  • Page 591第 29 章 配置传输和网络层预处理 使用 TCP 数据流预处理 Perform Stream Reassembly on Client Services 根据连接的客户端的服务启用数据流重组。如果您预计客户端会发出恶意流量,请使用此选项。 必须为选择的每个客户端服务至少启用一个客户端检测器 (请参阅第 46-24 页上的激活和停 用检测器)。默认情况下,思科提供的所有检测器均已激活。如果没有为相关客户端应用启 用检测器,则系统会自动为应用启用思科提供的所有检测器;如果不存在任何检测器,则系...
  • Page 592 第 29 章 配置传输和网络层预处理 使用 TCP 数据流预处理 步骤 2 点击要编辑的策略旁边的编辑图标 ( )。 如果在另一策略中的更改尚未保存,请点击 OK 放弃这些更改并继续操作。有关保存其他策略中 尚未保存的更改的详细信息,请参阅第 23-13 页上的解决冲突和提交策略更改。 系统将显示...
  • Page 593第 29 章 配置传输和网络层预处理 使用 TCP 数据流预处理 例如,下图中显示 Perform Stream Reassembly on Both Services 弹出窗口。 请注意,您可以启用自适应配置文件,以根据在网络上发现的服务监控要重组的数据流预处理器 的流量。有关详细信息,请参阅第 50-31 页上的使用服务器和第 30-1...
  • Page 594 第 29 章 配置传输和网络层预处理 使用 UDP 数据流预处理 使用 UDP 数据流预处理 许可证:保护 当规则引擎使用以下任何参数根据包含 flow 关键字 (请参阅第 36-47 页上的将规则应用于 TCP 或...
  • Page 595第 29 章 配置传输和网络层预处理 使用 UDP 数据流预处理 步骤 6 或者,选择 Packet Type Performance Boost 以忽略已启用的规则中未指定的所有端口和应用协议的 UDP 流量,但在源端口和目标端口均设置为 any 的 UDP...
  • Page 596 第 29 章 配置传输和网络层预处理 使用 UDP 数据流预处理 FireSIGHT 系统用户指南 29-30
  • Page 597: 调整被动部署中的预处理 第 30 章 调整被动部署中的预处理 通常,系统使用网络分析策略中的静态设置预处理和分析流量。然而,通过自适应配置文件功 能,该系统可将主机信息与网络映射的流量关联从而适应网络流量,然后据此处理网络流量。 当主机接收流量时,主机上运行的操作系统重组 IP 片段。重组所用顺序取决于操作系统。与之类 似,每个操作系统都可能以不同方式执行 TCP,因此 TCP 数据流重组方式也有不同。如果预处理 器重组数据时所用格式与目标主机操作系统所用格式不同,该系统在接受主机端重组数据时有可 能错过可能是恶意的内容。 提示 在被动部署中,思科建议您配置自适应配置文件。在内嵌式部署中,思科建议您配置启用了 Normalize TCP...
  • Page 598 第 30 章 调整被动部署中的预处理 了解自适应配置文件 通过预处理器使用自适应配置文件 许可证:保护 自适应配置文件 (就像可在网络分析策略中配置的基于目标的配置文件)有助于以与目标主机上 操作系统相同的方式对 IP 数据包进行分片重组并重组数据流。然后入侵规则引擎使用与目标主机 所用的相同格式分析数据。 手动配置的基于目标的配置文件只适用于您选择的操作系统默认配置文件或您绑定到特定主机的 配置文件。然而,自适应配置文件会为了目标主机而切换至主机配置文件中基于操作系统的适当 操作系统配置文件,如下图所示。 例如,您为 10.6.0.0/16 子网配置自适应配置文件并将基于目标的默认...
  • Page 599第 30 章 调整被动部署中的预处理 配置自适应配置文件 类似 FireSIGHT 建议规则,自适应配置文件将规则中元数据与主机信息进行比对,确定是否为规 则申请特定主机。然而,虽然FireSIGHT建议规则为使用该信息的启用或禁用规则提供建议,但 是自适应配置文件仍使用这些信息将特定规则应用于特定流量。 FireSIGHT建议规则需要您的互动才能对规则状态执行建议的更改。在另一方面,自适应配置文 件不能修改入侵策略。在逐包基础上进行规则自适应处理。 此外, FireSIGHT建议规则可能会启用已禁用的规则。相反,自适应配置文件仅影响在入侵策略 中已启用的规则的应用。自适应配置文件永不改变规则状态。 可以组合使用自适应配置文件和 FireSIGHT 建议的规则。当应用入侵策略来确定是否纳入某条规 则作为应用备选项时,自适应配置文件使用该规则的规则状态,您是选择接受还是拒绝建议均反 映在该规则状态中。您可以同时使用这两个功能以确保您已启用或禁用每个监测网络中最合适的...
  • Page 600 第 30 章 调整被动部署中的预处理 配置自适应配置文件 步骤 2 点击想要编辑的访问控制策略旁的编辑图标 ( )。 系统将显示访问控制策略编辑器。 步骤 3 选择 Advanced 选项卡。 系统将显示访问控制策略高级设置页面。 步骤 4...
  • Page 601: 入侵策略入门 第 31 章 入侵策略入门 入侵策略是定义的各组入侵检测和防御配置,这些配置检查流量是否存在安全性违规,并且在内 联部署中还可以阻止或修改恶意流量。入侵策略由您的访问控制策略调用,是允许流量到达目标 之前,系统的最后一道防线。 思科通过 FireSIGHT 系统提供多种入侵策略。通过系统提供的策略,您可以利用思科漏洞研究团 队 (VRT) 的经验。对于这些策略, VRT 设置入侵和预处理程序规则状态 (启用或禁用),并提供 其他高级设置的初始配置。启用规则将使系统为与规则匹配的流量生成入侵事件 (或者阻止该流 量)。禁用规则将停止该规则的处理。...
  • Page 602 第 31 章 入侵策略入门 创建自定义入侵策略 请注意,默认情况下,系统禁用加密负载的入侵检查。当加密连接与已配置入侵检查的访问控制 规则匹配时,这有助于减少误报和提高性能。有关详细信息,请参阅第 19-1 页上的了解流量解密 和第 27-60 页上的使用 SSL 预处理器。 本章介绍如何创建简单的自定义入侵策略。本章还包含有关编辑、比较等管理入侵策略的基本信 息。有关详情,请参阅: • 第 31-2...
  • Page 603第 31 章 入侵策略入门 管理入侵策略 步骤 5 在内联部署中设置系统的丢弃行为: • 要允许入侵策略影响流量并生成事件,请启用 Drop when Inline。 • 要防止入侵策略影响流量,同时生成事件,请禁用 Drop when Inline。 步骤 6...
  • Page 604 第 31 章 入侵策略入门 编辑入侵策略 编辑入侵策略 许可证:保护 当您新建入侵策略时,它的入侵规则和高级设置与其基本策略相同。下表说明了编辑入侵策略时 最常见的操作: 表 31-2 入侵策略编辑操作 要...... 您可以...... 请参阅...... 在内联部署中指定丢弃 选择或清除 Policy Information...
  • Page 605第 31 章 入侵策略入门 编辑入侵策略 要编辑入侵策略,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 选择 Policies > Intrusion > Intrusion Policy。 系统将显示 Intrusion Policy 页面。...
  • Page 606 第 31 章 入侵策略入门 编辑入侵策略 要在内联部署中设置入侵策略的丢弃行为,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 选择 Policies > Intrusion > Intrusion Policy。 系统将显示 Intrusion Policy...
  • Page 607第 31 章 入侵策略入门 应用入侵策略 外部响应 除了网络界面中的各种入侵事件视图之外,您还可以启用记录到系统日志 (syslog) 工具或者将事 件数据发送到 SNMP 陷阱服务器。根据策略,您可以指定入侵事件通知限制,设置发送到外部日 志记录工具的入侵事件通知,以及配置对入侵事件的外部响应。有关详情,请参阅: • 第 44-3 页上的配置 SNMP 响应 •...
  • Page 608 第 31 章 入侵策略入门 生成当前入侵设置的报告 步骤 4 点击 Reapply。 策略重新应用成功。可以使用任务队列监控应用的状态 (System > Monitoring > Task Status)。有关详 情,请参见第 C-1 页上的查看任务队列。...
  • Page 609第 31 章 入侵策略入门 比较两个入侵策略或版本 比较两个入侵策略或版本 许可证:保护 如要查看策略更改是否符合贵组织的标准或优化系统性能,可以检查这两个入侵策略之间的区 别。对于可以访问的安全策略,可以比较任意两个入侵策略或同一个入侵策略的两个版本。比较 之后,可以生成 PDF 报告,记录两个策略或两个版本的策略之间的区别。 有两个工具可以用来比较入侵策略或入侵策略版本︰ • 比较视图只并排显示两个入侵策略或两个版本之间的区别;每个策略的名称或策略版本则显 示在比较视图的左右两侧。 您可以使用该工具在网络界面上查看和导航两个策略修订版,其中突出显示其差异。 • 比较报告只以类似于入侵策略报告的形式创建关于两个入侵策略或两个版本之间区别的记 录,但采用的是...
  • Page 610 第 31 章 入侵策略入门 比较两个入侵策略或版本 使用入侵策略比较报告 许可证:保护 入侵策略比较报告是关于入侵策略比较视图标识的两个入侵策略或同一入侵策略两个版本之间全 部区别的一个 PDF 格式记录。可以使用此报告进一步检查两个入侵策略配置之间的区别以及保存 和分发其比较结果。 对于可以访问的任何入侵策略,都可以从此比较视图生成入侵策略比较报告。请记住,应先确认 任何潜在更改再生成入侵策略报告;只有确认的报告才会显示在报告中。 入侵策略比较报告的格式与入侵策略报告相同,但有一个区别:入侵策略报告包含入侵策略中的 所有设置,而入侵策略比较报告则只包含策略之间存在区别的那些设置。 根据配置,入侵策略报告可能包含表入侵策略报告部分所述的一个或多个分区。 提示 您可以使用类似的操作步骤比较...
  • Page 611: 使用规则调整入侵策略 第 32 章 使用规则调整入侵策略 可以使用入侵策略中的 Rules 页面为共享对象规则、标准文本规则和预处理器规则配置规则状态 和其他设置。 将规则的状态设置为 Generate Events 或 Drop and Generate Events 即可启用该规则。启用规则后, 系统将对匹配该规则的流量生成事件。禁用规则将停止该规则的处理。或者,也可以设置入侵策 略,使内联部署中设置为...
  • Page 612 第 32 章 使用规则调整入侵策略 了解入侵防御规则类型 了解入侵防御规则类型 许可证:保护 入侵策略包含两种类型的规则:入侵规则和预处理器规则。 入侵规则是一组指定的关键字和参数,用于检测企图利用网络漏洞的行为;入侵规则通过分析网 络流量来检查其是否符合规则中的条件。系统将数据包与每条规则中指定的条件进行比较,如果 数据包数据符合规则中指定的所有条件,则触发此规则。系统包含两种由思科漏洞研究团队 (VRT) 创建的入侵规则:其一为共享对象规则,已编写好且不能修改 (源端口、目标端口和 IP 地址等规则头信息除外);其二为标准文本规则,可以修改并另存为新的自定义规则实例。 系统中还包含预处理器规则,即与预处理器和数据包解码器检测选项相关联的规则。预处理器规 则不能复制或编辑。大多数预处理器规则默认禁用,如果需要系统为预处理器规则生成事件并在 内联部署中丢弃违规的数据包,必须启用这些规则...
  • Page 613第 32 章 使用规则调整入侵策略 查看入侵策略中的规则 • 规则列表 - 有关详细信息,请参阅 Rules 页面的列表。 • 规则详细信息 - 有关详细信息,请参阅第 32-4 页上的查看规则详细信息 此外,还可以按不同的条件对规则排序;有关详细信息,请参阅第 32-4 页上的对规则的显示排序。...
  • Page 614 第 32 章 使用规则调整入侵策略 查看入侵策略中的规则 如果在另一策略中的更改尚未保存,请点击 OK 放弃这些更改并继续操作。有关保存其他策略中 尚未保存的更改的详细信息,请参阅第 23-13 页上的解决冲突和提交策略更改。 系统将显示 Policy Information 页面。 步骤 3 点击 Policy...
  • Page 615 第 32 章 使用规则调整入侵策略 查看入侵策略中的规则 表 32-3 规则详细信息 项目 说明 有关详细信息,请参阅...... Summary 规则摘要。对基于规则的事件,此行将在规则文 第 41-20 页上的查看事件信息 档包含摘要信息时显示。 Rule State 规则的当前规则状态。也表示设置规则状态所在...
  • Page 616 第 32 章 使用规则调整入侵策略 查看入侵策略中的规则 为规则设置阈值 许可证:保护 您可以在 Rule Detail 页面中为规则设置一个阈值。添加阈值将覆盖该规则的任何现有阈值。有关 阈值的详细信息,请参阅第 32-20 页上的配置事件阈值。 请注意,当键入的值无效时,字段中会显示恢复图标 ( );点击该图标可恢复为该字段的上一个 有效值,如果没有上一个值,则会清空该字段的值。 要在规则详细信息中设置阈值,请执行以下操作:...
  • Page 617第 32 章 使用规则调整入侵策略 查看入侵策略中的规则 步骤 3 如果为抑制类型选择 Source 或 Destination,系统将显示 Network 字段。在 Network 字段中,输入 IP 地址、地址块或由这些内容的任意组合组成的逗号分隔列表。当入侵策略与一个访问控制策略的 默认操作相关联时,还可以在默认操作变量集中指定或列出网络变量。 有关在 FireSIGHT...
  • Page 618 第 32 章 使用规则调整入侵策略 查看入侵策略中的规则 步骤 7 点击 OK。 系统将添加动态规则状态并在 Dynamic State 列中该规则旁显示动态状态图标 ( )。如果将多个 动态规则状态过滤器添加到规则,图标上的数字表示过滤器的数量。 如果将任何必填字段留空,您将收到错误消息,指出哪些字段必须填写。 为规则设置 SNMP...
  • Page 619第 32 章 使用规则调整入侵策略 过滤入侵策略中的规则 过滤入侵策略中的规则 许可证:保护 可以按单一条件或按一个或多个条件的组合来过滤 Rules 页面中显示的规则。 您所构造的过滤器显示于 Filter 文本框中。点击过滤器面板中的关键字和关键字参数可以构造过 滤器。当选择多个关键字时,系统会使用 AND 逻辑将其合并,创建合成的搜索过滤器。例如, 如果选择 Category 下的 preprocessor,然后选择...
  • Page 620 第 32 章 使用规则调整入侵策略 过滤入侵策略中的规则 如果过滤器中已在使用该关键字,则提供的参数将替换该关键字的现有参数。 例如,如果点击过滤器面板中 Rule Configuration > Recommendation 下的 Drop and Generate Events, Recommendation:"Drop and Generate...
  • Page 621 第 32 章 使用规则调整入侵策略 过滤入侵策略中的规则 表 32-4 规则过滤器组 (续) 是否支持多 过滤器组 说明 个参数? 标题为…… 列表中的项目为…… Category 根据规则编辑器使用的规则类别来查找规则。请注 是 关键字 参数...
  • Page 622 第 32 章 使用规则调整入侵策略 过滤入侵策略中的规则 要使用 Rule State 过滤器,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 在 Rule Configuration 下,点击 Rule State。 步骤...
  • Page 623第 32 章 使用规则调整入侵策略 过滤入侵策略中的规则 要使用 Suppression 过滤器,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 在 Rule Configuration 下,点击 Suppression。 步骤 2 从 Suppression...
  • Page 624 第 32 章 使用规则调整入侵策略 过滤入侵策略中的规则 要使用 Comment 过滤器,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 在 Rule Configuration 下,点击 Comment。 步骤 2 在...
  • Page 625 第 32 章 使用规则调整入侵策略 过滤入侵策略中的规则 表 32-5 Rule Content 过滤器 (续) 要使用此过滤器, 请点击…… 然后…… 结果 源 IP: 键入要作为过滤条件的源 IP 地址,然后点击...
  • Page 626 第 32 章 使用规则调整入侵策略 过滤入侵策略中的规则 您可以使用关键字和参数、字符串及带引号的原义字符串,以空格分隔多个过滤条件。过滤器不 能包含正则表达式、通配符或任何特殊运算符,例如取反字符 (!)、大于号 (>) 和小于号 (<) 等。 当键入的搜索条件没有关键字、关键字的首字母没有大写或者没有用引号将参数引起来时,该搜 索将被视为字符串搜索,并搜索类别、消息和 SID 字段中有无指定条件。 所有关键字、关键字参数和字符串都不区分大小写。除关键字 gid 和...
  • Page 627第 32 章 使用规则调整入侵策略 过滤入侵策略中的规则 您也可以使用在选择过滤器时提供的相同关键字和参数语法来键入过滤条件,或者在选择过滤器 后修改其中的参数值。当键入的搜索条件没有关键字、关键字的首字母没有大写或者没有用引号 将参数引起来时,该搜索将被视为字符串搜索,并搜索类别、消息和 SID 字段中有无指定条件。 要过滤入侵策略中的特定规则,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 选择 Policies > Intrusion > Intrusion...
  • Page 628 第 32 章 使用规则调整入侵策略 设置规则状态 设置规则状态 许可证:保护 思科漏洞研究团队 (VRT) 为每个默认策略中的每条入侵规则和预处理器规则设置了默认状态。例 如,一条规则可能会在 Security over Connectivity 默认策略中启用而在 Connectivity over Security 默认...
  • Page 629第 32 章 使用规则调整入侵策略 设置规则状态 要更改一条或多条规则的规则状态,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 选择 Policies > Intrusion > Intrusion Policy。 系统将显示 Intrusion Policy 页面。...
  • Page 630 第 32 章 使用规则调整入侵策略 按策略过滤入侵事件通知 按策略过滤入侵事件通知 许可证:保护 入侵事件的重要性可根据发生的频率或者源或目标 IP 地址而定。在某些情况下,您可能并不在意 发生不到一定次数的事件。例如,如果有人企图登录服务器,在其失败达到一定次数之前,您可 能不会关心。但在其他情况下,也许只需要发生几次,就能让您知道存在普遍性问题。例如,如 果有人对网络服务器发动 DoS 攻击,可能只需要发生区区数次入侵事件,您就会明白需要解决这 种情况。发生数百次相同事件只会让系统不堪重负。 有关详细信息,请参阅以下各节: • 第...
  • Page 631 第 32 章 使用规则调整入侵策略 按策略过滤入侵事件通知 表 32-6 阈值选项 (续) 选项 说明 Both 每个指定时间段在指定数量 (计数)的数据包触发规则后记录并显示一次事件。例如,如果 将类型设置为 Both,将 Count 设置为 2,并将 Seconds...
  • Page 632 第 32 章 使用规则调整入侵策略 按策略过滤入侵事件通知 有关查看和删除阈值配置的详细信息,请参阅第 32-23 页上的查看和删除入侵事件阈值。 您还可以修改默认应用到所有规则和预处理器生成的事件的全局阈值。有关详细信息,请参阅第 35-1 页上的从全局限制入侵事件记录。 请注意,当键入的值无效时,字段中会显示恢复图标 ( );点击该图标可恢复为该字段的上一个 有效值,如果没有上一个值,则会清空该字段的值。 提示 在有多个 CPU 的受管设备上,全局阈值或单独的阈值可能会导致事件数量高于预期。...
  • Page 633第 32 章 使用规则调整入侵策略 按策略过滤入侵事件通知 步骤 12 保存策略,继续编辑,放弃所做的更改,或者在系统缓存中保留更改的同时退出。 有关详细信息,请参阅第 31-3 页上的管理入侵策略和第 31-4 页上的编辑入侵策略。 查看和删除入侵事件阈值 许可证:保护 您可能需要查看或删除现有阈值设置。可以使用 Rules Details 视图显示为阈值配置的设置,看其 是否适合系统。如果不适合,可以添加新的阈值来覆盖现有值。...
  • Page 634 第 32 章 使用规则调整入侵策略 按策略过滤入侵事件通知 按入侵策略配置抑制 许可证:保护 您可以在特定 IP 地址或 IP 地址范围触发特定规则或预处理器时抑制入侵事件通知。这对杜绝误 报十分有用。例如,如果邮件服务器传输的数据包看起来像某种特定的漏洞,可以在邮件服务器 触发该事件时抑制对其发出的事件通知。所有数据包都会触发该规则,但您只会看到真正的攻击 事件。 请注意,入侵事件抑制可单独使用,也可与基于速率的攻击防御、 detection_filter 关键字和入 侵事件阈值的任意组合配合使用。有关详细信息,请参阅第...
  • Page 635第 32 章 使用规则调整入侵策略 按策略过滤入侵事件通知 步骤 5 选择要为其配置抑制条件的一条或多条规则。您有以下选项: • 要选择具体规则,请选择该规则旁边的复选框。 • 要选择当前列表中的所有规则,请选择列顶部的复选框。 步骤 6 选择 Event Filtering > Suppression。 系统将显示抑制弹出窗口。...
  • Page 636 第 32 章 使用规则调整入侵策略 添加动态规则状态 步骤 5 选择要查看或删除其抑制设置的一条或多条规则。您有以下选项: • 要选择具体规则,请选择该规则旁边的复选框。 • 要选择当前列表中的所有规则,请选择列顶部的复选框。 步骤 6 此时您有两种选择: • 要删除某条规则的所有抑制,请选择 Event Filtering...
  • Page 637第 32 章 使用规则调整入侵策略 添加动态规则状态 在内联部署中,可以将基于速率的攻击防御临时或永久配置为拦截攻击。如果没有基于速率的配 置,设置为 Generate Events 的规则确实会生成事件,但系统不会丢弃这些规则的数据包。但是, 如果攻击流量所匹配的规则配置了基于速率的条件,则基于速率的操作可能会导致系统在该操作 处于活动状态的时间内丢弃数据包,即便这些规则最初并未设置为 Drop and Generate Events。 注 基于速率的操作无法启用禁用的规则,也无法丢弃与禁用的规则匹配的流量。 可以对同一规则定义多个基于速率的过滤器。入侵策略中列出的第一个过滤器优先级最高。请注 意,当两个基于速率的过滤器的操作相冲突时,将执行第一个基于速率的过滤器的操作。...
  • Page 638 第 32 章 使用规则调整入侵策略 添加动态规则状态 请注意,当键入的值无效时,字段中会显示恢复图标 ( );点击该图标可恢复为该字段的上一个 有效值,如果没有上一个值,则会清空该字段的值。 注 动态规则状态无法启用禁用的规则,也无法丢弃与禁用的规则匹配的流量。 要添加动态规则状态,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 选择 Policies > Intrusion...
  • Page 639第 32 章 使用规则调整入侵策略 添加 SNMP 告警 • 选择 Drop and Generate Events 将在内联部署中生成事件并丢弃触发该事件的数据包,或在被动 部署中生成事件。 • 选择 Disabled 将不执行任何操作。 步骤...
  • Page 640 第 32 章 使用规则调整入侵策略 添加规则注释 步骤 5 选择要在其中设置 SNMP 告警的一条或多条规则: • 要选择具体规则,请选择该规则旁边的复选框。 • 要选择当前列表中的所有规则,请选择列顶部的复选框。 步骤 6 选择 Alerting >...
  • Page 641第 32 章 使用规则调整入侵策略 添加规则注释 步骤 6 选择 Comments > Add Rule Comment。 系统将显示 Add Comment 对话框。 步骤 7 在...
  • Page 642 第 32 章 使用规则调整入侵策略 添加规则注释 FireSIGHT 系统用户指南 32-32
  • Page 643: 为您的网络资产定制入侵防御 第 33 章 为您的网络资产定制入侵防御 您可以使用 FireSIGHT 建议规则功能将网络中检测到的操作系统、服务器和客户端应用协议 (请 参阅第 45-1 页上的网络发现简介)按照入侵策略与为保护这些资产而专门编写的规则相关联。这 样,您就可根据自己的受监控网络的特定需求定制您的入侵策略。 FireSIGHT 建议规则功能要求 使用 FireSIGHT 和保护许可证。 在配置 FireSIGHT...
  • Page 644 第 33 章 为您的网络资产定制入侵防御 了解基本规则状态建议 了解基本规则状态建议 许可证:保护 + FireSIGHT 您可以不使用建议的规则状态而在策略中生成建议。然后,可以使用 Rules 页面中三个已过滤视 图中的任意一个,显示系统建议设置为 Generate Events、Drop and Generate Events 或...
  • Page 645第 33 章 为您的网络资产定制入侵防御 使用 FireSIGHT 建议 了解规则开销 许可证:保护 思科根据规则对系统性能的潜在影响以及规则产生误报的可能性,将每条入侵规则的开销评为 无、低、中、或高。在 Rules 页面的规则详细信息视图中,可以查看规则的开销级别。有关详 情,请参见第 32-4 页上的查看规则详细信息。 您可以将系统设置为根据最高包括指定开销级别 (极高级别除外)。例如,为开销为中的规则生成 建议时,系统会根据开销级别为无、低或中的所有规则来给出建议,而不会为开销为高的规则给 出任何建议。...
  • Page 646 第 33 章 为您的网络资产定制入侵防御 使用 FireSIGHT 建议 步骤 4 有以下选项可供选择: • 要让相应的入侵策略报告为实际状态与建议状态不同的所有规则列出规则消息、建议状态和 实际状态,请选择 Include all differences between recommendations and...
  • Page 647第 33 章 为您的网络资产定制入侵防御 使用 FireSIGHT 建议 注 系统始终建议启用与映射到主机的第三方漏洞相关联的本地规则。对于未映射的本地规则,系统 不会给出状态建议。有关详细信息,请参阅第 46-27 页上的管理第三方产品映射。 步骤 10 或者,点击建议类型旁边的 View,显示 Rules 页面对建议进行过滤后得到的所选建议类型视图。 步骤 11...
  • Page 648 第 33 章 为您的网络资产定制入侵防御 使用 FireSIGHT 建议 FireSIGHT 系统用户指南 33-6
  • Page 649: 检测特定威胁 第 34 章 检测特定威胁 您可以在网络分析策略中使用多个预处理程序来检测对受监控网络的特定威胁,例如 Back Orifice 攻击、几种类型的端口扫描和试图利用超大流量颠覆网络的基于速率的攻击。请注意,当入侵规则 或规则参数要求禁用的预处理器时,尽管预处理器在网络分析策略网络界面中保持禁用状态,系统 还会自动使用其当前设置。有关详细信息,请参阅第 23-10 页上的自定义策略的局限性。 注意事项 某些具备自定义用户角色的用户无法通过标准菜单路径 (Policies > Access Control >...
  • Page 650 第 34 章 检测特定威胁 检测端口扫描 表 34-1 Back Orifice GID:SIDs (续) 预处理器规则 GID:SID 说明 105:3 检测到 Back Orifice 服务器流量...
  • Page 651第 34 章 检测特定威胁 检测端口扫描 表 34-2 协议类型 协议 说明 TCP 检测 TCP 探针,例如 SYN 扫描、 ACK 扫描、 TCP connect()...
  • Page 652 第 34 章 检测特定威胁 检测端口扫描 表 34-3 端口扫描类型 (续) 类型 说明 分布式端口扫描 多对一端口扫描,在这种攻击中,多个主机查询单个主机是否有开放端口。 分布式端口扫描具有如下特征: • 扫描主机的数量多 • 一次扫描的端口数量多 •...
  • Page 653第 34 章 检测特定威胁 检测端口扫描 要配置端口扫描检测,请执行以下操作: 管理员/入侵管理员 步骤 1 选择 Policies > Access Control > Access Control Policy 以显示 Access...
  • Page 654 第 34 章 检测特定威胁 检测端口扫描 可以指定单个 IP 地址或地址块,或者单个 IP 地址和/或地址块的逗号分隔列表。有关在 FireSIGHT 系统中使用 IPv4 和 IPv6 地址块的详细信息,请参阅第 1-16 页上的 IP...
  • Page 655第 34 章 检测特定威胁 检测端口扫描 表 34-5 端口扫描检测 SID (GID:122) (续) 端口扫描类型 协议: 灵敏度级别 预处理器规则 SID 诱骗端口扫描 TCP 低 2...
  • Page 656 第 34 章 检测特定威胁 防御基于速率的攻击 表 34-6 端口扫描数据包视图 (续) 信息 说明 IP Count 与被扫描主机联系的 IP 地址变化的次数。例如,如果第一个 IP 地址是 10.1.1.1,第二个...
  • Page 657第 34 章 检测特定威胁 防御基于速率的攻击 • 在流向特定目标 IP 地址或来自特定源 IP 地址的流量中规则匹配过多。 要配置基于源或目标的动态规则状态,请参阅第 32-27 页上的设置动态规则状态。 • 所有流量中某个特定规则的匹配过多。 要配置基于规则的动态规则状态,请参阅第 32-27 页上的设置动态规则状态。 在网络分析策略中,您可以为整个策略配置...
  • Page 658 第 34 章 检测特定威胁 防御基于速率的攻击 防御 SYN 攻击 许可证:保护 SYN 攻击防御选项有助于保护网络主机免受 SYN 泛洪攻击。可以根据在一段时间内看到的数据 包数量保护单个主机或整个网络。如果设备采用被动部署,可以生成事件。如果设备采用内联部 署,还可以丢弃恶意数据包。超时周期结束后,如果速率条件已停止,将会停止事件生成和数据 包丢弃。 例如,可以配置一项设置以允许任一 IP 地址发出最多...
  • Page 659第 34 章 检测特定威胁 防御基于速率的攻击 基于速率的攻击防御及其他过滤器 许可证:保护 关键字 detection_filter、阈值和抑制功能提供了其他方式来过滤流量或系统生成的事件。可以 单独使用基于速率的攻击防御,也可以将其与阈值、抑制功能或 detection_filter 关键字随意组 合使用。 有关详细信息,请参阅以下示例: • 第 34-11 页上的基于速率的攻击防御和检测过滤 • 第...
  • Page 660 第 34 章 检测特定威胁 防御基于速率的攻击 请注意,虽然示例未进行描述,但可以将 Drop and Generate Events 规则状态与 detection_filter 关键字结合使用,以在规则的匹配速率达到指定速率时开始丢弃流量。确定是否为规则配置基于 速率的设置时,请考虑将规则设置为 Drop and Generate Events 和包含...
  • Page 661第 34 章 检测特定威胁 防御基于速率的攻击 请注意,到达超时时间后,在接下来的基于速率的采样周期内,系统仍然丢弃数据包。如果采样 的速率高于当前或之前采样周期的阈值速率,新操作将会继续。新操作只会在采样周期结束后恢 复生成事件,在此情况下采样的速率低于阈值速率。 请注意,虽然本例中未显示,但如果在达到阈值后因基于速率的标准而触发新操作,系统会生成 一个事件以指示操作变化。因此,例如,对于第 14 个数据包,如果达到极限阈值 10,系统停止 生成事件且操作从 Generate Events 更改为 Drop and Generate...
  • Page 662 第 34 章 检测特定威胁 防御基于速率的攻击 请注意,虽然本例中未显示,但如果在达到阈值后因基于速率的标准而触发新操作,系统会生成 一个事件以指示操作变化。因此,例如,对于第 14 个数据包,如果达到极限阈值 10,系统停止 生成事件且操作更改为 Drop and Generate Events,系统会生成第十一个事件以指示操作变化。 使用多种过滤方法进行基于速率的检测 许可证:保护 可能会出现 detection_filter...
  • Page 663第 34 章 检测特定威胁 防御基于速率的攻击 配置基于速率的攻击防御 许可证:保护 可以在策略级别配置基于速率的攻击防御以阻止 SYN 泛洪攻击, 也可以阻止来自特定源或到达 特定目标的过多连接。 要配置基于速率的攻击防御,请执行以下操作: 管理员/入侵管理员 步骤 1 选择 Policies > Access...
  • Page 664 第 34 章 检测特定威胁 防御基于速率的攻击 步骤 3 在左侧的导航面板中,点击 Settings。 系统将显示 Settings 页面。 步骤 4 您有两种选择,具体取决于是否启用了 Specific Threat Detection 下的...
  • Page 665第 34 章 检测特定威胁 检测敏感数据 检测敏感数据 许可证:保护 敏感数据 (如社会保障号码、信用卡号码、驾驶证号码等)可能会被有意或无意地在互联网上泄 露。系统提供的敏感数据预处理程序能够检测 ASCII 文本中的敏感数据并为之生成事件,此功能 对于检测意外数据泄露特别有用。 系统不会检测经过加密的或模糊的敏感数据,也不会检测压缩或编码格式 (例如 Base64 编码邮 件附件)的敏感数据。例如,系统会检测电话号码 (555)123-4567,但不会检测该号码经过模糊处 理的版本...
  • Page 666 第 34 章 检测特定威胁 检测敏感数据 • 将包括含敏感数据配置的入侵策略的访问控制策略应用于为敏感数据检测保留的单独设备; 有关详细信息,请参阅第 12-13 页上的应用访问控制策略。 选择全局敏感数据检测选项 许可证:保护 全局敏感数据检测选项用于控制预处理器的工作方式。可以修改指定以下内容的全局选项: • 预处理器是否在触发数据包中替换信用卡号或社会保障号的最后四位数 • 网络上的哪些目标主机监控敏感数据 • 单个会话中所有数据类型总共出现多少次会产生事件...
  • Page 667第 34 章 检测特定威胁 检测敏感数据 每种数据类型至少必须指定一个事件阈值和至少一个要监控的端口或应用协议。 由思科提供的每种预定义数据类型使用一种其他方法无法访问的 sd_pattern 关键字来定义用于在 流量中进行检测的内置数据模式。有关预定义数据类型的列表,请参阅第 34-20 页上的表 34-8。 您还可以创建自定义数据类型,然后可以使用简单的正则表达式为这些数据类型指定自己的数据 模式。有关详情,请参见第 34-23 页上的使用自定义数据类型。 请注意,数据类型名称和模式适用于整个系统;所有其他数据类型选项适用于策略。 下表介绍了可配置的数据类型选项。 表...
  • Page 668 第 34 章 检测特定威胁 检测敏感数据 为了帮助启用敏感数据规则,配置页面上的链接会将您指向 Rules 页面的过滤视图,其中显示所 有预定义和自定义的敏感数据规则。您还可以在 Rules 页面上选择敏感数据规则过滤类别,从而 只显示预定义的敏感数据规则。有关详情,请参见第 32-9 页上的过滤入侵策略中的规则。预定义 的敏感数据规则还列于 Rule Editor 页面 (Policies...
  • Page 669 第 34 章 检测特定威胁 检测敏感数据 表 34-9 敏感数据配置操作 (续) 要...... 您可以...... 为数据类型添加或删除 在 Application Protocols 字段中点击,或点击字段旁边的 Edit。系统将显示 Application 要监控的应用协议 Protocols...
  • Page 670 第 34 章 检测特定威胁 检测敏感数据 步骤 5 可以采取敏感数据配置操作表中所述的任何操作。 步骤 6 保存策略,继续编辑,放弃所做的更改,或者在系统缓存中保留更改的同时退出。有关详情,请 参见第 23-13 页上的解决冲突和提交策略更改。 选择要监控的应用协议 许可证:可控性 最多可以为每种数据类型指定八个应用协议进行监控。有关系统可在网络上检测的应用协议的详 细信息,请参阅第 50-31...
  • Page 671第 34 章 检测特定威胁 检测敏感数据 步骤 7 您有两种选择: • 要添加要监控的应用协议 (最多八个),请从左侧的 Available 列表中选择一个或多个应用协 议,然后点击右箭头 (>) 按钮。 • 要删除应用协议,请从右侧的 Enabled 列表中选择,然后点击左箭头...
  • Page 672 第 34 章 检测特定威胁 检测敏感数据 为了帮助启用敏感数据规则,配置页面上的链接会将您指向 Rules 页面的过滤视图,其中显示所 有预定义和自定义的敏感数据规则。您还可以在 Rules 页面上选择本地规则过滤类别,从而只显 示自定义敏感数据规则。有关详情,请参见第 32-9 页上的过滤入侵策略中的规则。请注意,自定 义敏感数据规则不会列于 Rule Editor 页面。 创建的自定义数据类型已添加到所有入侵策略。必须在要使用的任何策略中启用关联敏感数据规...
  • Page 673第 34 章 检测特定威胁 检测敏感数据 表 34-11 转义敏感数据模式字符 (续) 使用的转义字符 代表的原义字符 \} } \\ \ 下表介绍了可在定义自定义数据模式时使用的字符类。 表 34-12 敏感数据模式字符类 字符类...
  • Page 674 第 34 章 检测特定威胁 检测敏感数据 配置自定义数据类型 许可证:保护 实质上,是为针对预定义的数据类型所配置的自定义数据类型配置相同的数据类型选项。有关设 置所有数据类型通用的选项,请参阅第 34-18 页上的选择具体数据类型选项。此外,还必须为自 定义数据类型指定名称和数据模式。 请注意,创建自定义数据类型还会创建关联的自定义敏感数据预处理规则,必须在要使用该数据 类型的每个策略中启用该规则。有关在入侵策略中启用规则的详细信息,请参阅第 32-18 页上的 设置规则状态。 要创建或修改自定义数据类型,请执行以下操作: 管理员/入侵管理员...
  • Page 675第 34 章 检测特定威胁 检测敏感数据 编辑自定义数据类型名称和检测模式 许可证:保护 可以为自定义敏感数据规则修改系统范围的名称和检测模式。请注意,更改这些设置会导致系统 上所有其他策略中的设置也随之更改。另请注意,如果必须已应用的访问控制策略包含使用修改 的自定义数据类型的入侵策略,必须重新应用这些策略。 除自定义数据类型名称和数据模式之外,所有数据类型选项都是特定于策略的,适用于自定义和 预定义的数据类型。有关修改自定义数据类型名称和数据模式以外选项的详细信息,请参阅第 34-18 页上的选择具体数据类型选项。 要编辑自定义数据类型名称和数据模式,请执行以下操作: 管理员/入侵管理员 步骤 1 选择 Policies>...
  • Page 676 第 34 章 检测特定威胁 检测敏感数据 FireSIGHT 系统用户指南 34-28
  • Page 677: 从全局限制入侵事件记录 第 35 章 从全局限制入侵事件记录 阈值可用于限制系统记录和显示入侵事件的次数。您配置作为入侵策略一部分的阈值会导致系统 根据与规则匹配的流量在特定时间内从特定地址或地址范围传出或以其作为传入目标的次数,生 成事件。这可以防止事件数量过多。此功能需要保护许可证。 设置事件通知阈值有两种方式: • 可以跨所有流量设置全局阈值,用于限制每个指定时间段记录和显示来自特定源地址或目标 地址的事件的频率。有关详细信息,请参阅第 35-1 页上的了解阈值和第 35-3 页上的配置全局 阈值。 • 可以按照入侵策略配置中的每条共享对象规则、标准文本规则或预处理器规则设置阈值,如 第...
  • Page 678 第 35 章 从全局限制入侵事件记录 了解阈值 了解阈值选项 许可证:保护 可以通过阈值来限制入侵事件的生成,只在某个时间段内生成特定数量的事件,或者只为一组事 件生成一个事件。配置全局阈值时,首先必须指定阈值类型,如下表所述。 表 35-1 阈值选项 选项 说明 限制 为指定时间段内触发规则的指定数量的数据包 (由计数参数指定)记录并显示事件。例如,如果将类型 设置为 Limit,将...
  • Page 679第 35 章 从全局限制入侵事件记录 配置全局阈值 配置全局阈值 许可证:保护 可以设置全局阈值来管理每个规则在一段时间内生成的事件数。设置全局阈值后,该阈值将应用于没 有特定阈值可覆盖该阈值的每条规则。有关配置阈值的详细信息,请参阅第 35-1 页上的了解阈值。 默认情况下,在系统上配置全局阈值。默认值如下所示: • Type - Limit • Track By -...
  • Page 680 第 35 章 从全局限制入侵事件记录 配置全局阈值 步骤 8 在 Seconds 字段: • 若为 Limit 阈值,在 Seconds 字段指定跟踪攻击时构成该时间段的秒数。 • 若为 Threshold...
  • Page 681: 了解和编写入侵规则 第 36 章 了解和编写入侵规则 入侵规则是一组指定的关键字和参数,通过分析网络流量来检查其是否符合规则中的条件,从而 检测试图利用网络漏洞的行为。系统将数据包与每条规则中指定的条件进行比较,如果数据包数 据符合规则中指定的所有条件,则触发此规则。如果规则是警报规则,将生成入侵事件。如果是 通过规则,将忽略流量。可以通过防御中心或网络界面查看和评估入侵事件。 注意事项 将编写的入侵规则用于生产环境之前,请务必使用受控网络环境测试这些规则。编写错误的入侵 规则可能会严重影响系统性能。 请注意: • 对于内联部署中的丢弃规则,系统将丢弃数据包并生成事件。有关丢弃规则的详细信息,请 参阅第 32-18 页上的设置规则状态。 • 思科提供两种类型的入侵规则:共享对象规则和标准文本规则。思科漏洞研究工作组...
  • Page 682 第 36 章 了解和编写入侵规则 了解规则结构 • 第 36-98 页上的搜索规则解释如何搜索现有规则。 • 第 36-99 页上的过滤 Rule Editor 页面上的规则解释如何显示规则子集以帮助查找特定规则。 了解规则结构 许可证:保护 所有标准文本规则均包含两个逻辑部分:规则报头和规则选项。规则报头包含:...
  • Page 683第 36 章 了解和编写入侵规则 了解规则报头 了解规则报头 许可证:保护 每个标准文本规则和共享对象规则都有一个包含参数的规则报头。下面说明规则报头的组成部分: 下表介绍了规则报头的上述各个部分。 表 36-1 规则报头值 规则报头组成部分 示例值 示例值的作用 操作 警报 如果触发,将会生成事件。 协议 tcp...
  • Page 684 第 36 章 了解和编写入侵规则 了解规则报头 指定规则操作 许可证:保护 每个规则报头都包含一个用于指定数据包触发规则时系统应采取的操作的参数。操作设置为 alert 的规则将会针对触发规则的数据包生成入侵事件并记录该数据包的详细信息。操作设置为 pass 的 规则不会针对触发规则的数据包生成入侵事件,也不会记录该数据包的详细信息。 注 在内联部署中,规则状态设置为 Drop and Generate Events...
  • Page 685 第 36 章 了解和编写入侵规则 了解规则报头 在入侵规则中指定 IP 地址 许可证:保护 通过将数据包检查限制为仅针对来自或发往特定 IP 地址的数据包,可以减少系统必须执行的数据 包检查工作量。这样做还可以令规则更加具体,并消除规则针对源和目标 IP 地址未指示可疑行为 的数据包进行触发的可能性,从而减少误报。 提示 系统只能识别 IP 地址,不接受源或目标...
  • Page 686 第 36 章 了解和编写入侵规则 了解规则报头 表 36-2 源/目标 IP 地址语法 (续) 要指定...... 使用...... 示例 除网络对象或网络对象组定 对象或对象组名称用花括号 ({}) 括起来,前面带有 !$。...
  • Page 687第 36 章 了解和编写入侵规则 了解规则报头 提示 如果需要指定 IP 地址块,但仅以 CIDR 或前缀长度记法无法表示出该地址块,可以在 IP 地址列 表中使用 CIDR 块和前缀长度。 指定网络对象 许可证:保护 可以使用以下语法指定网络对象或网络对象组: ${object_name...
  • Page 688 第 36 章 了解和编写入侵规则 了解规则报头 在入侵规则中定义端口 许可证:保护 在规则编辑器中,可以在 Source Port 和 Destination Port 字段中指定源端口和目标端口。有关使用规 则编辑器构建规则报头的步骤的详细信息,请参阅第 36-93 页上的构建规则。 FireSIGHT 系统使用特定类型的语法来定义规则报头中使用的端口号。...
  • Page 689第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 指定方向 许可证:保护 在规则报头中,可以指定数据包接受规则检查必须流经的方向。下表介绍了这些选项。 表 36-4 规则报头中的方向选项 使用...... 以测试...... Directional 仅测试从指定源 IP 地址流向指定目标 IP 地址的流量 双向...
  • Page 690 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 • 第 36-50 页上的从会话提取 SSL 信息介绍用于从加密流量中提取版本和状态信息的关键字的 使用及语法。 • 第 36-75 页上的将数据包数据读取到关键字参数中介绍如何将数据包中的值读入到某个变量, 以便日后在同一规则中使用该变量来指定某些其他关键字中参数的值。 • 第...
  • Page 691第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 提示 必须指定规则消息。此外,消息不能只包含空白字符、一个或多个引号、一个或多个撇号或者仅 由空白字符、引号或撇号组成的任意组合。 要在规则编辑器中定义事件消息,请在 Message 字段中输入事件消息。有关使用规则编辑器构建 规则的详细信息,请参阅第 36-93 页上的构建规则。 定义事件优先级 许可证:保护 默认情况下,规则的优先级来源于其事件分类。但是,可以通过向规则添加 priority 关键字覆盖 分类优先级。...
  • Page 692 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 表 36-5 规则分类 (续) 编号 分类名称 说明 19 system-call-detect 检测到系统调用 20 tcp-connection 检测到 TCP...
  • Page 693第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 步骤 4 在 Classification Name 字段中键入分类的名称。 最多可以使用 255 个字母数字字符,但如果使用的字符超过 40 个,页面将难以阅读。不支持以下 字符:<>()\'"&$; 以及空格字符。 步骤 5...
  • Page 694 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 搜索内容匹配 许可证:保护 使用 content 关键字或 protected_content 关键字可以指定要在数据包中检测的内容。有关详细 信息,请参阅以下各节: • 第 36-14 页上的使用 content 关键字...
  • Page 695第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 配置内容匹配 大多数情况下,应始终在 content 或 protected_content 关键字后面加上修饰符,指示对内容进 行搜索的位置、搜索是否区分大小写及其他选项。有关 content 和 protected_content 关键字的 修饰符的详细信息,请参阅限制内容匹配。 请注意,要使规则触发事件,所有内容匹配必须为真,也就是说,每项内容匹配与其他匹配之间 都存在 AND...
  • Page 696 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 提示 如果选择思科设置的默认值,系统将假设 SHA-512 为哈希函数。 步骤 4 在必填的 Length 字段中键入一个值。该值必须与要查找的原始非哈希字符串的长度 (例如,步骤 2 中的字符串 Sample1 的长度为...
  • Page 697 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 要在进行内容搜索时指定不区分大小写,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 为添加的 content 关键字选择 Case Insensitive。 步骤 2 继续创建或编辑规则。 有关详细信息,请参阅限制内容匹配、第 36-14 页上的搜索内容匹配、第...
  • Page 698 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 提示 可以配置 HTTP 检查预处理器 Client Flow Depth 和 Server Flow Depth 选项,以确定是否在 HTTP 流量...
  • Page 699第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 搜索位置选项 许可证:保护 可以使用搜索位置选项指定开始搜索指定内容的位置以及继续搜索的深度。有关每个这些选项的 详细信息,请参阅: • 第 36-19 页上的 Depth • 第 36-19 页上的 Distance •...
  • Page 700 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 Offset 指定数据包负载中开始内容搜索的位置与数据包负载起点之间的距离 (以字节为单位)。可 指定 -65535 到 65535 字节之间的值。 由于偏移量计数器从字节 0 开始计算,因此,应指定比所需字节数小 1 的值,以便从数据包 负载起点开始继续搜索。例如,如果指定...
  • Page 701 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 在 protected_content 关键字中使用搜索位置选项 将必填的 Length protected_content 选项与 Offset 或 Distance 位置选项结合使用,可指定开始搜索 指定内容的位置以及继续搜索的深度,如下所示: • 同时使用 Length...
  • Page 702 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 以下三个选项搜索 HTTP 请求和/或 HTTP 响应 (视情况而定)中的 (未规范化)原始非状态字 段 (有关详细信息,请参阅第 36-21 页上的 HTTP 内容选项): •...
  • Page 703第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 HTTP Raw URI 选择此选项将会在规范化的请求 URI 字段中搜索内容匹配。 请注意,不能将此选项与 pcre 关键字 HTTP URI (U) 选项结合使用来搜索相同的内容。有关 详细信息,请参阅特定于 Snort...
  • Page 704 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 请注意: – 不能将此选项与 pcre 关键字 HTTP 原始 cookie (K) 选项结合使用来搜索相同的内容。有 关详细信息,请参阅特定于 Snort 的后正则表达式修饰符表。 –...
  • Page 705第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 默认情况下,快速模式匹配程序会在数据包内搜索规则中指定的最长内容;这样可最大程度地消 除不必要的规则评估。以如下规则片段为例: alert tcp any any -> any 80 (msg:"Exploit"; content:"GET"; http_method; nocase; content:"/exploit.cgi"; http_uri;...
  • Page 706 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 • 不能将此选项与 Not 结合使用。 • 不能将此选项与 Fast Pattern Matcher Offset and Length 结合使用。 •...
  • Page 707第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 替换内联部署中的内容 许可证:保护 可以在内嵌部署中使用 replace 关键字替换指定内容。 注 不能使用 replace 关键字替换思科 SSL 设备检测到的 SSL 流量中的内容。将会传输原始加密数据 而非替代数据。有关详细信息,请参阅 《思科...
  • Page 708 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 步骤 3 从下拉列表中选择 replace 并点击 Add Option。 replace 关键字将显示在 content 关键字下方。 步骤 4 在...
  • Page 709第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 表 36-9 其他可选 byte_jump 参数 (续) 参数 说明 倍数 指示规则引擎应将其与从数据包得到的 byte_jump 值相乘的值,以获得最终 的 byte_jump 值。...
  • Page 710 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 规则引擎将会计算自上一次成功内容匹配后显示的 13 个字节当中 4 个字节中描述的数量,并向前 跳过数据包中该数量的字节。例如,如果特定数据包中计算出的 4 个字节是 00 00 00 1F,规则引 擎会将它转换为 31。由于指定了...
  • Page 711第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 可以用下表中所述的参数进一步定义系统如何使用 byte_test 参数。 表 36-13 其他可选 byte_test 参数 参数 说明 Relative 使偏移量相对于上一次成功模式匹配。 调整 将转换的字节数四舍五入为下一个 32...
  • Page 712 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 要使用 byte_test,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 在 Create Rule 页面上,从下拉列表中选择 byte_test 并点击 Add Option。 byte_test...
  • Page 713 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 以下各节提供了有关为 pcre 关键字构建有效值的详细信息: • 第 36-33 页上的有关兼容 Perl 的正则表达式的基础知识介绍用于兼容 Perl 的正则表达式中的 常见语法。 • 第...
  • Page 714 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 字符类 许可证:保护 字符类包括字母字符、数字字符、字母数字字符和空白字符。可以用方括号 (参阅第 36-33 页上 的元字符)创建自己的字符类,也可以使用预定义类作为不同字符类型的快捷方式。如果不与其 他限定符配合使用,一个字符类通常匹配一个数字或字符。 下表举例说明 PCRE 接受的预定义字符类。 表 36-18 PCRE...
  • Page 715 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 下表介绍了可用于正则表达式后的 PCRE 修饰符。 表 36-20 PCRE 相关的后正则表达式选项 选项 说明 A 模式必须在字符串开头进行匹配 (与在正则表达式中使用 ^ 具有相同的效果)。...
  • Page 716 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 表 36-21 特定于 Snort 的后正则表达式修饰符 (续) 选项 说明 C 如果 HTTP 检查预处理器的 Inspect HTTP...
  • Page 717第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 此示例不匹配: • feedbacka.cgi • feedback11.cgi • feedback21.cgi • feedbackzb.cgi • /^ez(\w{3,5})\.cgi/iU 此示例在字符串开头搜索 ez 的数据包负载,ez 后面跟有一个包含...
  • Page 718 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 此示例不匹配: • ftp://ftp.example.com?value=|/bin/sh/ -i| • http://www.example.com?value=x&input?|cat /etc/passwd| • /[0-9a-f]{2}\:[0-9a-f]{2}\:[0-9a-f]{2}\:[0-9a-f]{2}\:[0-9a-f]{2}\:[0-9a-f]{2}/i 此示例为任何 MAC 地址搜索数据包负载。请注意,此示例使用反斜杠对冒号进行转义。 向规则添加元数据 许可证:保护...
  • Page 719第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 下图说明根据应用信息来匹配规则和流量: 要将规则与确定的应用协议进行匹配,必须定义 metadata 关键字和 key value 语句,在其中, service 应作为 key,并指定 value 的应用。例如, metadata 关键字中的以下 key...
  • Page 720 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 表 36-22 服务值 价值 说明 dcerpc 分布式计算环境/远程过程调用系统 dns 域名系统 finger Finger 用户信息协议 ftp 文件传输协议...
  • Page 721第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 搜索带有元数据的规则 许可证:保护 要搜索使用 metadata 关键字的规则,请在规则搜索页面上选择 metadata 关键字,或者键入元数 据的任何部分。例如,可以键入: • author,以显示在其中对 key 使用了 author 的所有规则。 •...
  • Page 722 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 检查分片和保留位 许可证:保护 fragbits 关键字检查 IP 报头中的分片和保留位。可以检查每个数据包的 Reserved 位、 More Fragments位和 Don't Fragment 位的任意组合。 表...
  • Page 723第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 表 36-25 IPoption 参数 (续) 参数 说明 ts 时间戳 秒 IP 安全选项 lsrr 松散源路由 ssrr...
  • Page 724 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 • 使用大于或等于号 (>=) 指定 TTL 值大于或等于一个特定值(例如, >=3 指定大于或等于 3 的 所有值)。 • 使用小于号 (<)指定...
  • Page 725第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 提示 有关 ICMP 类型编号的完整列表,请访问 http://www.iana.org/assignments/icmp-parameters 或 http://www.faqs.org/rfcs/rfc792.html 。 检查 ICMP 消息代码 许可证:保护 ICMP 消息有时包含代码值,用于在目标不可达的情况下提供有关详细信息。(有关与消息类型[可 对其使用消息代码]相关的...
  • Page 726 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 检查 TCP 标志组合 许可证:保护 可以使用 flags 关键字指定 TCP 标志的任意组合,如果在已检查的数据包中设置此关键字,将导 致规则触发。 注 在使用 A+ 作为...
  • Page 727第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 将规则应用于 TCP 或 UDP 客户端或服务器流量 许可证:保护 可以使用 flow 关键字选择由规则根据会话特征进行的检查的数据包。 flow 关键字允许您指定规 则应用的流量的方向,从而将规则应用于客户端流量或服务器流量。要指定 flow 关键字如何检查 数据包,可以设置要分析的流量的方向、已检查的数据包的状态以及这些数据包是否是重建数据...
  • Page 728 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 下表介绍了可为 flow 关键字指定的数据流相关参数: 表 36-30 数据流相关的 flow 参数 参数 说明 Ignore Stream Traffic 重建流数据包时不触发。...
  • Page 729第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 下表介绍了可与 stream_size 关键字配合使用的运算符: 表 36-32 stream_size 关键字参数运算符 运算符 说明 = 等于 != 不等于 > 大于...
  • Page 730 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 从会话提取 SSL 信息 许可证:保护 可以使用 SSL 规则关键字调用安全套接字层 (SSL) 预处理器,并从加密会话中的数据包提取有关 SSL 版本和会话状态的信息。 客户机和服务器进行通信以使用 SSL 或安全传输层...
  • Page 731 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 ssl_version 许可证:保护 ssl_version 关键字可用于匹配加密会话的版本信息。如果规则使用 ssl_version 关键字,规则引 擎将调用 SSL 预处理器来检查流量的 SSL 版本信息。 例如,如果知道 SSL 2 版本中存在缓冲区溢出漏洞,可以使用带有...
  • Page 732 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 表 36-36 rpc 关键字参数 参数 说明 application RPC 应用编号 procedure 调用的 RPC 程序 version...
  • Page 733 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 当有 TCP 流量从 $EXTERNAL_NET 变量中定义的使用任何端口的任何 IP 地址流向 $HOME_NET 变量中定义的使用端口 445 的任何 IP 地址,上述规则将会生成事件。此外,它仅对与服务器之间建 立的连接执行规则。然后,该规则在特定位置对特定内容进行测试。最后,该规则使用 asn1...
  • Page 734 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 DCE/RPC 关键字 许可证:保护 下表中所述的三个 DCE/RPC 关键字可用于监控 DCE/RPC 会话流量的漏洞。当系统处理带有这些 关键字的规则时,会调用 DCE/RPC 预处理器。有关详情,请参见第 27-2 页上的解码 DCE/RPC...
  • Page 735 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 dce_iface 许可证:保护 可以使用 dce_iface 关键字识别特定 DCE/RPC 服务。 此外,还可以将 dce_iface 与 dce_opnum 和 dce_stub_data 关键字结合使用,以进一步限制要检查 的...
  • Page 736 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 dce_opnum 许可证:保护 可以将 dce_opnum 关键字和 DCE/RPC 预处理器结合使用,以检测识别 DCE/RPC 服务提供的一个 或多个特定操作的数据包。 客户端功能调用请求特定服务函数(这些函数在 DCE/RPC 规范中称为 操作)。操作编号...
  • Page 737 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 sip_header 许可证:保护 可以使用 sip_header 关键字从提取的 SIP 请求或响应报头开头开始检查,并将检查限制为仅针对 报头字段。 sip_header 关键字没有参数。有关详细信息,请参阅第 36-57 页上的 sip_method和第 36-58 页上...
  • Page 738 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 sip_stat_code 许可证:保护 每个 SIP 响应中的三位数状态代码指明请求操作的结果。可以使用 sip_stat_code 关键字测试 SIP 响应的特定状态代码。 可以指定一个一位响应型数字 (1 到 9)、一个特定的三位数 (100...
  • Page 739 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 gtp_type 每条 GTP 消息由一种消息类型标识,消息类型由一个数值和一个字符串组成。可以将 gtp_type 与 gtp_version 关键字结合使用,以检查流量中的特定 GTP 消息类型。 可以为消息类型指定定义的十进制值,可以指定定义的字符串,或者指定包含这两项的任意组合 的逗号分隔列表,如以下示例所示: 10, 11,...
  • Page 740 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 表 36-41 GTP 消息类型 (续) 价值 0 版本 版本 1 版本 2 30 pdu_notification_reject_response...
  • Page 741 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 表 36-41 GTP 消息类型 (续) 价值 0 版本 版本 1 版本 2 97 不适用 mbms_notification_response...
  • Page 742 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 表 36-41 GTP 消息类型 (续) 价值 0 版本 版本 1 版本 2 152 不适用...
  • Page 743 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 要指定 GTP 消息类型,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 在 Create Rule 页面上,从下拉列表中选择 gtp_type 并点击 Add Option。...
  • Page 744 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 表 36-42 GTP 信息元素 (续) 价值 0 版本 版本 1 版本 2 16 flow_label_data_1...
  • Page 745 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 表 36-42 GTP 信息元素 (续) 价值 0 版本 版本 1 版本 2 93 不适用 不适用...
  • Page 746 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 表 36-42 GTP 信息元素 (续) 价值 0 版本 版本 1 版本 2 132 protocol_config...
  • Page 747 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 表 36-42 GTP 信息元素 (续) 价值 0 版本 版本 1 版本 2 168 不适用 mbms_session_duration...
  • Page 748 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 表 36-42 GTP 信息元素 (续) 价值 0 版本 版本 1 版本 2 206 不适用...
  • Page 749 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 modbus_func 可以使用 modbus_func 关键字来匹配 Modbus 应用层请求或响应报头中的 Function Code 字段。可 以为 Modbus 函数代码指定一个已定义的十进制值或一个已定义的字符串。 下表列出了系统识别出的为 Modbus 函数代码定义的值和字符串。...
  • Page 750 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 modbus_unit 可以使用 modbus_unit 关键字来匹配 Modbus 请求或响应报头中的 Unit ID 字段。 要指定 Modbus 单元 ID,请执行以下操作: 访问:管理员/入侵管理员...
  • Page 751第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 表 36-44 DNP3 函数代码 价值 字符串 0 confirm 1 read 2 write 3 选择 4...
  • Page 752 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 表 36-44 DNP3 函数代码 (续) 价值 字符串 130 unsolicited_response 131 authenticate_resp 要指定 DNP3 函数代码,请执行以下操作:...
  • Page 753 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 dnp3_obj 可以使用 dnp3_obj 关键字来匹配请求或响应中的 DNP3 对象报头。 DNP3 数据由一系列不同类型的 DNP3 对象组成,例如模拟输入、二进制输入,等等。每种类型 均以组进行识别,例如模拟输入组、二进制输入组等,每个组均可由一个十进制值进行识别。每 个组中的对象均以对象变体进一步识别,例如 16 位整数、 32...
  • Page 754 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 isdataat 许可证:保护 isdataat 关键字指示规则引擎验证数据是否驻留在负载中的特定位置。 下表列出了可与 isdataat 关键字配合使用的参数。 表 36-45 isdataat 参数 参数 类型 说明...
  • Page 755 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 为 fragoffset 关键字指定参数时,可以使用以下运算符。 表 36-46 fragoffset 关键字参数运算符 运算符 说明 ! 不会 > 大于 < 小于...
  • Page 756 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 下表介绍了 byte_extract 关键字所需的参数。 表 36-47 所需的 byte_extract 参数 参数 说明 Bytes to Extract 要从数据包提取的字节数。可以指定...
  • Page 757第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 表 36-50 数字类型 byte_extract 参数 参数 说明 Hexadecimal String 以十六进制格式读取提取的字符串数据。 Decimal String 以十进制格式读取提取的字符串数据。 Octal String...
  • Page 758 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 出于一些原因,活动响应并不用于取代防火墙;这些原因包括:系统不能在被动部署中插入数据 包;攻击者可能已选择忽略或绕过活动响应。 由于活动响应可以回送,因此,系统不允许 TCP 重置发起 TCP 重置;这样可防止活动响应出现 无穷尽的顺序。此外,为了符合标准做法,系统也不允许 ICMP 不可达数据包发起 ICMP 不可达 数据包。 可以配置...
  • Page 759第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 例如,要将规则配置为会在规则触发时重置连接的两端,可使用 reset_both 作为 resp 关键字的值。 可以使用逗号分隔列表指定多个参数,如下所示: argument,argument,argument 关于使用 config response 命令配置用以使用的主动响应界面和试图在被动部署中进行的 TCP 重 新设定数的详细信息,请参阅第 36-80...
  • Page 760 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 设置活动响应重置尝试次数和界面 许可证:保护 可以使用 config response 命令进一步配置由 resp 和 react 规则发起的 TCP 重置的行为。此命令还 会影响丢弃规则发起的活动响应的行为;有关详细信息,请参阅第 29-3...
  • Page 761第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 可使用以下语法延迟事件触发: track by_src/by_dst, count count, seconds number_of_seconds 参数指定在计算符合规则检测条件的数据包数量时,是否使用数据包的源或目标 IP 地址。 track 可选择下表中所述的参数值来指定系统如何跟踪事件实例。 表 36-53 detection_filter...
  • Page 762 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 表 36-54 标记参数 参数 说明 会话 记录触发规则的会话中的数据包。 主机 记录来自发送触发规则的数据包的主机的数据包。可以添加方向修饰符,以仅记录 来自主机 (src) 或发送到主机 (dst) 的流量。...
  • Page 763 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 可选的组名称用于向状态组添加状态名称。一个状态名称可以属于若干个组。未与组关联的状态 并不相互排斥,因此,触发和设置未与组关联的状态的规则不会影响其他同时设置的状态。有关 在组中包含状态名称可如何防止误报的示例 (通过取消设置同一个组中的另一个状态),请参阅 第 36-85 页上的导致误报的 flowbits 示例。 下表介绍了可用于 flowbits 关键字的运算符、状态和组的各种组合。请注意,状态名称可以包含 字母数字字符、句号 (.)、下划线 (_)...
  • Page 764 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 使用 flowbits 关键字时,请注意: • 使用 setx 运算符时,指定的状态只能属于指定的组,而不能属于任何其他组。 • 可以多次定义 setx 操作符,每次用一个实例指定不同的状态和同一个组。 • 如果使用 setx...
  • Page 765第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 在这种情况下,如果之前的数据包已促使包含第一个分片的规则触发,则包含第二个分片的规则 将会触发并生成事件。 导致误报的 flowbits 示例 在一个组中包含在不同规则中设置的不同状态名称可防止误报事件;如果后续数据包中的内容与 状态不再有效的规则相匹配,就会出现误报事件。以下示例说明不在一个组中包含多个状态名称 如何会导致误报。 假设以下三个规则分片在一个会话中按所示的顺序触发: (msg:"JPEG transfer"; content:"image/";pcre:"/^Content- Type\x3a(\s*|\s*\r?\n\s+)image\x2fp?jpe?g/smi"; flowbits:set,http.jpeg; flowbits:noalert;)...
  • Page 766 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 下图说明了上述规则分片中 flowbits 关键字的影响: 在第三个规则分片中,flowbits:isset,http.jpeg 确定是否已设置现在不相关的 http.jpeg 状态, content 和 pcre 则匹配在 JPEG 文件中是恶意的但在 GIF...
  • Page 767第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 第三个规则分片不会导致误报: (msg:"JPEG exploit"; flowbits:isset,http.jpeg;content:"|FF|"; pcre:"/ \xFF[\xE1\xE2\xED\xFE]\x00[\x00\x01]/";) 下图说明了上述规则分片中 flowbits 关键字的影响: 由于 flowbits:isset,http.jpeg 为假,因此,规则引擎会停止处理规则,且不会生成事件,从而 避免误报 (即使 GIF...
  • Page 768 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 要在入侵规则中识别 HTTP 编码类型和位置,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 向规则添加 http_encode 关键字。 步骤 2 从 Encoding Location...
  • Page 769 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 表 36-59 file_type 和 file_group 入侵事件生成 传输协议 需要的预处理器或预处理器选项 SMTP SMTP 预处理器;请参阅第 27-51 页上的解码 SMTP 流量。...
  • Page 770 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 注 不能在同一个入侵规则中将 file_group 关键字与另一个 file_group 或 file_type 关键字结合使用。 要查看和配置最新的文件组,请更新 VDB。有关详细信息,请参阅第 66-12 页上的更新漏洞数 据库。 要在入侵规则中选择文件组,请执行以下操作:...
  • Page 771第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 • SMTP、 POP 或 IMAP 流量中的编码邮件附件 要检查 SMTP、 POP 或 IMAP 流量中的邮件附件,必须分别启用 SMTP、 POP 或...
  • Page 772 第 36 章 了解和编写入侵规则 了解规则中的关键字和参数 解码和检查 Base64 数据 许可证:保护 可以结合使用 base64_decode 和 base64_data 关键字,以指示规则引擎将指定数据作为 Base64 数 据进行解码和检查。这可能很有用,例如,对于检查 Base64 编码...
  • Page 773 第 36 章 了解和编写入侵规则 构建规则 base64_data 许可证:保护 关键字提供用于检查使用 base64_decode 关键字进行解码的 Base64 数据的参考。 base64_data 关键字将检查设置在解码的 Base64 数据开头开始。或者,可以随后使用可用于其他 base64_data 关键字的位置参数 (例如 content...
  • Page 774 第 36 章 了解和编写入侵规则 构建规则 创建新规则后,可以使用规则编号 (其格式为 GID:SID:Rev)再次迅速找到该规则。所有标准文 本规则的规则编号均以 1 开头。规则编号的第二部分 (Snort ID (SID) 号)指明规则是本地规则 还是由思科提供的规则。当您创建新规则时,系统会向新规则分配下一个可用于本地规则的 Snort ID 号,并将该规则保存在本地规则类别中。本地规则的...
  • Page 775第 36 章 了解和编写入侵规则 构建规则 步骤 9 从 Direction 列表中,选择指示您希望触发规则的流量方向的运算符。可以使用以下其中一个选项: • Directional 匹配从源 IP 地址流向目标 IP 地址的流量 • Bidirectional 从源...
  • Page 776 第 36 章 了解和编写入侵规则 构建规则 步骤 2 找到要修改的规则。您有以下选项: • 要通过浏览规则类别查找规则,请浏览文件夹以找到所需的规则,然后点击该规则旁边的编 辑图标 ( )。 • 要通过搜索查找规则,请为要查找的规则输入搜索条件 (最简单的是 SID),然后点击 Search。如果适当,点击搜索返回的规则。有关详情,请参见第 36-98...
  • Page 777第 36 章 了解和编写入侵规则 构建规则 步骤 3 点击 Rule Comment。 系统将显示 Rule Comment 页面。 步骤 4 在文本框中输入注释,然后点击 Add Comment。 输入的注释将保存在注释文本框中。...
  • Page 778 第 36 章 了解和编写入侵规则 搜索规则 提示 系统还会将您连同修改后的报头信息一起保存的共享对象规则存储在本地规则类别中,并以 3 作为 GID 将它们列出来。您可以删除您修改后的共享对象规则版本,但不能删除原始共享对象规则。 搜索规则 许可证:保护 FireSIGHT 系统提供成千上万个标准文本规则;而随着不断发现新的漏洞和攻击,思科漏洞研究 团队会继续添加规则。您可以轻松搜索您想要激活、禁用或编辑的特定规则。 下表介绍了可用的搜索选项: 表 36-61...
  • Page 779第 36 章 了解和编写入侵规则 过滤 Rule Editor 页面上的规则 要搜索特定规则,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 选择 Policies > Intrusion > Rule Editor。 系统将显示...
  • Page 780 第 36 章 了解和编写入侵规则 过滤 Rule Editor 页面上的规则 • 第 36-101 页上的在规则过滤器中结合使用关键字和字符串 • 第 36-101 页上的过滤规则 在规则过滤器中使用关键字 许可证:保护 每个规则过滤器都可以包含一个或多个关键字,其格式如下:...
  • Page 781第 36 章 了解和编写入侵规则 过滤 Rule Editor 页面上的规则 在规则过滤器中使用字符串 许可证:保护 每个规则过滤器可以包含一个或多个字母数字字符串。字符串将搜索规则的 Message 字段、 Signature ID 和 Generator ID。例如,字符串 123 会返回规则消息中的...
  • Page 782 第 36 章 了解和编写入侵规则 过滤 Rule Editor 页面上的规则 步骤 3 或者,点击要展开的任何组旁边的文件夹。 文件夹将会展开以显示该组中的规则。请注意,一些规则组包含也可以展开的子组。 另请注意,如果您预期规则可能在某个组中,在未经过滤的原始页面上展开该组可能有用。如果 后续过滤器返回该文件夹中的匹配项,当您点击过滤器清除图标 ( ) 返回到未经过滤的原始页 面时,该组将会保持展开。 步骤...
  • Page 783: 阻止恶意软件和禁止的文件 第 37 章 阻止恶意软件和禁止的文件 恶意软件可以通过多种途径进入企业网络。为了帮助您识别和减轻恶意软件的影响, FireSIGHT 系统的文件控制、网络文件轨迹和高级恶意软件防护组件可以检测、跟踪、存储、分析并或者阻 止恶意软件及其他类型的文件在网络流量中的传输。该系统还可以对档案文件 (例如,档案文件 格式 .zip 或 .rar)中的嵌套文件进行分析和操作。 您可以配置系统执行恶意软件防护和文件控制,将其作为整体访问控制配置的一部分。您创建并 与访问控制规则关联的文件策略会处理与规则匹配的网络流量。您可以下载在这些流量中检测到 的文件,然后将其提交到思科的恶意软件感知网络 (称为综合安全智能云)来对文件的签名进行 动态分析,从而确定其是否包含恶意软件。 Context...
  • Page 784 第 37 章 阻止恶意软件和禁止的文件 了解恶意软件防护和文件控制 有关详细信息,请参阅: • 第 37-2 页上的了解恶意软件防护和文件控制 • 第 37-8 页上的了解和创建文件策略 • 第 37-21 页上的为 FireAMP...
  • Page 785第 37 章 阻止恶意软件和禁止的文件 了解恶意软件防护和文件控制 如果文件在云中具有据您所知是不正确的处理,则可向文件列表中添加该文件的 SHA-256 值。 • 要好像云已为文件分配了安全性质一样对其进行处理,请将文件添加到白名单。 • 要好像云已为文件分配了恶意软件性质一样对其进行处理,请将文件添加到自定义检测列表。 如果系统在文件列表中检测到文件的 SHA-256 值,会采取适当措施而不执行恶意软件查找或检查 文件性质。请注意,必须为文件策略中的某个规则配置 Malware Cloud Lookup 或...
  • Page 786 第 37 章 阻止恶意软件和禁止的文件 了解恶意软件防护和文件控制 根据文件性质,防御中心指示受管设备阻止文件或者允许上传或下载文件。请注意,如果档案文 件中的任何嵌套文件被阻止,系统将阻止整个档案文件。为了提高性能,如果系统根据 SHA-256 已经知道文件的性质,防御中心会使用缓存的性质而不是查询思科云。 请注意,文件性质可以更改。例如,云可以确定先前被视为安全的文件现在被识别为恶意软件, 或者正好相反,以前被识别为恶意软件的文件实际上是安全的。如果上一周对其执行了恶意软件 查找的文件的性质发生变化,云会通知防御中心,因此系统在下次检测到该文件进行传输时可以 采取适当措施。已更改的文件性质称为追溯性性质。 从恶意软件云查找返回的文件性质以及任何关联的威胁评分都具有生存时间 (TTL) 值。在 TTL 值 中指定的持续时间内保持某种文件性质而无更新后,系统会清除缓存的信息。性质及关联的威胁...
  • Page 787第 37 章 阻止恶意软件和禁止的文件 了解恶意软件防护和文件控制 配置恶意软件防护和文件控制 许可证:保护或恶意软件 受支持的设备:因功能而异 受支持的防御中心:因功能而异 通过将文件策略与访问控制规则相关联,可以将恶意软件防护和文件控制配置为整体访问控制配 置的一部分。这种关联保证系统在传递流量中与访问控制规则的条件匹配的文件之前,首先检查 该文件。 文件策略 (例如父项访问控制策略)包含的规则用于确定系统如何处理与每个规则的条件相符的 文件。可以配置单独的文件规则,以对不同的文件类型、应用协议或传输方向采取不同操作。 当文件与规则匹配时,规则可以: • 根据简单文件类型匹配允许或阻止文件 • 根据恶意软件文件性质阻止文件...
  • Page 788 第 37 章 阻止恶意软件和禁止的文件 了解恶意软件防护和文件控制 当系统根据对网络流量中恶意软件的检测或阻止情况生成恶意软件事件时,它还会生成文件事 件,因为要在文件中检测恶意软件,系统必须先检测该文件本身。请注意, FireAMP 连接器 (请 参阅第 37-6 页上的集成 FireAMP 与 FireSIGHT 系统)生成的基于终端的恶意软件事件不具备对 应文件事件。同样,当系统在网络流量中捕获文件时,也会生成文件事件,因为系统将首先检测 到该文件。...
  • Page 789第 37 章 阻止恶意软件和禁止的文件 了解恶意软件防护和文件控制 基于网络的 AMP 与基于终端的 FireAMP 许可证:恶意软件或任意 受支持的设备:因功能而异 受支持的防御中心:因功能而异 下图显示如何能够使用防御中心同时根据基于网络的高级恶意软件防护策略和基于终端的 FireAMP 策略处理数据。 请注意,由于 FireAMP 恶意软件检测是在下载或执行时于终端处执行,而受管设备在网络流量中 检测恶意软件,因此两种类型的恶意软件事件中的信息不同。例如,基于终端的恶意软件事件包 含有关文件路径、调用客户端应用等等的信息,而网络流量中的恶意软件检测则包含有关用于传...
  • Page 790 第 37 章 阻止恶意软件和禁止的文件 了解和创建文件策略 下表总结了这两种策略之间的差异。 表 37-3 基于网络恶意软件防护策略与基于终端的恶意软件防护策略 特性 基于网络 基于终端 (FireAMP) 文件类型检测和阻止方法 在网络流量中,使用访问控制和文件策略 不支持 (文件控制) 恶意软件检测和阻止方法 在网络流量中,使用访问控制和文件策略...
  • Page 791第 37 章 阻止恶意软件和禁止的文件 了解和创建文件策略 策略有两个访问控制规则,两者都使用 Allow 操作并与文件策略关联。策略的默认操作也是允许 流量,但不执行文件策略检查。在本示例中,流量处理如下: • 与 Rule 1 匹配的流量根据 File Policy A 进行检查。 • 与...
  • Page 792 第 37 章 阻止恶意软件和禁止的文件 了解和创建文件策略 文件规则 可使用文件规则来填充文件策略。下表介绍文件规则的组成部分。 表 37-4 文件规则组件 文件规则组件 说明 应用协议 系统可以检测和检查通过 FTP、 HTTP、 SMTP、 IMAP、 POP3...
  • Page 793 第 37 章 阻止恶意软件和禁止的文件 了解和创建文件策略 表 37-5 文件规则操作 操作 重置连接? 存储文件? 动态分析? 面向 MSEXE 的 Spero 分析? Block Files 是...
  • Page 794 第 37 章 阻止恶意软件和禁止的文件 了解和创建文件策略 • 当通过 SMTP 发送基于文本的文件时,某些电子邮件客户端会将换行符转换为 CRLF 换行符 标准。由于基于 MAC 的主机使用回车 (CR) 字符,并且基于 Unix/Linux 的主机使用换行 (LF)...
  • Page 795第 37 章 阻止恶意软件和禁止的文件 了解和创建文件策略 记录捕获文件、文件事件、恶意软件事件和警报 将文件策略与访问控制规则关联时,系统自动为匹配的流量启用文件和恶意软件事件日志记录。 如果文件策略配置为捕获并存储文件,则捕获到文件时系统也会自动启用捕获文件日志记录。系 统在检查文件时,可以生成以下类型的事件: • 文件事件,表示检测到的文件或受阻文件,以及检测到的恶意软件文件 • 恶意软件事件,表示检测到的恶意软件文件 • 追溯性恶意软件事件,在先前检测到的文件的 Malware 文件性质发生变化时生成 在文件策略生成文件事件或恶意软件事件或者捕获文件时,无论调用访问控制规则的日志记录配 置如何,系统都会自动将关联的连接端记录到防御中心数据库。 注...
  • Page 796 第 37 章 阻止恶意软件和禁止的文件 了解和创建文件策略 要将文件提交到云以进行动态分析,还必须在设备上打开端口 443 (出站)。 注 请注意, FireAMP 私有云需要相同的开放端口,并具有与公共思科云连接相同的高可用性限制。 管理文件策略 可以在 File Policies 页面 (Policies >...
  • Page 797第 37 章 阻止恶意软件和禁止的文件 了解和创建文件策略 对于新策略,网络界面会指出该策略未在使用。如果编辑的是使用中的文件策略,则网络界面会 告知您使用该文件策略的访问控制策略的数量。在这两种情况下,都可以点击文本以跳至 Access Control Policies 页面;请参阅第 12-1 页上的访问控制策略入门。 步骤 3 在 Name 和 Description (可选)字段中为新策略输入名称和描述,然后点击...
  • Page 798 第 37 章 阻止恶意软件和禁止的文件 了解和创建文件策略 步骤 5 选择 Direction of Transfer。 可以为下载的文件检查以下类型的传入流量: • HTTP • IMAP • POP3 •...
  • Page 799 第 37 章 阻止恶意软件和禁止的文件 了解和创建文件策略 步骤 9 点击 Save。 文件规则即被添加到策略。如果编辑的是现有文件策略,必须重新应用任何使用该文件策略的访 问控制策略,所做的更改才能生效。 配置高级文件策略常规选项 许可证:恶意软件 受支持的设备:因功能而异 受支持的防御中心:因功能而异 在文件策略中,可以在 General 部分中设置以下高级选项。有关高级 Archive File...
  • Page 800 第 37 章 阻止恶意软件和禁止的文件 了解和创建文件策略 配置存档文件检查选项 许可证:恶意软件 受支持的设备:除 2 系列或 X -系列外的所有型号 受支持的防御中心:除 DC500 外的所有型号 存档文件 (例如, .zip 或...
  • Page 801第 37 章 阻止恶意软件和禁止的文件 了解和创建文件策略 步骤 2 点击要编辑的策略旁边的编辑图标 ( )。 系统将显示 File Policy Rule 页面。 步骤 3 选择 Advanced 选项卡。...
  • Page 802 第 37 章 阻止恶意软件和禁止的文件 了解和创建文件策略 存档的所有文件内容均以表形式列出,同时显示其相关信息的摘要:名称、 SHA-256 哈希值、类 型、类别和存档深度。每个文件旁均显示一个网络文件轨迹图标,点击该图标即可通过网络轨迹 功能查看有关该特定文件的详细信息。 要从事件查看器查看存档文件的内容,请执行以下操作: 访问:管理员/访问管理员 步骤 1 导航到您选择的事件查看器。您会看到三个选项: • 对于恶意软件事件,请选择 Analysis >...
  • Page 803第 37 章 阻止恶意软件和禁止的文件 为 FireAMP 处理云连接 要比较两个文件策略,请执行以下操作: 访问:管理员/访问管理员 步骤 1 选择 Policies > Files。 系统将显示 File Policies 页面。 步骤...
  • Page 804 第 37 章 阻止恶意软件和禁止的文件 为 FireAMP 处理云连接 当在安装有 FireAMP 连接器的主机上检测到的基于终端的恶意软件检测活动表明该主机的安全性 可能受到威胁时,该主机也生成生成危害表现 (IOC) 标记。要从防御中心查看某个主机的终端 IOC 信息,该主机必须显示在防御中心的网络映射上。思科不时会为基于终端的恶意软件事件开 发新的 IOC 类型,系统可从思科云自动下载这些类型。有关威胁表现的详细信息,请参阅第 45-17...
  • Page 805第 37 章 阻止恶意软件和禁止的文件 为 FireAMP 处理云连接 步骤 3 从 Cloud Name 下拉框中,选择要使用的云服务: • 对于欧盟云,请选择 EU Cloud。 • 对于美国云,请选择 US...
  • Page 806 第 37 章 阻止恶意软件和禁止的文件 为 FireAMP 处理云连接 要使用防御中心删除云连接,请执行以下操作: 访问:管理 步骤 1 在 AMP Management 页面上,点击要删除的连接旁边的删除图标 ( ),然后确认要删除该连接。 系统删除连接,并且云停止将事件发送到防御中心。 与...
  • Page 807第 37 章 阻止恶意软件和禁止的文件 为 FireAMP 处理云连接 步骤 2 点击 Create FireAMP Connection。 系统将显示 Create FireAMP Connection 对话框。 步骤 3...
  • Page 808 第 37 章 阻止恶意软件和禁止的文件 为 FireAMP 处理云连接 FireSIGHT 系统用户指南 37-26
  • Page 809: 记录网络流量中的连接 第 38 章 记录网络流量中的连接 在受管设备监控网络主机生成的流量时,其可为其检测到的连接生成日志。访问控制和 SSL 策略 中的各种设置可供您精细控制记录哪些连接、何时记录连接以及在何处存储数据。访问控制规则 的特定日志记录配置还可以确定您是否记录与该连接相关联的文件和恶意软件事件。 在大多数情况下,您均可记录连接的开始和/或结束。当您记录连接时,系统将生成连接事件。无 论何时基于声誉的安全情报功能阻止连接或将其列入黑名单,您均可记录一种特殊类型的连接事 件,称为安全情报事件。 连接事件包含有关已检测会话的数据。任何个别连接事件的可用信息取决于多种因素,但是通常 包括: • 基本连接属性:时间戳、源和目标 IP 地址、入口和出口区域,处理连接的设备等 •...
  • Page 810 第 38 章 记录网络流量中的连接 决定要记录哪些连接 决定要记录哪些连接 许可证:任何环境 利用访问控制和 SSL 策略中的各种设置,您可以记录您的设备监控的所有非快速路径连接。在大 多数情况下,您均可记录连接的开始和/或结束。然而,因为受阻流量会被立即拒绝,无需进一步 检查,在大多数情况下,您只能记录已阻止或列入黑名单的流量的连接开始事件;没有要记录的 唯一连接结束。 当您记录连接事件后,您可以将它保存至防御中心数据库,以便使用 FireSIGHT 系统进行进一步 分析。或者,您可以将连接数据发送到外部系统日志或 SNMP 陷阱服务器。...
  • Page 811第 38 章 记录网络流量中的连接 决定要记录哪些连接 已加密连接 (可选) 您可以根据 SSL 策略中的设置,在系统阻止已加密会话时记录连接。您还可以强制系统记录其传 递供访问控制规则进一步评估的连接,无论您是否解密具体流量,也无论系统之后如何处理或检 查该流量。您可以按每条 SSL 规则配置此日志记录功能,以便仅记录关键连接。有关详细信息, 请参阅第 38-11 页上的记录已加密连接。 访问控制处理 (可选) 您可以在访问控制规则或访问控制默认操作处理连接时记录该连接。您可以按每条访问控制规则...
  • Page 812 第 38 章 记录网络流量中的连接 决定要记录哪些连接 要优化性能,请记录任何连接的开始或结束事件,而不是同时记录两者。您可以根据连接开始或 连接结束事件触发关联规则。请注意,出于任何原因监控连接均会强制执行连接结束日志记录; 请参阅第 38-5 页上的了解受监控连接的记录。 下表详细说明连接开始和结束事件之间的区别,包括两种记录各自的优势。 表 38-1 连接开始和连接结束事件比较 连接开始事件 连接结束事件 生成事件的条件 当系统检测到连接开始 (或者在头几个...
  • Page 813第 38 章 记录网络流量中的连接 决定要记录哪些连接 注 要使用这些功能,必须将连接记录到防御中心数据库 (而且在大多数情况下,必须记录连接结束 而非开始事件)。这就是为什么系统自动记录关键连接,即与记录的入侵、受禁文件和恶意软件 关联的那些链接。 防御中心可以记录的连接和安全情报事件的数量取决于其型号。有关这些限制的列表和有关禁用 连接事件存储的信息,请参阅第 63-14 页上的配置控制面板事件限制。 了解访问控制和 SSL 规则操作如何影响日志记录 许可证:因功能而异 每一条访问控制和 SSL...
  • Page 814 第 38 章 记录网络流量中的连接 决定要记录哪些连接 每当单一连接与与 SSL 或访问控制监控规则匹配时,系统均不会生成单独的事件。由于单一连接 可能与多条监控规则相匹配,记录至 防御中心数据库的每个连接事件均可能包含和显示关于该连 接匹配的前八条监控访问控制规则,以及第一条匹配的监控 SSL 规则的信息。 与此相似,如果您将连接事件发送至外部系统日志或 SNMP 陷阱服务器,则每当单一连接与监控 规则相匹配时,系统均不会发送单独的警报。相反,系统在连接结束时发送的警报包含有关连接 匹配的 Monitor...
  • Page 815第 38 章 记录网络流量中的连接 决定要记录哪些连接 注意事项 在拒绝服务 (DoS) 攻击期间,记录受阻 TCP 连接可能会影响系统的性能,而且多个类似事件使数 据库系统不堪重负。在您启用阻止规则的日志记录之前,请考虑该规则是监控面向互联网的接口 上的流量,还是易遭受 DoS 攻击的其他接口上的流量。 了解受允许连接的记录 许可证:因功能而异 加密 SSL 规则、不加密...
  • Page 816 第 38 章 记录网络流量中的连接 决定要记录哪些连接 如果您不想要记录文件或恶意软件事件,您可以通过清除访问控制规则编辑器的 Logging 选项卡 上的 Log Files 复选框,来针对每条访问控制规则禁用此日志记录。有关完全禁用文件和恶意软件 事件存储的信息,请参阅第 63-14 页上的配置控制面板事件限制。 注 思科建议您保持启用文件和恶意软件日志记录。 无论您是否保存文件和恶意软件事件,当网络流量违反文件策略时,系统均会自动将关联连接的 结束记录至...
  • Page 817 第 38 章 记录网络流量中的连接 记录安全情报 (黑名单)决策 下表说明您必须具备哪些许可证,才能成功配置 SSL 检查,从而记录由 SSL 策略处理的连接。请记 住,即使已加密连接未被 SSL 策略记录 (甚至在已检查的情况下),仍可能因其他原因被记录。 表 38-3 SSL 策略中对于连接记录的许可证和型号要求 要记录连接......
  • Page 818 第 38 章 记录网络流量中的连接 记录安全情报 (黑名单)决策 记录受监控且列入黑名单的连接 对于安全情报功能监控而不是阻止的连接,系统会将连接结束安全情报和连接事件记录至 防 御中心数据库。无论之后 SSL 策略、访问控制规则或访问控制默认操作如何处理连接,都会 发生这种记录。 对于这些连接事件,操作取决于连接的最终性质。 Reason 字段包含 IP Monitor 以及连接可能...
  • Page 819第 38 章 记录网络流量中的连接 记录已加密连接 记录已加密连接 许可证:SSL 受支持的设备:3 系列 在访问控制过程中,通过 SSL 检查功能,您可以使用 SSL 策略解密已加密的流量以供访问控制规 则进一步评估。您可以强制系统记录这些解密的连接,而无论系统之后如何处理或检查这些流 量。您还可以在阻止已加密流量时或允许其传递至访问控制规则而不解密时,记录连接。 已加密会话的连接日志包含有关加密的详细信息,例如用于加密该会话的证书。您可以按每条 SSL 规则为 SSL...
  • Page 820 第 38 章 记录网络流量中的连接 记录已加密连接 • 要将事件发送至外部系统日志,请选择 Syslog,然后从下拉列表选择系统日志警报响应。或 者,您可以通过点击添加图标 ( ) 来添加系统日志警报响应;请参阅第 43-4 页上的创建系 统日志警报响应。 • 要将事件发送至 SNMP 陷阱服务器,请选择...
  • Page 821第 38 章 记录网络流量中的连接 根据访问控制处理记录连接 步骤 5 指定将连接事件发送至何处。有以下选项可供选择: • 要将连接事件发送到防御中心,请选择防御中心。 • 要将事件发送至外部系统日志服务器,请选择 Syslog,然后从下拉列表选择系统日志警报响 应。或者通过点击添加图标 ( ) 来配置系统日志警报响应,请参阅第 43-4 页上的创建系统 日志警报响应。...
  • Page 822 第 38 章 记录网络流量中的连接 根据访问控制处理记录连接 要将访问控制规则配置为记录连接、文件和恶意软件信息,请执行以下操作: 访问:管理员/访问管理员/网络管理员 步骤 1 选择 Policies > Access Control。 系统将显示 Access Control Policy 页面。...
  • Page 823第 38 章 记录网络流量中的连接 根据访问控制处理记录连接 记录访问控制默认操作处理的连接 许可证:任何环境 您也可以为访问控制策略默认操作处理的流量记录连接。默认操作确定系统如何处理与策略中所 有访问控制规则均不匹配的流量 (Monitor 规则除外,这些规则匹配和记录,但不处理或检查流 量);请参阅第 12-6 页上的设置对网络流量的默认处理和检查。 用于记录策略默认操作处理的连接的机制和选项与用于记录个别访问控制规则处理的连接的选项 大致类似,如下表所述。也就是说,除了受阻流量,您可以记录连接的开始和结束,而且您可以 将连接事件发送至 防御中心数据库或者外部系统日志或 SNMP 陷阱服务器。...
  • Page 824 第 38 章 记录网络流量中的连接 记录在连接中检测到的 URL 步骤 5 指定将连接事件发送至何处。有以下选项可供选择: • 要将连接事件发送到防御中心,请选择防御中心。您无法为 Monitor 规则禁用此选项。 • 要将事件发送至外部系统日志服务器,请选择 Syslog,然后从下拉列表选择系统日志警报响 应。或者,您可以通过点击添加图标 ( )...
  • Page 825第 38 章 记录网络流量中的连接 记录在连接中检测到的 URL 步骤 6 点击 OK。 屏幕上将会显示访问控制策略的高级设置。 步骤 7 点击 Save 以保存策略。 您的策略保存成功。只有应用访问控制策略才能使更改生效;请参阅第 12-13 页上的应用访问控 制策略。...
  • Page 826 第 38 章 记录网络流量中的连接 记录在连接中检测到的 URL FireSIGHT 系统用户指南 38-18
  • Page 827: 使用连接与安全情报数据 第 39 章 使用连接与安全情报数据 在受管设备监控网络主机生成的流量时,其可为其检测到的连接生成日志。访问控制和 SSL 策略 中的各种设置可供您精细控制记录哪些连接、何时记录连接以及在何处存储数据。在大多数情况 下,您均可记录连接的开始和/或结束。 当记录连接时,系统会生成连接事件。每当连接被列入黑名单 (加以阻止)或被基于信誉的安全 情报功能监控时,您还可以记录特殊类型的连接事件,称为安全情报事件。 连接日志,称为连接事件,包含有关检测到的会话的数据。您应根据贵组织的安全和合规需求记录 连接;您可以记录除了在到达访问控制之前已在设备级别通过快速路径的连接以外的任何连接。 除了您配置的日志记录外,系统会自动记录检测到被禁止的文件、恶意软件或入侵尝试的大多数 连接。除非您完全禁用连接事件存储,否则系统会将这些连接结束事件保存到防御中心数据库供 进一步分析。有关配置连接日志记录的详细信息,请参阅第 38-1 页上的记录网络流量中的连接。...
  • Page 828 第 39 章 使用连接与安全情报数据 了解连接和安全情报数据 了解连接和安全情报数据 许可证:任何环境 连接日志,称为连接事件,包含有关检测到的会话的数据。任何单个连接事件的可用信息取决于 多种因素,但通常包括: • 基本连接属性:时间戳、源和目标 IP 地址、入口和出口区域,处理连接的设备等 • 系统发现或推断的其他连接属性:应用、请求的 URL 或与连接关联的用户等 • 有关连接记录原因的元数据:哪个策略中的哪条访问控制规则...
  • Page 829第 39 章 使用连接与安全情报数据 了解连接和安全情报数据 • 使用相同的应用协议 • 由相同的思科受管设备检测,或者由相同的 NetFlow 启用设备导出 每份连接摘要都包括总流量统计信息,以及摘要中连接的数量。因为 NetFlow 启用设备生成单向 连接,所以对于每个基于 NetFlow 数据的连接而言,摘要中的连接数应乘以 2。 请注意,连接摘要中并未包含与摘要中汇总的连接相关联的所有信息。例如,在汇总连接以形成 连接摘要时没有使用客户端信息,因此摘要中不包含客户端信息。...
  • Page 830 第 39 章 使用连接与安全情报数据 了解连接和安全情报数据 注 此外,可用于任何单个连接或安全情报事件的信息取决于若干因素,包括许可证和应用型号。有 关详细信息,请参阅第 38-8 页上的连接记录的许可证和型号要求。 以下列表详细列明了由 FireSIGHT 系统记录的连接数据。有关确定任何单个连接或安全情报事件 中所记录信息的因素的讨论,请参阅下一节:第 39-9 页上的连接和安全情报事件中的可用信息。 Access Control Policy...
  • Page 831第 39 章 使用连接与安全情报数据 了解连接和安全情报数据 Business Relevance 连接中检测到的应用流量的业务相关性:Very High、High、Medium、Low 或 Very Low。连接中 检测的各类应用都有相关业务相关性;该字段显示级别最低的业务相关性。有关详细信息, 请参阅第 45-9 页上的表 45-2。 Category, Tag (Application...
  • Page 832 第 39 章 使用连接与安全情报数据 了解连接和安全情报数据 Ingress Security Zone 或 Egress Security Zone 与连接相关的入口或出口安全区。 Initiator Bytes 或 Responder Bytes 由会话发起方或会话响应方发送的总字节数。...
  • Page 833第 39 章 使用连接与安全情报数据 了解连接和安全情报数据 Network Analysis Policy 与事件生成相关的网络分析策略 (NAP) (如果有)。 Reason 在以下几种情况,连接被记录的原因: – User Bypass 表示系统最初阻止了用户的 HTTP 请求,但用户选择通过点击警告页面继续 访问原先请求的站点。...
  • Page 834 第 39 章 使用连接与安全情报数据 了解连接和安全情报数据 Source Port/ICMP Type 或 Destination Port/ICMP Code 会话发起方或会话响应方使用的端口、 ICMP 类型或 ICMP 代码。 SSL Status...
  • Page 835第 39 章 使用连接与安全情报数据 了解连接和安全情报数据 SSL Flow Messages 在 SSL 握手期间,客户端和服务器之间交换的消息。有关详细信息,请参阅 http://tools.ietf.org/html/rfc5246 。 TCP Flags 在连接中检测到的 TCP 标志。 Time 系统用来在连接摘要中汇总连接的...
  • Page 836 第 39 章 使用连接与安全情报数据 了解连接和安全情报数据 检测方法:FireSIGHT 系统 与 NetFlow 除了 TCP 标志和 NetFlow 自治系统、前缀和 TOS 数据,与通过受管设备监控网络流量产生的 信息相比,从 NetFlow 记录中可获得的信息更加有限。有关详细信息,请参阅第...
  • Page 837 第 39 章 使用连接与安全情报数据 了解连接和安全情报数据 表 39-1 基于记录和检测方法的连接和安全情报数据 (续) 检测方法: 记录方法: 连接事件: 字段 FireSIGHT NetFlow 开始 结束 单个 摘要 Initiator...
  • Page 838 第 39 章 使用连接与安全情报数据 查看连接和安全情报数据 表 39-1 基于记录和检测方法的连接和安全情报数据 (续) 检测方法: 记录方法: 连接事件: 字段 FireSIGHT NetFlow 开始 结束 单个 摘要...
  • Page 839第 39 章 使用连接与安全情报数据 使用连接图 注 此外,可用于任何单个连接或安全情报事件的信息取决于若干因素,包括许可证和应用型号。有 关详细信息,请参阅第 38-8 页上的连接记录的许可证和型号要求。 每个表视图或图形中都包含您正在查看的连接或连接摘要的信息,包括时间戳、 IP 地址、应用 等。 FireSIGHT 系统检测到的任何单个连接的可用信息取决于多个因素,包括检测方法和记录选 项。有关详细信息,请参阅第 39-3 页上的了解连接和安全情报数据字段和第 39-9...
  • Page 840 第 39 章 使用连接与安全情报数据 使用连接图 注 要查看流量量变曲线,您必须具有管理员访问权限。将其与其他连接图进行对比,您能够以任何 安全分析师或管理员访问权限查看。 当您查看连接图时,如第 39-12 页上的查看连接和安全情报数据所述,您可以执行下表中所描述 的基本操作。 访问:管理员/任何安全分析师 表 39-2 连接图基本功能 要...... 您可以...... 了解有关显示数据的详细信息...
  • Page 841第 39 章 使用连接与安全情报数据 使用连接图 默认情况下,在标准视图中显示曲线图。标准曲线图每隔五分钟汇总数据、绘制汇总数据点,并 连接这些数据点。 不过,您可将曲线图从标准视图切换至速度视图。速度曲线图会显示这些数据点之间的变化率。 如果将以上图形更改为速度曲线图, y 轴会从表示连接数量转变为表示在一段时间内连接数量的 变化。 FireSIGHT 系统用户指南 39-15
  • Page 842 第 39 章 使用连接与安全情报数据 使用连接图 条形图显示按各种类别分组的数据。例如,条形图可以显示在一个小时的时间区间内,在监控网 络的 10 个最活跃端口上检测到的连接数。 饼形图,如条形图,也显示按各种类别分组的数据。下面的饼形图与上面的条形图显示的信息相同。 FireSIGHT 系统用户指南 39-16
  • Page 843第 39 章 使用连接与安全情报数据 使用连接图 按照下表中的指示在标准曲线图与速度曲线图之间切换、在条形图和饼形图之间切换。 访问:管理员/任何安全分析师 表 39-3 更改图形类型 要更改...... 您可以...... 将条形图更改为饼形图 点击 Switch to Pie。 请注意,饼形图无法显示多个数据集;有关信息,请参阅 第 39-17...
  • Page 844 第 39 章 使用连接与安全情报数据 使用连接图 在条形图上,与 x 轴的各个数据点对应的多个数据集显示为一组彩色条形柱。例如,下面的条形 图显示监控网络上传输的数据包总数、发起方传输的数据包总数以及响应方传输的数据包总数。 FireSIGHT 系统用户指南 39-18
  • Page 845第 39 章 使用连接与安全情报数据 使用连接图 饼形图不能显示多个数据集。如果将具有多个数据集的条形图切换到饼形图,该饼形图只显示一 个自动选择的数据集。当选择要显示的数据集时,防御中心会首选显示总统计数据,而不是发起 方和响应方的统计数据;在显示发起方统计数据和响应方统计数据时,会首选显示发起方统计数 据。下表介绍了在连接图 x 轴上可以显示的数据集。 表 39-4 数据集选项 如果 y 轴显示...... 可以选为数据集的对象为...... 连接 仅默认数量,指在监控网络上检测到的连接数...
  • Page 846 第 39 章 使用连接与安全情报数据 使用连接图 要获得汇总的连接数据的详细信息,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 将光标移动至曲线图的某一点上、条形图的某一条上,或饼形图的某一块上。系统将显示一个提 示框,其中提示构建该部分图形所用数据的详细信息。 在工作流程页面上操作连接图 许可证:任何环境 当打开连接数据工作流程时,最初数据仅受时间范围的限制。在不进入下一个工作流程页面的情 况下,可使用其他标准限制连接图。 提示 以这种方式限制连接数据可以改变图形的 x 轴...
  • Page 847第 39 章 使用连接与安全情报数据 使用连接图 要深入了解连接数据工作流程,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 点击曲线图上的某一点、条形图上的某一条,或饼形图上的某一块。 步骤 2 选择 Drill-down。 您可以向下深入了解下一个工作流程页面,使用点击的条目进行限制: • 点击曲线图上的某个点可将下一个页面的时间范围限制为以所点击点为中心的 10 分钟时间区间。 •...
  • Page 848 第 39 章 使用连接与安全情报数据 使用连接图 选择数据进行绘图 许可证:任何环境 通过改变 x 轴、 y 轴或者 x 轴和 y 轴,可以在连接图上显示不同的数据。 请注意,在一个饼图上改变 x 轴可以改变自变量,改变...
  • Page 849第 39 章 使用连接与安全情报数据 使用连接图 表 39-6 Y 轴功能 (续) 要...... 您可以...... 按照您为 x 轴选择的标准,图形化显示监控网络上检测到 点击 Y-Axis,并选择 Unique Hosts。 的独立主机总数...
  • Page 850 第 39 章 使用连接与安全情报数据 使用连接和安全情报数据表 使用连接和安全情报数据表 许可证:因功能而异 受支持的设备:因功能而异 受支持的防御中心:因功能而异 FireSIGHT 系统事件查看器使您可以查看表中的连接数据,并根据分析相关信息利用事件视图。 查看安全情报事件可让您专注于具有已确定的安全情报信誉的连接。(安全情报需要一个保护许 可证,在 2 系列受管设备或者 DC500 防御中心上不予支持。)访问连接数据时所看到的页面因工 作流程有所不同。工作流程只是一系列页面,您可以从广泛视图移动至更加突出重点的视图,使 用这些页面评估事件。...
  • Page 851第 39 章 使用连接与安全情报数据 使用连接和安全情报数据表 • 第 71-3 页上的配置事件查看设置说明如何更改默认工作流程,以便查看连接和安全情报事件 数据。 • 第 39-3 页上的了解连接和安全情报数据字段和第 39-9 页上的连接和安全情报事件中的可用信 息提供连接和安全情报事件中数据的详细信息。 • 第 39-25...
  • Page 852 第 39 章 使用连接与安全情报数据 使用连接和安全情报数据表 查看连接中检测到的文件 许可证:保护或恶意软件 受支持的设备:因功能而异 受支持的防御中心:因功能而异 如果将一个文件策略与一个或多个访问控制规则相关联,系统可以在匹配的流量中检测文件 (包括 恶意软件)。通过使用事件查看器,您可以查看与这些规则所记录连接相关的文件事件 (如有)。 防御中心不显示文件列表,而是在 Files 列中显示视图文件图标 ( )。图标上的数字表示连接中 检测到或阻止的文件数量...
  • Page 853第 39 章 使用连接与安全情报数据 搜索连接和安全情报数据 在弹出窗口中,您可以点击列出事件的视图图标 ( ),以便在数据包视图中查看详细信息。您还 可以点击 View Intrusion Events 查看与连接有关的所有入侵事件的详细信息。 提示 要快速查看与一个或多个连接相关联的入侵事件,请在事件查看器中使用复选框选择连接,然后 从 Jump to 下拉列表中选择 Intrusion...
  • Page 854 第 39 章 使用连接与安全情报数据 搜索连接和安全情报数据 由于连接图基于连接摘要,因此,约束连接摘要的相同标准也约束连接图。标有星号 (*) 的字段 约束连接图、连接摘要以及单个连接或安全情报事件。 如果使用无效的搜索约束搜索连接摘要,并在自定义工作流程中使用连接摘要页面查看结果,那 么无效约束将标记为不适用 (N/A),并标有一根删除线,如下面图例中所示。 此外,请注意,搜索结果取决于正搜索事件中的可用数据。换言之,根据可用数据,搜索限制条 件可能不适用。有关各连接数据字段中数据可用时间的信息,请参阅第 39-9 页上的连接和安全情 报事件中的可用信息。 通用搜索语法 系统在每个搜索字段旁边显示有效语法示例。输入搜索条件时,请记住以下几点:...
  • Page 855第 39 章 使用连接与安全情报数据 搜索连接和安全情报数据 带一个数值 (Bytes、 Packets 和 Connections)的条件 您可以将下列字符添加在该数值前面:大于 (>)、大于或等于(>=)、小于(<)、小于或等于(<=) 或者等于 (=)。 提示 要查看通过 Connections 条件进行搜索获得的有意义结果,您必须使用具有连接摘要页面的自定义 工作流程。 与连接相关的...
  • Page 856 第 39 章 使用连接与安全情报数据 搜索连接和安全情报数据 The SSL Expected Action 键入以下任何关键字,以查看在 SSL 规则有效的情况下预期系统应以指定方式处理的已加密流量: – Do not Decrypt 代表系统未解密的连接。 – Block...
  • Page 857第 39 章 使用连接与安全情报数据 搜索连接和安全情报数据 SSL 主体国家/地区 键入一个双字符 ISO 3166-1 二位字母国家/地区代码,查看与加密证书主体的国家/地区关联 的已加密流量。 此列不显示在安全情报或连接事件表视图中。 SSL 颁发者国家/地区 输入一个双字符 ISO 3166-1 二位字母国家/地区代码,查看与加密证书主体国家/地区关联的 已加密流量。...
  • Page 858 第 39 章 使用连接与安全情报数据 搜索连接和安全情报数据 – CLIENT_FINISHED – SERVER_CHANGE_CIPHER_SPEC – SERVER_FINISHED – NEW_SESSION_TICKET – HANDSHAKE_OTHER – APP_DATA_FROM_CLIENT – APP_DATA_FROM_SERVER...
  • Page 859第 39 章 使用连接与安全情报数据 查看 Connection Summary 页面 • 点击 Save As New 可保存新搜索或通过修改之前保存的搜索为您已创建的搜索指定名称。 系统将显示一个对话框,提示输入搜索名称;请输入一个唯一搜索名称并点击 Save。搜索保 存成功 (如果您选择了 Private,则只对您的帐户显示),您以后可以运行此搜索。 步骤...
  • Page 860 第 39 章 使用连接与安全情报数据 查看 Connection Summary 页面 FireSIGHT 系统用户指南 39-34
  • Page 861: 分析恶意软件和文件活动 第 40 章 分析恶意软件和文件活动 防御中心将系统文件检查和处理的记录作为捕获文件、文件事件和恶意软件事件进行记录: • 捕获文件表示系统捕获的文件。 • 文件事件表示系统在网络流量中检测到并或者被阻止的文件。 • 恶意软件事件表示系统在网络流量中检测到并或者被阻止的恶意软件文件。 • 追溯性恶意软件事件表示恶意软件文件的性质已更改的文件。 当系统基于对网络流量中恶意软件的检测或阻止生成恶意软件事件时,也会生成文件事件,因为要 在文件中检测恶意软件,系统必须首先检测该文件本身。请注意, FireAMP 连接器 (请参阅第 37-6...
  • Page 862 第 40 章 分析恶意软件和文件活动 使用文件存储 使用文件存储 许可证:恶意软件 受支持的设备:任何设备, 2 系列或X -系列除外 受支持的防御中心:除 DC500 外的所有型号 根据文件策略配置,您可以使用文件控制功能检测和阻止文件。但是,来自可疑主机或网络的文 件或者发送至您网络上受监控主机的多余文件可能需要进一步分析。通过文件存储功能,您可以 捕获在流量中检测到的选定文件,并自动将其存储至设备硬盘驱动器或 (如果已安装)恶意软件 存储包内。...
  • Page 863第 40 章 分析恶意软件和文件活动 使用文件存储 注意事项 请勿尝试在设备中安装思科未提供的硬盘驱动器。安装不受支持的硬盘驱动器可能会损坏设备。 恶意软件存储包套件仅可从思科购买,而且仅限用于 8000 系列设备。如果需要恶意软件存储包 方面的帮助,请与技术支持部门联系。有关详细信息,请参阅 《FireSIGHT 系统恶意软件存储包 指南》。 请注意,由于您无法在 DC500 上使用恶意软件许可证,也无法在 2 系列设备或用于 Blue...
  • Page 864 第 40 章 分析恶意软件和文件活动 使用动态分析 由于恶意软件有害,默认情况下,您必须在每次下载文件时进行确认。但是您可以禁用文件下载 确认提示。要重新启用确认,请参阅第 71-4 页上的文件首选项。 注意事项 思科强烈建议您不要下载恶意软件,否则可能造成不利后果。下载任何文件时请保持谨慎,这些 文件可能包含恶意软件。确保您在下载文件前已采取各种必要预防措施保证下载目标安全。 因为性质为 Unknown 的文件可能包含恶意软件,当您下载文件时,系统会首先将该文件存档至 .zip 压缩包。 .zip 文件名包含文件性质和文件类型...
  • Page 865第 40 章 分析恶意软件和文件活动 使用动态分析 注 您可以配置受管设备,通过 HTTP 代理向思科云提交文件。要配置物理设备,请参阅第 64-8 页上 的配置管理接口了解详细信息。要配置虚拟设备,请参阅第 D-32 页上的 http-proxy。用于 Blue Coat X-系列的思科 NGIPS不支持代理设置。 有关详情,请参阅:...
  • Page 866 第 40 章 分析恶意软件和文件活动 使用文件事件 威胁评分 文件分为四个威胁评分等级,与文件含有恶意内容的可能性一一对应: 表 40-1 威胁评分等级 威胁指数 图标 评级 低 1-25 中 26-50 高 51-75...
  • Page 867第 40 章 分析恶意软件和文件活动 使用文件事件 您可以使用防御中心事件查看器查看、搜索和删除文件事件。此外,文件控制面板还使用图表快 速展示与网络上检测到的文件 (包括恶意软件文件)相关的详细信息。网络文件轨迹可更加深入 地展现单个文件,提供该文件相关摘要信息以及文件在一段时间内穿过网络的方式。使用文件识 别数据,您可以触发关联规则并创建报告,报告将采用预定义文件报告模板或自定义报告模板。 有关详情,请参阅: • 第 40-7 页上的查看文件事件 • 第 40-8 页上的了解文件事件表 •...
  • Page 868 第 40 章 分析恶意软件和文件活动 使用文件事件 • 查看文件轨迹 • 向文件列表增加文件、下载文件、提交文件进行动态分析,或查看文件 SHA-256 值完整文本 • 查看文件动态分析总结报告 (如有) • 查看存档文件中嵌套的文件 • 使用当前限制创建报告模板 •...
  • Page 869 第 40 章 分析恶意软件和文件活动 使用文件事件 表 40-2 文件事件字段 (续) 字段 说明 Receiving IP 接收检测文件的主机 IP 地址。 Receiving Country 接收检测文件的主机所在国家/地区。 请注意,...
  • Page 870 第 40 章 分析恶意软件和文件活动 使用文件事件 表 40-2 文件事件字段 (续) 字段 说明 SHA256 如果因以下原因检测到文件,则文件 SHA-256 哈希值以及网络文件轨迹图标代表 最近检测到的文件事件和文件性质: • 启用了 Store...
  • Page 871 第 40 章 分析恶意软件和文件活动 使用文件事件 表 40-2 文件事件字段 (续) 字段 说明 File Policy 检测文件的文件策略。 设备 检测文件的设备名称。 安全情景 识别流量通过的虚拟防火墙组的元数据。请注意,系统仅对多情景模式下的 ASA FirePOWER...
  • Page 872 第 40 章 分析恶意软件和文件活动 使用文件事件 Sending/Receiving Continent 系统返回所有 Sending Continent 或 Receiving Continent 符合所指定洲的事件。 Sending/Receiving Country 系统返回 Sending Country...
  • Page 873第 40 章 分析恶意软件和文件活动 使用文件事件 – Invalid Server Certificate Handle – Server Certificate Fingerprint Unavailable – Cannot Cache Subject DN...
  • Page 874 第 40 章 分析恶意软件和文件活动 使用恶意软件事件 • 有关文件事件的专用搜索语法,请参阅第 40-11 页上的文件事件专用搜索语法。 • 有关与公共密钥证书相关的字段,请参阅第 39-27 页上的查看与加密连接相关的证书。 步骤 4 如果您计划保存搜索,也可以选择 Private 复选框,将搜索保存为私有,这样就只有您可以访问 它。否则,请清除此复选框,将搜索保存为适用于所有用户。...
  • Page 875第 40 章 分析恶意软件和文件活动 使用恶意软件事件 注 基于终端的恶意软件事件所报告的 IP 地址可能不在网络映射上 - 甚至可能完全不在监控的网络 上。根据部署、合规水平以及其他因素,您所在组织内安装 FireAMP 连接器的终端可能与受管设 备监控的主机不同。 基于网络流量的恶意软件事件 受支持的设备:任何设备, 2 系列或 X...
  • Page 876 第 40 章 分析恶意软件和文件活动 使用恶意软件事件 在任一种情况下,恶意软件事件消息都会显示性质变更方式和时间,例如: Retrospective Event, Mon Oct 1 20:44:00 2012 (UTC), Old Disp: Unknown, New Disp:...
  • Page 877第 40 章 分析恶意软件和文件活动 使用恶意软件事件 • 集中查看使用不同工作流程的事件 • 展开工作流程内应用具体值限制的各个页面 • 给当前页加书签并进行限制,以便您在此后返回至相同数据 (假设该数据仍然存在) • 查看文件相关可路由定位 IP 地址的地理定位信息 • 查看文件轨迹 • 查看存档文件中嵌套的文件...
  • Page 878 第 40 章 分析恶意软件和文件活动 使用恶意软件事件 请记住,并非所有事件都会填充每个字段,不同类型恶意软件事件可以包括不同信息。例如,由 于 FireAMP 恶意软件检测在终端在下载或执行时完成,所以基于终端的恶意软件事件包含文件路 径、调用客户端应用等相关信息。相比之下,由于受管设备在网络流量中检测恶意软件文件,其 相关恶意软件事件包含端口、应用协议和传送文件所用连接相关原始 IP 地址信息。 下表列出各恶意软件事件字段并根据恶意软件事件类型指示系统是否在该字段中显示信息。请注 意, DC500 防御中心并不支持接收或发送洲或国家/地区的地理定位信息。 表 40-3...
  • Page 879 第 40 章 分析恶意软件和文件活动 使用恶意软件事件 表 40-3 恶意软件事件字段 (续) 云 字段 说明 网络 终端 追溯性 用户 发生恶意软件事件主机 (Receiving IP)的用户。 是...
  • Page 880 第 40 章 分析恶意软件和文件活动 使用恶意软件事件 表 40-3 恶意软件事件字段 (续) 云 字段 说明 网络 终端 追溯性 File Type Category 一般类别文件类型,例如:Office...
  • Page 881 第 40 章 分析恶意软件和文件活动 使用恶意软件事件 表 40-3 恶意软件事件字段 (续) 云 字段 说明 网络 终端 追溯性 通信 恶意软件事件相关的任何其他信息。 是 是 否...
  • Page 882 第 40 章 分析恶意软件和文件活动 使用恶意软件事件 • 开始扫描 • Threat Detected • 排除部分检出威胁 • 隔离威胁 如果文件轨迹映射包含恶意软件事件,这些事件是以下类型之一:网络文件传送检出威胁、网络 文件传输 (回溯)检出威胁、检出威胁、排除部分检出威胁和隔离威胁。有关详情,请参见第 40-30 页上的使用网络文件轨迹。...
  • Page 883第 40 章 分析恶意软件和文件活动 使用恶意软件事件 恶意软件事件的专用搜索语法 为补充上文所列通用搜索语法,以下列表介绍恶意软件事件的一些专用搜索语法。 Sending/Receiving IP 系统返回 Sending IP 或 Receiving IP 符合您指定 IP 地址的所有事件。 事件类型 当使用特定恶意软件事件类型...
  • Page 884 第 40 章 分析恶意软件和文件活动 使用恶意软件事件 – Network Parameters Unavailable – Invalid Server Certificate Handle – Server Certificate Fingerprint Unavailable...
  • Page 885第 40 章 分析恶意软件和文件活动 使用捕获的文件 • 有关恶意软件事件的专用搜索语法,请参阅第 40-23 页上的恶意软件事件的专用搜索语法。 • 有关与公共密钥证书相关的字段,请参阅第 39-27 页上的查看与加密连接相关的证书。 步骤 4 如果您计划保存搜索,也可以选择 Private 复选框,将搜索保存为私有,这样就只有您可以访问 它。否则,请清除此复选框,将搜索保存为适用于所有用户。 提示...
  • Page 886 第 40 章 分析恶意软件和文件活动 使用捕获的文件 查看捕获的文件 许可证:恶意软件 FireSIGHT 系统事件查看器使您可以查看表中的文件事件,并根据分析相关信息使用事件视图。 在访问捕获的文件时看到的页面因工作流程有所不同。工作流程只是一系列页面,您可以使用这些 页面从较宽泛的视图移动至更精细化的视图来评估事件。系统配备以下预定义捕获文件工作流程: • 捕获文件概要提供基于类型、类别和威胁评分的捕获文件明细 (默认工作流程)。 • 动态分析状态依据捕获文件是否已提交用于动态分析提供此类文件计数。 您也可以创建自定义工作流程,仅显示符合您具体要求的信息。有关指定不同默认工作流程 (包 括自定义工作流程)的信息,请参阅第...
  • Page 887 第 40 章 分析恶意软件和文件活动 使用捕获的文件 了解捕获的文件表 许可证:恶意软件 当受管设备捕获正在受监控网络流量中传送的文件时,防御中心根据已应用文件策略设置记录日志。 捕获文件表视图是预定义捕获文件工作流程的最终页面,也可以添加到自定义工作流程中,且该 视图为捕获文件表中的每个字段都准备了对应的列。捕获文件表视图中一些字段默认为禁用。要 在会话期间启用一个字段,请点击展开箭头 ( ) 展开搜索限制,然后点击 Disabled Columns 下的 列名。下表介绍捕获文件字段。 表 40-4...
  • Page 888 第 40 章 分析恶意软件和文件活动 使用捕获的文件 表 40-4 捕获文件字段 (续) 字段 说明 Archive Inspection 对于存档文件,存档检查状态如下: Status • 表示系统仍在检查存档文件及其内容。如果文件再次通过您的系统,就可以提供 Pending 完整的信息。...
  • Page 889 第 40 章 分析恶意软件和文件活动 使用捕获的文件 • 在任一字段指定 n/a 以便识别信息不适用于该字段的事件;使用 !n/a 识别字段填充事件。 • 点击搜索字段旁边的添加对象图标 ( ),使用对象作为搜索条件。 有关搜索语法的详细信息,包括在搜索中使用对象,请参阅第 60-1 页上的搜索事件。 捕获文件的专用搜索语法 为补充上文所列通用搜索语法,下表介绍一些捕获文件的专用搜索语法。...
  • Page 890 第 40 章 分析恶意软件和文件活动 使用网络文件轨迹 步骤 5 或者,您可以保存搜索,以备以后使用。您有以下选项: • 点击 Save,保存搜索条件。 对于新的搜索,系统将显示一个对话框,提示您提供搜索的名称;请输入一个唯一的搜索名 称,然后点击 Save。如果为之前即已存在的搜索保存新的条件,则不会显示提示。搜索保存 成功 (如果您选择了 Private,则只对您的帐户显示),您以后可以运行此搜索。 • 点击...
  • Page 891第 40 章 分析恶意软件和文件活动 使用网络文件轨迹 有关详细信息,请参阅以下各节: • 第 40-31 页上的审核网络文件轨迹 • 第 40-32 页上的分析网络文件轨迹 审核网络文件轨迹 许可证:恶意软件或任意 受支持的设备:因功能而异 受支持的防御中心:因功能而异 当您审核捕获文件、文件事件和恶意软件事件时,您可以从 Context...
  • Page 892 第 40 章 分析恶意软件和文件活动 使用网络文件轨迹 请注意,因为您无法在 DC500 上使用恶意软件许可证,也无法在 2 系列设备或用于 Blue Coat X-系列的思科 NGIPS上启用恶意软件许可证,所以,您无法使用这些设备查看执行了恶意软件云 查找的文件的轨迹。 要从 Network File Trajectory...
  • Page 893 第 40 章 分析恶意软件和文件活动 使用网络文件轨迹 下表介绍了概要信息字段。 表 40-7 网络文件轨迹概要信息字段 字段名称 说明 File SHA256 文件的 SHA-256 哈希值。 默认情况下以压缩格式显示哈希值。要查看完整哈希值,请将指针悬停在上方。如果一个 文件名与多个 SHA-256 哈希值关联,将指针悬停在链接上方查看全部哈希值。...
  • Page 894 第 40 章 分析恶意软件和文件活动 使用网络文件轨迹 表 40-7 网络文件轨迹概要信息字段 (续) 字段名称 说明 Archive Contents 对已检查存档文件,指存档文件包含的文件数量。点击视图图标 ( ) 查看有关 Archive Contents...
  • Page 895第 40 章 分析恶意软件和文件活动 使用网络文件轨迹 映射 y 轴包含与该文件交互的所有主机 IP 地址列表。 IP 地址按照系统在主机上首次检测到该文件 的时间降序排列。每行都包含与该 IP 地址相关的所有事件,无论是单一文件事件、文件传送还是 回溯事件。 x 轴包含系统检测到各个事件的日期和时间。时间戳按时间顺序排列。如果一分钟内发 生多个事件,在同一栏中列出所有事件。您可以水平或垂直滚动映射,以查看其他事件和 IP...
  • Page 896 第 40 章 分析恶意软件和文件活动 使用网络文件轨迹 如果点击任何事件概要信息链接,则在新窗口中显示文件事件默认工作流程首页以及基于文件类 型的所有其他受限事件。在新窗口中打开文件概要事件视图,显示符合所点击标准值的所有文件 事件。 要定位涉及 IP 地址的第一例文件事件,请点击该地址。突出显示连至该数据点的轨迹,以及与第 一个文件事件相关的任何介于其间的文件事件和 IP 地址。同时突出显示事件表中相应事件。如当 前不可见,映射会滚动至该数据点。下图显示点击 IP 地址后突出显示的轨迹: 要跟踪文件在网络中的历程,可以点击任意数据点突出显示一个轨迹,其中包括与选定数据点相 关的所有数据点。这包括与下列类型的事件相关的数据点:...
  • Page 897第 40 章 分析恶意软件和文件活动 使用网络文件轨迹 事件表 许可证:恶意软件或任意 受支持的设备:因功能而异 受支持的防御中心:因功能而异 事件表为映射中各数据点列出事件信息。您可以点击列标题按升序或降序排列事件。您可以通过 选择表格行来突出显示映射中的数据点。如当前不可见,映射会滚动至选定文件事件并显示该事 件。有关字段的详细信息,请参阅第 40-8 页上的了解文件事件表。 FireSIGHT 系统用户指南 40-37
  • Page 898 第 40 章 分析恶意软件和文件活动 使用网络文件轨迹 FireSIGHT 系统用户指南 40-38
  • Page 899: 处理入侵事件 第 41 章 处理入侵事件 FireSIGHT 系统可帮助监控网络中可能影响主机及其数据的可用性、完整性和机密性的流量。通 过将受管设备放在关键网段,可以检查流经网络的数据包是否包含恶意活动。系统通过使用多个 机制查找攻击者开发的众多漏洞。 如果系统识别出潜在的入侵,会生成入侵事件;入侵事件是包含攻击的日期、时间、漏洞类型以 及有关攻击的来源和目标的情境信息的记录。对于基于数据包的事件,还会记录触发事件的一个 或多个数据包的副本。受管设备将其事件传输到防御中心,在其中可以查看聚合数据并更好地了 解针对网络资产的攻击。 还可以将受管设备部署为内联式、交换式或路由式入侵系统,以便将设备配置为会丢弃或替换已 知有害的数据包。 FireSIGHT 系统还提供必要的工具,可以用来审查入侵事件并评估它们在网络环境中以及对于安 全策略是否重要。这些工具包括: • 事件摘要页面,提供受管设备上当前活动的概览...
  • Page 900 第 41 章 处理入侵事件 查看入侵事件统计信息 • 第 41-42 页上的使用剪贴板说明如何将入侵事件添加到一个称为剪贴板的保留区域,以便日 后将这些事件添加到事故。本节还介绍如何根据剪贴板内容生成事件报告。 另请参阅: • 第 42-1 页上的事故处理,以了解有关事故处理以及如何使用事故来跟踪事件分析进度的信息。 • 第 44-1 页上的配置入侵规则的外部警报,以了解有关自动警报的详细信息。...
  • Page 901第 41 章 处理入侵事件 查看入侵事件统计信息 主机统计信息 许可证:保护 Intrusion Event Statistics 页面的 Host Statistics 节提供有关设备本身的信息。在防御中心上,此节 还提供有关所有受管设备的信息。 这些信息包括以下内容: • Time 显示设备上的当前时间。 •...
  • Page 902 第 41 章 处理入侵事件 查看入侵事件性能 查看入侵事件性能 许可证:保护 Intrusion Event Performance 页面允许生成说明入侵事件在特定时间段内的性能统计信息的图表。 可以生成图表来反映每秒入侵事件数、每秒兆位数、每个数据包的平均字节数、 Snort 未检查的 数据包百分比以及因 TCP 标准化而被阻止的数据包数量。这些图表可以显示过去一小时、前一 天、上一周或上个月的运行统计信息。 有关详细信息,请参阅第...
  • Page 903 第 41 章 处理入侵事件 查看入侵事件性能 表 41-1 入侵事件性能图表类型 (续) 是否受 Inline 要为以下项生成数据: 您必须...... 代表含义...... Mode 影响? ICMPv4 回显规范化 启用 Normalize...
  • Page 904 第 41 章 处理入侵事件 查看入侵事件性能 表 41-1 入侵事件性能图表类型 (续) 是否受 Inline 要为以下项生成数据: 您必须...... 代表含义...... Mode 影响? TCP NS 标记规范化...
  • Page 905第 41 章 处理入侵事件 查看入侵事件图表 步骤 2 从 Select Device 列表中,选择要查看其数据的设备。 步骤 3 从 Select Graph(s) 列表中,选择要创建的图表类型。 步骤 4 从...
  • Page 906 第 41 章 处理入侵事件 查看入侵事件 可以查看入侵事件来确定其是否会对网络安全构成威胁。如果确信入侵事件不是恶意的,可以将 其标记为“已审核”。您的姓名将显示为审核员,已审核的事件不再列出在默认入侵事件视图 中。可以将已审核的事件返回到默认入侵事件视图,方法是将该事件标记为“未审核”。 可以查看标记为“已审核”的入侵事件。已审核事件存储在数据库中并包括在事件摘要统计信息 中,但不再显示在默认事件页面中。有关详细信息,请参阅第 41-14 页上的审核入侵事件。 如果执行备份然后删除已审核的入侵事件,恢复备份会恢复已删除的入侵事件,但不能恢复其“已审 核”状态。可在 Intrusion Events (而不是 Reviewed Events)下查看这些恢复的入侵事件。...
  • Page 907第 41 章 处理入侵事件 查看入侵事件 以下列表说明入侵事件中包含的信息。请注意,默认情况下,入侵事件表视图中的某些字段已禁 用。要在会话期间启用一个字段,请点击展开箭头 ( ) 展开搜索限制,然后点击 Disabled Columns 下的列名。 时间 事件的日期和时间。 优先级 事件优先级由思科 VRT 确定。 影响...
  • Page 908 第 41 章 处理入侵事件 查看入侵事件 Destination Port/ICMP Code 接收流量的主机的端口号。对 ICMP 流量,当没有端口号时,系统显示 ICMP 代码。 SSL Status SSL 规则相关操作、默认操作或记录加密连接的不可解密流量操作: – Block...
  • Page 909第 41 章 处理入侵事件 查看入侵事件 Web 应用程序 网络应用,代表在触发入侵事件流量中检测到的 HTTP 流量的内容或请求的 URL。 请注意,如果系统检测到 HTTP 应用协议,但无法检测到特定网络应用,系统会在此处提供 通用的 网络浏览应用。 IOC 触发入侵事件的流量是否也触发了危害表现 (IOC)。有关 IOC...
  • Page 910 第 41 章 处理入侵事件 查看入侵事件 访问控制策略 包含启用了生成事件的入侵规则、预处理器规则或解码器规则的入侵策略的访问控制策略; 请参阅第 12-9 页上的管理访问控制策略。 Access Control Rule 调用生成事件的入侵策略的访问控制规则;请参阅第 18-5 页上的配置访问控制规则以执行入 侵防御。 Default Action...
  • Page 911第 41 章 处理入侵事件 查看入侵事件 电子邮件附件 提取自 MIME Content-Disposition 报头的 MIME 附件文件名。要显示附件文件名,必须启用 SMTP 预处理器 Log MIME Attachment Names 选项。支持多个附件文件名。有关详细信息,请参 阅第...
  • Page 912 第 41 章 处理入侵事件 查看入侵事件 审核入侵事件 许可证:保护 如果检查了某个入侵事件并确信其不对网络安全构成威胁 (或许是因为您知道网络中的所有主机 均不易受检测到的漏洞攻击),那么可以将事件标记为“已审核”。您的姓名将显示为审核员, 已审核的事件不再列出在默认入侵事件视图中。被标记为“已审核”的事件将保留在事件数据库 中,但不会再显示在入侵事件视图中。 要将入侵事件标记为“已审核”,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 在显示入侵事件的页面上,您有两个选择: • 要标记事件列表中的一个或多个入侵事件,请选择事件旁边的复选框并点击...
  • Page 913第 41 章 处理入侵事件 了解入侵事件的工作流程页面 要将已审核事件标记为“未审核”,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 在显示已审核事件的页面上,您有两个选择: • 要移除已审核事件列表中的单个入侵事件,请选择事件旁边的复选框并点击 Unreview。 • 要从已审核事件列表移除所有入侵事件,请点击 Unreview All。 系统显示成功消息,并且更新已审核事件的列表。 了解入侵事件的工作流程页面 许可证:保护...
  • Page 914 第 41 章 处理入侵事件 使用下钻式页面和表视图页面 提示 第 58-1 页上的了解和使用工作流程说明如何使用工作流程以及通用于所有工作流程页面的功能。 本章还介绍如何创建和使用自定义入侵事件工作流程。 有关详情,请参阅: • 第 41-16 页上的使用下钻式页面和表视图页面,其中说明如何使用下钻式页面和事件表视图 (两者共享许多常见功能)。 • 第 41-19...
  • Page 915 第 41 章 处理入侵事件 使用下钻式页面和表视图页面 表 41-2 入侵事件常见功能 (续) 要...... 您可以...... 将事件添加到剪贴板,以便以后将 可使用以下其中一种方法: 其传输到事故 • 要将工作流程页面上的多个入侵事件复制到剪贴板,请选择要复制的事件旁 边的复选框,然后点击 Copy。 • 要将当前受限制视图中的所有入侵事件复制剪贴板,请点击...
  • Page 916 第 41 章 处理入侵事件 使用下钻式页面和表视图页面 提示 当您点击入侵事件工作流程页面底部的其中一个链接导航到其他页面时,时间范围会暂停,当您 在后续页面上点击以执行其他操作 (包括退出工作流程)时,时间范围将会继续;这样可降低发 生这样一种情况的可能性:导航到其他页面查看更多事件却仍看到原来的事件。有关详细信息, 请参阅第 58-19 页上的设置事件时间限制和第 58-30 页上的导航到工作流程中的其他页面。 下表介绍如何使用下钻式页面。 表 41-3 限制下钻式页面上的事件...
  • Page 917 第 41 章 处理入侵事件 使用数据包视图 提示 在操作过程中,可以随时将限制条件保存为一组搜索条件。例如,如果您发现几天内您的网络被 来自某个 IP 地址的攻击者探测,您可以在调查期间保存限制条件,以供日后再次使用。但是,不 能将复合限制条件保存为一组搜索条件。有关详细信息,请参阅第 60-1 页上的执行和保存搜索。 提示 如果入侵事件未显示在事件视图中,调整选定时间范围可能会返回结果。建议不要选择旧的时间 范围,因为旧时间范围内的事件可能已被删除。调整规则阈值配置可能生成事件。 使用数据包视图 许可证:保护 数据包视图提供有关触发生成入侵事件的规则的数据包的信息。 提示...
  • Page 918 第 41 章 处理入侵事件 使用数据包视图 表 41-5 数据包视图操作 (续) 要...... 您可以...... 将事件添加到剪贴板,以 执行以下其中一种操作: 便以后将其传输到事故 • 点击 Copy 以复制正在查看其数据包的事件 •...
  • Page 919第 41 章 处理入侵事件 使用数据包视图 事件 ID 以 (GID:SID:Rev) 格式附加在消息后面。 GID 是生成事件的规则引擎、解码器或预处 理器的生成器 ID。 SID 是规则、解码器消息或预处理器消息的标识符。 Rev 是规则的修订 号。有关详细信息,请参阅第 41-34...
  • Page 920 第 41 章 处理入侵事件 使用数据包视图 Email Headers 提取自邮件报头的数据。请注意,邮件报头不显示在入侵事件表视图中,但可以将邮件报头 数据作为搜索条件。 要将邮件报头与 SMTP 流量的入侵事件相关联,必须启用 SMTP 预处理器 Log Headers 选项。 有关详细信息,请参阅第 27-51...
  • Page 921第 41 章 处理入侵事件 使用数据包视图 行动 对于标准文本规则事件,展开 Actions 以对触发事件的规则执行下列任一操作: – 编辑规则 – 查看有关规则修订的文档 – 向规则添加注释 – 更改规则的状态 – 设置规则的阈值 –...
  • Page 922 第 41 章 处理入侵事件 使用数据包视图 Set this rule to generate events 如果事件由标准文本规则生成,可以在能够在本地编辑的所有策略中设置此规则以生成事 件。或者,如果您能够在本地编辑当前策略,可以仅在当前策略 (即,生成事件的策略)中 设置此规则。 有关详细信息,请参阅第 32-18 页上的设置规则状态。 请注意,仅在能够编辑当前策略的情况下,当前策略选项才会显示;例如,可以编辑自定义...
  • Page 923第 41 章 处理入侵事件 使用数据包视图 请注意,仅在能够编辑当前策略的情况下,当前策略选项才会显示;例如,可以编辑自定义策 略,但是,不能编辑思科提供的默认策略。 系统显示阈值选项。 步骤 2 选择要设置的阈值的类型。 • 选择 limit 以将通知限制为每个时间段内仅为指定数目的事件实例提供通知。 • 选择 threshold 为每个时间段内每发生指定数目的事件实例提供通知。 •...
  • Page 924 第 41 章 处理入侵事件 使用数据包视图 步骤 4 点击 Save Suppression。 系统会根据您的选择修改入侵策略中的抑制选项。如果选择不覆盖现有设置,屏幕上将会显示一 条消息,通知您出现冲突。 查看帧信息 许可证:保护 在数据包视图中,点击 Frame 旁边的箭头可查看捕获的帧的信息。数据包视图可以显示单个帧或 多个帧。每个帧提供有关单个网络数据包的信息。您会看到多个帧,例如,对于已标记的数据包 或重组的...
  • Page 925第 41 章 处理入侵事件 使用数据包视图 查看数据链路层信息 许可证:保护 在数据包视图中,点击数据链路层协议 (例如, Ethernet II)旁边的箭头可查看有关数据包的数据 链路层信息,这些信息包括源主机和目标主机的 48 位介质访问控制 (MAC) 地址。它还可能显示 有关数据包的其它信息,取决于硬件协议。 注 请注意,本示例讨论以太网链路层信息;也可能出现其他协议。 数据包视图反映数据链路层使用的协议。以下列表说明在数据包视图中可能会看到的以太网...
  • Page 926 第 41 章 处理入侵事件 使用数据包视图 查看 IPv4 网络层信息 许可证:保护 以下列表说明在 IPv4 数据包中可能显示的特定于协议的信息。 版本 互联网协议的版本号。 Header Length 报头 (包括任何 IP...
  • Page 927第 41 章 处理入侵事件 使用数据包视图 Source/Destination 源 (或目标)主机的 IP 地址或域名。 请注意,要显示域名,必须启用 IP 地址解析;有关详细信息,请参阅第 71-3 页上的配置事件 查看设置。 点击地址或域名查看上下文菜单,然后选择 Whois 可在主机上执行 whois...
  • Page 928 第 41 章 处理入侵事件 使用数据包视图 以下协议的传输层的内容如下所述: • 第 41-30 页上的 TCP 数据包视图 • 第 41-31 页上的 UDP 数据包视图 •...
  • Page 929第 41 章 处理入侵事件 使用数据包视图 Checksum 指明 TCP 校验和是否有效。如果校验和无效,表示数据报在传输期间可能已损坏或可能正被 用于躲避入侵。 Urgent Pointer TCP 分段中发送紧急数据的位置 (如果存在)。与 U 标记一起使用。 选项 TCP 选项的值...
  • Page 930 第 41 章 处理入侵事件 使用影响级别评估事件 – 14 - 时间戳应答 – 15 - 信息请求 (过时) – 16 - 信息应答 (过时)...
  • Page 931第 41 章 处理入侵事件 解读预处理器事件 表 41-6 影响级别 (续) 影响级别 漏洞 颜色 说明 Potentially 橙色 源主机或目标主机在网络映射中,并且下列情 Vulnerable 况之一属实: • 对于面向端口的流量,端口正在运行服务...
  • Page 932 第 41 章 处理入侵事件 解读预处理器事件 有关详细信息,请参阅以下各节: • 第 41-34 页上的了解预处理器事件数据包显示介绍预处理器生成的事件中包含的信息。 • 第 41-34 页上的解读预处理器生成器 ID 详细介绍预处理器生成器 ID 提供的信息。 了解预处理器事件数据包显示...
  • Page 933 第 41 章 处理入侵事件 解读预处理器事件 表 41-7 生成器 ID (续) ID 组件 说明 有关详细信息,请参阅...... 119、 HTTP 检查预处理器 事件由 HTTP 检查预处理器生成。...
  • Page 934 第 41 章 处理入侵事件 搜索入侵事件 搜索入侵事件 许可证:保护 可以使用随 FireSIGHT 系统提供的预定义搜索或创建您自己的搜索条件来搜索特定入侵事件。 预定义搜索用作示例,可用于快速访问关于网络的重要信息。您可能想要修改默认搜索中的特定 字段,以根据网络环境对它们进行自定义,然后保存以便日后重复使用。请注意,搜索结果依赖 于所搜索事件的可用数据。换言之,根据可用数据,搜索限制条件可能不适用。例如,只有加密 流量上触发的入侵事件才包含 SSL 信息。 提示 有关在入侵事件搜索中指定 IP...
  • Page 935第 41 章 处理入侵事件 搜索入侵事件 Destination Country 指定入侵事件中涉及的目标主机所在的国家/地区。 Source/Destination Country 指定要查看的入侵事件所涉及的源主机或目标主机所在的国家/地区。 Source Continent 指定入侵事件中涉及的源主机所在的大洲。 Destination Continent 指定入侵事件中涉及的目标主机所在的大洲。 Source/Destination Continent 指定要查看的入侵事件所涉及的源主机或目标主机所在的大陆。...
  • Page 936 第 41 章 处理入侵事件 搜索入侵事件 分类 为生成要查看的事件的规则输入分类编号或者完整或部分的分类名称或描述。也可以输入编 号、名称或描述的以逗号分隔列表。最后,如果添加自定义分类,还可以使用其完整或部分 的名称或描述进行搜索。有关分类编号、名称和描述的列表,请参阅规则分类表。 发电机 指定生成要查看的事件的组件,如第 41-34 页上的表 41-7中所列。 Snort ID 指定生成事件的规则的 Snort ID...
  • Page 937第 41 章 处理入侵事件 搜索入侵事件 Web Application 键入网络应用的名称 (它表示在触发入侵事件的流量中检测到的 HTTP 流量的内容或请求 URL)。 Category, Tag (Application Protocol, Client, Web Application) 键入与在会话中检测到的应用相关的类别或标记。使用逗号隔开多个类别或标记。这些字段...
  • Page 938 第 41 章 处理入侵事件 搜索入侵事件 HTTP URI 指定与触发入侵事件的 HTTP 请求数据包相关联的单个 URI。 要将 URI 与 HTTP 客户端流量的入侵事件相关联,必须启用 HTTP 检查预处理器 Log...
  • Page 939第 41 章 处理入侵事件 搜索入侵事件 – Uncached Session – Unknown Cipher Suite – Unsupported Cipher Suite – Unsupported SSL Version...
  • Page 940 第 41 章 处理入侵事件 使用剪贴板 要搜索入侵事件,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 选择 Analysis > Search。 系统将显示 Intrusion Events 搜索页面。 查看入侵事件的列表时,也可以点击 Search...
  • Page 941第 41 章 处理入侵事件 使用剪贴板 生成剪贴板报告 许可证:保护 可以为剪贴板中的事件生成报告,就像从任何事件视图中执行此操作一样。 要为剪贴板中的入侵事件生成报告,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 将一个或多个事件添加到剪贴板: • 有关如何从事件的向下钻取页面或表视图向剪贴板添加事件的信息,请参阅第 41-16 页上的 使用下钻式页面和表视图页面。 • 有关如何从数据包视图向剪贴板添加事件的信息,请参阅第...
  • Page 942 第 41 章 处理入侵事件 使用剪贴板 要从剪贴板删除事件,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 选择 Analysis > Intrusions > Clipboard。 系统显示剪贴板。 步骤 2 您有以下选项:...
  • Page 943: 事故处理 第 42 章 事故处理 事故处理是指一个组织在怀疑存在违反组织安全策略的情况下做出的响应。 FireSIGHT 系统包括 很多功能,在您收集和处理与事故调查相关的信息时为您提供支持。您可以使用这些功能收集可 能与事故相关的入侵事件和数据包数据。您还可以将事故当做一个存储库,存储您从 FireSIGHT 系统提取的任何活动的相关备注,缓解攻击造成的影响。例如,如果安全策略要求隔离来自您网 络的受危害主机,您就可以注意到事故中这种情况。 FireSIGHT 系统 还提供整个事故周期支持,让您可以在对攻击做出响应的过程中修改事故状态。 处理完事故时,您可以注意到根据所学到的经验已经对安全策略进行的任何修改。 有关处理 FireSIGHT 系统中事故的详细信息,请参阅以下各节。...
  • Page 944 第 42 章 事故处理 事故处理基本信息 另一方面,如果系统生成表明您网络中的主机已受到危害并且正在参与分布式拒绝服务 (DDoS) 攻击的事件,那么这个活动就可能明显违反安全策略,您应在 FireSIGHT 系统中创建一个事故来 帮助跟踪对这些事件的调查。 常规事故处理流程 许可证:保护 每个组织都可能确定了自己处理安全事故的流程。大多数方法都包括以下部分或全部阶段: • 第 42-2 页上的准备 •...
  • Page 945第 42 章 事故处理 事故处理基本信息 FireSIGHT 系统中的事故跟踪功能还包括状态标记,您可以修改此状态标记,指出哪些事故已经 升级。 沟通 所有事故处理流程都应指定事故处理团队和内外受众之间进行事故沟通的方式。例如,您应该考 虑哪些类型的事故需要管理人员干涉以及需要哪个级别的管理人员干涉。此外,流程应该规定如 何及何时与外部组织沟通。某些事故是否需要通知执法机构?如果您的主机正在参加针对远程站 点的分布式拒绝服务 (DDoS),您是否要通知它们?您是否希望与计算机紧急事故响应小组协调 中心 (CERT/CC) 或 事故响应与安全组织论坛 (FIRST) 共享信息?...
  • Page 946 第 42 章 事故处理 创建事故 FireSIGHT 系统中的事故类型 许可证:保护 您可以为创建的每个事故指定一个事故类型。在 FireSIGHT 系统中默认情况下支持以下类型: • 入侵 • 拒绝服务攻击 • 未经授权的管理员访问权限 • 网站篡改...
  • Page 947第 42 章 事故处理 编辑事故 注 如果想要添加来自剪贴板上多个页面的各个事件,您必须单独添加来自一个页面的事件,再添加 来自其他页面的事件。 编辑事故 许可证:保护 收集到更多信息时,您可以更新事故。调查进行过程中,您还可以向事故添加或从中删除事件。 要编辑事故,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 选择 Analysis > Intrusions >...
  • Page 948 第 42 章 事故处理 创建定制事故类型 要生成事故报告,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 选择 Analysis > Intrusions > Incidents。 系统将显示 Incidents 页面。 步骤...
  • Page 949第 42 章 事故处理 创建定制事故类型 要创建新的事故类型,请执行以下操作: 访问:管理员/入侵管理员 步骤 1 选择 Analysis > Intrusions > Incidents。 系统将显示 Incident 页面。 步骤 2...
  • Page 950 第 42 章 事故处理 创建定制事故类型 FireSIGHT 系统用户指南 42-8
  • Page 951: 配置外部警报 第 43 章 配置外部警报 尽管 FireSIGHT 系统在络界面中提供了各种事件视图,但您仍可能想要配置外部事件通知,以简 化对关键系统的持续监控。可将 FireSIGHT 系统配置为生成警报,在发生以下某一事件时通过邮 件、 SNMP 陷阱或系统日志发送通知: • 带有特定影响标志的入侵事件 • 特定类型的发现事件 • 基于网络的恶意软件事件或回溯性恶意软件事件...
  • Page 952 第 43 章 配置外部警报 使用警报响应 表 43-1 生成警报时的许可证要求 (续) 要基于以下内容生成警报... 您需要该许可证...... 连接事件 记录连接所需许可证 运行状况模块状态变化 任何环境 有关详情,请参阅: • 第 43-2...
  • Page 953第 43 章 配置外部警报 使用警报响应 创建邮件警报响应 许可证:任何环境 请注意,不能在访问控制策略中对已记录的连接执行邮件警报。 创建邮件警报响应之前,应确保防御中心可反向解析其自身的 IP 地址。还应按第 63-17 页上的配 置邮件中继主机和通知地址中所述,配置自己的邮件中继主机。 要创建邮件警报响应,请执行以下操作: 访问:管理 步骤 1 选择 Policies...
  • Page 954 第 43 章 配置外部警报 使用警报响应 步骤 2 从 Create Alert 下拉菜单,选择 Create SNMP Alert。 系统将显示 Create SNMP Alert Configuration...
  • Page 955第 43 章 配置外部警报 使用警报响应 下表列出了可选择的系统日志设备。 表 43-2 可选用的系统日志设施 设施 说明 ALERT 警报消息。 审计 审计子系统生成的消息。 AUTH 与安全和授权相关的消息。 AUTHPRIV 与安全和授权相关的访问限制消息。很多系统会将这些消息转发到一个安 全的文件中。...
  • Page 956 第 43 章 配置外部警报 使用警报响应 要创建系统日志警报,请执行以下操作: 访问:管理 步骤 1 选择 Policies > Actions > Alerts。 系统将显示 Alerts 页面。从 Create...
  • Page 957第 43 章 配置外部警报 配置影响标志警报 删除警报响应 许可证:任何环境 可删除未使用的任何警报响应。 要删除警报响应,请执行以下操作: 访问:管理 步骤 1 选择 Policies > Actions > Alerts。 系统将显示 Alerts...
  • Page 958 第 43 章 配置外部警报 配置发现事件警报 步骤 2 在 Alerts 部分,为每种警报类型选择要使用的警报响应。 要新建警报响应,从任一下拉列表选择 New。有关详细信息,请参阅第 43-2 页上的使用警报响应。 步骤 3 在 Impact Configuration...
  • Page 959第 43 章 配置外部警报 配置高级恶意软件防护警报 要配置恶意软件事件警报,请执行以下操作: 访问:管理 步骤 1 选择 Policies > Actions > Alerts,然后选择 Advanced Malware Protections Alerts 选项卡。...
  • Page 960 第 43 章 配置外部警报 配置高级恶意软件防护警报 FireSIGHT 系统用户指南 43-10
  • Page 961: 配置入侵规则的外部警报 第 44 章 配置入侵规则的外部警报 虽然 FireSIGHT 系统在网络界面内提供各种入侵事件视图,但一些企业更喜欢通过定义外部入侵 事件通知对关键系统实施持续监控。如果想要立即通知关键事件的特定联系人,可以设置邮件警 报进行操作。也可以记录日志到系统日志设施或将事件数据发送到 SNMP 陷阱服务器。 您可以为每个入侵策略指定入侵事件通知限制、设置发送到外部日志记录设施的入侵事件通知, 也可以配置入侵事件的外部响应。 提示 一些分析师并不希望收到同一入侵事件的多个警报,但却希望控制收到特定入侵事件通知的频 率。有关详情,请参见第 32-20 页上的按策略过滤入侵事件通知。 除了入侵策略,...
  • Page 962 第 44 章 配置入侵规则的外部警报 使用 SNMP 响应 提示 如果网络管理系统要求使用管理信息库文件 (MIB),您可以从防御中心中获取,具体位置为 /etc/sf/DCEALERT.MIB。 SNMP v2 选项 对于 SNMP v2,您可指定下表中介绍的选项。 表 44-1...
  • Page 963第 44 章 配置入侵规则的外部警报 使用 SNMP 响应 配置 SNMP 响应 许可证:保护 您可以配置入侵策略中的 SNMP 警报。应用访问控制策略中的入侵策略后,一旦系统检测到任何 入侵事件,就会通过 SNMP 陷阱发送通知。有关 SNMP 警报的详细信息,请参阅第 44-1...
  • Page 964 第 44 章 配置入侵规则的外部警报 使用系统日志响应 使用系统日志响应 许可证:保护 系统日志 (syslog) 是网络事件记录的标准记录机制。您可以将表示入侵事件通知的系统日志警报 发动到设备的系统日志中。系统日志使您能够按照优先级和设施对信息进行分类。优先级反映的 是警报的严重程度,设施显示的是生成警报的子系统。设施和优先级并不会在系统日志的实际消 息内显示,而是用于规定系统对系统日志消息进行分类的方法。 系统日志警报包含以下信息: • 生成警报的日期和时间 • 事件消息 •...
  • Page 965第 44 章 配置入侵规则的外部警报 使用系统日志响应 选择以下标准系统日志优先级之一,显示在该警报生成的所有通知中: 表 44-4 系统日志优先级 功率水平 说明 EMERG 紧急状况,向所有用户广播 ALERT 需要立即更正的状况 CRIT 严重的状况 ERR 错误状况 警告...
  • Page 966 第 44 章 配置入侵规则的外部警报 了解邮件警报 步骤 5 或者,在 Logging Hosts 字段中输入想要指定为日志记录主机的远程访问 IP 地址。用逗号分隔多个 主机。 步骤 6 从下拉列表中选择设施和优先级。 有关设施和优先级选项的详细信息,请参阅第 44-4...
  • Page 967第 44 章 配置入侵规则的外部警报 了解邮件警报 Frequency (seconds) 指定系统发送入侵事件的频率。 Frequency 设置也可以指定保存邮件设置的频率。 最低频率:300 秒 最高频率:40 亿秒 Coalesce Alerts 启用或禁用按照源 IP 和事件对入侵事件分组,这样如果同一个源 IP...
  • Page 968 第 44 章 配置入侵规则的外部警报 了解邮件警报 步骤 3 在 From Address 字段中,键入邮件警报 From 字段要显示的地址。 步骤 4 在 To Address 字段,键入要接收邮件警报的地址。...
  • Page 969: 网络发现简介 第 45 章 网络发现简介 FireSIGHT 系统使用称为网络发现的功能来监控网络中的流量并构建网络资产的全面映射。 由于受管设备被动观察指定网段上的流量,因此,系统会根据既定的定义 (称为指纹)比较特定 数据包报头值以及来自网络流量的其他唯一数据,以确定网络上主机 (包括网络设备)的数量和 类型以及这些主机上的操作系统、活动应用和开放端口。 还可以配置 FireSIGHT 系统受管设备来监控网络上的用户活动,以便识别策略违规、攻击或网络 漏洞的来源。 要补充系统收集的数据,可以导入由支持 NetFlow 的设备、 Nmap...
  • Page 970 第 45 章 网络发现简介 了解发现数据收集 系统将网络发现数据存储在防御中心数据库中;有关存储限制的信息,请参阅第 63-14 页上的配 置控制面板事件限制。除了数据库限制之外,防御中心可存储的检测到的主机和用户总数取决于 FireSIGHT 许可证。 如果达到许可的用户限值,多数情况下,系统会停止向数据库添加新用户。要添加新用户,必须 手动从数据库中删除旧的或非活动用户,或者清除数据库中的所有用户。另一方面,如果达到许 可的主机限制,可以将系统配置为会采取以下行动之一:停止向数据库添加新主机;替换进入非 活动状态最长时间的主机。 要补充系统收集的数据,可以导入由支持 NetFlow 的设备、 Nmap...
  • Page 971第 45 章 网络发现简介 了解发现数据收集 了解用户数据收集 许可证:FireSIGHT 可以使用 FireSIGHT 系统监控网络上的用户活动,以便将威胁、终端和网络智能与用户身份信息 关联起来。通过将网络行为、流量和事件直接与单个用户相关联,系统可帮助您识别策略违规、 攻击或网络漏洞的来源。换句话说,系统会告诉您“谁”做了“什么事”。例如,您可以确定: • 谁拥有作为影响程度为 Vulnerable (级别 1:红色)的入侵事件的目标的主机 • 谁发起了内部攻击或端口扫描 •...
  • Page 972 第 45 章 网络发现简介 了解发现数据收集 如图所示,有三种用户数据来源,有三个存储数据的位置。有关用户数据收集的详细信息,请参阅: • 第 45-4 页上的托管设备 • 第 45-5 页上的用户代理 • 第 45-6 页上的防御中心-LDAP 服务器连接...
  • Page 973第 45 章 网络发现简介 了解发现数据收集 用户代理 许可证:FireSIGHT 如果组织使用 Microsoft Active Directory LDAP 服务器,思科建议安装用户代理,以便通过 Active Directory 服务器监控用户活动。如果要执行用户控制,必须安装和使用用户代理;代理将用户与 IP 地址关联,从而允许将访问控制规则与要触发的用户条件关联。使用一个代理可监控最多五台 Active Directory...
  • Page 974 第 45 章 网络发现简介 了解发现数据收集 防御中心将登录和注销消息记录为用户活动。当用户代理报告来自用户登录或注销的用户数据 时,会将所报告的用户与用户列表进行比对。如果所报告的用户与代理所报告的现有用户匹配, 报告的数据将分配给该用户。如果所报告的用户与现有用户不匹配,则会导致创建一个新用户。 即使不会报告与一个已排除用户名相关的用户活动,但可能仍将报告相关的用户活动。如果代理 检测到用户登录机器,然后该代理检测到第二个用户登录,并且您已排除与第二次用户登录相关 的用户名的报告,则代理会报告原始用户的注销。但是,不会报告第二个用户的登录活动。因 此,不会将任何用户映射到 IP 地址,即使有排除的用户已登录主机。 请注意,代理检测到的用户名具有以下限制: • 向防御中心报告的以美元符号 ($) 结束的用户名会更新网络映射,但不会显示为用户登录。...
  • Page 975第 45 章 网络发现简介 了解发现数据收集 用户活动数据库 许可证:FireSIGHT 用户活动数据库包含网络中用户活动的记录,记录可来自受用户代理监控的 Active Directory LDAP 服务器的连接或是通过网络发现得到。系统会在以下情况下记录事件: • 系统检测到单独的登录或注销 • 系统检测到新用户 • 您手动删除用户 • 系统检测到不在数据库中的用户,但因已达到FireSIGHT许可限制而无法添加该用户...
  • Page 976 第 45 章 网络发现简介 了解发现数据收集 用户数据收集限制 许可证:FireSIGHT 下表介绍了用户数据收集的限制。 表 45-1 用户感知限制 限制 说明 用户控制 要执行用户控制,组织必须使用 Microsoft Active Directory LDAP...
  • Page 977第 45 章 网络发现简介 了解发现数据收集 了解应用检测 许可证:FireSIGHT FireSIGHT 系统分析 IP 流量时,会尝试识别网络上常用的应用。应用感知是执行基于应用的访问 控制的关键。 系统检测的应用有三种类型: • 应用协议 (例如 HTTP 和 SSH),代表主机之间的通信 •...
  • Page 978 第 45 章 网络发现简介 了解发现数据收集 有关详情,请参阅: • 第 45-10 页上的了解应用协议检测过程 • 第 45-11 页上的通过客户端检测进行隐含应用协议检测 • 第 45-12 页上的有关应用协议检测的特殊注意事项:Squid •...
  • Page 979 第 45 章 网络发现简介 了解发现数据收集 表 45-3 FireSIGHT 系统对应用协议的标别 应用 说明 应用协议名称 如果应用协议属于以下情况,防御中心将会使用应用协议名称来识别应用协议: • 由系统正确识别出 • 使用 NetFlow 数据识别出,并且 /etc/sf/services...
  • Page 980 第 45 章 网络发现简介 了解发现数据收集 请注意,依赖于客户端、服务器或网络应用检测的操作不受此限制的影响。例如,经配置要在服 务器上触发的访问控制规则仍会记录连接事件。 有关应用协议检测的特殊注意事项:Squid 许可证:FireSIGHT 在以下情况下,系统会正确识别 Squid 服务器流量: • 系统检测监控网络上主机与启用了代理身份验证的 Squid 服务器之间的连接;或 • 系统检测监控网络上 Squid...
  • Page 981第 45 章 网络发现简介 了解发现数据收集 在事件中,如果存在推荐应用,它将被列为流量的网络应用,而 URL 则是被推荐站点的 URL。在上 述示例中,用于流量的连接事件的网络应用是 Facebook,但 URL 是 Advertising.com。如果未检测到 推荐网络应用,如果主机推荐自身,或者如果存在推荐链,被推荐应用在事件中可能会显示为网络 应用。在控制面板中,网络应用的连接和字节数包括网络应用与该应用推荐的流量相关的会话。 请注意,如果创建专门针对被推荐流量的规则,应该为被推荐应用 (而不是为推荐应用)添加条 件。例如,要阻止从 Facebook...
  • Page 982 第 45 章 网络发现简介 了解 NetFlow • 监控组织是否遵守允许的操作系统、客户端、应用协议和协议的白名单;请参阅第 52-1 页上 的将 FireSIGHT 系统用作一个合规工具 • 在系统生成发现事件或检测用户活动时,创建具有会触发和生成关联事件的规则的关联策略; 请参阅第 51-1 页上的配置关联策略和规则 •...
  • Page 983第 45 章 网络发现简介 了解 NetFlow • 需要应用数据,包括客户端信息、网络应用信息以及供应商和版本服务器信息 • 需要知道连接中的主机哪个是发起方,哪个是响应方 提示 对于连接事件中的每个字段,第 39-10 页上的表 39-1表指出,可用数据取决于连接是否由 FireSIGHT 系统受管设备直接检测出,或者连接事件是否基于 NetFlow 数据。 每个受监控会话生成的连接事件的数量...
  • Page 984 第 45 章 网络发现简介 了解 NetFlow 当系统处理 NetFlow 记录时,它会根据各主机正在使用的端口以及此类端口是否为公认端口来使 用一种算法确定该信息: • 如果使用的两个端口都不是公认端口,系统会将端口号较小的那个主机视为响应方。 • 如果只有一个主机在使用公认端口,系统会将该主机视为响应方。 为此,公认端口是编号为 1 到 1023 的任意端口,或包含受管设备上...
  • Page 985第 45 章 网络发现简介 了解危害表现 了解危害表现 许可证:FireSIGHT 作为网络发现的一部分, FireSIGHT 系统的数据相关器可以将各种类型的数据 (入侵事件、安全 情报、连接事件和恶意软件事件)与主机关联,以确定监控网络上的主机是否可能遭受恶意侵 害。这些关联称为危害表现 (IOC)。可以通过在发现策略编辑器中启用此功能以及思科预定义的 众多 IOC 规则当中的任意一个来激活此功能。启用此功能后,还可以编辑主机配置文件中单个主 机的规则状态。每个 IOC 规则都对应于主机关联的一个特定...
  • Page 986 第 45 章 网络发现简介 了解危害表现 • 检测到恶意软件 - FireAMP 检测到的威胁 - 未执行 • 检测到恶意软件 - 在文件传输中检测到的威胁 • 执行的恶意软件 -...
  • Page 987第 45 章 网络发现简介 创建网络发现策略 查看和编辑危害表现数据 许可证:FireSIGHT 在网络发现策略之外,可以在 FireSIGHT 系统网络界面的其他几个部分中查看和编辑危害表现 (IOC) 数据: • 在控制面板中,默认情况下, Summary Dashboard 的 Threats 选项卡会按一段时间内触发的主 机和新...
  • Page 988 第 45 章 网络发现简介 创建网络发现策略 如果要使用 FireSIGHT 系统执行入侵检测和防御,但不需要利用发现数据,可以通过禁用新发现 优化性能。首先,确保已应用的访问控制策略不包含带有用户条件、应用条件或 URL 条件的规 则。然后,从网络发现策略中移除所有规则,并将策略应用于受管设备。有关配置访问控制规则 的详细信息,请参阅第 14-1 页上的使用访问控制规则调整流量。 如果在发现规则中启用用户发现,可通过使用一组应用协议的流量中的用户登录活动来检测用 户。如有需要,可以禁用用于所有规则的特定协议中的发现。禁用某些协议有助于避免达到与 FireSIGHT 许可证相关的用户限制,从而为来自其他协议的用户保留可用用户数。...
  • Page 989 第 45 章 网络发现简介 创建网络发现策略 • 第 45-22 页上的了解端口排除 • 第 45-22 页上的添加发现规则 • 第 45-24 页上的创建网络对象 • 第 45-24...
  • Page 990 第 45 章 网络发现简介 创建网络发现策略 对于启用了指定 NetFlow 设备和 Log Network Connections 选项的规则,也会记录发向和来自指定网 络中 IP 地址的连接。请注意,网络发现规则提供记录 NetFlow 网络连接的唯一方法。 也可以使用网络对象或对象组指定要监控的网络。如果修改网络发现策略中使用的网络对象,必 须重新应用策略,所做的更改才会对发现生效。...
  • Page 991第 45 章 网络发现简介 创建网络发现策略 步骤 4 此时您有两种选择: • 如果要在 Add Rule 弹出窗口中使用规则监控 NetFlow 流量,请点击 NetFlow Device。 系统将显示 NetFlow Device...
  • Page 992 第 45 章 网络发现简介 创建网络发现策略 步骤 11 要将特定目标端口排除在监控范围外,您有两种选择: • 从 Available Ports 列表中选择一个或多个端口,然后点击 Add to Destination。 • 要在不添加端口对象的情况下排除来自特定目标端口的流量,在 Selected...
  • Page 993第 45 章 网络发现简介 创建网络发现策略 要创建新的端口对象,请执行以下操作: 管理员/发现管理员 步骤 1 点击 Port Exclusions。 系统将显示 Port Exclusions 页面。 步骤 2 要将端口添加到 Available...
  • Page 994 第 45 章 网络发现简介 创建网络发现策略 请注意,系统无法区分失败和成功的 HTTP 登录。要查看 HTTP 用户信息,您必须启用 Capture Failed Login Attempts。 要限制在其中检测用户登录的协议,请执行以下操作: 管理员/发现管理员 步骤 1 选择...
  • Page 995第 45 章 网络发现简介 创建网络发现策略 • 第 45-31 页上的配置发现事件日志记录 • 第 45-32 页上的添加身份源 步骤 4 完成配置设置后,点击 Save 保存策略。 步骤 5...
  • Page 996 第 45 章 网络发现简介 创建网络发现策略 默认情况下,由扫描程序或第三方应用添加的身份数据会覆盖 FireSIGHT 系统检测到的身份数 据,除非存在身份冲突。可以使用 Identity Sources 设置按优先级对扫描程序和第三方应用指纹源 进行评级。系统为每个源保留一个身份,但只有优先级最高的第三方应用或扫描程序源中的数据 可用作当前身份。但请注意,用户输入数据会覆盖扫描程序和第三方应用数据,无论后者的优先 级如何。 身份冲突是指系统检测到某个身份与来自 Identity Sources 设置中列出的活动扫描程序或第三方应用...
  • Page 997第 45 章 网络发现简介 创建网络发现策略 要更新漏洞设置,请执行以下操作: 管理员/发现管理员 步骤 1 点击 Vulnerabilities to use for Impact Assessment 旁边的编辑图标 ( )。 系统将显示...
  • Page 998 第 45 章 网络发现简介 创建网络发现策略 有关将 NetFlow 数据与 FireSIGHT 系统配合使用的详细信息 (包括有关其他先决条件的信息), 请参阅第 45-14 页上的了解 NetFlow。 要添加用于连接数据收集的支持 NetFlow 的设备,请执行以下操作: 管理员/发现管理员...
  • Page 999第 45 章 网络发现简介 创建网络发现策略 为避免主机提前超时,请确保主机超时值大于网络发现政策中的更新时间间隔。有关更新时 间间隔的详细信息,请参阅第 45-27 页上的配置常规设置。 服务器超时 系统在丢弃进入非活动状态的服务器前允许它们存在的时间 (以分钟为单位)。默认设置为 10080 分钟 (7 天)。 为避免服务器提前超时,请确保服务器超时值大于网络发现政策中的更新时间间隔。有关详 细信息,请参阅第 45-27 页上的配置常规设置。...
  • Page 1000 第 45 章 网络发现简介 创建网络发现策略 添加身份源 许可证:FireSIGHT 可以通过此页面添加新的活动源,或者更改现有源的优先级或超时设置。请注意,将扫描程序添 加到此页面不会添加 Nmap 扫描程序已有的完整集成功能,但允许集成导入的第三方应用或扫描 结果。如果从第三方应用或扫描程序导入数据,请务必确保将源中的漏洞映射到网络映射中的漏 洞。有关详细信息,请参阅第 46-30 页上的映射第三方漏洞。 要添加身份源,请执行以下操作: 管理员/发现管理员 步骤 1...
  • Page 1001第 45 章 网络发现简介 创建网络发现策略 应用网络发现策略时,请确保已将访问控制策略应用于受防御中心管理的所有设备。如果尚未将 访问控制策略应用于每台设备,则网络发现策略应用将会失败。请主机,不能将网络发现策略应 用于未安装 FireSIGHT 许可证的防御中心。 如果修改网络发现策略中使用的网络对象或端口对象,必须重新应用策略,所做的更改才会对发 现生效。 请注意,不能将网络发现应用于运行不同版本 FireSIGHT 系统的堆叠设备 (例如,如果其中一个 设备的升级失败)。 要应用网络发现策略,请执行以下操作: 管理员/安全审批者 步骤...
  • Page 1002 第 45 章 网络发现简介 创建网络发现策略 FireSIGHT 系统用户指南 45-34
  • Page 1003: 增强网络发现 第 46 章 增强网络发现 FireSIGHT 系统收集的有关网络流量的信息对您最有价值,因为系统可以参考该信息来识别网络 上最易受攻击和最重要的主机。 例如,如果网络上有多个运行自定义版本的 SuSE Linux 的设备,系统无法识别操作系统,因此无 法将漏洞映射至主机。然而,知道系统拥有 SuSE Linux 的漏洞列表,您可能想要为某个主机创建 自定义的指纹,以便随后可将该指纹用来识别运行相同操作系统的其他主机。可将 SuSE Linux 漏...
  • Page 1004 第 46 章 增强网络发现 评估检测策略 • 第 46-3 页上的 FireSIGHT 系统能否识别所有应用? • 第 46-3 页上的是否已应用可修复漏洞的修补程序? • 第 46-3 页上的是否想要跟踪第三方漏洞?...
  • Page 1005第 46 章 增强网络发现 增强网络映射 FireSIGHT 系统能否识别所有应用? 许可证:FireSIGHT 如果主机已由系统正确识别,但有未识别的应用,则可创建用户定义的检测器来向系统提供端口 和模式匹配信息以帮助识别应用。有关详细信息,请参阅第 46-16 页上的创建用户定义的应用协 议检测器。 是否已应用可修复漏洞的修补程序? 许可证:FireSIGHT 如果系统已正确识别主机,但未反映已应用的修补,则可使用主机输入功能导入修补程序信息。 导入修补程序信息时,必须将修补程序的名称映射至数据库中的修补程序。有关详细信息,请参 阅第 46-29 页上的映射第三方产品修补程序。...
  • Page 1006 第 46 章 增强网络发现 增强网络映射 系统可使用为主机操作系统收集的所有被动指纹来创建派生指纹。系统通过应用公式来创建派生 指纹,该公式使用每个收集的指纹的置信值和标识之间的证实指纹数据的数量来计算最有可能的 标识。常见元素在标识之间进行识别 如果在网络上使用用户定义的应用检测器,则可通过创建自定义检测器来扩充系统的应用检测功 能,自定义检测器可向系统提供其识别这些应用所需的信息。 NetFlow 还可将被动检测的应用信 息添加至网络映射。 请注意,系统不会使用分类为未知的应用协议和操作系统数据,因为其无法解释数据。受管设备 会将该标识向防御中心报告为未知,标识数据将不用于派生指纹。 了解主动检测 许可证:FireSIGHT 主动检测是对网络映射的补充,是通过主动源收集的数据,如主机操作系统和应用信息。例如, 可使用...
  • Page 1007第 46 章 增强网络发现 增强网络映射 例如,如果用户在主机上将操作系统设置为 Windows 2003 Server,则 Windows 2003 Server 为当 前标识。针对该主机上的 Windows 2003 Server 漏洞的攻击将被赋予更高的影响,而主机配置文 件中为该主机列出的漏洞包括 Windows...
  • Page 1008 第 46 章 增强网络发现 使用自定义指纹技术 有管理员权限的用户还可配置系统,从而在标识冲突发生时生成事件。然后,该用户可设置带有 相关性规则的关联策略,规则将 Nmap 扫描用作相关性响应。如果事件发生, Nmap 会扫描主机 以获取经过更新的主机操作系统和应用数据。 使用自定义指纹技术 许可证:FireSIGHT FireSIGHT 系统包含有操作系统指纹,系统进行检测时,将其用于识别每个主机上的操作系统。 然而,有时系统会因为不存在与操作系统匹配的指纹而无法识别主机操作系统,或者错误地识别 主机操作系统。要纠正此问题,可创建自定义指纹,指纹提供未知或识别错误的操作系统所独有 的操作系统特征模式,以便提供用于标识的操作系统名称。...
  • Page 1009第 46 章 增强网络发现 使用自定义指纹技术 可使用系统创建两种类型的指纹: • 客户端指纹,这种指纹根据 SYN 数据包识别操作系统,主机连接网络上的另一主机上运行的 TCP 应用时,会发送这种数据包。 有关如何获取主机的客户端指纹的信息,请参阅第 46-7 页上的设置客户端指纹。 • 服务器指纹,这种指纹根据 SYN-ACK 数据包识别操作系统,主机使用这种数据包来响应通 向运行的...
  • Page 1010 第 46 章 增强网络发现 使用自定义指纹技术 注意事项 有关在受管设备和防御中心上启用 IPv6 的信息,请参阅第 64-8 页上的配置管理接口。 步骤 8 在 Target Distance 字段中,输入主机和在第 3 步中选择的用于收集指纹的设备之间的网络跳数。...
  • Page 1011第 46 章 增强网络发现 使用自定义指纹技术 提示 如果点击 Create,状态会短暂显示 New,然后切换至 Pending,此状态会保持不变,直到发现匹配 指纹的流量,然后状态会切换至 Ready。 步骤 13 将指定的 IP 地址用作目标 IP 地址,访问您尝试为其设置指纹的主机,并发起至设备的 TCP...
  • Page 1012 第 46 章 增强网络发现 使用自定义指纹技术 步骤 5 在 Fingerprint Description 字段中,键入指纹描述。 步骤 6 从 Fingerprint Type 列表,选择 Server。 系统将显示服务器指纹技术选项。...
  • Page 1013第 46 章 增强网络发现 使用自定义指纹技术 步骤 16 在 OS Vulnerability Mappings 部分中,选择想要用于漏洞映射的操作系统、产品和版本。例如, 如果想要自定义指纹将 Redhat Linux 9 的漏洞列表分配至匹配主机,选择 Redhat, Inc. 作为供应商、...
  • Page 1014 第 46 章 增强网络发现 使用自定义指纹技术 有关详细信息,请参阅以下各节: • 第 46-12 页上的激活指纹 • 第 46-12 页上的停用指纹 • 第 46-13 页上的删除指纹 •...
  • Page 1015第 46 章 增强网络发现 使用自定义指纹技术 删除指纹 许可证:FireSIGHT 如果不再使用指纹,可将其从系统中删除。请注意,必须先停用指纹,然后才可将其删除。 要删除指纹,请执行以下操作: 访问:管理员/发现管理员 步骤 1 选择 Policies > Network Discovery,然后点击 Custom Operating Systems。...
  • Page 1016 第 46 章 增强网络发现 使用应用检测器 步骤 2 点击想要编辑的指纹旁的编辑图标 ( )。 系统将显示 Edit Custom Fingerprint 页面。 步骤 3 请在必要时更改指纹: •...
  • Page 1017第 46 章 增强网络发现 使用应用检测器 • 检测器的类型是应用协议、客户端、网络应用还是内部检测器 • 对于基于端口的应用检测器,应用流量使用的端口 • 检测到的应用的相关详细信息,包括与检测器检测到的应用关联的名称、描述、任务、业务 相关性、标记和类别 • 检测器的状态 (活动或非活动) 系统仅使用活动检测器来分析应用流量。 您可能会注意到,列出的检测器拥有不同的属性。例如,可查看部分检测器的设置,但是不能查 看其他检测器的设置。类似地,可删除部分检测器,但是不能删除其他检测器。这是因为,思科 提供有多种不同类型的检测器,如以下各节所述。 思科提供的内部检测器...
  • Page 1018 第 46 章 增强网络发现 使用应用检测器 应用协议 (模式)检测器 基于模式的应用检测器基于对网络流量数据包中的模式的检测。这些检测器可以由思科 Professional Services 以可导入检测器的形式提供,也可自行创建。这样,就可通过新的基于 模式的检测器增强系统的检测功能,而无需对 FireSIGHT 系统进行整体更新。 可根据贵组织的需求激活和停用应用协议检测器。 可完全控制导入和用户定义的检测器,可将其激活、停用、编辑、导入、导出和删除。基于 模式的检测器的示例包括用户定义的检测器,该检测器使用数据包包头中的模式来检测自定 义应用的流量。 切记,检测器列表可能会发生变化,具体取决于已安装的...
  • Page 1019第 46 章 增强网络发现 使用应用检测器 要创建用户定义的应用协议检测器: 访问:管理员/发现管理员 步骤 1 选择 Policies > Application Detectors。 系统将显示 Detectors 页面。 步骤 2 点击...
  • Page 1020 第 46 章 增强网络发现 使用应用检测器 要提供基本的应用协议检测器信息,请执行以下操作: 访问:管理员/发现管理员 步骤 1 在 Create Detector 页面上的 Please enter a name 字段中,键入检测器名称。 在将检查的流量的协议内,检测器名称必须是唯一的。也就是说,可创建名称相同的...
  • Page 1021第 46 章 增强网络发现 使用应用检测器 为应用协议检测器指定检测条件 许可证:FireSIGHT 如果创建用户定义的应用协议检测器,必须指定检测器应检查的流量的协议 (TCP、 UDP 或二 者)。或者,可指定流量使用的端口。 请注意,如未指定端口,则必须配置检测器,使其在流量中检查一个或多个模式的匹配项,如第 46-19 页上的向应用协议检测器添加检测模式中所述。 要指定应用协议检测器的检测条件,请执行以下操作: 访问:管理员/发现管理员 步骤 1 在...
  • Page 1022 第 46 章 增强网络发现 使用应用检测器 步骤 4 或者,指定系统应在数据包中开始搜索模式的位置,该位置称为偏移。 在 Offset 字段中,键入偏移 (从数据包负载起始位置计算,以字节为单位)。 因为数据包负载从 0 字节开始,请按以下方法计算偏移:将想要从数据包负载起始位置前移的字 节数减去 1。例如,要查找数据包的第 5 个位中的模式,在...
  • Page 1023第 46 章 增强网络发现 使用应用检测器 步骤 5 要保存检测器,点击 Save。 注 必须先激活检测器,然后系统才能将其用于分析应用协议流量。有关详细信息,请参阅第 46-24 页上的激活和停用检测器。 管理检测器 许可证:FireSIGHT 可查看和管理 Detectors 页面上的检测器。 从 Detectors...
  • Page 1024 第 46 章 增强网络发现 使用应用检测器 查看检测器详细信息 许可证:FireSIGHT 可查看关于应用检测器列表中的检测器的更多详细信息。 要查看应用检测器详细信息,请执行以下操作: 访问:管理员/发现管理员 步骤 1 点击 Details 列中的信息图标 ( )。 系统将显示检测器的信息弹出窗口。 有关风险、业务相关性、标记和类别的详细信息,请参阅第...
  • Page 1025第 46 章 增强网络发现 使用应用检测器 州 根据检测器的状态 (即 Active 或 nactive)查找检测器。有关详细信息,请参阅第 46-24 页上 的激活和停用检测器。 类型 根据检测器的类型查找检测器:Application Protocol、 Web Application、 Client...
  • Page 1026 第 46 章 增强网络发现 使用应用检测器 要移除所有过滤器,请执行以下操作: 访问:管理员/发现管理员 步骤 1 点击已应用至检测器的过滤器列表旁的 Clear all。 导航至其他检测器页面 许可证:FireSIGHT Detectors 页面一次显示 25 个检测器。下表解释了如何使用页面底部的导航链接查看其他的检测 器页面。...
  • Page 1027第 46 章 增强网络发现 使用应用检测器 步骤 2 找到想要激活或停用的检测器。 如果想要激活或停用的检测器不在第一页,对检测器列表进行翻页或应用一个或多个过滤器即可 找到它。有关详细信息,请参阅第 46-21 页上的管理检测器。 步骤 3 您有以下选项: • 要激活检测器,以使系统在分析网络流量时使用该检测器,请点击检测器旁的已停用滑块 ( )。 •...
  • Page 1028 第 46 章 增强网络发现 导入主机输入数据 删除检测器 许可证:FireSIGHT 使用以下步骤来删除检测器。可删除用户定义的检测器以及个别导入的思科 Professional Services 提供的附加检测器。不能删除思科提供的任何其他检测器,尽管可以停用许多此类检测器。 注 如在已应用策略中使用检测器,则不能停用或删除该检测器。 要删除检测器,请执行以下操作: 访问:管理员/发现管理员 步骤 1 选择 Policies...
  • Page 1029第 46 章 增强网络发现 导入主机输入数据 启用第三方数据 许可证:FireSIGHT 可从网络上的第三方系统导入网络映射数据。然而,要启用入侵和发现数据结合使用的功能,如 FireSIGHT 推荐、自适应配置文件或影响评估,应将其中的尽可能多的元素映射至相应的定义。 考虑对使用第三方数据的以下要求: • 如果拥有在您的网络资产上有特定数据的第三方系统,则可使用主机输入功能导入该数据。 然而,因为第三方可能会以不同的方式命名产品,所以,必须将第三方供应商、产品和版本 映射至相应的思科产品定义。映射产品后,必须在系统策略为影响评估启用漏洞映射,以便 支持影响关联。对于无版本或无供应商的应用协议,需要在系统策略中为应用协议映射漏 洞。有关详细信息,请参阅第 46-27 页上的映射第三方产品。 •...
  • Page 1030 第 46 章 增强网络发现 导入主机输入数据 请注意,对于无版本或无供应商的应用,必须在系统策略中为应用类型映射漏洞。有关详细信 息,请参阅第 63-27 页上的映射服务器的漏洞。请注意,尽管许多客户端拥有关联的漏洞,而且 客户端用于影响评估,但不能导入和映射第三方客户端漏洞。 提示 如已在另一防御中心上创建了第三方映射,则将其导出后可导入至此防御中心。然后,可根据自 己的需求编辑已导入的映射 有关详细信息,请参阅第 A-1 页上的导入和导出配置。 要将第三方产品映射思科产品定义,请执行以下操作: 访问:管理 步骤...
  • Page 1031第 46 章 增强网络发现 导入主机输入数据 映射第三方产品修补程序 许可证:FireSIGHT 如果将修补程序名称映射至数据库中的特定修补程序集,则可从第三方修补程序管理应用中导入 数据,并将修补程序应用至主机集。修补程序名称导入至主机后,对于该主机,系统会将修补程 序针对的所有漏洞标记为无效。 要将第三方修补程思科修补程序定义,请执行以下操作: 访问:管理员/ 步骤 1 选择 Policies > Application Detectors,然后点击 User...
  • Page 1032 第 46 章 增强网络发现 导入主机输入数据 映射第三方漏洞 许可证:FireSIGHT 要将第三方的漏洞信息添加至 VDB,必须将每个导入的漏洞的第三方标识字符串映射至任何现有 的思科、 Bugtraq 或 Snort ID。为漏洞创建映射后,映射作用于导入至网络映射中主机的所有漏 洞,并允许对这些漏洞进行影响关联。 请注意,只能为第三方漏洞启用影响关联,才能执行影响关联。有关详细信息,请参阅第 45-28 页上的启用漏洞影响评估映射。对于无版本或无供应商的应用,还必须在系统策略中为应用类型 映射漏洞。有关详细信息,请参阅第...
  • Page 1033第 46 章 增强网络发现 导入主机输入数据 有关详情,请参阅: • 第 46-31 页上的创建自定义产品映射 • 第 46-32 页上的编辑自定义产品映射列表 • 第 46-32 页上的管理自定义产品映射激活状态 创建自定义产品映射 许可证:FireSIGHT...
  • Page 1034 第 46 章 增强网络发现 导入主机输入数据 步骤 9 或者,在必要时,重复第 4 至 8 步,将额外的供应商字符串映射添加至列表。 步骤 10 完成后,点击 Save。 系统将再次显示 Custom Product...
  • Page 1035: 配置主动扫描 第 47 章 配置主动扫描 FireSIGHT 系统 通过对网络上的流量进行被动分析构建网络映射。然而,有时可能需要主动扫描 主机,确定有关主机的信息。例如,如果主机有一台服务器在开放端口上运行但在系统监控网络 期间未收发流量,则系统不向网络映射添加有关该服务器的信息。但是,如使用主动扫描仪直接 扫描主机,则可检测到服务器的存在。 主动扫描主机时,可发送数据包,尝试获取有关此主机的信息。 FireSIGHT 系统可与 Nmap™ 6.01 相集成, Nmap™ 6.01 是一个开源主动扫描仪,可用于网络探索和安全审计,检测正在主机...
  • Page 1036 第 47 章 配置主动扫描 了解 Nmap 扫描 如果系统识别在 Nmap 扫描中已确定的服务器且有对应的服务器定义,则系统会将该服务器的漏 洞映射至主机。系统将 Nmap 使用的服务器名称映射至对应的思科服务器定义,然后使用已映射 至系统中每台服务器的漏洞。同样,系统会将 Nmap 操作系统名称映射至思科操作系统定义。当 Nmap 检测主机的操作系统时,系统会将漏洞从对应的思科操作系统定义分配给主机。 有关用于扫描的基础...
  • Page 1037 第 47 章 配置主动扫描 了解 Nmap 扫描 表 47-1 Nmap 补救选项 (续) 选项 说明 对应的 Nmap 选项 Use Port From...
  • Page 1038 第 47 章 配置主动扫描 了解 Nmap 扫描 表 47-1 Nmap 补救选项 (续) 选项 说明 对应的 Nmap 选项 计时模板 选择扫描过程的时间;选择的数字越大,扫描越快、越不全面。...
  • Page 1039第 47 章 配置主动扫描 了解 Nmap 扫描 注意事项 Nmap 提供的服务器和操作系统数据将保持不变,直到您运行另一个 Nmap 扫描为止。如果计划 使用 Nmap 扫描主机,可能要设置定期扫描,随时更新 Nmap 提供的任何操作系统和服务器数 据。有关详细信息,请参阅第 62-5 页上的自动运行...
  • Page 1040 第 47 章 配置主动扫描 了解 Nmap 扫描 据 Nmap 扫描,将指纹与已知在主机上运行的操作系统相关联。尽可能创建自定义指纹,而不是 通过第三方来源 (例如, Nmap)输入静态数据,因为自定义指纹允许系统继续监控主机操作系 统并按需更新。 要使用 Nmap 发现操作系统,请执行以下操作: 访问:管理员/发现管理员 步骤...
  • Page 1041第 47 章 配置主动扫描 设置 Nmap 扫描 注意事项 如有大型或动态网络,新主机检测可能太频繁,而无法使用扫描进行响应。为防止资源超载,请 避免使用 Nmap 扫描响应频繁发生的事件。此外,请注意,如果使用 Nmap 向新主机质询操作系 统和服务器信息思科,则将停用系统为已扫描主机对该数据进行的监控。 要为响应新主机的出现执行扫描,请执行以下操作: 访问:管理员/发现管理员 步骤 1 为...
  • Page 1042 第 47 章 配置主动扫描 设置 Nmap 扫描 创建 Nmap 扫描实例 许可证:FireSIGHT 可为要用于扫描网络漏洞的每个 Nmap 模块设置独立的扫描实例。可为防御中心上的本地 Nmap 模块以及想要用于远程运行扫描的任何设备设置扫描实例。每次扫描的结果始终存储在防御中心 上,可在这里配置扫描,即使是从远程设备运行扫描。为防止意外或恶意扫描关键任务主机,可 创建实例黑名单,指出不应通过实例扫描的主机。 请注意,不可添加与现有扫描实例名称相同的扫描实例。...
  • Page 1043第 47 章 配置主动扫描 设置 Nmap 扫描 请注意, Nmap 提供的服务器和操作系统数据将保持不变,直至运行另一个 Nmap 扫描。如果计 划使用 Nmap 扫描主机,可能要设置定期扫描,随时更新 Nmap 提供的任何操作系统和服务器数 据。有关详细信息,请参阅第 62-5 页上的自动运行...
  • Page 1044 第 47 章 配置主动扫描 设置 Nmap 扫描 创建 Nmap 补救 许可证:FireSIGHT 可为 Nmap 扫描定义设置,只需创建 Nmap 补救。 Nmap 补救可用作关联策略中的响应,按需运 行,或预定在特定时间运行。为了让...
  • Page 1045第 47 章 配置主动扫描 设置 Nmap 扫描 步骤 7 或者,除了 TCP 端口,如果还要扫描 UDP 端口,请针对 Scan for UDP ports 选项选择 On。...
  • Page 1046 第 47 章 配置主动扫描 管理 Nmap 扫描 步骤 16 选择希望 Nmap 在测试主机可用性时使用的方法: • 要发送设置了 SYN 标记的空 TCP 数据包,在已关闭端口上引发 RST...
  • Page 1047第 47 章 配置主动扫描 管理 Nmap 扫描 编辑 Nmap 扫描实例 许可证:FireSIGHT 遵循以下步骤修改扫描实例。请注意,修改扫描实例时,可查看、添加和删除与该实例相关联的 补救。 要编辑扫描实例,请执行以下操作: 访问:管理员/发现管理员 步骤 1 选择 Policies >...
  • Page 1048 第 47 章 配置主动扫描 管理 Nmap 扫描 管理 Nmap 补救 许可证:FireSIGHT 可编辑或删除 Nmap 补救。有关详细信息,请参阅以下各节: • 第 47-14 页上的编辑 Nmap...
  • Page 1049第 47 章 配置主动扫描 管理 Nmap 扫描 运行按需 Nmap 扫描 许可证:FireSIGHT 可在需要时启动按需 Namp 扫描。可指定按需扫描目标,只需输入要扫描的 IP 地址和端口,或者 选择现有扫描目标。 请注意, Nmap 提供的服务器和操作系统数据将保持不变,直至运行另一个...
  • Page 1050 第 47 章 配置主动扫描 管理扫描目标 管理扫描目标 许可证:FireSIGHT 配置 Nmap 模块时,可创建和保存扫描目标,识别想在执行按需或预定扫描时作为扫描目标的主 机和端口,从而避免每次构建新扫描目标。扫描目标包括一个或一组要扫描的 IP 地址,以及一台 或多台主机上的端口。对于 Nmap 目标,也可使用 Nmap 八位字节范围寻址或 IP...
  • Page 1051第 47 章 配置主动扫描 处理主动扫描结果 删除扫描目标 许可证:FireSIGHT 如果不再想扫描已在扫描目标中列出的主机,请删除扫描目标。 要删除扫描目标,请执行以下操作: 访问:管理员/发现管理员 步骤 1 选择 Policies > Actions > Scanners。 系统将显示 Scanners...
  • Page 1052 第 47 章 配置主动扫描 处理主动扫描结果 下表描述了一些可在扫描结果工作流程页面执行的特定操作。 表 47-2 扫描结果表功能 要...... 您可以...... 了解有关表中各列的更多 在第 47-19 页上的了解扫描结果表中获得详细信息。 信息 修改扫描结果的时间和日 点击时间范围链接。有关详细信息,请参阅第 58-19...
  • Page 1053第 47 章 配置主动扫描 处理主动扫描结果 了解扫描结果表 许可证:FireSIGHT 运行 Nmap 扫描时,防御中心 在数据库中收集扫描结果。下表描述了扫描结果表中的字段。 表 47-3 扫描结果字段 字段 说明 开始时间 生成结果的扫描的开始日期和时间。 结束时间 生成结果的扫描的结束日期和时间。...
  • Page 1054 第 47 章 配置主动扫描 处理主动扫描结果 提示 如在使用的自定义工作流程不包括扫描结果表视图,请按工作流程标题点击 (switch workflows),然 后后选择 Scan Results。 步骤 3 可执行以下操作: • 要查看作为弹出窗口中渲染页面的扫描结果,请在扫描作业旁点击 View。 •...
  • Page 1055 第 47 章 配置主动扫描 处理主动扫描结果 搜索扫描结果 许可证:FireSIGHT 可搜索在 FireSIGHT 系统中设备或受管设备上运行的任何扫描的 Nmap 或第三方扫描结果。 表 47-4 扫描结果搜索条件 字段 搜索条件规则 开始时间 键入生成结果的扫描的开始日期和时间。 有关时间输入语法,请参阅第...
  • Page 1056 第 47 章 配置主动扫描 处理主动扫描结果 步骤 4 或者,您可以保存搜索以备将来使用。您有以下选项: • 点击 Save 保存搜索条件。 对于新的搜索,系统显示对话框,提示输入搜索名称;请输入一个唯一搜索名称并点击 Save。如果为先前存在的搜索保存新条件,则不会出现提示。已保存搜索 (并且如果选择 Private,仅对您的帐户可见),以便以后运行。 • 点击 Save...
  • Page 1057: 使用网络映射 第 48 章 使用网络映射 FireSIGHT 系统被动收集通过网络传输的流量,解码数据,然后将其与既有的操作系统和指纹相 比较。根据此信息,系统构建网络映射,它是网络的详细再现。 通过网络映射,可以使用防御中心从主机和网络设备 (网桥、路由器、 NAT 设备和负载均衡器) 方面查看网络拓扑。它是用于快速全面了解网络的一种有用工具。通过网络映射,还可对关联的 主机属性、应用、客户端、受损主机指示和漏洞进行向下钻取。换句话说,可以根据执行的分析 选择不同的网络映射视图。 通过使用主机输入功能从第三方应用添加操作系统应用、客户端、协议或主机属性信息,可以扩增 系统收集的信息。也可使用 Nmap 主动扫描网络映射中的主机,并将扫描结果添加至网络映射。 可以使用自定义拓扑功能帮助排列和识别网络映射视图中的子网。例如,如果贵公司中的每个部...
  • Page 1058 第 48 章 使用网络映射 使用主机网络映射 从任何网络映射中,可查看任何主机的主机配置文件,此文件全面概括系统收集的有关该主机的 所有信息。主机配置文件包含一般信息 (如主机名,操作系统和所有关联的 IP 地址)以及更多 特定信息 (包括检测的协议、应用、危害表现和主机上运行的客户端)。主机配置文件还包括有 关与主机及其检测的资产关联的漏洞的信息。有关主机配置文件的详细信息,请参阅第 49-1 页上 的使用主机配置文件。 如果对于调查某项不再感兴趣,可以从网络映射中将其删除。可从网络映射中删除主机和应用; 也可以删除或停用漏洞。如果系统检测到与已删除主机关联的活动,则会将该主机重新添加至网 络映射。同样,如果系统检测到应用发生更改...
  • Page 1059第 48 章 使用网络映射 使用网络设备网络映射 步骤 2 向下钻取到要调查的主机的特定 IP 地址或 MAC 地址。 例如,要查看 IP 地址为 192.168.40.11 的主机,请依次点击 192、 192.168、 192.168.40、...
  • Page 1060 第 48 章 使用网络映射 使用危害表现网络映射 要查看网络设备网络映射,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 选择 Analysis > Hosts > Network Map > Network Devices。...
  • Page 1061第 48 章 使用网络映射 使用移动设备网络映射 使用移动设备网络映射 许可证:FireSIGHT 使用移动设备网络映射查看连接至网络的移动设备,并且向下钻取至这些设备的主机配置文件。 此网络映射视图也提供系统检测到的所有唯一移动设备的计数,无论设备有一个 IP 地址还是多个 IP 地址。 系统可用下列方法区分移动设备: • 分析来自移动设备的移动浏览器的 HTTP 流量中的用户代理字符串 • 监控特定移动应用的...
  • Page 1062 第 48 章 使用网络映射 使用漏洞网络映射 从网络映射中删除应用不会将其从网络中移除。如果系统检测到应用发生变化 (例如,如果 Apache 网络服务器升级到新版本),或者如果重新启动系统的发现功能,则网络映射中会重新显 示已删除的应用。 视乎删除的内容,行为有所不同: • 如果删除应用类别,则会将该应用类别从网络映射中移除。驻留在该类别下的所有应用都会 从包含应用的任何主机配置文件中移除。 例如,如果删除 http,则会从所有主机配置文件中移除标识为 http 的所有应用,并且网络映射 的应用视图中不再显示...
  • Page 1063第 48 章 使用网络映射 使用漏洞网络映射 如果认为特定漏洞不适用于网络上的主机 (例如,已应用修补程序),则可停用漏洞。已停用的 漏洞仍显示在网络映射中,但是其先前受影响主机的 IP 地址以灰色斜体显示。这些主机的主机配 置文件将已停用的漏洞显示为无效,不过可以手动将其标记为对于个别主机有效;有关详细信 息,请参阅第 49-26 页上的设置单个主机的漏洞。 如果主机上的应用或操作系统存在身份冲突,则系统会列出两种潜在身份的漏洞。解决身份冲突 后,漏洞保持与当前身份关联。有关详细信息,请参阅第 46-4 页上的了解当前标识和第 46-5 页...
  • Page 1064 第 48 章 使用网络映射 处理主机属性网络映射 处理主机属性网络映射 许可证:FireSIGHT 使用主机属性网络映射查看网络上按其主机属性排列的主机。选择要用于排列主机的主机属性 时,防御中心列出该属性在网络映射中的可能值并根据主机的分配值将主机分组。还可查看为其 分配了特定主机属性值的任何主机的主机配置文件。 主机属性网络映射可以根据用户定义的主机属性排列主机。对于任何这些属性,网络映射显示不 将值作为 Unassigned 分配的主机。 有关详细信息,请参阅第 49-27 页上的使用用户定义的主机属性。 此外,主机属性网络映射可以根据对应于已创建的任何合规性白名单的主机属性排列主机。所创 建的每个合规性白名单会创建与白名单具有相同名称的主机属性。...
  • Page 1065第 48 章 使用网络映射 使用自定义网络拓扑 也可根据在自定义拓扑中指定的公司查看主机网络映射。 有关主机和网络设备网络映射的详细信息,请参阅第 48-2 页上的使用主机网络映射和第 48-3 页 上的使用网络设备网络映射。 有关详细信息,请参阅: • 第 48-9 页上的创建自定义拓扑 • 第 48-13...
  • Page 1066 第 48 章 使用网络映射 使用自定义网络拓扑 要创建自定义拓扑,请执行以下操作: 访问:管理员/发现管理员 步骤 1 选择 Policies > Network Discovery,然后点击 Custom Topology。 系统将显示 Custom Topology...
  • Page 1067第 48 章 使用网络映射 使用自定义网络拓扑 导入发现的拓扑 许可证:FireSIGHT 可将网络添加至自定义拓扑的一种方法是导入 FireSIGHT 系统发现的拓扑。此发现的拓扑是系统 根据其检测到的主机和网络设备对网络部署方式的“最佳猜测”。 要导入发现的拓扑,请执行以下操作: 访问:管理 步骤 1 在 Edit Topology 页面上,点击 Import...
  • Page 1068 第 48 章 使用网络映射 使用自定义网络拓扑 步骤 4 要从其他网络发现策略添加网络,请重复第 1 步和第 2 步。 步骤 5 或者,视乎想要如何构建自定义拓扑,遵循以下各节中的操作步骤: • 第 48-11 页上的导入发现的拓扑...
  • Page 1069第 48 章 使用网络映射 使用自定义网络拓扑 提示 要从拓扑删除网络,在要删除的网络旁,点击 Delete,然后确认要删除网络以及指向网络的所有链接。 步骤 6 或者,视乎想要如何构建自定义拓扑,遵循以下各节中的操作步骤: • 第 48-11 页上的导入发现的拓扑 • 第 48-11 页上的从网络发现策略导入网络 管理自定义拓扑...
  • Page 1070 第 48 章 使用网络映射 使用自定义网络拓扑 要删除自定义拓扑,请执行以下操作: 访问:管理 步骤 1 选择 Policies > Network Discovery > Custom Topology。 系统将显示 Custom...
  • Page 1071: 使用主机配置文件 第 49 章 使用主机配置文件 主机配置文件可完整展现系统搜集到的有关单台主机的全部信息。通过主机配置文件,可获得主 机名和操作系统等主机的一般信息。例如,可通过主机配置文件,快速找到主机的 MAC 地址。 配置文件还包含主机属性信息。主机属性指可应用于主机的用户定义的说明。例如,可指定能表 明主机所在建筑物的主机属性。通过主机简档,您可以查看相关主机应用的现有主机属性,也可 以修改主机属性的值。再如,可利用主机重要性属性指定特定主机的业务重要性,并根据主机重 要性定制关联策略和警报。 此外,主机配置文件还包含与服务器、客户端和在特定主机运行的主机协议相关的信息,包括它 们是否符合合规性白名单。可从服务器列表上删除服务器并查看那些服务器的详情。此外,还可 查看服务器的连接事件,以及检测到服务器流量的会话的日志信息。此外,还可查看客户端详情 和连接事件,以及从主机配置文件中删除服务器、客户端或主机协议。 如果 FireSIGHT 系统部署包括...
  • Page 1072 第 49 章 使用主机配置文件 又如,尽管可根据由 NetFlow 驱动的装置导出的数据配置网络发现策略把主机、服务器和客户端 添加至网络映射,但获得的有关这些主机、服务器和客户端的可用信息有限。例如,除非利用扫 描仪或主机输入功能提供有关操作系统的数据,否则这些主机没有可用的操作系统数据。有关详 细信息,请参阅第 45-14 页上的 NetFlow 与 FireSIGHT 数据之间的差异。 下图所示为主机配置文件的示例。 FireSIGHT 系统用户指南...
  • Page 1073第 49 章 使用主机配置文件 下图所示为 MAC 主机的主机配置文件的示例。 有关主机配置文件每个部分的详细信息,请参阅: • 第 49-4 页上的查看主机配置文件说明如何访问主机配置文件。 • 第 49-5 页上的使用主机配置文件中的基本主机信息描述主机配置文件中 Host 部分的信息。 • 第...
  • Page 1074 第 49 章 使用主机配置文件 查看主机配置文件 • 第 49-13 页上的使用主机配置文件中的服务器描述主机配置文件中 Servers、 Server Detail 和 Server Banner 部分的信息。 • 第 49-17...
  • Page 1075第 49 章 使用主机配置文件 使用主机配置文件中的基本主机信息 使用主机配置文件中的基本主机信息 许可证:FireSIGHT 主机配置文件包含有关检测到的主机或其他设备的基本信息。 主机配置文件中的每个基本字段的描述如下。 IP 地址 所有与主机相关的 IP 地址 (IPv4 和 IPv6)。 IPv6 主机通常至少有两个 IPv6...
  • Page 1076 第 49 章 使用主机配置文件 使用主机配置文件中的 IP 地址 – 检测使用同一 MAC 地址的多台主机,可用于识别 MAC 地址为属于路由器 – 检测客户端 TTL 值的变化或变化频率高于典型启动时间的 TTL 值,可用于识别...
  • Page 1077第 49 章 使用主机配置文件 使用主机配置文件中的危害表现 使用主机配置文件中的危害表现 许可证:FireSIGHT FireSIGHT 系统可关联与主机相关的各种数据 (入侵事件、安全情报、连接事件和文件事件或恶 意软件事件),以确定监控网络上的主机是否可能会受到恶意侵害。事件数据的某些组合和频率 触发了受影响主机上的危害表现 (IOC) 标记。主机配置文件中 Indications of Compromise 部分显示 了所有主机的 IOC...
  • Page 1078 第 49 章 使用主机配置文件 使用主机配置文件中的危害表现 从主机配置文件,可访问并利用 Indications of Compromise 部分的 Edit Rule States 编辑 IOC 规则列 表。可根据网络和组织需要启用任何或全部规则。例如,如果使用诸如 Microsoft Excel...
  • Page 1079第 49 章 使用主机配置文件 使用主机配置文件中的操作系统 解决危害表现 许可证:FireSIGHT 在分析和处理完 IOC 标记显示的威胁后,或如果确定 IOC 标记代表误报,可将标记标记为已解 决。将 IOC 标记标记为已经解决时,该标记会从主机配置文件中删除;当主机上的所有有源 IOC 标记都已解决,主机不再显示标有受攻击主机的图标 ( )。请注意,对于已经解决的 IOC,仍然...
  • Page 1080 第 49 章 使用主机配置文件 使用主机配置文件中的操作系统 – 按照 《FireSIGHT 系统主机输入 API 指南》中的说明使用主机输入功能,将数据导入网 络映射 – 根据第 49-9 页上的使用主机配置文件中的操作系统的描述,手动输入操作系统的信息 OS Version/Version 操作系统版本。如果主机属于越狱的移动设备,版本后面的圆括号里会标识...
  • Page 1081第 49 章 使用主机配置文件 使用主机配置文件中的操作系统 要查看主机的操作系统标识列表,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 在主机配置文件的 Operating System 或 Operating System Conflicts 部分,点击 View。 系统将显示 Operating...
  • Page 1082 第 49 章 使用主机配置文件 使用主机配置文件中的操作系统 解决操作系统的标识冲突 许可证:FireSIGHT 如果当前标识是由诸如扫描仪、应用或用户之类的活动源提供,当系统检测到的新标识与当前标 识冲突时,会发生操作系统标识冲突。 冲突的操作系统标识列表在主机配置文件中以粗体显示。 可在系统网络界面解决标识冲突并设置主机当前的操作系统标识。在网络界面设置标识来覆盖所 有其他标识源,以便把标识用于漏洞评估和影响相关性。 要使相互冲突的标识变为当前标识,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 此时您有两种选择: • 点击要设置为主机操作系统的操作系统标识旁边的...
  • Page 1083第 49 章 使用主机配置文件 使用主机配置文件中的服务器 使用主机配置文件中的服务器 许可证:FireSIGHT 如果系统检测到多个服务器在监控网络上的主机上运行或通过主机输入功能或扫描仪或其他活动 源添加服务器,防御中心把这些服务器列入主机配置文件的服务器部分。 防御中心最多可为每台主机列出 100 台服务器。达到限制后,不管是源自活动源或被动源的新服 务器信息都会被删除,直到您从主机上删除服务器或服务器超时。有关详细信息,请参阅第 45-11 页上的主机限制和发现事件日志记录。 如果使用 Nmap 扫描主机, Nmap 会把此前未检测到的在开放...
  • Page 1084 第 49 章 使用主机配置文件 使用主机配置文件中的服务器 Application Protocol 以下任一选项: – 应用协议的名称 – pending,如果出于几种原因中的其中之一,系统无法准确地识别应用协议 – unknown,如果系统无法根据已知应用协议指纹识别应用协议或在没有添加相应服务器的 情况下,通过主机输入功能添加具有端口信息的漏洞来添加服务器 将鼠标悬停在应用协议名称上,会显示标记。有关标记的信息,请参阅第 45-9 页上的了解应 用检测:...
  • Page 1085第 49 章 使用主机配置文件 使用主机配置文件中的服务器 协议 服务器所用协议名称。 端口 运行服务器的端口。 Hits 由思科受管设备或 Nmap 检测到的服务器的次数。请注意,除非系统检测到该服务器的流 量,否则通过主机输入导入的服务器的命中次数为 0。 Last Used 最后一次检测到服务器的时间和日期。请注意,除非系统检测到该服务器有新的流量,否则 主机输入数据的最后一次被使用的时间反映了初始数据导入时间。此外,还要注意,根据系 统策略中的设置通过主机输入功能导入的扫描仪和应用数据会超时,但通过防御中心网络界...
  • Page 1086 第 49 章 使用主机配置文件 使用主机配置文件中的服务器 编辑服务器标识 许可证:FireSIGHT 可手动更新主机上服务器的标识设置和配置已经应用到主机的任何修复,以删除经修复解决的漏 洞。此外,还可以删除服务器标识。 请注意,删除标识不会删除服务器,即使该标识是唯一标识。删除标识会将标识从 Server Detail 弹出窗口移除,而且如果适用,更新主机配置文件中的服务器当前的标识。 不能编辑或删除由思科管理的设备添加的服务器标识。 要编辑服务器标识,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 在主机配置文件的...
  • Page 1087第 49 章 使用主机配置文件 使用主机配置文件中的应用 要解决服务器标识冲突,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 点击 Servers 列表中的服务器旁边的解决图标。 系统将显示 Server Identity 弹出窗口。 步骤 2 从 Select...
  • Page 1088 第 49 章 使用主机配置文件 使用主机配置文件中的应用 此外,对于每个检测到的网络浏览器,主机配置文件显示浏览器访问的前 100 个网络应用。在达 到限制后,来自主动或被动源的与该浏览器相关的新的网络应用均会丢弃,直到出现下列任何一 种情况: • 网络浏览器客户端应用超时,或 • 从主机配置文件删除与网络应用相关的应用信息 在主机配置文件中显示的应用信息说明如下。 Application Protocol 显示应用 (HTTP...
  • Page 1089第 49 章 使用主机配置文件 使用主机配置文件中的 VLAN 标签 使用主机配置文件中的 VLAN 标签 许可证:FireSIGHT 如果主机构成虚拟局域网 (VLAN) 的一部分,系统会显示主机配置文件的 VLAN Tag 部分。 物理网络设备通常使用 VLAN 从各种网络块创建逻辑网段。系统检测到...
  • Page 1090 第 49 章 使用主机配置文件 使用主机配置文件中的主机协议 分配主机的属性值 许可证:FireSIGHT 可将正整数、字符串或 URL 指定为现有主机属性值。 提示 可通过点击主机配置文件页面上的 Attributes 中的 Edit 链接快速为主机分配主机属性。将会弹出包 含所有主机属性的字段的窗口。 要分配主机属性值,请执行以下操作: 访问:管理员/任何安全分析师...
  • Page 1091第 49 章 使用主机配置文件 使用主机配置文件中的白名单违规 要从主机配置文件中删除协议,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 在主机配置文件的 Protocols 部分,点击要删除的协议旁边的删除图标 ( )。 该主机上的协议删除成功。 使用主机配置文件中的白名单违规 许可证:FireSIGHT 合规性白名单 (或白名单)指允许用户指定可在特定子网上运行的操作系统、应用协议、客户 端、网络应用和协议的一系列标准。...
  • Page 1092 第 49 章 使用主机配置文件 使用主机配置文件中的恶意软件检测 要根据主机配置文件为合规性白名单创建共享主机配置文件,请执行以下操作: 访问:管理 步骤 1 通过任何网络映射或活动视图访问主机配置文件。 有关详细信息,请参阅第 49-4 页上的查看主机配置文件。 步骤 2 点击 Generate White List...
  • Page 1093第 49 章 使用主机配置文件 使用主机配置文件中的漏洞 使用主机配置文件中的漏洞 许可证:FireSIGHT 主机配置文件 Vulnerabilities 部分显示影响该主机的漏洞。 Sourcefire Vulnerabilities 部分显示系统在主机上检测到的,基于操作系统、服务器和应用的漏洞。 如果主机操作系统标识或主机上的一种应用协议存在标识冲突,系统会在冲突解决前显示这两种 标识的漏洞。 因为根据 NetFlow 数据添加至网络映射的主机没有可用的操作系统信息,所以防御中心无法确定 影响这些主机的漏洞,除非使用主机输入功能手动设置主机的操作系统标识。 流量通常不包括有关服务器供应商和版本的信息。默认情况下,系统并不映射此类流量的发送和...
  • Page 1094 第 49 章 使用主机配置文件 使用主机配置文件中的漏洞 查看漏洞细节 许可证:FireSIGHT 漏洞细节对漏洞和已知解决方案进行了技术说明。 要访问特定漏洞的漏洞细节,请选择 Analysis > Vulnerabilities 或 Analysis > Third-Party Vulnerabilities, 然后点击 SVID...
  • Page 1095第 49 章 使用主机配置文件 使用主机配置文件中的漏洞 说明 指漏洞概述。 Technical Description 指对漏洞的详细技术说明。 解决方案 有关修补漏洞的信息。 更多信息 点击箭头查看其他有关漏洞的信息 (如果可用),例如已知使用和其可用性、使用情景和缓 解策略。 Fixes 提供所选漏洞可用的可下载的补丁的链接。 提示 如果出现修复程序或补丁下载的直接链路,右击该链接并保存至本地计算机。...
  • Page 1096 第 49 章 使用主机配置文件 使用主机配置文件中的漏洞 下载漏洞补丁 许可证:FireSIGHT 如果补丁可用,可下载补丁减少在网络中的主机上发现的漏洞。 要下载漏洞补丁,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 访问要下载补丁的主机的主机配置文件。 步骤 2 展开 Vulnerabilities 部分。 步骤...
  • Page 1097第 49 章 使用主机配置文件 使用预先定义的主机属性 步骤 4 点击 Save。 已保存您的更改。 使用预先定义的主机属性 许可证:FireSIGHT 可分配给每台主机的预定义主机属性有两个:主机重要性和主机特定注释。可利用主机重要性属 性指定特定主机的业务重要性,并根据主机重要性修改关联策略和警报。例如,如果您认为公司 的邮件服务器比一般用户工作站对业务更重要,可把 High 值分配给邮件服务器和其他业务关键 设备,把 Medium 或...
  • Page 1098 第 49 章 使用主机配置文件 使用用户定义的主机属性 主机属性可以是从预先定义的文本列表或数字范围选择的文本字符串或值。此外,还可根据主机 的 IP 地址自动将预先定义的列表值分配给主机。当新主机第一次出现在网络上时,可使用该功能 自动把值分配给新主机。 主机属性可以是下列类型之一: 文本 可手动向主机分配最多包含 255 个字符的文本字符串。 整数 允许用户指定一系列正整数中的第一个和最后一个数字,然后手动把这些数字中的一个数字 分配给主机。 清单...
  • Page 1099第 49 章 使用主机配置文件 使用用户定义的主机属性 要创建新的主机属性,请执行以下操作: 访问:管理员/发现管理员 步骤 1 选择 Analysis > Hosts > Host Attributes。 系统将显示 Host Attributes 页面。...
  • Page 1100 第 49 章 使用主机配置文件 使用用户定义的主机属性 要创建基于列表的主机属性,请执行以下操作: 访问:管理员/发现管理员 步骤 1 要将值添加到列表,请点击 Add Value。 系统将展开 List Values 部分。 步骤 2 在...
  • Page 1101第 49 章 使用主机配置文件 使用主机配置文件的扫描结果 删除用户定义的主机属性 许可证:FireSIGHT 删除用户定义的主机属性可将用户定义的主机属性从所有使用该主机属性的主机配置文件中删 除。请注意无法删除合规性白名单主机属性。 要删除主机属性,请执行以下操作: 访问:管理员/发现管理员 步骤 1 选择 Analysis > Hosts > Host Attributes。...
  • Page 1102 第 49 章 使用主机配置文件 使用主机配置文件的扫描结果 要扫描主机配置文件中的主机,请执行以下操作: 访问:管理 步骤 1 在主机配置文件中,点击 Scan Host。 系统将显示 Scan Host 弹出窗口。 步骤 2 点击要用来扫描主机的扫描更正旁边的...
  • Page 1103: 使用发现事件 第 50 章 使用发现事件 发现事件提醒网络活动并提供正确响应所需的信息。这些事件是由受管设备在所监控网段检测到 的变化触发的。网络发现策略规定了系统所采集数据、受监控网段以及系统用于监控流量的特定 硬件接口的类型。有关网络发现的详细信息,请参阅第 45-1 页上的了解发现数据收集。 拥有访问员工连接到网络的会议室或备用工作空间是发现事件的简单例子。可在这些分段中发现 定期生成的新主机事件,无需怀疑其恶意目的。但是,如果在锁定网段发现新主机事件,则可相 应地升级响应。 用户发现事件提供登录到网络中的主机的用户信息。可查看网络上用户活动的事件目录并钻取查 看特定用户的信息。例如,如果要查看与新主机关联的用户,可通过查看主机配置文件了解用主 机流量监控过程中检测到的用户。 通过发现事件可更加深入地了解网络上的活动,其程度比简单示例所示程度更加细致。对于每个 受监控主机,可通过配置系统检测相关应用协议、网络协议、客户端、用户和潜在漏洞。系统也 可提供有关使用主机输入功能导入到防御中心上的第三方扫描仪所检测到的漏洞的信息。危害表 现...
  • Page 1104 第 50 章 使用发现事件 查看发现事件统计数据 • 第 50-48 页上的使用第三方漏洞 • 第 50-52 页上的使用用户 • 第 50-57 页上的使用用户活动 查看发现事件统计数据 许可证:FireSIGHT...
  • Page 1105第 50 章 使用发现事件 查看发现事件统计数据 Total Application Protocols 检测到的主机上运行的服务器所使用的应用协议总数。 Total IP Hosts 通过唯一 IP 地址识别的检测到的主机总数。 Total MAC Hosts 不是通过 IP...
  • Page 1106 第 50 章 使用发现事件 查看发现事件统计数据 通过键入以下内容查看网络发现和和主机输入事件: 访问:管理员/任何安全分析师 步骤 1 点击要查看的事件类型。 系统显示默认发现事件工作流程的第一页,这是由所选事件的类型限制的。要使用不同的工作流 程,包括自定义工作流程,请按照工作流程标题点击 (switch workflow)。有关指定不同默认工作流 程的信息,请参阅第 71-3 页上的配置事件查看设置。如果未显示任何事件,可能需要调整时间范 围;请参阅第 58-19...
  • Page 1107第 50 章 使用发现事件 查看发现性能 图表 通过操作系统或供应商查看主机: 访问:管理员/任何安全分析师 步骤 1 此时您有两种选择: • 要查看运行特定操作系统的所有主机,请在 OS Name 下,点击操作系统名称。 • 要查看特定供应商提供的运行任何操作系统的所有主机,请在 OS Vendor...
  • Page 1108 第 50 章 使用发现事件 了解发现事件工作流程 生成发现性能图表: 访问:管理员/维护人员 步骤 1 选择 Overview > Summary > Discovery Performance。 系统显示发现性能页面。 步骤 2...
  • Page 1109 第 50 章 使用发现事件 使用发现和主机输入事件 表 50-1 常见发现事件操作 (续) 要...... 您可以...... 向下钻取到工作流程中的下一个页面 可使用以下其中一种方法: • 要向下钻取到限制某个特定值的下一个工作流程页面,请点击某一 行中的一个值。请注意,此操作仅适用于向下钻取页面。在表视图 中点击一行中的一个值仅限于表视图,不能钻取到下一页面。 • 要向下钻取到限制某些事件的下一个工作流程页面,请选择您想要 在下一个工作流程页面上查看的事件旁的复选框,然后点击...
  • Page 1110 第 50 章 使用发现事件 使用发现和主机输入事件 此外,系统为每个网络、传送和在每台已发现主机上运行的应用协议生成新的事件。创建已配置 的发现规则用于包括 NetFlow 可用设备时,可禁用应用协议检测。但是,不能在未使用已配置的 NetFlow 可用设备的发现规则中禁用应用检测。如果在非 NetFlow 发现规则中启用的主机或用户 发现,系统自动发现应用。 初次网络映射完成后,系统通过生成更改事件持续记录网络变化。无论先前发现的资产配置何时 发生改变,系统都会生成更改事件。 如果生成发现事件,表明已登录到数据库。可使用防御中心网络界面查看、搜索和删除发现事 件。也可在关联规则中使用发现事件。根据生成的发现事件类型以及其他指定条件,用于关联策 略时可生成关联规则,网络流量符合条件时可启动修复和系统记录、...
  • Page 1111第 50 章 使用发现事件 使用发现和主机输入事件 Client Update 系统在 HTTP 流量中检测到负载 (即特定类型的内容,例如音频、视频或网页邮件)时,生 成此事件。 DHCP: IP Address Changed 系统检测到主机 IP 地址因 DHCP...
  • Page 1112 第 50 章 使用发现事件 使用发现和主机输入事件 Identity Conflict 通过有效源添加到网络映射中标识数据超时时,生成此事件。 如果要通过重新扫描主机获取更新的有效标识数据来刷新标识冲突,可使用标识冲突事件触 发 Nmap 修复。有关详细信息,请参阅第 54-10 页上的配置 Nmap 补救。 有关详细信息,请参阅第 49-16 页上的解决服务器标识冲突。...
  • Page 1113第 50 章 使用发现事件 使用发现和主机输入事件 New UDP Port 系统检测到主机上有新的 UDP 服务器端口时,生成此事件。 如果选择 Discover 选项并在 NetFlow 数据的网络发现规则中选择 Applications,设备在处理涉及 网络映射中已不存在的受监控网络中服务器的 NetFlow 数据时,也会生成此事件。...
  • Page 1114 第 50 章 使用发现事件 使用发现和主机输入事件 Add Client 用户添加客户端时,生成此事件。 Add Host 用户添加主机时,生成此事件。 Add Protocol 用户添加协议时,生成此事件。 Add Scan Result 系统成功将 Nmap...
  • Page 1115 第 50 章 使用发现事件 使用发现和主机输入事件 Set Server Definition 用户设置服务器的供应商和版本定义时,生成此事件。 Set Vulnerability Impact Qualification 设置漏洞影响限制时,生成此事件。 在全球层面上禁止漏洞用于影响限制,或者在全球层面上禁用漏洞时,生成此事件。 Vulnerability Set Invalid 用户作废 (或审查)一个漏洞或多个漏洞时,生成此事件。...
  • Page 1116 第 50 章 使用发现事件 使用发现和主机输入事件 了解发现事件表 许可证:FireSIGHT 系统生成变化详情在受监控网段中通信的发现事件。为新发现的网络功能生成新的事件,并为先 前识别的网络资产的任何变化生成更改事件。 在初始网络发现阶段,系统为每台主机以及在每台主机发现的任何 TCP 或 UDP 服务器生成新的 事件。此外,系统为在每台已发现主机上运行的每个网络、传送或应用协议生成新的事件。对于 NetFlow 相关的流量,可在系统检测到主机上有应用协议运行时控制系统是否生成新的事件。初 次网络映射完成后,系统通过生成更改事件持续记录网络变化。无论先前发现的主机、服务器或 客户端配置何时发生改变,系统都会生成更改事件。...
  • Page 1117 第 50 章 使用发现事件 使用发现和主机输入事件 搜索发现事件 许可证:FireSIGHT 可搜索特定发现事件。您可能想要创建为自己的网络环境订制的搜索,然后保存这些搜索以便以 后再用。 通用搜索语法 系统在每个搜索字段旁边显示有效语法示例。输入搜索条件时,请记住以下几点: • 所有字段都接受求反 (!)。 • 所有字段都接受逗号分隔的搜索值列表。包含指定字段中列出的任何值的记录与该搜索条件 匹配。 • 所有字段都接受将用引号引起来的逗号分隔列表作为搜索值。 –...
  • Page 1118 第 50 章 使用发现事件 使用发现和主机输入事件 表 50-3 发现事件条件注释 (续) 字段 搜索条件注释 端口 注意不可以: • 搜索其他类型事件时输入能够输入的端口/协议组合 • 指定端口数或范围时,使用空格。 要搜索发现事件: 访问:管理员/任何安全分析师...
  • Page 1119 第 50 章 使用发现事件 使用主机 使用主机 许可证:FireSIGHT 系统检测到主机并采集其有关信息用于生成主机配置文件时,生成此事件。可使用防御中心网络 界面查看,搜索和删除主机。 查看主机时,可根据所选主机创建流量量变曲线和合规性白名单。也可赋予主机属性,包括主机 对于主机重要性。然后可使用这些关键性值、白名单和关联规则和策略中的流量量变曲线。 虽然可将网络发现策略配置为根据 NetFlow 支持设备导入的数据向网络映射添加主机,但关于这些 主机的可用信息是有限的。例如,这些主机没有可用的操作系统数据,除非您使用主机输入功能提 供这些数据。有关详细信息,请参阅第 45-14 页上的 NetFlow 与...
  • Page 1120 第 50 章 使用发现事件 使用主机 提示 如在使用的自定义工作流程不包括主机的表视图,请点击 (switch workflow), ,然后选择 Hosts。 了解主机表 许可证:FireSIGHT 系统发现主机时,会采集有关此主机的数据。该数据可能包括主机的 IP 地址、其运行的操作系统 等等。可在主机表视图中查看部分该信息。有关系统采集的所检测到主机的数据的详细信息,请 参阅第 49-1...
  • Page 1121第 50 章 使用发现事件 使用主机 Host Criticality 分配给主机的用户指定的关键性值。请参阅第 50-25 页上的了解主机属性表中 Host Criticality 列的说明,了解有关此字段的详细信息。 NetBIOS Name 主机的 NetBIOS 名称。只有运行 NetBIOS 协议的主机才有...
  • Page 1122 第 50 章 使用发现事件 使用主机 操作系统版本 主机上检测到的或使用 Nmap 或主机输入功能升级的的操作系统的版本。 注意:如果系统检测到多个版本,这些版本将显示在逗号分隔列表中。 在此字段中, unknown 值是指不与任何已知指纹匹配的操作系统。 pending 值表明系统尚未采 集到足够的信息用于识别操作系统。 Source Type 下列值之一用做主机操作系统标识源:...
  • Page 1123第 50 章 使用发现事件 使用主机 要为所选主机创建流量量变曲线: 访问:管理 步骤 1 在主机工作流程的表视图中,选择要为其创建流量量变曲线的主机旁边的复选框。 步骤 2 在页面底部,点击 Create Traffic Profile。 系统显示填入了指定为受监控主机的主机 IP 地址的创建配置文件页面。 步骤...
  • Page 1124 第 50 章 使用发现事件 使用主机 通用搜索语法 系统在每个搜索字段旁边显示有效语法示例。输入搜索条件时,请记住以下几点: • 所有字段都接受求反 (!)。 • 所有字段都接受逗号分隔的搜索值列表。包含指定字段中列出的任何值的记录与该搜索条件 匹配。 • 所有字段都接受将用引号引起来的逗号分隔列表作为搜索值。 – 对于只能包含一个值的字段,将包含指定精确字符串的指定字段放在引号内的记录与搜 索条件匹配。例如,搜索 A,...
  • Page 1125 第 50 章 使用发现事件 使用主机 表 50-5 主机搜索条件 (续) 字段 搜索条件注释 信心 可在置信前面加上大于 (>)、大于或等于 (>=)、小于 (<)、小于或等于 (<=) 或等于 (=) 运算符。...
  • Page 1126 第 50 章 使用发现事件 使用主机属性 使用主机属性 许可证:FireSIGHT FireSIGHT 系统采集有关主机检测和使用其生成主机配置文件的信息。但是,可能会有要提供给 分析师的有关网络上主机的附加信息。可在主机配置文件中添加注释,设置主机的业务关键性或 提供您所选择的任何其他信息。每个信息都称为主机属性。 可在主机配置文件限制中使用主机属性,用于生成流量量变曲线时限制所采集的数据,也可限制 用于触发关联规则的条件。也对应关联规则设置属性值。 有关详情,请参阅: • 第 50-24 页上的查看主机属性 •...
  • Page 1127第 50 章 使用发现事件 使用主机属性 了解主机属性表 许可证:FireSIGHT FireSIGHT 系统采集有关主机检测和使用其生成主机配置文件的信息。但是,可能会有要提供给 分析师的有关网络上主机的附加信息。可为主机配置文件添加注释,设置业务关键性或提供所选 择的任何其他信息。每个信息都称为主机属性。 可在主机配置文件限制中使用主机属性,用于生成流量量变曲线时限制所采集的数据,也可限制 用于触发关联规则的条件。 注意主机属性表不显示仅通过 MAC 地址识别的主机。 有关主机属性的详细信息,请参阅第 49-27 页上的使用预先定义的主机属性和第 49-27...
  • Page 1128 第 50 章 使用发现事件 使用主机属性 为所选主机设置主机属性 许可证:FireSIGHT 可分配给每台主机的预定义主机属性有两个:主机重要性和主机特定注释。 使用主机重要性标明给定主机的业务关键性。可根据主机重要性修改关联策略和警报。例如,对 于业务来说,您所在组织的邮件服务器比典型用户工作站更为重要。可赋予邮件服务器和其他关 键业务服务器高级主机重要性值,赋予其它主机中级或低级关键性值。然后可根据受影响主机的 关键性创建发出不同警报的关联策略。 使用注释记录有关希望其他分析师查看的主机的信息。例如,如果网络上有使用测试用旧版未打 补丁操作系统的计算机,可使用注释功能注明此系统特意未打补丁。 也可创建自定义主机属性。例如,可创建为主机分配物理位置标识的主机属性,例如设备代码、 城市或房间号。有关创建自定义主机属性的详细信息,请参阅第 49-28 页上的创建用户定义的主 机属性。...
  • Page 1129第 50 章 使用发现事件 使用主机属性 通用搜索语法 系统在每个搜索字段旁边显示有效语法示例。输入搜索条件时,请记住以下几点: • 所有字段都接受求反 (!)。 • 所有字段都接受逗号分隔的搜索值列表。包含指定字段中列出的任何值的记录与该搜索条件 匹配。 • 所有字段都接受将用引号引起来的逗号分隔列表作为搜索值。 – 对于只能包含一个值的字段,将包含指定精确字符串的指定字段放在引号内的记录与搜 索条件匹配。例如,搜索 A, B,...
  • Page 1130 第 50 章 使用发现事件 使用危害表现 步骤 5 或者,您可以保存搜索,以备以后使用。您有以下选项: • 点击 Save,保存搜索条件。 对于新的搜索,系统将显示一个对话框,提示您提供搜索的名称;请输入一个唯一的搜索名 称,然后点击 Save。如果为之前即已存在的搜索保存新的条件,则不会显示提示。搜索保存 成功 (如果您选择了 Private,则只对您的帐户显示),您以后可以运行此搜索。 • 点击...
  • Page 1131第 50 章 使用发现事件 使用危害表现 表 50-7 危害表现操作 (续) 要...... 您可以...... 将所选 IOC 事件标记为已解决,这样 选择要编辑的 IOC 事件旁边的复选框,然后点击 Mark 他们就不会再出现在此列表中。 Resolved。有关详细信息,请参阅第...
  • Page 1132 第 50 章 使用发现事件 使用危害表现 搜索危害表现 许可证:FireSIGHT 可通过使用预定义搜索之一或使用自己的搜索条件搜索受监控主机上已触发的特定危害表现 (IOC) 标记。预定义搜索用作示例,可用于快速访问关于网络的重要信息。 您可能想要修改默认搜索中的特定字段,以根据网络环境对它们进行自定义,然后保存以便日后 重复使用。第 50-29 页上的了解危害表现表 中对可用于检索数据的字段进行了说明。 通用搜索语法 系统在每个搜索字段旁边显示有效语法示例。输入搜索条件时,请记住以下几点: • 所有字段都接受求反...
  • Page 1133第 50 章 使用发现事件 使用服务器 步骤 3 按第 50-29 页上的了解危害表现表中所述,在相应的字段中输入搜索条件。 如果您输入多个字段的条件,则搜索仅返回符合为所有字段指定的搜索条件的记录。点击在搜索 字段旁边显示的添加图标 ( ),使用对象作为搜索条件。 步骤 4 如果您计划保存搜索,也可以选择 Private 复选框,将搜索保存为私有,这样就只有您可以访问 它。否则,请清除此复选框,将搜索保存为适用于所有用户。...
  • Page 1134 第 50 章 使用发现事件 使用服务器 查看服务器 许可证:FireSIGHT 可使用防御中心查看检测到的服务器表。然后,可根据要查找的信息操纵事件视图。 访问服务器时所看到的页面因所使用的工作流程的而异。所有预定义的工作流程均在主机视图中终 止,该主机视图包含符合限制条件的每台主机的主机配置文件。您也可以创建自定义工作流程,仅 显示符合您具体要求的信息。有关详细信息,请参阅第 58-34 页上的创建自定义工作流程。 以下服务器操作表对说明可在服务器工作流程页面执行的一些特定操作。也可执行常见发现事件 操作表中所描述的任务。 表 50-8 服务器操作 要.........
  • Page 1135第 50 章 使用发现事件 使用服务器 IP地址 与运行服务器的主机关联的 IP 地址。 端口 服务器运行所在端口。 协议 服务器使用的网络或传输协议。 Application Protocol 应用协议如下列其中一项所述: – 服务器应用协议的名称。 – 如果系统由于几个原因之一无法积极地或消极地识别服务器,则为...
  • Page 1136 第 50 章 使用发现事件 使用服务器 – 扫描仪:scanner_type (通过网络发现配置添加的 Nmap 或扫描仪) – 对于 FireSIGHT 系统检测到的服务器,应为 FireSIGHT、 FireSIGHT Port Match 或...
  • Page 1137第 50 章 使用发现事件 使用服务器 • 搜索仅返回与所有字段的指定搜索条件匹配的记录。 • 许多字段接受一个或多个星号 (*) 作为通配符。 • 对于某些字段,可以在字段中指定 n/a 或 blank 识别信息不可用的字段的事件;使用 !n/a 或 !blank...
  • Page 1138 第 50 章 使用发现事件 使用应用 使用应用 许可证:FireSIGHT 当受监控主机连接到另一台主机时,在许多情况下,系统可以确定所使用的应用。 FireSIGHT 系 统检测许多邮件、即时消息、对等设备、网络应用以及其他类型的应用的使用情况。 对于每个检测到的应用,系统均将记录使用该应用的 IP 地址、产品、版本和检测到的使用次数。 可使用网络界面查看、搜索和删除应用事件。也可在主机上使用主机输入功能更新应用数据。 如果知道哪些应用在哪些主机上运行,则可使用此信息创建主机配置文件限制,以便在构建流量 量变曲线时限制所采集的数据,也可限制用于触发关联规则的条件。关联规则也可基于应用检 测。例如,如果希望员工使用特定邮件客户端,可在系统检测到一台主机上有不同的邮件客户端 运行时触发关联规则。...
  • Page 1139第 50 章 使用发现事件 使用应用 提示 如在使用的自定义工作流程不包括应用详情表视图,请点击 (switch workflow),然后选择 Clients。 了解应用表 许可证:FireSIGHT 当受监控主机连接至另一台主机时,在许多情况下, FireSIGHT 系统可确定所使用是的什么应用。 系统检测各种网络浏览器或服务器、邮件客户端或服务器、即时消息工具、 P2P 应用等。系统检测 已知客户端流量、应用协议或网络应用时,会记录有关该应用及运行该应用的主机的信息。 FireSIGHT...
  • Page 1140 第 50 章 使用发现事件 使用应用 类型 应用类型: – Application Protocols 代表主机之间的通信。 – Client Applications 代表在主机上运行的软件。 – Web Applications 代表...
  • Page 1141第 50 章 使用发现事件 使用应用详情 要搜索应用: 访问:管理员/任何安全分析师 步骤 1 选择 Analysis > Search。 系统将显示 Search 页面。 步骤 2 从表下拉列表中选择 Applications。...
  • Page 1142 第 50 章 使用发现事件 使用应用详情 要采集和存储应用数据用于分析,请确保在网络发现策略中启用应用检测。有关详细信息,请参 阅第 45-9 页上的了解应用检测。 有关详细信息,请参阅以下各节: • 第 50-40 页上的查看应用详情 • 第 50-40 页上的了解应用详情表 •...
  • Page 1143第 50 章 使用发现事件 使用应用详情 Last Used 最后一次检测到该应用的时间或使用主机输入功能更新该应用的数据的时间。至少按网络发 现策略中配置的更新间隔更新 Last Used 值,当系统检测到应用信息更新时也更新该值。有关 设置更新间隔的详细信息,请参阅第 45-30 页上的配置数据存储。 IP地址 与使用应用的主机关联的 IP 地址。 Client...
  • Page 1144 第 50 章 使用发现事件 使用应用详情 搜索应用详情 许可证:FireSIGHT 可搜索运行特定客户端、应用协议或网络应用的主机。您可能想要创建为自己的网络环境订制的 搜索,然后保存这些搜索以便以后再用。 通用搜索语法 系统在每个搜索字段旁边显示有效语法示例。输入搜索条件时,请记住以下几点: • 所有字段都接受求反 (!)。 • 所有字段都接受逗号分隔的搜索值列表。包含指定字段中列出的任何值的记录与该搜索条件 匹配。 • 所有字段都接受将用引号引起来的逗号分隔列表作为搜索值。...
  • Page 1145第 50 章 使用发现事件 使用漏洞 步骤 3 在相应字段输入搜索条件。 如果您输入多个字段的条件,则搜索仅返回符合为所有字段指定的搜索条件的记录。点击在搜索 字段旁边显示的添加图标 ( ),使用对象作为搜索条件。 步骤 4 如果您计划保存搜索,也可以选择 Private 复选框,将搜索保存为私有,这样就只有您可以访问 它。否则,请清除此复选框,将搜索保存为适用于所有用户。 提示 如果要将搜索另存为对权限有限的自定义用户角色的约束,必须将其另存为私有搜索。...
  • Page 1146 第 50 章 使用发现事件 使用漏洞 查看漏洞 许可证:FireSIGHT 可使用防御中心查看漏洞表。然后,可根据要查找的信息操纵事件视图。 访问漏洞时所看到的页面因所使用的工作流程而异。可使用包含漏洞表视图的预定义工作流程。 数据库中的每个漏洞在表视图中都各占一行,无论任何检测到的主机是否显示这些漏洞。适用于 网络中所检测到主机的每个漏洞 (未停用)在预定义工作流程的第二页都各占一行。预定义工作 流程在漏洞详情视图中终止,该视图包含符合限制条件的每个漏洞的详细说明。 提示 如要查看适用于单台主机或一组主机的漏洞,应通过指定主机 IP 地址或 IP 地址范围的方式执行...
  • Page 1147第 50 章 使用发现事件 使用漏洞 了解漏洞表 许可证:FireSIGHT FireSIGHT 系统有自己的漏洞跟踪数据库,该数据库与系统的指纹识别功能相结合,以识别与网 络中主机关联的漏洞。 主机上运行的操作系统、服务器和客户端有不同组关联漏洞。为主机安装修复程序后可停用其漏 洞或者将其判断为漏洞免疫。可使用防御中心跟踪和审查每台主机的漏洞。 有关漏洞的详细信息,请参阅第 48-6 页上的使用漏洞网络映射和第 49-23 页上的使用主机配置文 件中的漏洞。 以下对漏洞表中的字段进行了说明。 SVID...
  • Page 1148 第 50 章 使用发现事件 使用漏洞 Technical Description 漏洞的详细技术说明。 解决方案 有关修补漏洞的信息。 计数 与每行中所显示的信息匹配的事件数。请注意,仅在您运用了某个创建了两个或多个相同行 的限制之后, Count 字段才显示。 停用漏洞 许可证:FireSIGHT 为网络中主机安装修复程序后停用漏洞或者将其判断为免疫漏洞。停用的漏洞不再用于入侵影响关 联。注意,如果系统发现一台新主机受该漏洞影响,可视为该漏洞对此主机有效...
  • Page 1149第 50 章 使用发现事件 使用漏洞 通用搜索语法 系统在每个搜索字段旁边显示有效语法示例。输入搜索条件时,请记住以下几点: • 所有字段都接受求反 (!)。 • 所有字段都接受逗号分隔的搜索值列表。包含指定字段中列出的任何值的记录与该搜索条件 匹配。 • 所有字段都接受将用引号引起来的逗号分隔列表作为搜索值。 – 对于只能包含一个值的字段,将包含指定精确字符串的指定字段放在引号内的记录与搜 索条件匹配。例如,搜索 A, B,...
  • Page 1150 第 50 章 使用发现事件 使用第三方漏洞 提示 如想要使用搜索作为对自定义用户角色的数据限制,必须将其另存为私有搜索。 步骤 5 或者,您可以保存搜索,以备以后使用。您有以下选项: • 点击 Save,保存搜索条件。 对于新的搜索,系统将显示一个对话框,提示您提供搜索的名称;请输入一个唯一的搜索名 称,然后点击 Save。如果为之前即已存在的搜索保存新的条件,则不会显示提示。搜索保存 成功 (如果您选择了 Private,则只对您的帐户显示),您以后可以运行此搜索。...
  • Page 1151第 50 章 使用发现事件 使用第三方漏洞 表 50-12 第三方漏洞操作 要...... 您可以...... 了解有关表中各列的更多信息 在第 50-49 页上的了解第三方漏洞表中获得详细信息。 查看第三方漏洞的漏洞详情 点击 SVID 列中的视图图标 ( )。或者,限制漏洞...
  • Page 1152 第 50 章 使用发现事件 使用第三方漏洞 SVID 系统用于跟踪漏洞的旧版漏洞标识号 点击视图图标 ( ) 访问 SVID 的漏洞详情。有关详情,请参见第 49-24 页上的查看漏洞细节。 Snort ID 与 Snort...
  • Page 1153第 50 章 使用发现事件 使用第三方漏洞 • 可以使用 CIDR 表示法指定 IP 地址。有关在 FireSIGHT 系统中输入 IPv4 和 IPv6 地址的详细 信息,请参阅第 1-16 页上的...
  • Page 1154 第 50 章 使用发现事件 使用用户 使用用户 许可证:FireSIGHT 如果 Active Directory Agent 或受管设备检测到非数据库中用户的登录,则将该用户添加至数据 库,除非您明确限制该登录类型 (请参阅第 45-25 页上的限制用户日志记录)。 注 虽然系统检测到 SMTP...
  • Page 1155第 50 章 使用发现事件 使用用户 查看用户 许可证:FireSIGHT 可查看用户表,然后根据所查找的信息操纵事件视图。 访问用户时所看到的页面因所使用的工作流程而异。可使用预定义工作流程并在用户详情页面终 止,此工作流程包括列出了所有已检测到用户的用户表视图。用户详情页面提供有关符合限制条 件的所有用户的信息。 您也可以创建自定义工作流程,仅显示符合您具体要求的信息。有关创建自定义工作流程的信 息,请参阅第 58-34 页上的创建自定义工作流程。 有关表中列内容的详细信息,请参阅第 50-53 页上的了解用户表。下表对可在用户工作流程页面 执行的一些特定操作进行了说明。也可在常见发现事件操作表中执行这些操作。 要查看用户:...
  • Page 1156 第 50 章 使用发现事件 使用用户 名字 通过选配防御中心 LDAP 服务器连接获取的用户的名字。如果符合以下条件,则此字段为空: – 尚未配置防御中心 LDAP 服务器连接 – 防御中心无法将防御中心数据库中的用户与 LDAP 记录关联 (例如,对于通过 AIM、...
  • Page 1157第 50 章 使用发现事件 使用用户 了解用户详细信息和主机历史记录 许可证:FireSIGHT 从将用户标识数据与其他类型事件关联的任何事件视图以及用户表视图中,可以显示 User Identity 弹出窗口以了解有关特定用户的详细信息。用户信息也可在用户工作流程终止页面上显示。 所看到的用户数据与在用户表视图中所看到的数据相同;有关详细信息,请参阅第 50-53 页上的 了解用户表。 主机历史记录以图表再现了最后二十四个小时的用户活动。用户所登录和所注销主机的 IP 地址的 列表以条形图大约显示登录和注销次数。典型用户在一天中可能登录和注销多台主机。例如,如 果定期自动登录邮件服务器,则将显示多个短期会话,而如果长时间登录...
  • Page 1158 第 50 章 使用发现事件 使用用户 – 对于可能同时包含多个值的字段,搜索条件可以包含单个值以及引号引起来的逗号分隔 列表。例如,在某字段上搜索 A, B, "C, D, E" 时,如果该字段可能包含这其中一个或多 个字母,则匹配的记录指定字段将包含 A 或 B或同时包含 C、...
  • Page 1159第 50 章 使用发现事件 使用用户活动 步骤 6 点击 Search 开始搜索。 搜索结果显示在默认用户工作流程中。要使用不同的工作流程,请点击 (switch workflow)。有关指 定不同默认工作流程的信息,请参阅第 71-3 页上的配置事件查看设置。 使用用户活动 许可证:FireSIGHT FireSIGHT 系统生成在网络上传达用户活动详情的事件。以下对四种类型的用户活动进行了说明。...
  • Page 1160 第 50 章 使用发现事件 使用用户活动 也可在关联规则中使用用户活动。根据用户活动的类型和指定的其他条件,用于关联策略时可构 建关联规则,网络流量符合条件时可启动补救和警报响应。有关用户活动的详细信息,请参阅第 45-3 页上的了解用户数据收集。 有关详细信息,请参阅: • 第 50-58 页上的查看用户活动事件 • 第 50-58 页上的了解用户活动表 •...
  • Page 1161第 50 章 使用发现事件 使用用户活动 用户 与活动关联的用户。至少,此字段应包含用户名和用于检测用户的协议。如有关于用户的 LDAP 元数据,则此字段也应包含用户的名字和姓氏。 用户类型 用于检测用户的协议。例如,对于系统检测到 POP3 登录时添加至数据库的用户,用户类型 为 pop3。 IP地址 对于用户登录活动、登录中所涉的 IP 地址,可能是用户主机 (对于...
  • Page 1162 第 50 章 使用发现事件 使用用户活动 – 对于可能同时包含多个值的字段,指定字段包含所有引号引号引起来的逗号分隔列表中 所有值的记录与该搜索条件匹配。 – 对于可能同时包含多个值的字段,搜索条件可以包含单个值以及引号引起来的逗号分隔 列表。例如,在某字段上搜索 A, B, "C, D, E" 时,如果该字段可能包含这其中一个或多 个字母,则匹配的记录指定字段将包含 A...
  • Page 1163第 50 章 使用发现事件 使用用户活动 步骤 6 点击 Search 开始搜索。 搜索结果显示在默认用户活动工作流程中,受当前时间范围限制。要使用不同的工作流程,包括 自定义工作流程,请点击 (switch workflow)。有关指定不同默认工作流程的信息,请参阅第 71-3 页 上的配置事件查看设置。 FireSIGHT 系统用户指南 50-61...
  • Page 1164 第 50 章 使用发现事件 使用用户活动 FireSIGHT 系统用户指南 50-62
  • Page 1165: 配置关联策略和规则 第 51 章 配置关联策略和规则 您可使用 FireSIGHT 系统的关联功能构建由关联规则和合规性白名单填充的关联策略,以帮助用 户实时响应网络威胁。当用户网络活动触发关联规则或白名单时,会导致关联策略违规的发生。 当由 FireSIGHT 系统生成的特定事件达到指定标准或网络流量偏离在现有流量量变曲线中展示特 征的正常网络通讯模式时,会触发关联规则。 另一方面,当系统确定网络上的主机正在运行被禁止的操作系统、客户端应用软件 (或客户 端)、应用协议或协议时,会触发合规性白名单。 可以配置 FireSIGHT 系统以便响应违反策略情况。响应包括简单的警报以及各种修复 (例如扫描...
  • Page 1166 第 51 章 配置关联策略和规则 创建关联策略规则 本章重点介绍如何创建关联规则、如何使用策略中的那些规则、如何将那些规则与响应和响应组 关联起来,以及如何分析关联事件。有关详情,请参阅: • 第 51-2 页上的创建关联策略规则 • 第 51-38 页上的管理关联策略的规则 • 第 51-40 页上的对关联响应进行分组...
  • Page 1167第 51 章 配置关联策略和规则 创建关联策略规则 下表对构建有效的关联规则必须拥有的许可证进行说明。如果没有适当的许可证,则不会触发使 用 FireSIGHT 系统未经许可的许可证的关联规则。有关特定许可证的详细信息,请参阅第 65-2 页 上的许可证类型和限制。 表 51-1 构建关联规则的许可证要求 要...... 您需要该许可证...... 在入侵事件或安全情报事件上触发关联规则 保护 在发现事件、主机输入事件、地理定位数据或用户活动上触发关联规...
  • Page 1168 第 51 章 配置关联策略和规则 创建关联策略规则 步骤 9 点击 Save Rule。 系统保存规则。现在,可以使用关联规则或在同一事件类型上触发的其他关联规则中的规则。 提供基本规则信息 许可证:任何环境 您必须为每个关联规则提供一个名称,或者提供一段简短的说明。还可以将规则置于规则组中。 要提供基本规则信息,请执行以下操作: 访问:管理员/发现管理员 步骤 1 选择...
  • Page 1169第 51 章 配置关联策略和规则 创建关联策略规则 注 当根据事件构建条件时,只有在设备可收集条件所需信息而且防御中心可以管理该信息时,才可 以添加关联规则触发标准。例如,由于 2 系列设备和 DC500 防御中心都不支持 SSL 检查、按类 别或信誉的 URL 过滤或安全情报,因此,您无法根据这些功能在这些设备上配置事件条件。有 关详细信息,请参阅第 51-2 页上的创建关联策略规则。...
  • Page 1170 第 51 章 配置关联策略和规则 创建关联策略规则 步骤 3 或者,继续执行以下各节中的操作步骤: • 第 51-17 页上的添加主机配置文件限定条件 • 第 51-19 页上的使用超时连接数据限制关联规则 • 第 51-29...
  • Page 1171 第 51 章 配置关联策略和规则 创建关联策略规则 表 51-2 入侵事件的语法 (续) 如果指定...... 选择一个运算符,然后...... Impact Flag 选择分配给入侵事件的影响级别。与指定 is、 is not、 is greater than...
  • Page 1172 第 51 章 配置关联策略和规则 创建关联策略规则 表 51-2 入侵事件的语法 (续) 如果指定...... 选择一个运算符,然后...... SSL Certificate Subject 键入用于加密会话的证书的全部或部分对象组织的单位名称。 Organizational Unit (OU) SSL...
  • Page 1173 第 51 章 配置关联策略和规则 创建关联策略规则 表 51-3 恶意软件事件的语法 (续) 如果指定...... 选择一个运算符,然后...... 文件类型 选择文件的类型,例如 PDF 或 MSEXE。 File Type Category 选择一个或多个文件类型类别,例如...
  • Page 1174 第 51 章 配置关联策略和规则 创建关联策略规则 表 51-4 关联规则触发标准与 发现事件类型 (续) 选择此选项… 要在该事件类型上触发规则...... a new MAC host is detected New...
  • Page 1175 第 51 章 配置关联策略和规则 创建关联策略规则 表 51-5 发现事件的语法 (续) 如果指定...... 选择一个运算符,然后...... IP Address 或 键入单个 IP 地址或地址块。有关在 FireSIGHT 系统中使用 IP...
  • Page 1176 第 51 章 配置关联策略和规则 创建关联策略规则 在选择用户活动类型后,可以构建关联规则条件,如下表所述。根据所选用户活动类型,可以使 用下表中的标准子集构建条件;对于在新的用户标识上触发的关联规则,不能指定 IP 地址。 表 51-6 用户活动的语法 如果指定...... 选择一个运算符,然后...... 设备 选择已经检测到用户活动的一个或多个设备。 IP地址 键入单个 IP...
  • Page 1177 第 51 章 配置关联策略和规则 创建关联策略规则 在选择主机输入事件后,可以构建关联规则条件,如下表说述。根据选择的主机输入事件类型, 您可以使用下表中的标准子集构建条件。例如,如果在客户端已删除时触发关联规则,则可以基 于事件涉及的主机的 IP 地址、删除源类型 (手动、第三方应用或扫描仪)以及源本身 (具体的 扫描仪类型或用户)来构建条件。 表 51-8 主机输入事件的语法 如果指定...... 选择一个运算符,然后...... IP地址 键入单个...
  • Page 1178 第 51 章 配置关联策略和规则 创建关联策略规则 表 51-9 连接事件的语法 (续) 如果指定...... 选择一个运算符,然后...... Egress Interface 或 选择一个或多个接口。 Ingress Interface Egress Security...
  • Page 1179 第 51 章 配置关联策略和规则 创建关联策略规则 表 51-9 连接事件的语法 (续) 如果指定...... 选择一个运算符,然后...... SSL Flow Status 基于系统尝试解密流量的结果选择一种或多种状态。 SSL Policy 选择记录加密连接的一个或多个 SSL 策略。...
  • Page 1180 第 51 章 配置关联策略和规则 创建关联策略规则 可以选择 use velocity data 复选框(请参阅第 39-14 页上的更改图形类型),以基于数据点之间的变 化率触发关联规则。如果要使用上例中的速度数据,则可以指定在出现下列任何一种情况时触发 规则: • 通过网络的字节数量变化幅度非常大,高于或低于一定数量的高于平均变化率的标准偏差 • 通过网络的字节数激增,高于一定数量的字节 下表介绍在将流量量变曲线变更选定为基础事件时如何构建关联规则中的条件。如果流量量变曲线...
  • Page 1181第 51 章 配置关联策略和规则 创建关联策略规则 添加主机配置文件限定条件 许可证:FireSIGHT 如果使用连接事件、入侵事件、发现事件、用户活动或主机输入事件触发关联规则,则可以基于 涉及事件的主机的主机配置文件限制该规则。此类限制被称为主机配置文件限定条件。 注 您无法将主机配置文件限定条件添加至在恶意软件事件、流量量变曲线更改或新的 IP 主机的检测 上触发的关联规则。 例如,您可以限制关联规则,以便仅当 Microsoft Windows 主机为冲突流量的目标时触发该规则, 因为只有 Microsoft...
  • Page 1182 第 51 章 配置关联策略和规则 创建关联策略规则 用于主机配置文件限定条件的语法 许可证:FireSIGHT 当构建主机配置文件限定条件时,必须首先选择要用于限制关联规则的主机。可选择的主机取决 于要用来触发规则的事件的类型,如下说述: • 如果您正在使用连接事件,则选择 Responder Host 或 Initiator Host。 • 如果您正在使用入侵事件,则选择 Destination...
  • Page 1183 第 51 章 配置关联策略和规则 创建关联策略规则 表 51-11 主机配置文件限定条件的语法 (续) 如果指定...... 选择一个运算符,然后...... Application Protocol > 选择一个或多个协议。 协议 Application Protocol 选择一个类别。 Category...
  • Page 1184 第 51 章 配置关联策略和规则 创建关联策略规则 提示 通常,连接跟踪器监控非常具体的流量,而且当被触发时,仅运行指定的一段时间。将连接跟踪 器与流量量变曲线进行对比,发现后者一般监控的网络流量范围比较广并且持续运行;请参阅第 53-1 页上的创建流量量变曲线。 取决于您如何构建连接跟踪器,该跟踪器生成事件的方式有两种: 满足条件时,立即触发的连接跟踪器 可以配置连接跟踪器,以便在网络流量满足跟踪器的条件时,立即触发关联规则。如果出现这种 情况,即使还没有超过超时周期,系统也为该连接跟踪器实例停止跟踪连接。如果此前触发关联 规则的相同类型的策略违规再次发生,则系统可创建新的连接跟踪器。 另一方面,如果在网络流量满足连接跟踪器的条件前时间过期,则防御中心不会生成关联事件, 而且还会停止跟踪该规则实例的连接。 例如,只有在特定类型的连接发生的次数超过一定时间周期内的具体次数时,连接跟踪器才可以 通过生成关联事件作为一种事件阈值。或者,只有在初始连接之后,系统检测到其他数据传输...
  • Page 1185 第 51 章 配置关联策略和规则 创建关联策略规则 要添加连接跟踪器,请执行以下操作: 访问:管理员/发现管理员 步骤 1 在 Create Rule 页面上,点击 Add Connection Tracker。 系统将显示 Connection Tracker 部分。...
  • Page 1186 第 51 章 配置关联策略和规则 创建关联策略规则 表 51-12 连接跟踪器的语法 (续) 如果指定...... 选择一个运算符,然后...... Access Control Rule Name 键入记录要跟踪的连接的访问控制规则的全部或部分名称。 注 要跟踪匹配监控规则的连接,请键入监控规则的名称。不管随后处理连接的 规则或默认操作如何,系统都对连接进行跟踪。...
  • Page 1187 第 51 章 配置关联策略和规则 创建关联策略规则 表 51-12 连接跟踪器的语法 (续) 如果指定...... 选择一个运算符,然后...... TCP Flags 选择为了跟踪连接在连接中必须包含的 TCP 标记。 注 只有已启用 NetFlow 的设备导出的连接才包含...
  • Page 1188 第 51 章 配置关联策略和规则 创建关联策略规则 表 51-13 连接跟踪器事件的语法 (续) 如果指定...... 选择一个运算符,然后...... Total Packets, 键入以下内容之一: Initiator Packets 或 • 发送的数据包总数...
  • Page 1189第 51 章 配置关联策略和规则 创建关联策略规则 FireSIGHT 系统用户指南 51-25
  • Page 1190 第 51 章 配置关联策略和规则 创建关联策略规则 下图显示网络流量如何触发上述关联规则。 在本示例中,系统检测到满足关联规则的基本条件的连接,即,系统检测到从 10.1.0.0/16 网络外 的主机向该网络内的主机及进行的连接。这样创建连接跟踪器。 处理连接跟踪器的阶段如下: 步骤 1 当系统检测到从网络外的 Host A 向网络内的 Host 1...
  • Page 1191第 51 章 配置关联策略和规则 创建关联策略规则 FireSIGHT 系统用户指南 51-27
  • Page 1192 第 51 章 配置关联策略和规则 创建关联策略规则 下图显示网络流量如何触发上述关联规则。 在本示例中,系统在两个不同的主机上检测到 BitTorrent TCP 应用协议:Host 1 和 Host 2。这两 台主机通过 BitTorrent 将数据传输到其他四台主机:Host A、 Host...
  • Page 1193第 51 章 配置关联策略和规则 创建关联策略规则 • 在 15 秒标记处时,从 Host 1 传输至 Host C 的 2 MB 的数据量 (总共 6...
  • Page 1194 第 51 章 配置关联策略和规则 创建关联策略规则 用户资格的语法 许可证:FireSIGHT 当构建用户资格条件时,必须首先选择要用来限制关联规则的标识。可选择的标识取决于要用来 触发规则的事件的类型,如下说述: • 如果您正在使用连接事件,则选择 Identity on Initiator 或 Identity on Responder。 •...
  • Page 1195第 51 章 配置关联策略和规则 创建关联策略规则 下图显示配置有暂停和非活动周期的部分关联规则。 要添加暂停周期,请执行以下操作: 访问:管理员/发现管理员 步骤 1 在 Create Profile 页面的 Rule Options 下,指定在规则触发后防御中心应等待再次触发规则的时间 间隔。 提示 要移除暂停周期,请将时间间隔指定为...
  • Page 1196 第 51 章 配置关联策略和规则 创建关联策略规则 如果要在仅当 10.4.x.x 网络中检测到该新的主机时进一步限制规则并生成事件,则可以添加简单 的条件,如下图所示。 但检测 10.4.x.x 网络和 192.168.x.x 网络上的非标准端口的 SSH 活动的以下规则具有四个条件,底 部的两个的条件较复杂。 可以在条件中使用的语法会根据您正在创建的元素而变化,但是机制相同。 注意事项...
  • Page 1197第 51 章 配置关联策略和规则 创建关联策略规则 有关条件构建的详细信息,请参阅: • 第 51-33 页上的构建一个条件 • 第 51-35 页上的添加和连接条件 • 第 51-38 页上的在一个条件中使用多个值 构建一个条件 许可证:任何环境...
  • Page 1198 第 51 章 配置关联策略和规则 创建关联策略规则 要在以上示例中构建主机配置文件限定条件,请执行以下操作: 访问:管理员/发现管理员 步骤 1 构建在发现事件上触发的关联规则。 有关详细信息,请参阅第 51-2 页上的创建关联策略规则。 步骤 2 在 Create Rule 页面上,点击...
  • Page 1199第 51 章 配置关联策略和规则 创建关联策略规则 • 第 51-11 页上的用户活动事件的语法 • 第 51-12 页上的主机输入事件的语法 • 第 51-13 页上的连接事件的语法 • 第 51-15...
  • Page 1200 第 51 章 配置关联策略和规则 创建关联策略规则 如果在非标准端口上检测到 SSH,前两个条件要求应用协议名称为 SSH 并且端口不是 22,则该 规则触发。规则进一步要求,涉及事件的主机的 IP 地址不属于 10.4.x.x 网络,便属于 192.168.x.x 网络。 从逻辑上讲,该规则被评估如下: (A...
  • Page 1201第 51 章 配置关联策略和规则 创建关联策略规则 结果为: 要添加一个复杂的条件,请执行以下操作: 访问:管理员/发现管理员 步骤 1 点击当前条件上方的 Add complex condition。 复杂条件会被添加到当前条件集的下方。复杂条件包括两个子条件,这两个子条件会用相反的运 算符从用于连接上一级别的条件相互连接。 例如,如果将复杂条件添加至以下规则: 结果为: FireSIGHT 系统用户指南...
  • Page 1202 第 51 章 配置关联策略和规则 管理关联策略的规则 要连接条件,请执行以下操作: 访问:管理员/发现管理员 步骤 1 使用条件集左侧的下拉列表。选择: • AND 运算符要求满足其控制的级别上的所有条件 • OR 运算符要求只满足其控制的级别上的一个条件 在一个条件中使用多个值 许可证:任何环境 在构建条件,且条件语法允许您从下拉列表中选择值时,通常可以从列表中选择多个值。例如,...
  • Page 1203第 51 章 配置关联策略和规则 管理关联策略的规则 修改规则 许可证:任何环境 使用以下操作步骤来修改现有的关联规则。 要修改现有规则,请执行以下操作: 访问:管理员/发现管理员 步骤 1 选择 Policies > Correlation, 然后选择 Rule Management 选项卡。...
  • Page 1204 第 51 章 配置关联策略和规则 对关联响应进行分组 当创建规则时,可以将该规则添加至现有规则组。此外,还可以修改现有规则以将其添加至规则 组。有关详细信息,请参阅: • 第 51-2 页上的创建关联策略规则 • 第 51-39 页上的修改规则 提示 要删除规则组,请点击要删除的组旁边的删除图标 ( )。当删除规则组时,并未删除该规则组中...
  • Page 1205第 51 章 配置关联策略和规则 对关联响应进行分组 要创建响应组,请执行以下操作: 访问:管理 步骤 1 选择 Policies > Correlation,然后点击 Groups。 系统将显示 Groups 页面。 步骤 2 点击...
  • Page 1206 第 51 章 配置关联策略和规则 创建关联策略 要删除响应组,请执行以下操作: 访问:管理 步骤 1 选择 Policies > Correlation,然后点击 Groups。 系统将显示 Groups 页面。 步骤 2...
  • Page 1207第 51 章 配置关联策略和规则 创建关联策略 要创建关联策略,请执行以下操作: 访问:管理员/发现管理员 步骤 1 选择 Policies > Correlation。 系统将显示 Policy Management 页面。 步骤 2 点击...
  • Page 1208 第 51 章 配置关联策略和规则 创建关联策略 将规则和白名单添加至关联策略 许可证:任何环境 关联策略包含一个或多个规则或白名单。如果违反策略中的任何规则或白名单,则系统将事件记 录到数据库中。如果将一个或多个响应分配给规则或白名单,则发起这些响应。 下图显示由合规性白名单和一组配置有各种响应的关联规则所组成的关联策略。 要将规则或白名单添加至关联策略中,请执行以下操作: 访问:管理员/发现管理员 步骤 1 在 Create Policy 页面上,点击 Add...
  • Page 1209第 51 章 配置关联策略和规则 创建关联策略 要设置规则或白名单优先级,请执行以下操作: 访问:管理员/发现管理员 步骤 1 在 Create Policy 页面上,从每个规则或白名单的 Priority 列表中选择默认优先级。可以选择: • 从 1 至 5...
  • Page 1210 第 51 章 配置关联策略和规则 管理关联策略 要将响应添加至规则和白名单,请执行以下操作: 访问:管理员/发现管理员 步骤 1 在 Create Policy 页面上,点击要添加响应的规则或白名单旁边的响应图标 ( )。 系统将显示一个弹出窗口。 步骤 2 在...
  • Page 1211第 51 章 配置关联策略和规则 管理关联策略 激活和停用关联策略 许可证:任何环境 使用以下操作步骤激活或停用关联策略。 要激活或停用策略,请执行以下操作: 访问:管理员/发现管理员 步骤 1 选择 Policies > Correlation。 系统将显示 Policy Management 页面。...
  • Page 1212 第 51 章 配置关联策略和规则 使用关联事件 步骤 2 点击要删除的策略旁边的删除图标 ( )。 该策略删除成功。 使用关联事件 许可证:任何环境 当活动的关联策略中的关联规则触发时,防御中心生成关联事件并将其记录至数据库。有关配置 保存在数据库中的关联事件数量的详细信息,请参阅第 63-14 页上的配置控制面板事件限制。 注 当活动的关联策略中的合规性白名单触发时,防御中心生成白名单事件。有关详细信息,请参阅...
  • Page 1213 第 51 章 配置关联策略和规则 使用关联事件 表 51-16 关联事件操作 (续) 要...... 您可以...... 修改所显示事件的时间和日期范围 在第 58-19 页上的设置事件时间限制中查找详细信息。 请注意,如果按时间限制事件视图,则在设备配置的时间段外生成的事件 (无 论是全局或特定事件)可能显示在事件视图中。即使已经为设备配置一个滑动 时间窗,这种情况仍然可能发生。 向下钻取到工作流程中的下一页,...
  • Page 1214 第 51 章 配置关联策略和规则 使用关联事件 了解关联事件表 许可证:任何环境 当关联规则触发时,防御中心生成关联事件。下表介绍关联事件表中的字段。 表 51-17 关联事件字段 字段 说明 时间 生成关联事件的日期和时间。 影响 基于入侵数据、发现数据和漏洞信息之间的关联分配给关联事件的影响级别。有关详 细信息,请参阅第 41-32...
  • Page 1215 第 51 章 配置关联策略和规则 使用关联事件 表 51-17 关联事件字段 (续) 字段 说明 Ingress Interface 或 触发策略违规的入侵或连接事件的入口或出口界面。 Egress Interface 计数 与每行中所显示的信息匹配的事件数。注意, Count...
  • Page 1216 第 51 章 配置关联策略和规则 使用关联事件 表 51-18 关联事件搜索条件 (续) 字段 搜索条件规则 影响 指定分配给关联事件的影响。有效值 (不区分大小写)包括 Impact 0、 Impact Level 0、...
  • Page 1217第 51 章 配置关联策略和规则 使用关联事件 – 对于可能同时包含多个值的字段,搜索条件可以包含单个值以及引号引起来的逗号分隔 列表。例如,在某字段上搜索 A, B, "C, D, E" 时,如果该字段可能包含这其中一个或多 个字母,则匹配的记录指定字段将包含 A 或 B或同时包含 C、 D和...
  • Page 1218 第 51 章 配置关联策略和规则 使用关联事件 FireSIGHT 系统用户指南 51-54
  • Page 1219: 将 FireSIGHT 系统用作一个合规工具 第 52 章 将 FireSIGHT 系统用作一个合规工具 合规白名单 (或白名单)是允许用户指定可在特定子网上运行的操作系统、应用及和协议的一系 列标准,并且如果该子网上的主机违反了白名单,则会自动生成事件。例如,安全策略可声明, 当允许网络服务器运行 HTTP 时,该网络上的其他主机均不得运行 HTTP。可以创建一份白名 单,评估整个网络 (不包括网络场),以确定哪些主机正在运行 HTTP。 请注意,可以创建一条执行此功能的关联规则,对该 规则进行配置,使其在下列情况下触发: •...
  • Page 1220 第 52 章 将 FireSIGHT 系统用作一个合规工具 了解合规白名单 有关创建和管理合规白名单以及解释白名单事件和违规行为的详细信息,请参阅以下各节: • 第 52-2 页上的了解合规白名单 • 第 52-7 页上的创建合规白名单 • 第 52-20...
  • Page 1221第 52 章 将 FireSIGHT 系统用作一个合规工具 了解合规白名单 了解白名单的目标 许可证:FireSIGHT 创建一份白名单时,首先应指定适用的网络部分。可以使用白名单来评估受监控网络上的所有主 机,也可以对白名单进行限制,只评估特定的网段甚至是个别主机。还可以进一步限制白名单, 只评估具备特定主机属性或者属于某个特定的 VLAN 的主机。符合白名单评估条件的主机被称为 有效目标 (或目标)。有效目标︰ • 必须在指定的 IP 地址块中。还可以将...
  • Page 1222 第 52 章 将 FireSIGHT 系统用作一个合规工具 了解合规白名单 了解全局主机配置文件 许可证:FireSIGHT 所有白名单均包含一个全局主机配置文件,该文件指定了允许在目标主机上运行的应用协议、客 户端、网络应用及通信协议,无论该主机使用的是什么操作系统。 例如,无需编辑多个 Microsoft Windows 和 Linux 主机配置文件以允许 Internet Explorer,可以将...
  • Page 1223第 52 章 将 FireSIGHT 系统用作一个合规工具 了解合规白名单 请记住,与所有共享主机配置文件相同,如果对某个内置主机配置文件进行修改,则会影响到使 用该配置文件的所有白名单。同样,如果对某个内置应用协议、通信协议或客户端进行修改,则 会影响到使用它的所有白名单。 有关共享主机配置文件的详细信息,请参阅第 52-21 页上的使用共享主机配置文件。 了解白名单评估 许可证:FireSIGHT 创建白名单主机配置文件并保存该白名单后,可以将白名单添加至关联策略,如同添加一个关联 规则。有关详细信息,请参阅第 51-1 页上的配置关联策略和规则。 启用该关联策略后,系统会根据白名单的条件来评估其目标。然后,您可以使用主机属性网络映...
  • Page 1224 第 52 章 将 FireSIGHT 系统用作一个合规工具 了解合规白名单 • 系统检测到主机上有新的客户端正在运行 • 系统从数据库中删除了某个不活动的客户端 • 系统检测到主机上有新的网络应用正在运行 • 系统从主机配置文件中删除了某个不活动的网络应用 • 系统检测到主机正在与新的网络协议 (例如 Novell...
  • Page 1225第 52 章 将 FireSIGHT 系统用作一个合规工具 创建合规白名单 创建合规白名单 许可证:FireSIGHT 创建白名单时,您可以调查整个网络或某个特定网段。调查网络后,使用适用于系统在该网段上 检测到的各操作系统的一个配置文件来填充白名单。默认情况下,这些主机配置文件允许系统在 适用的操作系统上检测到的所有客户端、应用协议、网络应用和通信协议。 然后,您必须指定白名单的目标。您可以将白名单配置为评估受监控网络上的所有主机,也可以 将白名单限制为只评估特定的网段甚至是个别主机。还可以进一步限制白名单,只评估具备特定 主机属性或者属于某个特定的 VLAN 的主机。如果已对网络进行了调查,默认情况下,您已调查 的网段即表示白名单目标。您可以编辑或删除已调查的网络,也可以添加新的目标。 接下来,创建表示合规主机的主机配置文件。白名单中的主机配置文件指定了允许在目标主机上运 行的操作系统、客户端、应用协议、网络应用及通信协议。您可以配置全局主机配置文件,编辑任...
  • Page 1226 第 52 章 将 FireSIGHT 系统用作一个合规工具 创建合规白名单 步骤 9 点击 Save White List 保存白名单。 白名单已保存。现在,可以将该白名单添加至活动的关联策略,开始评估目标主机的合规性,在 主机违反白名单时生成白名单事件,或者触发针对白名单违规的响应。有关详细信息,请参阅第 51-42 页上的创建关联策略。 调查网络...
  • Page 1227第 52 章 将 FireSIGHT 系统用作一个合规工具 创建合规白名单 步骤 5 点击 OK。 系统将显示 Create White List 页面。 白名单已预填充;其目标为被调查网络中的主机,允许的主机配置文件为这些目标的主机配置文件。 步骤 6 要调查其他网络,请点击...
  • Page 1228 第 52 章 将 FireSIGHT 系统用作一个合规工具 创建合规白名单 创建合规白名单的目标时,须指定主机要接受白名单评估所必须达到的条件。有效目标︰ • 必须在指定的 IP 地址块中。还可以将 IP 地址块排除在外。 • 必须具备至少一个指定的主机属性。 • 必须属于某个指定的 VLAN。...
  • Page 1229第 52 章 将 FireSIGHT 系统用作一个合规工具 创建合规白名单 修改现有目标 许可证:FireSIGHT 修改某个目标后,必须保存该白名单以使更改生效。请注意,如果对一个活动的关联策略所使用 的白名单中的某个目标进行修改,则保存该白名单后,系统会评估新的目标主机是否合规。但此 评估不会生成白名单事件。此外,系统将之前有效的目标的白名单主机属性更改为未评估。 要修改现有目标,请执行以下操作: 访问:管理 步骤 1 在 Create White List...
  • Page 1230 第 52 章 将 FireSIGHT 系统用作一个合规工具 创建合规白名单 完成合规白名单的主机配置文件的创建后,您可以在一个活动的关联策略中添加该白名单,开始评 估目标主机是否合规,在主机违反白名单时生成白名单事件,或者针对白名单违规行为触发响应。 有关如何创建、修改和删除合规白名单主机配置文件的信息,请参阅︰ • 第 52-12 页上的配置全局主机配置文件 • 第 52-12 页上的创建特定操作系统的主机配置文件 •...
  • Page 1231第 52 章 将 FireSIGHT 系统用作一个合规工具 创建合规白名单 步骤 4 指定允许的应用协议。您会看到三个选项: • 要允许所有应用协议,请将 Allow all Application Protocols 复选框保持选中状态。 • 要允许所有应用协议,请清除 Allow...
  • Page 1232 第 52 章 将 FireSIGHT 系统用作一个合规工具 创建合规白名单 步骤 2 此时您有两种选择: • 要添加列表中已有的应用协议,请选择此应用协议并点击 OK。点击的同时使用 Ctrl 或 Shift 选择多个应用协议。您也可以点击并拖动鼠标,以选择多个相邻的应用协议。 该应用协议已添加。请注意,如果添加的是内置应用协议,则其名称以斜体显示。您可以跳 过剩余步骤,或者更改该应用协议的任何值...
  • Page 1233第 52 章 将 FireSIGHT 系统用作一个合规工具 创建合规白名单 步骤 2 此时您有两种选择: • 要添加列表中已有的客户端,请选择此客户端并点击 OK。点击的同时使用 Ctrl 或 Shift 选择 多个客户端。您也可以点击并拖动鼠标,以选择多个相邻的客户端。 客户端已添加。请注意,如果添加的是内置客户端,则其名称以斜体显示。您可以跳过剩余 步骤,或者更改该客户端的任何值...
  • Page 1234 第 52 章 将 FireSIGHT 系统用作一个合规工具 创建合规白名单 添加通信协议至主机配置文件 许可证:FireSIGHT 您可以使用共享主机配置文件或属于单个白名单的主机配置文件,将合规白名单配置为允许某些 通信协议在特定的操作系统上运行。还可以将白名单配置为允许某些通信协议在任何有效的目标 上运行;这些通信协议被称为全局允许的通信协议。请注意,始终允许在任何主机上运行 ARP、 IP、 TCP 和 UDP 通信协议;这些通信协议无法被禁用。 对于任何允许的通信协议,必须指定其类型...
  • Page 1235第 52 章 将 FireSIGHT 系统用作一个合规工具 创建合规白名单 添加共享主机配置文件至合规白名单 许可证:FireSIGHT 共享主机配置文件虽与特定的操作系统绑定,但您可以在多个白名单上使用这些共享主机配置文 件。也就是说,如果创建了多个白名单,但要使用相同的主机配置文件来评估运行白名单中规定 的特定操作系统的主机,可使用共享主机配置文件。 您可以将任何内置或新创建的共享主机配置文件添加至合规白名单。有关详细信息,请参阅第 52-4 页上的了解共享主机配置文件和第 52-22 页上的创建共享主机配置文件。 要添加共享主机配置文件至合规白名单,请执行以下操作: 访问:管理 步骤...
  • Page 1236 第 52 章 将 FireSIGHT 系统用作一个合规工具 创建合规白名单 步骤 2 此时您有两种选择: • 如果修改的是一个共享主机配置文件,请点击 Edit。 系统将显示一个弹出窗口。根据下表按需要进行更改。点击 Save All Profiles 保存该配置文件, 然后点击...
  • Page 1237第 52 章 将 FireSIGHT 系统用作一个合规工具 创建合规白名单 要添加通信协议,请执行以下操作: 访问:管理 步骤 1 按照第 52-16 页上的添加通信协议至主机配置文件中的描述操作。 要允许所有应用协议,请执行以下操作: 访问:管理 步骤 1 在 Allowed...
  • Page 1238 第 52 章 将 FireSIGHT 系统用作一个合规工具 管理合规白名单 要删除一个应用协议、客户端、网络应用或通信协议,请执行以下操作: 访问:管理 步骤 1 在要删除的元素旁,点击删除图标 ( )。 要调查网络,请执行以下操作: 访问:管理 步骤 1 点击...
  • Page 1239第 52 章 将 FireSIGHT 系统用作一个合规工具 使用共享主机配置文件 修改合规白名单 许可证:FireSIGHT 对活动的关联策略中包含的合规白名单进行修改时,系统会重新评估目标主机。请注意,在重新 评估期间,系统不会成白名单事件,因此也不会触发与该白名单关联的任何响应,即使该白名单 包含在某活动的关联策略中,并且之前合规的主机会随着白名单的更新变为违规属性。 要修改现有的合规白名单,请执行以下操作︰ 访问:管理 步骤 1 选择 Policies > Correlation,然后点击...
  • Page 1240 第 52 章 将 FireSIGHT 系统用作一个合规工具 使用共享主机配置文件 有关共享主机配置文件更详细的说明,请参阅第 52-4 页上的了解共享主机配置文件。 您可以创建、修改和删除某个共享主机配置文件。此外,如果修改或删除了任何内置共享主机配 置文件,或者修改或删除了任何内置应用协议、通信协议或客户端,您可以将其重置为出厂默认 设置。有关详情,请参阅: • 第 52-22 页上的创建共享主机配置文件 • 第...
  • Page 1241第 52 章 将 FireSIGHT 系统用作一个合规工具 使用共享主机配置文件 • 要禁止所有应用协议,请将 Allow all Application Protocols 复选框保持未选中状态。 • 要允许特定的应用协议,请在 Allowed Application Protocols 旁,按照第...
  • Page 1242 第 52 章 将 FireSIGHT 系统用作一个合规工具 使用共享主机配置文件 表 52-2 对共享主机配置文件的操作 (续) 要...... 您可以...... 允许所有的网络应用 在 Allowed Web Applications 下,选择...
  • Page 1243第 52 章 将 FireSIGHT 系统用作一个合规工具 使用共享主机配置文件 删除某个共享主机配置文件 许可证:FireSIGHT 如果删除的共享主机配置文件属于某个活动的关联策略中使用的一个或多个白名单,则删除该配 置文件会导致主机违规,但不会生成白名单事件。 提示 如果删除了默认白名单使用的内置共享主机配置文件,则可以通过将内置配置文件重置为出厂默 认设置来进行还原。有关详细信息,请参阅第 52-25 页上的将内置主机配置文件重置为出厂默认 设置。 要删除某个共享主机配置文件,请执行以下操作: 访问:管理 步骤...
  • Page 1244 第 52 章 将 FireSIGHT 系统用作一个合规工具 处理白名单事件 要重置内置主机配置文件、应用协议、通信协议和客户端,请执行以下操作: 访问:管理 步骤 1 选择 Policies > Correlation,然后点击 White List。 系统将显示 White...
  • Page 1245 第 52 章 将 FireSIGHT 系统用作一个合规工具 处理白名单事件 下表描述了在白名单事件工作流程页面上可以执行的某些特定操作。 表 52-3 合规白名单事件的操作 要...... 您可以...... 查看某台主机的主机配置文件 点击 IP 地址旁显示的主机配置文件图标 ( )。 查看用户配置文件信息...
  • Page 1246 第 52 章 将 FireSIGHT 系统用作一个合规工具 处理白名单事件 了解白名单事件表 许可证:FireSIGHT 您可以使用关联策略功能,构建让系统实时响应网络威胁的关联策略。关联策略描述构成违规 (包括违反合规白名单)的活动类型。有关关联策略的详细信息,请参阅第 51-1 页上的配置关联 策略和规则。 出现合规白名单的违规时,系统生成一个白名单事件。下表列出了白名单事件表中的字段。 表 52-4 合规白名单事件字段 字段...
  • Page 1247第 52 章 将 FireSIGHT 系统用作一个合规工具 处理白名单事件 搜索合规白名单事件 许可证:FireSIGHT 您可以搜索特定的合规白名单事件。您可能想要创建适合您网络环境的自定义搜索,然后进行保 存,以便后续使用。下表列出了可以使用的搜索条件。 表 52-5 合规白名单事件的条件 字段 搜索条件规则 策略 输入关联策略的名称,返回由于违反该策略所包含的白名单而导致的所有事件。 White List...
  • Page 1248 第 52 章 将 FireSIGHT 系统用作一个合规工具 处理白名单的违规事件 – 对于可能同时包含多个值的字段,搜索条件可以包括单个值以及用引号引住的逗号分隔 列表。例如,在某字段上搜索 A, B, "C, D, E" 时,如果该字段可能包含其中一个或多个 这些字母,则匹配记录的指定字段将包含 A 或...
  • Page 1249 第 52 章 将 FireSIGHT 系统用作一个合规工具 处理白名单的违规事件 查看白名单违规事件 许可证:FireSIGHT 您可以使用防御中心查看白名单违规事件表。然后,可根据要查找的信息操纵事件视图。访问白 名单违规事件时显示的页面取决于您使用的工作流程。有两个预定义的工作流程: • 主机违规计数工作流程提供一系列页面,列出了违反至少一个白名单的所有主机。第一页根 据每台主机的违规次数对主机进行排序,违规次数最多的主机排在列表顶部。如果主机违反 了多个白名单,则每个违反的白名单都会在单独的一行里列出来。工作流程还包含白名单违 规事件的表视图,该视图列出了所有违规事件,最近检测到的违规事件排在列表顶部。该表 中的每一行都包含一个检测到的违规事件。 • 白名单违规工作流程包含白名单违规事件的表视图,该视图列出了所有违规事件,最近检测 到的违规事件排在列表顶部。该表中的每一行都包含一个检测到的违规事件。...
  • Page 1250 第 52 章 将 FireSIGHT 系统用作一个合规工具 处理白名单的违规事件 要查看合规白名单的违规事件,请执行以下操作: 访问:管理员/任何安全分析师/发现管理员 步骤 1 选择 Analysis > Correlation > White List Violations。...
  • Page 1251第 52 章 将 FireSIGHT 系统用作一个合规工具 处理白名单的违规事件 搜索白名单的违规事件 许可证:FireSIGHT 您可以搜索特定的合规白名单的违规事件。您可能想要创建适合您网络环境的自定义搜索,然后 进行保存,以便后续使用。下表列出了可以使用的搜索条件。 表 52-8 合规白名单的违规事件的搜索条件 字段 搜索条件规则 时间 指定白名单被违反时的日期和时间。 IP地址 指定不符合白名单规定的主机的...
  • Page 1252 第 52 章 将 FireSIGHT 系统用作一个合规工具 处理白名单的违规事件 – 对于可能同时包含多个值的字段,搜索条件可以包括单个值以及用引号引住的逗号分隔 列表。例如,在某字段上搜索 A, B, "C, D, E" 时,如果该字段可能包含其中一个或多个 这些字母,则匹配记录的指定字段将包含 A 或...
  • Page 1253: 创建流量量变曲线 第 53 章 创建流量量变曲线 流量量变曲线仅指根据您指定的一段时间跨度内所收集的连接数据确定的网络流量的量变曲线。 您可以使用设备所收集的连接数据、任何或所有启用了 NetFlow 的设备导出的连接数据,或同时 包含这两项数据。 创建流量量变曲线后,可通过对照配置文件评估新流量的方式检测异常网络流量,新流量应代表 正常网络流量。 请记住, FireSIGHT 系统根据流量量变曲线更改使用连接数据来创建流量量变曲线并触发关联性 规则。您不能包含未记录到流量量变曲线中防御中心数据库的连接。系统仅使用连接结束数据来 填入连接摘要 (请参阅第 39-2 页上的了解连接摘要),然后系统会使用它来创建连接图和流量量...
  • Page 1254 第 53 章 创建流量量变曲线 下图显示了 PTW 为一天及采样率为五分钟的流量量变曲线。 在创建并激活流量量变曲线且其学习期结束后,您可以创建在您检测到异常流量时触发的关联规 则。例如,您可写入当通过网络的数据量 (单位为数据包、 KB 或连接数)突然达到平均流量以 上三个标准差的峰值时触发的规则,这可能表示出现攻击或其他安全策略违规。然后,您可以包 括关联策略中的规则以警告您流量达到峰值或执行补救措施作为响应措施。有关使用流量量变曲 线检测网络异常流量的信息,请参阅第 51-2 页上的创建关联策略规则。 您可以在 Traffic...
  • Page 1255第 53 章 创建流量量变曲线 提供基本量变曲线信息 • 第 53-8 页上的激活和禁用流量量变曲线 • 第 53-8 页上的编辑流量量变曲线 • 第 53-9 页上的了解条件构建机制 提供基本量变曲线信息 许可证:FireSIGHT 当您创建流量量变曲线时,必须为其命名,并且或者作简要说明。...
  • Page 1256 第 53 章 创建流量量变曲线 指定流量量变曲线条件 流量量变曲线条件的语法 许可证:FireSIGHT 下表介绍了如何构建流量量变曲线条件。 请记住, NetFlow 记录不包含有关连接的主机是发起方、而其自身为响应方的信息。当系统处理 NetFlow 记录时,它会根据各主机正在使用的端口以及此类端口是否为公认端口来使用一种算法 确定该信息。有关详细信息,请参阅第 45-14 页上的 NetFlow 与 FireSIGHT...
  • Page 1257第 53 章 创建流量量变曲线 添加主机配置文件限定条件 添加主机配置文件限定条件 许可证:FireSIGHT 您可以使用来自被追踪主机的主机量变曲线的信息限制任何流量量变曲线。此类限制被称为主机配 置文件限定条件。例如,如下图所示,您可以为仅被分配了高主机重要性的主机收集连接数据。 要使用主机配置条件限定条件,主机必须存在于数据库中,且您想要用作限定条件文件的主机配 置文件属性必须已经包含在主机配置文件中。例如,如果您配置了关联策略规则以触发何时在运 行 Windows 的主机上生成入侵事件,则该规则仅会在生成入侵事件时主机已经被识别为 Windows 时触发。 要添加主机配置文件限定条件,请执行以下操作: 访问:管理员/发现管理员 步骤 1...
  • Page 1258 第 53 章 创建流量量变曲线 添加主机配置文件限定条件 例如,如果系统将 HTTPS 客户端作为主机上的一个客户端进行报告,请为 Responder Host 创建主机 配置限定条件,其中 Application Protocol 被设置为 HTTPS,因为 HTTPS 客户端会根据响应方或目标 主机发送的...
  • Page 1259第 53 章 创建流量量变曲线 设置量变曲线选项 设置量变曲线选项 许可证:FireSIGHT 量变曲线时间段 (PTW) 是滑动时间窗,长度等于FireSIGHT 系统用于计算流量量变曲线统计数据 的学习期长度。默认 PTW 是一周,但是,您可以将其更改为短至 1 小时或长至几周。 此外,流量量变曲线基于聚合的连接数据。默认情况下,流量量变曲线会生成系统在五分钟时间区 间内生成的连接事件的统计数据。但是,您可以在默认的五分钟和一小时之间随意设置采样率。 请记住,您应设置 PTW...
  • Page 1260 第 53 章 创建流量量变曲线 激活和禁用流量量变曲线 激活和禁用流量量变曲线 许可证:FireSIGHT 当您想要在监控网段上开始配置流量时,则必须激活流量量变曲线。 当您要停止收集和评估连接数据时,请禁用量变曲线。对禁用的流量量变曲线写入的规则不会触 发。此外,禁用流量量变曲线会删除变了曲线所收集和汇聚的所有数据。如果以后要重新激活已 禁用的流量量变曲线,您必须等待 PTW 时常,对其写入的规则才会触发。 要激活或禁用流量量变曲线,请执行以下操作: 访问:管理员/发现管理员 步骤 1 选择 Policies...
  • Page 1261第 53 章 创建流量量变曲线 了解条件构建机制 了解条件构建机制 许可证:FireSIGHT 您可通过指定流量量变曲线用于收集数据的条件来构建流量量变曲线。您可以使用嵌套条件来创 建简单的条件或较复杂的结构。 例如,如果想要创建为整个监控网段收集数据的流量量变曲线,您可以创建一个非常简单的不带 条件的流量量变曲线,如下图所示。 如果想要仅为 10.4.x.x 网络限制流量量变曲线和收集数据,您可以添加单个条件,如下图所示。 但是,在 10.4.x.x 网络和 192.168.x.x 网络上收集 HTTP...
  • Page 1262 第 53 章 创建流量量变曲线 了解条件构建机制 构建一个条件 许可证:FireSIGHT 大多数条件有三部分:类别、操作符和值。某些条件较为复杂,包含多个类别,每个类别都可能 有自己的操作符和值。 例如,以下流量量变曲线可收集有关 10.4.x.x 网络的信息。条件的类别是 Initiator/Responder IP,操 作符是 is in,值为 10.4.0.0/16。 以下步骤说明了如何构建该流量量变曲线条件。...
  • Page 1263第 53 章 创建流量量变曲线 了解条件构建机制 以下步骤说明了如何构建该主机配置文件限定条件。 要构建该主机配置文件限定条件,请执行以下操作: 访问:管理员/发现管理员 步骤 1 选择 Policies > Correlation,然后点击 Traffic Profiles。 系统将显示 Traffic Profiles 页面。...
  • Page 1264 第 53 章 创建流量量变曲线 了解条件构建机制 相反,在 10.4.x.x 网络或 192.168.x.x 网络中收集 HTTP 活动连接数据的以下流量量变曲线有三个 条件,最后一个构成复杂条件。 从逻辑上讲,上述流量量变曲线应如下进行评估: (A and (B or C))...
  • Page 1265第 53 章 创建流量量变曲线 了解条件构建机制 结果为: 要添加一个复杂的条件,请执行以下操作: 访问:管理员/发现管理员 步骤 1 点击当前条件上方的 Add complex condition。 复杂条件会被添加到当前条件集的下方。复杂条件包括两个子条件,这两个子条件会用相反的运 算符从用于连接上一级别的条件相互连接。 例如,如果添加复杂条件添加到以下主机配置文件限定条件中: 结果为: 要连接条件,请执行以下操作: 访问:管理员/发现管理员...
  • Page 1266 第 53 章 创建流量量变曲线 了解条件构建机制 在一个条件中使用多个值 许可证:FireSIGHT 在构建条件,且条件语法允许您从下拉列表中选择值时,通常可以从列表中选择多个值。例如, 如果想要将主机配置文件限定条件添加到需要主机运行 UNIX 的流量量变曲线,而非构建使用 OR 操作符连接的多个条件,请使用以下步骤。 要在一个条件中包含多个值,请执行以下操作: 访问:管理员/发现管理员 步骤 1 构建一个条件,选择 is...
  • Page 1267第 53 章 创建流量量变曲线 查看流量量变曲线 查看流量量变曲线 许可证:FireSIGHT 由于流量量变曲线基于连接数据,因此您可以查看流量量变曲线图。下图显示了 PTW 为一周、采 样率为五分钟,以及不活动周期为每天从午夜到上午 12:30 之间的半小时时间的流量量变曲线。 您可以在连接数据图上执行可在连接配置图上执行的几乎所有相同操作。但是,因为流量量变曲线基 于聚合数据 (连接摘要),您无法检查作为图形基础的单个连接事件。换句话说,您不能从流量量变 曲线图中向下钻取至连接数据表视图。有关详情,请参见第 39-12 页上的查看连接和安全情报数据。 此外,流量量变曲线会显示为孤立的图形。有关详细信息,请参阅第...
  • Page 1268 第 53 章 创建流量量变曲线 查看流量量变曲线 FireSIGHT 系统用户指南 53-16
  • Page 1269: 配置补救 第 54 章 配置补救 出现违反关联策略的情况时,可将 FireSIGHT 系统 配置为发起一个或多个响应,包括补救 (例 如,运行 Nmap 扫描)和各种警报。 可发起的最基本响应类型就是警报。警报通过邮件、 SNMP 陷阱服务器或系统日志向您通知违反 策略的情况。有关创建警报的信息,请参阅第 43-1 页上的配置外部警报。 可发起的另一种响应是补救。补救是一种程序,网络流量违反关联策略时,防御中心就会运行该...
  • Page 1270 第 54 章 配置补救 创建补救 • Nmap 扫描模块,可用于主动扫描特定目标,以确定在这些主机上运行的操作系统和服务器。 有关详细信息,请参阅第 54-10 页上的配置 Nmap 补救。 • Set Attribute Value 模块,可用于在发生关联事件的主机上设置主机属性。 请参阅第...
  • Page 1271 第 54 章 配置补救 创建补救 为 Cisco IOS 路由器配置补救 许可证:FireSIGHT 思科提供一个 Cisco IOS Null Route 补救模块,可用于在违反关联策略时借助思科的“null route” 命令阻止单个 IP 地址或整个地址块。这会将发送至违反关联策略事件中列为源或目标主机的主机...
  • Page 1272 第 54 章 配置补救 创建补救 要添加 Cisco IOS 实例,请执行以下操作: 访问:管理员/发现管理员 步骤 1 选择 Policies > Actions > Instances。 系统将显示...
  • Page 1273 第 54 章 配置补救 创建补救 要添加补救,请执行以下操作: 访问:管理员/发现管理员 步骤 1 选择 Policies > Actions > Instances。 系统将显示 Instances 页面。 步骤 2...
  • Page 1274 第 54 章 配置补救 创建补救 步骤 6 在 Netmask 字段中,输入子网掩码或使用 CIDR 表示法说明要阻止流量进入的网络。 例如,要在单个主机触发规则时阻止流量进入整个 Class C 网络 (不推荐),请使用 或 24...
  • Page 1275第 54 章 配置补救 创建补救 要添加补救,请执行以下操作: 访问:管理员/发现管理员 步骤 1 选择 Policies > Actions > Instances。 系统将显示 Instances 页面。 步骤 2...
  • Page 1276 第 54 章 配置补救 创建补救 要创建 Cisco PIX 防火墙补救,请执行以下操作: 访问:管理员/发现管理员 步骤 1 启用防火墙的 Telnet 或 SSH (思科推荐 SSH)。 请参阅...
  • Page 1277 第 54 章 配置补救 创建补救 步骤 9 在 White List 字段中,输入要从补救中免除的 IP 地址,每行一条。还可使用 CIDR 表示法或特定 IP 地址。例如,系统将接受以下白名单: 10.1.1.152 172.16.1.0/24 请注意,该白名单与已创建的任何合规性白名单均不关联。有关在...
  • Page 1278 第 54 章 配置补救 创建补救 Cisco PIX Block Source 补救 许可证:FireSIGHT Cisco PIX Block Source 补救可用于阻止从违反关联策略的事件所包含源主机发送的任何流量。源 主机是连接事件或入侵事件中的源 IP 地址...
  • Page 1279第 54 章 配置补救 创建补救 要创建扫描实例,请执行以下操作: 访问:管理员/发现管理员 步骤 1 选择 Policies > Actions > Instances。 系统将显示 Instances 页面。 步骤 2...
  • Page 1280 第 54 章 配置补救 创建补救 步骤 3 在 Remediation Name 字段中,键入补救名称,其中包含 1 到 63 个字母数字字符,没有空格以及除 下划线 (_) 和连接号 (-)...
  • Page 1281第 54 章 配置补救 创建补救 指定值为 1 到 65535。端口间用逗号或空格分隔。还可使用连字符指明端口范围。扫描 TCP 和 UDP 端口时,以 T 作为要扫描的 TCP 端口列表的开端,以 U 作为 UDP...
  • Page 1282 第 54 章 配置补救 创建补救 配置设定的属性补救 许可证:FireSIGHT 可响应关联事件,只需在触发事件发生的主机上设定主机属性值。对于文本主机属性,可选择使 用事件说明作为属性值。有关主机属性的详细信息,请参阅第 49-27 页上的使用预先定义的主机 属性和第 49-27 页上的使用用户定义的主机属性。 要配置设定的属性值设置以响应关联事件,必须先创建设定的属性实例,然后添加设定的属性补 救。然后配置属性值更新,以响应策略内规则违反。 有关详细信息,请参阅以下各节: • 第...
  • Page 1283第 54 章 配置补救 处理补救状态事件 步骤 2 在要向其添加补救的扫描实例旁,点击 View。 系统将显示 Edit Instance 页面。 步骤 3 从 Add a new remediation...
  • Page 1284 第 54 章 配置补救 处理补救状态事件 下表介绍可在补救状态事件工作流程页面执行的某些特定操作。 表 54-1 用于查看补救状态事件的选项 要...... 您可以...... 了解有关显示的列的详细信息 在第 54-17 页上的了解补救状态表中获得详细信息。 修改所显示事件的时间和日期范围 请参阅第 58-19 页上的设置事件时间限制。...
  • Page 1285第 54 章 配置补救 处理补救状态事件 提示 如在使用不含补救表视图的自定义工作流程,按工作流程标题点击 (switch workflow) 菜单,然后选 择 Remediation Status。 处理补救状态事件 许可证:FireSIGHT 您可以更改事件视图的布局或按字段值限制视图中的事件。 禁用列时,该列在会话持续时间内处于禁用状态 (除非稍后重新添加该列)。请注意,禁用第一 列时,会添加 Count...
  • Page 1286 第 54 章 配置补救 处理补救状态事件 表 54-2 补救状态字段 (续) 字段 说明 Result Message 描述在发起补救后所发生情况的消息。状态消息包括: • 成功完成补救 • 提供给补救模块的输入出错 •...
  • Page 1287 第 54 章 配置补救 处理补救状态事件 表 54-3 补救状态搜索条件 搜索字段 说明 Result Message 输入要匹配的结果消息的精确名称 (描述发起补救后所发生情况的消息)。有效状态消息如下: • 成功完成补救 • 提供给补救模块的输入出错 • 补救模块配置出错...
  • Page 1288 第 54 章 配置补救 处理补救状态事件 步骤 5 或者,您可以保存搜索以备将来使用。您有以下选项: • 点击 Save 保存搜索条件。 对于新的搜索,系统显示对话框,提示输入搜索名称;请输入一个唯一搜索名称并点击 Save。如果为先前存在的搜索保存新条件,则不会出现提示。已保存搜索 (并且如果选择 Private,仅对您的帐户可见),以便以后运行。 • 点击 Save...
  • Page 1289: 使用控制面板 第 55 章 使用控制面板 FireSIGHT 系统控制面板可显示当前的系统状态概况信息,包括有关系统收集和生成的事件的数 据。您还可以使用控制面板了解部署中的设备状态和整体运行状况的信息。仅有某些用户角色 (管理员、维护人员、安全分析师、安全分析师 [只读] 和自定义的具有控制面板权限的角色)可 使用控制面板。其他角色可以看到与其角色相关的默认起始页面;例如,发现管理员可以查看 Network Discovery 页面。 控制面板有一个或多个选项卡,每个选项卡都会以三列布局显示一个或多个构件。构件是了解 FireSIGHT 系统的各个方面的独立组件。 FireSIGHT 系统配置了数个预定义构件。例如,...
  • Page 1290 第 55 章 使用控制面板 除 Summary Dashboard 外,防御中心还配置了下列预定义控制面板: • Application Statistics 可提供有关监控的网络上的应用活动和入侵事件的详细信息。您可以使 用该控制面板跟踪哪些应用产生了最多的流量、许可及拒绝的连接、入侵事件,以及正在使 用的单独应用的数量和此类应用的预计风险及业务相关性。 • Connection Summary 控制面板使用连接数据来创建监控网络上的活动的表格和图表。您可以 使用该控制面板来追踪与网络上的连接和流量相关的端口、应用和发起方及响应方...
  • Page 1291第 55 章 使用控制面板 了解控制面板构件 表 55-1 事件表控制面板链接 (续) 表 控制面板链接 Intrusion Events 摘要 (Intrusion Events 选项卡) (Analysis > Intrusions...
  • Page 1292 第 55 章 使用控制面板 了解控制面板构件 可查看的控制面板小组件取决于正在使用的设备类型和用户角色。此外,每个控制面板都有一组 可确定其行为的首选项。您可以将构件最小化和最大化,向选项卡添加和从选项卡移除构件,以 及在选项卡上重新排列构件。 注 对于显示某个时间范围内的事件数的构件而言,事件的总数可能无法反映可在事件查看器中查看 其详细数据的事件数量。因为系统有时会删掉较旧的事件详情以管理磁盘空间使用情况,所以会 发生这种情况。要将事件详情删除的情况降到最少,您可以微调事件日志记录,以只记录对部署 最重要的事件。有关详细信息,请参阅第 38-1 页上的记录网络流量中的连接。 有关详情,请参阅: • 第 55-4...
  • Page 1293 第 55 章 使用控制面板 了解控制面板构件 下表列出了每台设备能够显示的有效构件。 表 55-2 FirePOWER 设备和控制面板构件可用性 构件 防御中心 任何受管设备 设备信息 是 是 设备状态 是 否 Correlation...
  • Page 1294 第 55 章 使用控制面板 了解预定义构件 表 55-3 用户角色和控制面板构件可用性 (续) 构件 管理员 Maintenance User 安全分析师 Security Analyst (RO) RSS 源...
  • Page 1295 第 55 章 使用控制面板 了解预定义构件 • 第 55-22 页上的了解 Disk Usage 构件 • 第 55-23 页上的了解 Interface Traffic 构件 •...
  • Page 1296 第 55 章 使用控制面板 了解预定义构件 了解 Appliance Status 构件 许可证:任何环境 Appliance Status 构件指示设备及其所管理的任何设备的运行状况。请注意,由于防御中心不会自 动将运行状况策略应用于受管设备,您必须将运行状况策略手动应用于设备上,否则设备状态会 显示为禁用。默认情况下,该构件在 Detailed Dashboard 和 Summary...
  • Page 1297 第 55 章 使用控制面板 了解预定义构件 选择一个或多个 Priorities 复选框,以分别显示特定优先级事件的图形,包括不具有优先级的事 件。选择 Show All 以显示所有关联事件的图形,无论其优先级如何。首选项还可控制构件的更新 频率。有关详细信息,请参阅第 55-6 页上的了解构件首选项。 您可以点击某个图形查看特定优先级的关联事件,或者点击 All 图形查看所有关联事件。在任何 一种情况下,事件均受到控制面板时间范围的限制;通过控制面板访问关联事件可更改设备的事 件...
  • Page 1298 第 55 章 使用控制面板 了解预定义构件 • 灰色:链路被系统管理禁用 • 蓝色:链路状态信息不可用 (例如 ASA) 构件首选项可控制构件的更新频率。有关详细信息,请参阅第 55-6 页上的了解构件首选项。 了解 Current Sessions 构件 许可证:任何环境...
  • Page 1299第 55 章 使用控制面板 了解预定义构件 另外,通过 Unique Event 合计可以了解每种类型有多少个入侵事件已经发生 (例如,检测到多少 网络木马、可能违反公司政策的情况、试图拒绝服务攻击,等等)。 或者,您还可以使用已保存的搜索 (无论是设备预定义搜索之一还是您创建的自定义搜索)来进 一步限制构件。例如,使用 Dropped Events 搜索限制第一个示例 (使用 Classification,通过 Count...
  • Page 1300 第 55 章 使用控制面板 了解预定义构件 构件背景中的彩色条可显示每个事件发生的次数;您应该从右到左阅读彩色条。您可以更改构件 显示的彩色条的颜色和行数。您还可以配置构件显示经常发生的事件或最少发生的事件。 方向图标 ( ) 指示和控制显示的排序顺序。向下指向的图标表示降序;向上的图标表示升序。 要更改排序顺序,请点击图标。 在每个事件旁边,构件可以显示三个图标中的其中一个,以显示最近结果中的任何更改: • 新的事件图标 ( ) 表示该事件对结果而言是第一次发生。 •...
  • Page 1301 第 55 章 使用控制面板 了解预定义构件 如果您想了解时间范围内的事件或其他所收集数据的信息,您可以配置 Custom Analysis 构件显示 一个线形图,例如显示时间范围内配置中所生成的入侵事件总数的线形图。对于一段时间内的图 形而言,您可以选择构件使用的时区和线条的颜色。 最后,您可以选择构件的自定义标题。 在 Custom Analysis 构件中,您可以调用提供构件显示事件的相关详情的事件视图 (即,工作流 程)。要做到这一点,请点击要详细了解的事件。 您还可以右击 Custom...
  • Page 1302 第 55 章 使用控制面板 了解预定义构件 下表介绍了您可以在 Custom Analysis 构件中设置的不同首选项。 表 55-4 Custom Analysis 构件首选项 使用此首选项… 以控制… 职位 构件的标题。 如果不指定标题,设备会使用已配置的事件类型作为构件标题。...
  • Page 1303 第 55 章 使用控制面板 了解预定义构件 . 表 55-5 Custom Analysis 构件预设 预设 说明 预定义控制面板 许可证 所有入侵事件 显示监控网络上控制面板一定时间范围内入 Detailed Dashboard...
  • Page 1304 第 55 章 使用控制面板 了解预定义构件 表 55-5 Custom Analysis 构件预设 (续) 预设 说明 预定义控制面板 许可证 按来源国家划分的连接 根据每个国家发起连接的数量显示与监控网 Connection Summary...
  • Page 1305 第 55 章 使用控制面板 了解预定义构件 表 55-5 Custom Analysis 构件预设 (续) 预设 说明 预定义控制面板 许可证 一段时间内的文件传输 显示控制面板时间范围内系统在网络流量中 Files Dashboard 保护...
  • Page 1306 第 55 章 使用控制面板 了解预定义构件 表 55-5 Custom Analysis 构件预设 (续) 预设 说明 预定义控制面板 许可证 恶意软件威胁数 显示按威胁类型分组的,由系统或 FireAMP Files...
  • Page 1307 第 55 章 使用控制面板 了解预定义构件 表 55-5 Custom Analysis 构件预设 (续) 预设 说明 预定义控制面板 许可证 主要威胁 根据所存储的威胁评分相同的文件数显示威 Files Dashboard 恶意软件...
  • Page 1308 第 55 章 使用控制面板 了解预定义构件 表 55-5 Custom Analysis 构件预设 (续) 预设 说明 预定义控制面板 许可证 按安全情报类别划分的 根据控制面板时间范围内各类连接上传输的 Summary Dashboard...
  • Page 1309 第 55 章 使用控制面板 了解预定义构件 从 Custom Analysis 构件查看关联事件 许可证:任何环境 根据 Custom Analysis 构件配置显示的数据类型,您可以调用提供构件中显示的事件相关的详细信 息的事件视图 (即,工作流程)。 在调用控制面板中的事件视图时,事件会在该事件类型的默认工作流程中显示,并受到控制面板 时间范围的限制。这还会改变设备的适当时间段,具体取决于配置的时间段的数量和想要查看的 事件的类型。 例如,如果您在防御中心上配置了多个时间段,然后从...
  • Page 1310 第 55 章 使用控制面板 了解预定义构件 • 第 51-48 页上的查看关联事件 • 第 52-26 页上的查看白名单事件 • 第 52-31 页上的查看白名单违规事件 • 第...
  • Page 1311 第 55 章 使用控制面板 了解预定义构件 表 55-6 磁盘使用情况类别 磁盘使用情况类别 说明 活动 系统记录的所有事件 文件 系统存储的所有文件 备用 所有备份文件 更新 与更新相关的所有文件,例如规则更新和系统更新 其他 系统故障排除文件和其他文件...
  • Page 1312 第 55 章 使用控制面板 了解预定义构件 构件首选项可控制构件的更新频率。在受管设备上,首选项还可控制构件是否显示未使用的接口 上的流量速率 (默认情况下,该构件只会显示活动接口的流量速率)。有关详细信息,请参阅第 55-6 页上的了解构件首选项。 了解 Intrusion Events 构件 许可证:保护 Intrusion Events 构件可显示发生在控制面板时间范围内的入侵事件 (按优先级组织)。这包括有...
  • Page 1313第 55 章 使用控制面板 了解预定义构件 在受管设备上,该构件可以显示丢弃 (或者,在被动部署的设备上,则为已丢弃)入侵事件、所 有入侵事件或两者皆显示。请注意,您必须启用本地事件存储,否则构件不会显示任何数据。还 请注意, All 代表的总速率不包括已丢弃的事件速率。 在防御中心上,而非受管设备上,您可以修改构件首选项配置构件显示了已丢弃的入侵事件/可能 已经丢弃的数据包以及不同影响。您可以在防御中心和设备上显示已丢弃和可能已丢弃的事件。 下图显示了构件首选项的防御中心版本。 在构件首选项中,您可以: • 在防御中心,选择一个或多个 Event Flags 复选框以显示已丢弃数据包、可能已丢弃数据包,或...
  • Page 1314 第 55 章 使用控制面板 了解预定义构件 了解 Network Compliance 构件 许可证:FireSIGHT Network Compliance 构件总结主机符合您配置的白名单的情况 (请参阅第 52-1 页上的将 FireSIGHT 系统用作一个合规工具)。默认情况下,该构件会显示有关活跃关联策略中的所有合 规白名单列出的合规、不合规,以及未评估的主机数量的饼形图。默认情况下,该构件在...
  • Page 1315第 55 章 使用控制面板 了解预定义构件 Network Compliance over Time 风格会显示有关控制面板时间范围内合规,不合规,未评估的主机数 量的线形图。 首选项可控制构件的更新频率。您可以选中 Show Not Evaluated 框以隐藏未评估的活动。有关详细 信息,请参阅第 55-6 页上的了解构件首选项。 了解...
  • Page 1316 第 55 章 使用控制面板 了解预定义构件 构件的顶部显示在防御中心上安装的所有设备和功能许可证,包括临时许可证,而 Expiring Licenses 部分则显示临时及已到期许可证。例如,如果您有两张 FireSIGHT 功能许可证,其中一 张是永久许可证,支持 750 台主机,另一张为临时许可证,支持另外 750 台主机,则构件的顶部 可显示带 1500 台许可主机的...
  • Page 1317第 55 章 使用控制面板 了解预定义构件 了解 RSS Feed 构件 许可证:任何环境 RSS Feed 构件可向控制面板添加一个 RSS 源。默认情况下,该构件可显示思科安全新闻的信息 源。默认情况下,该构件在 Detailed Dashboard 和 Summary...
  • Page 1318 第 55 章 使用控制面板 了解预定义构件 您可以通过修改构件首选项以配置构件显示或隐藏平均负载。首选项还可控制构件的更新频率。 有关详细信息,请参阅第 55-6 页上的了解构件首选项。 了解 System Time 构件 许可证:任何环境 System Time 构件可显示本地系统时间、正常运行时间和设备启动时间。默认情况下,该构件在 Detailed Dashboard...
  • Page 1319第 55 章 使用控制面板 使用控制面板 通过修改构件首选项,您可以配置构件以显示不同优先级的白名单事件。 在构件首选项中,您可以: • 选择一个或多个 Priorities 复选框显示特定优先级事件的图形,包括不具备优先级的事件。 • 选择 Show All 以显示所有白名单事件的其他图形,无论其优先级如何。 • 选择 Vertical Scale...
  • Page 1320 第 55 章 使用控制面板 使用控制面板 有关使用控制面板的详细信息,请参阅: • 第 55-32 页上的创建自定义控制面板 • 第 55-33 页上的查看控制面板 • 第 55-35 页上的修改控制面板 •...
  • Page 1321第 55 章 使用控制面板 使用控制面板 步骤 4 键入控制面板的名称以及可选说明。 步骤 5 在 Change Tabs Every 字段,指定控制面板应更改选项卡的频率 (单位:分钟)。 除非您暂停控制面板或控制面板上只有一个选项卡,否则该设置会在您指定的时间间隔将视图转 至下一个选项卡。要禁用选项卡循环,请输入 0 到...
  • Page 1322 第 55 章 使用控制面板 使用控制面板 当您完成分析时,您可以取消控制面板暂停。恢复控制面板运行会使得页面上的所有相应的构件 更新以反映当前时间范围。此外,控制面板选项卡会恢复循环,控制面板页面会根据您在控制面 板属性中指定的设置进行刷新。 如果出现中断控制面板系统信息流的连接问题或其他问题,控制面板会自动暂停,并显示错误通 知,直至问题解决为止。 注 您的会话一般会在 1 小时 (或其他配置的时间间隔)的非活动期后注销,无论控制面板是否暂 停。如果您计划长时间被动监控控制面板,您可考虑使某些用户免于会话超时,或更改系统超时 设置。有关详细信息,请参阅第 61-44 页上的管理用户登录设置和第...
  • Page 1323第 55 章 使用控制面板 使用控制面板 修改控制面板 许可证:任何环境 一个控制面板有一个或多个选项卡。您可以添加、删除和重命名选项卡。请注意,您不能更改控 制面板选项卡的顺序。 每个选项卡都可以三列布局显示一个或多个构件。您可以将构件最小化和最大化,向选项卡添加 和从选项卡移除构件,以及在选项卡上重新排列构件。 您也可以更改基本控制面板属性,包括其名称和说明、选项卡周期和页面刷新间隔,以及是否希 望与其他用户共享控制面板。 请注意,有控制面板访问权限的任何用户,无论角色如何,都可以修改共享控制面板。如果您希 望确保只有您可以修改特定控制面板,请确保在控制面板属性中将其设置为专用控制面板。 在所有思科预定义控制面板中的 Custom Analysis 配置都与该构件的预设相对应。如果您更改或删 除了其中一个构件,您可以通过根据适当的预设创建一个新的...
  • Page 1324 第 55 章 使用控制面板 使用控制面板 步骤 3 根据需要做出更改,然后点击 Save。 控制面板更改成功。 添加选项卡 许可证:任何环境 执行下列操作步骤以添加选项卡到控制面板。 要添加选项卡到控制面板中,请执行以下操作: 访问:管理员/任何安全分析师/维护人员 步骤 1 查看您想要添加选项卡的控制面板。 有关详细信息,请参阅第...
  • Page 1325第 55 章 使用控制面板 使用控制面板 重命名选项卡 许可证:任何环境 执行下列操作步骤以重命名控制面板选项卡。 要重命名选项卡,请执行以下操作: 访问:管理员/任何安全分析师/维护人员 步骤 1 查看您想要重命名选项卡的控制面板。 有关详细信息,请参阅第 55-33 页上的查看控制面板。 步骤 2 点击要重命名的选项卡。 步骤...
  • Page 1326 第 55 章 使用控制面板 使用控制面板 构件会被立即添加到控制面板中。 Add Widgets 页面会显示每种类型有多少个构件在选项卡上, 包括您刚刚添加的构件。 步骤 5 或者,当您完成添加构件时,点击 Done 返回控制面板。 系统将再次显示您已添加构件的选项卡,以反映您所作的改变。 重新排列构件 许可证:任何环境 您可以更改任何构件在选项卡上的位置。但请注意,您不能在选项卡之间移动构件。如果您想要...
  • Page 1327第 55 章 使用控制面板 使用控制面板 步骤 2 确认要删除构件。 构件会从选项卡上删除。 删除控制面板 许可证:任何环境 如果不再需要使用某个控制面板,可将其删除。 如果您删除了默认控制面板,您必须定义一个新的默认控制面板,否则设备会在您每次查看控制 面板时要求您选择一个控制面板。有关详细信息,请参阅第 71-7 页上的指定默认控制面板。 要删除控制面板,请执行以下操作: 访问:管理员/任何安全分析师/维护人员 步骤 1...
  • Page 1328 第 55 章 使用控制面板 使用控制面板 FireSIGHT 系统用户指南 55-40
  • Page 1329: 使用 Context Explorer 第 56 章 使用 Context Explorer FireSIGHT 系统Context Explorer 在上下文中显示有关受监控网络状态的详细、交互图形信息,包 括有关应用、应用统计、连接、地理定位、危害表现、入侵事件、主机、服务器、安全情报、用 户、文件 (包括恶意软件文件)和相关 URL 的数据。不同部分以生动的曲线图、条形图、饼状 图和环状图方式显示这些数据,附有详细列表。 可轻松创建和应用自定义过滤器以微调分析,此外,还可更详细地查看各数据部分,只需点击图 形区域或将光标悬停在图形区域上方。还可配置资源管理器的时间范围,以反映短至前一小时或 长至上一年的时间段。只有具备管理员、安全分析师或安全分析师...
  • Page 1330 第 56 章 使用 Context Explorer 了解 Context Explorer 表 56-1 对比:控制面板与 Context Explorer (续) 特性 控制面板 情景管理器 图形上下文...
  • Page 1331第 56 章 使用 Context Explorer 了解 Context Explorer 了解“流量和入侵事件计数时间”图形 许可证:FireSIGHT Context Explorer 顶部有一个随时间推移的流量和入侵事件曲线图。X 轴标绘时间间隔(从五分钟到 一个月不等,取决于选定的时窗)。 Y 轴以千字节标绘流量 (蓝线)和入侵事件计数 (红线)。...
  • Page 1332 第 56 章 使用 Context Explorer 了解 Context Explorer 查看“按指示划分的主机”图形 许可证:FireSIGHT “按指示划分的主机”图形以环状图形式显示受监控网络中主机触发的危害表现 (IOC) 的比例视 图。内环按 IOC 类别划分的(例如,CnC Connected 或...
  • Page 1333第 56 章 使用 Context Explorer 了解 Context Explorer 将鼠标指针悬停在图形中任何部分的上方,即可查看详细信息。点击图形中的任何部分,即可过 滤或向下展开该信息。 此图形主要从“主机”和“危害表现”表提取数据。 了解“网络信息”部分 许可证:FireSIGHT Context Explorer 的 Network Information 部分包含六个交互图形,这六个交互图显示受监控网络中...
  • Page 1334 第 56 章 使用 Context Explorer 了解 Context Explorer 请注意,无论日期和时间限制如何,此图形均反映所有可用数据。如果更改资源管理器的时间范 围,图形不变。 将鼠标指针悬停在图形中任何部分的上方,即可查看详细信息。点击图形中的任何部分,即可过 滤或向下展开该信息。 此图形主要从“主机”表提取数据。 FireSIGHT 系统用户指南 56-6
  • Page 1335第 56 章 使用 Context Explorer 了解 Context Explorer 查看“按源 IP 划分的流量”图形 许可证:FireSIGHT “按源 IP 划分的流量”图形以条形图形式显示受监控网络中前 15 个最活跃源 IP 地址的网络流量...
  • Page 1336 第 56 章 使用 Context Explorer 了解 Context Explorer 查看“按源用户划分的流量”图形 许可证:FireSIGHT “按源用户划分的流量”图形以条形图形式显示受监控网络中前 15 个最活跃源用户的网络流量 (千字节每秒)和独特连接的计数。对于列出的每个源 IP 地址,蓝条代表流量数据,红条代表连 接数据。 将鼠标指针悬停在图形中任何部分的上方,即可查看详细信息。点击图形中的任何部分,即可过...
  • Page 1337第 56 章 使用 Context Explorer 了解 Context Explorer 查看“按访问控制措施划分的连接”图形 许可证:FireSIGHT “按访问控制措施划分的连接”图形以饼状图形式显示 FireSIGHT 系统部署已对受监控流量采取 的访问控制措施 (例如, Block 或 Allow)的比例视图。 将鼠标指针悬停在图形中任何部分的上方,即可查看详细信息。点击图形中的任何部分,即可过...
  • Page 1338 第 56 章 使用 Context Explorer 了解 Context Explorer 查看“按目标 IP 划分的流量”图形 许可证:FireSIGHT “按目标 IP 划分的流量”图形以条形图形式显示受监控网络中前 15 个最活跃目标 IP...
  • Page 1339第 56 章 使用 Context Explorer 了解 Context Explorer 将鼠标指针悬停在图形中任何部分的上方,即可查看详细信息。点击图形中的任何部分,即可过 滤或向下展开该信息。 提示 要限制此图形,使其仅按出口安全区域显示流量,将鼠标指针悬停在图形上方,然后在显示的切 换按钮上点击 Egress。点击 Ingress 返回默认视图。请注意,离开 Context Explorer 也会使图形返回...
  • Page 1340 第 56 章 使用 Context Explorer 了解 Context Explorer 要配置 Application Information 部分,重点在于: 访问:管理员/任何安全分析师 步骤 1 选择 Analysis >...
  • Page 1341第 56 章 使用 Context Explorer 了解 Context Explorer 将鼠标指针悬停在图形中任何部分的上方,即可查看详细信息。点击图形中的任何部分,即可过 滤或向下展开该信息。 提示 要限制此图形,使其按业务相关性和应用显示流量,请将鼠标指针悬停在此图形上方,然后在所 显示的切换按钮上,点击 Business Relevance。点击 Risk 返回默认视图。请注意,离开 Context Explorer...
  • Page 1342 第 56 章 使用 Context Explorer 了解 Context Explorer 查看“按风险/业务相关性和应用划分的主机”图形 许可证:FireSIGHT “按风险/业务相关性和应用划分的主机”图形以环状图形式显示受监控网络上检测到的主机以及 与这些主机相关联的应用的比例化再现,这些主机按应用的预估风险 (默认值)或预估业务相关 性进行排列。内环按预估的风险/业务相关性水平 (例如, Medium 或 High)划分,而外环按特定...
  • Page 1343第 56 章 使用 Context Explorer 了解 Context Explorer 了解“安全情报”部分 许可证:保护 受支持的设备:任何防御中心,除了 2 系列 受支持的防御中心:除 DC500 外的所有型号 Context Explorer 的...
  • Page 1344 第 56 章 使用 Context Explorer 了解 Context Explorer 注 如果过滤入侵事件信息,“按类别划分的安全情报流量”图形将隐藏。 此图形主要从“安全情报事件”表提取数据。 查看“按源 IP 划分的安全情报流量”图形 许可证:保护 受支持的设备:任何防御中心,除了 2 系列...
  • Page 1345第 56 章 使用 Context Explorer 了解 Context Explorer 查看“按目标 IP 划分的安全情报流量”图形 许可证:保护 受支持的设备:任何防御中心,除了 2 系列 受支持的防御中心:除 DC500 外的所有型号 “按目标...
  • Page 1346 第 56 章 使用 Context Explorer 了解 Context Explorer • 第 56-21 页上的查看“按优先级划分的入侵事件”图形 • 第 56-22 页上的查看“主要目标”图形 • 第...
  • Page 1347第 56 章 使用 Context Explorer 了解 Context Explorer 查看“主要攻击者”图形 许可证:保护 “主要攻击者”图形以条形图形式显示受监控网络中主要攻击性主机 IP 地址 (导致这些事件的 地址)的入侵事件的计数。 将鼠标指针悬停在图形中任何部分的上方,即可查看详细信息。点击图形中的任何部分,即可过 滤或向下展开该信息。 此图形主要从“入侵事件”表提取数据。 FireSIGHT...
  • Page 1348 第 56 章 使用 Context Explorer 了解 Context Explorer 查看“主要用户”图形 许可证:保护 “主要用户”图形以条形图形式按事件计数显示与最高入侵事件计数关联的受监控网络上的用户。 将鼠标指针悬停在图形中任何部分的上方,即可查看详细信息。点击图形中的任何部分,即可过 滤或向下展开该信息。 此图形主要从“IDS 用户统计数据”和“入侵事件”表提取数据。请注意,此图形仅显示 User Agent 报告的用户。...
  • Page 1349第 56 章 使用 Context Explorer 了解 Context Explorer 查看“按优先级划分的入侵事件”图形 许可证:保护 “按优先级划分的入侵事件”图形以饼状图形式显示受监控网络中入侵事件的比例视图,按预估 的优先级 (例如, High、 Medium 或 Low)分组。 将鼠标指针悬停在图形中任何部分的上方,即可查看详细信息。点击图形中的任何部分,即可过 滤或向下展开该信息。...
  • Page 1350 第 56 章 使用 Context Explorer 了解 Context Explorer 查看“主要目标”图形 许可证:保护 “主要目标”图形以条形图形式显示受监控网络中主要目标主机 IP 地址 (导致这些事件的连接 中的目标)的入侵事件计数。 将鼠标指针悬停在图形中任何部分的上方,即可查看详细信息。点击图形中的任何部分,即可过 滤或向下展开该信息。 此图形主要从“入侵事件”表提取数据。...
  • Page 1351第 56 章 使用 Context Explorer 了解 Context Explorer 查看“主要入口/出口安全区域”图形 许可证:保护 “主要入口/出口安全区域”图形以条形图形式显示与受监控网络上配置的每个安全区域 (入口 或出口,取决于图形设置)关联的入侵事件计数。有关安全区域的信息,请参阅第 3-34 页上的使 用安全区域。 将鼠标指针悬停在图形中任何部分的上方,即可查看详细信息。点击图形中的任何部分,即可过 滤或向下展开该信息。 提示...
  • Page 1352 第 56 章 使用 Context Explorer 了解 Context Explorer 了解“文件信息”部分 许可证:保护或恶意软件 受支持的设备:因功能而异 受支持的防御中心:因功能而异 Context Explorer 的 Files Information 部分包含六个交互图形,它们显示受监控网络上的文件和恶...
  • Page 1353第 56 章 使用 Context Explorer 了解 Context Explorer 查看“主要文件类型”图形 许可证:保护或恶意软件 受支持的设备:因功能而异 受支持的防御中心:因功能而异 “主要文件类型”图形以饼状图形式显示网络流量中检测到的文件类型的比例视图 (外环),按 文件类别 (内环)分组。 将鼠标指针悬停在图形中任何部分的上方,即可查看详细信息。点击图形中的任何部分,即可过 滤或向下展开该信息。 请注意,您必须拥有恶意软件许可证并对此图形启用恶意软件检测,以纳入基于网络的恶意软件...
  • Page 1354 第 56 章 使用 Context Explorer 了解 Context Explorer 查看“主要文件名”图形 许可证:保护或恶意软件 受支持的设备:因功能而异 受支持的防御中心:因功能而异 “主要文件名”图形以条形图形式显示网络流量中检测到的主要独特文件名的计数。 将鼠标指针悬停在图形中任何部分的上方,即可查看详细信息。点击图形中的任何部分,即可过 滤或向下展开该信息。 请注意,您必须拥有恶意软件许可证并对此图形启用恶意软件检测,以纳入基于网络的恶意软件 数据。另请注意 DC500...
  • Page 1355第 56 章 使用 Context Explorer 了解 Context Explorer 将鼠标指针悬停在图形中任何部分的上方,即可查看详细信息。点击图形中的任何部分,即可过 滤或向下展开该信息。 请注意,您必须拥有恶意软件许可证并对此图形启用恶意软件检测,以纳入基于网络的恶意软件 数据。另请注意 DC500 防御中心和 2 系列设备以及用于 Blue Coat X-系列的思科...
  • Page 1356 第 56 章 使用 Context Explorer 了解 Context Explorer 查看“发送文件的主要主机”图形 许可证:保护或恶意软件 受支持的设备:因功能而异 受支持的防御中心:因功能而异 “发送文件的主要主机”图形以条形图形式显示网络流量中检测到的主要文件发送主机 IP 地址的 文件数量计数。 将鼠标指针悬停在图形中任何部分的上方,即可查看详细信息。点击图形中的任何部分,即可过 滤或向下展开该信息。...
  • Page 1357第 56 章 使用 Context Explorer 了解 Context Explorer 查看“接收文件的主要主机”图形 许可证:保护或恶意软件 受支持的设备:因功能而异 受支持的防御中心:因功能而异 “接收文件的主要主机”图形以条形图形式显示网络流量中检测到的主要文件接收主机 IP 地址的 文件数量计数。 将鼠标指针悬停在图形中任何部分的上方,即可查看详细信息。点击图形中的任何部分,即可过 滤或向下展开该信息。 提示...
  • Page 1358 第 56 章 使用 Context Explorer 了解 Context Explorer 查看“主要恶意软件检测”图形 许可证:保护或恶意软件 受支持的设备:因功能而异 受支持的防御中心:因功能而异 “恶意软件检测”图形以条形图形式显示网络上检测到的主要恶意软件威胁的计数,如已订用 FireAMP,也显示用户安装 FireAMP 连接器所在终点上检测到的主要恶意软件威胁的计数。 将鼠标指针悬停在图形中任何部分的上方,即可查看详细信息。点击图形中的任何部分,即可过 滤或向下展开该信息。...
  • Page 1359第 56 章 使用 Context Explorer 了解 Context Explorer 查看“按发起方/响应方国家/地区划分的连接”图形 许可证:FireSIGHT 受支持的防御中心:除 DC500 外的所有型号 “按发起方/响应方国家/地区划分的连接”图形以环状图形式显示作为发起方 (默认值)或响应 方的网络连接涉及国家/地区的比例视图。内环将这些国家/地区按大陆分组。有关地理定位的信 息,请参阅第 58-17 页上的使用地理定位。有关连接数据的信息,请参阅第...
  • Page 1360 第 56 章 使用 Context Explorer 了解 Context Explorer 查看“按源/目标地国家/地区划分的入侵事件”图形 许可证:FireSIGHT 受支持的防御中心:除 DC500 外的所有型号 “按源/目标地国家/地区划分的入侵事件”图形以环状图形式显示作为事件 (默认值)或目标来 源的网络上入侵事件涉及的国家/地区的比例视图。内环将这些国家/地区按大陆分组。有关地理 定位的信息,请参阅第 58-17...
  • Page 1361第 56 章 使用 Context Explorer 了解 Context Explorer 查看“按发送/接收国家/地区划分的文件事件”图形 许可证:FireSIGHT 受支持的防御中心:除 DC500 外的所有型号 “按发送/接收国家/地区划分的文件事件”图形以环状图形式显示网络上文件事件中检测到作为 发送 (默认值)或接收文件的国家/地区的比例视图。内环将这些国家/地区按大陆分组。有关地 理定位的信息,请参阅第 58-17 页上的使用地理定位。有关文件事件数据的信息,请参阅第...
  • Page 1362 第 56 章 使用 Context Explorer 了解 Context Explorer 请注意,您必须拥有 URL 过滤许可证并为 URL 过滤图形启用 URL 过滤,包括 URL 类别和声誉数 据。另请注意,DC500...
  • Page 1363第 56 章 使用 Context Explorer 了解 Context Explorer 查看“按 URL 类别划分的流量”图形 许可证:URL 过滤 受支持的设备:因功能而异 受支持的防御中心:因功能而异 “按 URL 类别划分的流量”图形以条形图形式显示受监控网络中请求最频繁的 URL...
  • Page 1364 第 56 章 使用 Context Explorer 了解 Context Explorer 查看“按 URL 声誉划分的流量”图形 许可证:URL 过滤 受支持的设备:因功能而异 受支持的防御中心:因功能而异 “按 URL 声誉划分的流量”图形以条形图形式显示受监控网络中请求最频繁的...
  • Page 1365第 56 章 使用 Context Explorer 了解 Context Explorer 要刷新 Context Explorer,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 在 Context Explorer 上,点击右上方的 Reload。...
  • Page 1366 第 56 章 使用 Context Explorer 了解 Context Explorer 要最大化 Context Explorer 部分,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 点击已最小化部分标题栏中的最大化图标 ( )。...
  • Page 1367第 56 章 使用 Context Explorer 使用 Context Explorer 中的过滤器 系统打开一个新窗口,显示所选用户的用户配置文件页面。有关用户详情的详细信息,请参 阅第 50-55 页上的了解用户详细信息和主机历史记录。 • 如果选定与特定入侵事件消息相关联的数据点并想要查看关联入侵规则的详细信息,请选择 View Rule Documentation。 系统打开一个新窗口,显示与所选事件有关的规则详细信息页面。有关入侵规则详情的详细...
  • Page 1368 第 56 章 使用 Context Explorer 使用 Context Explorer 中的过滤器 Data Type 下拉列表中包含可用于限制 Context Explorer 的许多不同类型的 FireSIGHT 系统数据。 选择一个数据类型后,在...
  • Page 1369 第 56 章 使用 Context Explorer 使用 Context Explorer 中的过滤器 表 56-2 过滤器数据类型 (续) 类型 示例值 定义 IOC Event Type...
  • Page 1370 第 56 章 使用 Context Explorer 使用 Context Explorer 中的过滤器 步骤 3 从 Data Type 下拉列表,选择要过滤的数据类型。 系统用该数据类型的示例值填充 Filter 字段。...
  • Page 1371第 56 章 使用 Context Explorer 使用 Context Explorer 中的过滤器 步骤 2 在资源管理器的任何部分 (“随时间推移的流量和入侵事件”部分或包含 URL 数据的部分除 外),点击要过滤的数据点。 系统在附近显示上下文菜单弹出窗口。 步骤 3...
  • Page 1372 第 56 章 使用 Context Explorer 使用 Context Explorer 中的过滤器 FireSIGHT 系统用户指南 56-44
  • Page 1373: 使用报告 第 57 章 使用报告 FireSIGHT 系统提供一个灵活的报告系统,能够利用防御中心上显示的事件视图或控制面板快速 而轻松地生成多部分报告。还可以从头设计自定义报告。只有在防御中心上可以生成报告。 报告是一种采用 PDF、 HTML 或 CSV 格式的文档文件,其包含要传达的内容。报告模板为报告 及其各章节指定了数据搜索和格式。 FireSIGHT 系统内有一个功能强大的报告设计器,用于自动 化报告模板的设计。可以复制网络界面中显示的任何活动视图表或控制面板图形的内容。 可以根据需要的数量创建报告模板。每个报告模板分别定义报告中的各个部分并指定创建报告内 容的数据库搜索,以及演示文稿格式...
  • Page 1374 第 57 章 使用报告 了解报告模板 报告中的所有部分都有一个标题栏和控制部分内容和外观的各种属性字段。有关详情,请参阅: • 报告部分标题栏元素表 • 报告部分字段表 下表说明每个模板部分的标题栏上的控件。 表 57-1 报告部分标题栏元素 属性 定义 部分标题 包含部分显示在报告中的名称。点击该名称并键入新名称可更改名称。为避免 显示问题,在...
  • Page 1375第 57 章 使用报告 创建和编辑报告模板 表 57-2 报告部分字段 (续) 字段名称 定义 Time Window 为部分中显示的数据定义时间段。如果部分搜索基于时间的表,可以选择复选 框以继承报告的全局时间段。或者,可以为部分设置特定时间段。有关设置时 间段的信息,请参阅第 57-11 页上的编辑报告模板的各部分。 成果 选择...
  • Page 1376 第 57 章 使用报告 创建和编辑报告模板 要创建模板外壳,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 选择 Overview > Reporting。 步骤 2 点击 Report Templates 选项卡。...
  • Page 1377第 57 章 使用报告 创建和编辑报告模板 设置 PDF 和 HTML 报告文档属性 许可证:任何环境 从模板生成的报告具有多个覆盖所有部分和控制功能的文档属性,例如封面、页眉和页脚、页码等。 要设置报告文档的属性,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 选择 Overview > Reporting。...
  • Page 1378 第 57 章 使用报告 创建和编辑报告模板 步骤 6 根据需要对模板进行更改。 有关定义模板各部分和文档属性的信息,请参阅: • 第 57-11 页上的编辑报告模板的各部分 • 第 57-20 页上的编辑报告模板中的文档属性 使用预定义报告模板 许可证:任何环境...
  • Page 1379第 57 章 使用报告 创建和编辑报告模板 Attack Report: Attack $<Attack SID> Attack Report: Attack $<Attack SID> 报告模板提供网络上特定攻击的相关信息。此报告模板包含 以下部分: • 有关此攻击的常规信息 •...
  • Page 1380 第 57 章 使用报告 创建和编辑报告模板 • 访问恶意 URL 的用户 • 精细应用使用情况 • Web 应用 • 客户端应用 • 应用协议 •...
  • Page 1381第 57 章 使用报告 创建和编辑报告模板 • 深入查找工作流程,直到在事件视图中获得相应的事件。有关工作流程的详细信息以及如何 限制工作流程中的事件,请参阅第 58-1 页上的了解和使用工作流程。 步骤 2 从事件视图页面中,点击 Report Designer。 系统将显示 Report Sections 页面,提供已捕获工作流程中各视图的相应部分。 步骤...
  • Page 1382 第 57 章 使用报告 创建和编辑报告模板 表 57-3 导入报告部分窗口上的数据源选项 选择此选项… 导入… Import Dashboard 所选控制面板上的任何自定义分析构件。 Import Workflow 任何预定义或自定义的工作流。 提示 选项具有以下格式: 表...
  • Page 1383第 57 章 使用报告 创建和编辑报告模板 步骤 11 报告模板正确时,点击 Save。 系统保存报告模板,然后在 Report Templates 页面上显示报告模板的一个条目。 编辑报告模板的各部分 许可证:任何环境 可以通过修改各种报告部分属性调整部分的内容及其数据展示。有关信息,请参阅: • 第 57-11 页上的设置模板部分的表和数据格式。...
  • Page 1384 第 57 章 使用报告 创建和编辑报告模板 步骤 4 对于图形输出格式 (饼图、条形图等),请使用下拉菜单调整 X-Axis 和 Y-Axis 参数。 当为 X 轴选择值时,只有相对应的值才显示在 Y 轴下拉菜单中,反之亦然。 步骤...
  • Page 1385第 57 章 使用报告 创建和编辑报告模板 设置表格式部分中显示的搜索字段 许可证:任何环境 如果在部分中包括表数据,则可以选择要显示数据记录中的哪些字段。表中所有字段都可以包括 或排除。选择实现报告用途的字段,然后进行相应的排列和排序。 要添加和删除表格式部分中的字段,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 对于表格式部分,请点击 Fields 字段参数旁边的编辑图标 ( )。 系统将显示 Table...
  • Page 1386 第 57 章 使用报告 创建和编辑报告模板 要添加分页符,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 点击添加分页符图标 ( )。 分页符显示在模板的底部。 步骤 2 将分页符拖放到部分前面或后面的指定位置。 步骤 3 为添加到模板的所有分页符重复操作上述过程。...
  • Page 1387第 57 章 使用报告 创建和编辑报告模板 步骤 2 要更改部分的本地时间段,请点击时间段图标 ( )。 系统将显示 Events Time Window 页面。有关使用此页面的信息,请参阅第 58-19 页上的设置事件 时间限制。 注 包含统计表的数据的部分只能有滑动时间窗。...
  • Page 1388 第 57 章 使用报告 创建和编辑报告模板 使用报告模板部分中的搜索 许可证:任何环境 生成成功报告的关键在于定义填入报告部分的搜索。 FireSIGHT 系统提供搜索编辑器,可查看报 告模板中可用的搜索以及定义新的自定义搜索。 提示 在报告模板中创建的自定义搜索专用于创建其所在的模板。在事件查看器中可以创建在所有报告 模板中可重用的搜索。在事件查看器中保存自定义搜索时,自定义搜索将在所有报告模板的 Search 下拉菜单中显示。有关使用事件查看器创建和保存自定义搜索的详细信息,请参阅第 60-1 页上的搜索事件。 要创建自定义搜索,请执行以下操作:...
  • Page 1389 第 57 章 使用报告 创建和编辑报告模板 预定义的输入参数 许可证:任何环境 预定义的输入参数由内部系统功能或配置信息解析。例如,在生成报告时,系统用当前日期和时 间替换 $<Time> 参数。下表定义可供使用的参数。例如,在计划程序控制下自动生成的月度摘要 报告的标题中加入 $<Month>。报告标题随后自动更新为正确的月份。 表 57-4 预定义的输入参数 插入此参数… …在模板中包括此信息: $<Logo> 所选的上传徽标...
  • Page 1390 第 57 章 使用报告 创建和编辑报告模板 提示 还可以在输入参数字段中输入 *,从而忽略限制。 还可以定义字符串类型输入参数,在报告的以下特定区域中添加动态文本,例如,邮件 (主题或 正文)、报告文件名和文本部分。可以为不同部门个性化设置报告,具有自定义的报告文件名、 邮件地址和邮件消息,使同一模板适用一切。 定义的每个输入参数均具有名称和类型。下表说明参数类型。 表 57-6 用户定义的输入参数类型 将此参数类型…... 用于包含此数据的字段…... Network/IP...
  • Page 1391第 57 章 使用报告 创建和编辑报告模板 如果重新使用报告模板,可以更改任何输入参数的名称和类型,以更好地反映新报告的目的。 要为报告模板编辑用户定义的输入参数,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 选择 Overview > Reporting。 步骤 2 选择 Report Templates 选项卡。...
  • Page 1392 第 57 章 使用报告 创建和编辑报告模板 要使用用户定义的输入参数限制报告模板中的搜索,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 选择 Overview > Reporting。 步骤 2 选择 Report Templates 选项卡。...
  • Page 1393第 57 章 使用报告 创建和编辑报告模板 要设置 PDF 和 HTML 报告的文档属性,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 选择 Overview > Reporting。 步骤 2 选择...
  • Page 1394 第 57 章 使用报告 创建和编辑报告模板 步骤 5 点击 Cover Page Design 旁边的编辑图标 ( )。 Edit Cover Page 窗口显示,展示默认封面设计。 步骤...
  • Page 1395第 57 章 使用报告 创建和编辑报告模板 步骤 8 点击 Upload。 将图像上传到防御中心并显示在 Select Logo 弹出窗口中。 步骤 9 或者,选择新徽标并点击 OK 将其与当前模板相关联。 Advanced Settings...
  • Page 1396 第 57 章 使用报告 生成并查看报告 步骤 2 选择 Report Templates 选项卡。 系统将显示 Report Templates 页面。 步骤 3 点击要编辑的报告模板的编辑图标 (...
  • Page 1397第 57 章 使用报告 生成并查看报告 执行以下操作步骤生成和查看报告。请注意,具有管理员访问权限的用户可以查看所有报告;其 他用户只能查看自己所生成的报告。有关管理报告文件的信息,请参阅第 57-30 页上的下载报告 和第 57-30 页上的删除报告。 要从报告模板生成报告,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 选择 Overview > Reporting。...
  • Page 1398 第 57 章 使用报告 使用报告生成选项 要查看生成的报告,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 选择 Overview > Reporting。 步骤 2 点击 Reports 选项卡。 随即显示“报告”页面。...
  • Page 1399第 57 章 使用报告 使用报告生成选项 要在生成时通过邮件发送报告,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 选择 Overview > Reporting。 步骤 2 选择 Report Templates 选项卡。 系统将显示...
  • Page 1400 第 57 章 使用报告 管理报告模板和报告文件 步骤 3 选择页面底部的 Enable Remote Storage of Reports 复选框。 防御中心将新生成的报告存储在页面底部指示的远程位置。这些报告的 Location 列数据是 Remote。 可以按批量处理模式或单个地将本地存储的报告转移到远程存储位置。...
  • Page 1401第 57 章 使用报告 管理报告模板和报告文件 注 导入和导出报告模板需要两个防御中心处于相同的软件版本级别。 要导出报告模板,请执行以下操作: 访问:管理 步骤 1 选择 Overview > Reporting。 步骤 2 选择 Report Templates...
  • Page 1402 第 57 章 使用报告 管理报告模板和报告文件 注 安全分析人员仅可删除由其创建的报告模板。 要删除报告模板,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 选择 Overview > Reporting。 步骤 2 选择 Report...
  • Page 1403第 57 章 使用报告 管理报告模板和报告文件 有关使用输入参数的信息,请参阅第 57-16 页上的使用输入参数。 要删除报告,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 选择 Overview > Reporting。 步骤 2 选择 Reports...
  • Page 1404 第 57 章 使用报告 管理报告模板和报告文件 FireSIGHT 系统用户指南 57-32
  • Page 1405: 了解和使用工作流程 第 58 章 了解和使用工作流程 工作流程是防御中心网络界面中可供分析师用于评估系统生成的事件的定制系列的数据页面。防 御中心提供三种类型的工作流程: • 预定义工作流程,此类工作流程是系统上安装的无法修改或删除的预设工作流程。 • 已保存自定义工作流程,此类工作流程是可以修改或删除的预定义的自定义工作流程。 • 自定义工作流程,此类工作流程是为特定需求创建和自定义的工作流程。 例如,分析入侵事件时,可以从专为任务创建的若干预定义工作流程中进行选择。 请注意,工作流程中显示的数据通常取决于多个因素,例如,如何许可和部署受管设备,是否配 置提供数据的功能,以及在使用 2 系列设备和 用于 Blue...
  • Page 1406 第 58 章 了解和使用工作流程 工作流程的组件 向下钻取页面 向下钻取页面包含数据库中可用的列的子集。 例如,发现事件的向下钻取页面可能仅包含 IP Address、 MAC Address 和 Time 列。另一方 面,入侵事件的向下钻取页面可能包含 Priority、 Impact Flag、...
  • Page 1407第 58 章 了解和使用工作流程 工作流程的组件 • 第 58-10 页上的预定义漏洞工作流程 • 第 58-11 页上的预定义第三方漏洞工作流程 • 第 58-11 页上的预定义相关性和白名单工作流程 • 第 58-12...
  • Page 1408 第 58 章 了解和使用工作流程 工作流程的组件 表 58-1 预定义入侵事件工作流程 工作流程名称 说明 目的端口 由于目标端口通常绑定到应用,因此该工作流程可以帮助检测遭遇异常高的警报量的应用。 Destination Port 列可以帮助识别不应存在于网络上的应用。 此工作流程以其中显示了与入侵事件关联的目标端口的页面开头,后跟其中显示了已生成的事 件类型的页面。然后,可以看到事件信息的表视图 (称为事件表视图),后跟其中显示了与每 个事件关联的数据包的已解码内容的数据包视图。...
  • Page 1409 第 58 章 了解和使用工作流程 工作流程的组件 表 58-1 预定义入侵事件工作流程 (续) 工作流程名称 说明 Impact to Destination 可以使用此工作流程识别在易受攻击计算机上重复发生的事件,从而能够处理这些系统上的漏 洞并停止进行中的任何攻击。 此工作流程以其中显示了与每个事件关联的影响级别、内联结果 (数据包已被丢弃还是本会 被丢失)、目标 IP...
  • Page 1410 第 58 章 了解和使用工作流程 工作流程的组件 预定义文件工作流程 许可证:保护 下表描述防御中心中包含的预定义文件事件工作流程。所有预定义文件事件工作流程都使用文件 事件表视图。有关访问文件事件的信息,请参阅第 40-6 页上的使用文件事件。 表 58-3 预定义文件工作流程 工作流程名称 说明 File Summary 此工作流程提供不同文件事件类别和类型以及任何关联恶意软件性质的快速细分。...
  • Page 1411 第 58 章 了解和使用工作流程 工作流程的组件 表 58-5 预定义连接数据工作流程 (续) 工作流程名称 说明 Connections by Initiator 此工作流程包含从连接数来看监控网段上 10 个最活跃的发起了连接事务的主机 IP 地址的 图形。...
  • Page 1412 第 58 章 了解和使用工作流程 工作流程的组件 预定义主机工作流程 许可证:FireSIGHT 下表描述可与主机数据配合使用的预定义工作流程。 表 58-7 预定义主机工作流程 工作流程名称 说明 主机 此工作流程包含主机表视图,后跟主机视图。通过基于 Hosts 表的工作流程视图可轻松查看与主 机关联的所有 IP...
  • Page 1413 第 58 章 了解和使用工作流程 工作流程的组件 表 58-9 预定义应用工作流程 (续) 工作流程名称 说明 Application Risk 可以使用此工作流程分析网络上正在运行的各估算安全风险级别的应用,从而能够估算用户活 动的潜在风险并采取相应措施。此工作流程以运行各风险级别的应用的主机的计数开头,后跟 带有其业务相关性级别和主机计数的单个应用的表、应用表视图和主机视图。有关详情,请参 见第 50-36 页上的查看应用。 Application...
  • Page 1414 第 58 章 了解和使用工作流程 工作流程的组件 预定义主机属性工作流程 许可证:FireSIGHT 下表描述可与主机属性数据配合使用的预定义工作流程。 表 58-12 预定义主机属性工作流程 工作流程名称 说明 Attributes 可以使用此工作流程监控网络上主机的 IP 地址和主机状态。此工作流程以列出了单个 IP 地址及...
  • Page 1415 第 58 章 了解和使用工作流程 工作流程的组件 预定义第三方漏洞工作流程 许可证:FireSIGHT 下表描述防御中心中包含的预定义第三方漏洞工作流程。 表 58-16 预定义第三方漏洞工作流程 工作流程名称 说明 Vulnerabilities by IP 可以使用此工作流程快速了解监控网络上每个主机 IP 地址检测到的第三方漏洞数量。此工作流 Address...
  • Page 1416 第 58 章 了解和使用工作流程 工作流程的组件 预定义系统工作流程 许可证:任何环境 FireSIGHT 系统随附一些其他工作流程,包括系统事件 (如审核事件和运行状况事件),以及列 出了规则更新导入和活动扫描的结果的工作流程。 表 58-18 其他预定义工作流程 工作流程名称 说明 审核日志 此工作流程包含列出了审核事件的审核日志表视图。有关详情,请参见 第...
  • Page 1417 第 58 章 了解和使用工作流程 使用工作流程 表 58-19 已保存自定义工作流程 (续) 工作流程名称 说明 Intrusion Events 可以使用此工作流程快速查看 Intrusion Events with Destination Criticality 自定义表中的基本信息。...
  • Page 1418 第 58 章 了解和使用工作流程 使用工作流程 选择工作流程 许可证:任何环境 FireSIGHT 系统提供下表中所列的数据类型的预定义工作流程。 表 58-20 使用工作流程的功能 特性 菜单路径 选项 入侵事件 Analysis > Intrusions...
  • Page 1419 第 58 章 了解和使用工作流程 使用工作流程 另请注意,工作流程访问取决于用户角色 (请参阅第 61-45 页上的配置用户角色),如下所示: • Administrator 用户可以访问任何工作流程,并且是仅有的可访问审核日志、扫描结果和规则 更新导入日志的用户。 • Maintenance User 可以访问运行状况事件。 • Security Analyst...
  • Page 1420 第 58 章 了解和使用工作流程 使用工作流程 使用工作流程页面 许可证:任何环境 可以在工作流程页面上执行的操作取决于页面类型。表视图页面和向下钻取页面包含许多可用于限 制要查看的事件集或浏览工作流程的功能。有关各类型的页面上可用的功能的详细信息,请参阅: • 第 58-16 页上的使用通用表视图或向下钻取页面功能 • 第 58-17 页上的使用地理定位 • 第...
  • Page 1421 第 58 章 了解和使用工作流程 使用工作流程 表 58-22 表视图和向下钻取页面功能 (续) 特性 说明 点击显示在用户身份列中的用户图标,以查看用户配置文件信息。有关详细信息,请参 阅第 50-55 页上的了解用户详细信息和主机历史记录。 如果用户图标灰显,则无法查看用户配置文件,因为该用户不能位于数据库中 (FireAMP连接器用户)。 点击显示在第三方漏洞 ID 列中的漏洞图标,以查看有关第三方漏洞的漏洞详细信息。有...
  • Page 1422 第 58 章 了解和使用工作流程 使用工作流程 可以使用地理定位数据 (源和目标国家/地区/大陆)作为访问控制规则的条件,并为此创建自定 义地理定位对象。还可以使用源/目标国家/地区数据作为相关性规则和流量量变曲线的条件。有 关详细信息,请参阅第 3-46 页上的使用地理定位对象、第 15-3 页上的按网络或地理位置控制流 量、第 51-2 页上的创建关联策略规则和第 53-3 页上的指定流量量变曲线条件。 通过安装地理定位数据库...
  • Page 1423第 58 章 了解和使用工作流程 使用工作流程 使用表视图页面 许可证:任何环境 表视图包含对应于数据库中各字段的列 (如果默认情况下启用了该列)。请注意,禁用表视图中 的列时,如果禁用该列会创建两个或多个相同的行,则 FireSIGHT 系统将向事件视图中添加 Column 列。点击表视图页面中的某个值时,即受该值限制。创建自定义工作流程时,通过点击 Add Table View 向其中添加表视图。 表视图页面提供向下钻取、主机视图、数据包视图或漏洞详细信息页面中不可用的一些附加功 能。下表提供有关这些功能的详细信息。...
  • Page 1424 第 58 章 了解和使用工作流程 使用工作流程 基于可按时间限制的事件的工作流程在页面顶部包含一条时间范围线,如下图所示。 默认情况下,思科设备上的工作流程使用设置为前一小时的扩展式时间段。例如,如果您在上午 11:30 登录,将会看到发生在上午 10:30 和上午 11:30 之间的事件。随着时间的推进,时间段进行 扩展。在中午 12:30,您将会看到发生在上午 10:30 和中午 12:30 之间的事件。...
  • Page 1425第 58 章 了解和使用工作流程 使用工作流程 • Audit Log Time Window (如果配置了多个时间段,并且是为审核日志配置时间段) • Global Time Window (如果配置了单个时间段) 配置时间段时必须首先决定要使用的时间段的类型。 • 静态时间段显示从特定开始时间到特定结束时间生成的所有事件。 •...
  • Page 1426 第 58 章 了解和使用工作流程 使用工作流程 如果选择使用滑动式时间段,则选项会进一步更改。 注 FireSIGHT 系统根据在时区首选项中指定的时间使用 24 小时制时间。有关配置时区的信息,请参 阅第 71-6 页上的设置默认时区。 FireSIGHT 系统用户指南 58-22
  • Page 1427 第 58 章 了解和使用工作流程 使用工作流程 下表说明可在 Time Window 选项卡上配置的各种设置。 表 58-25 时间段设置 环境 时间段类型 说明 时间段类型下拉列表 不适用 选择要使用的时间段类型:静态、扩展式或滑动式。 请注意,如果按时间限制事件视图,则在设备配置的时间段外生成 的事件...
  • Page 1428 第 58 章 了解和使用工作流程 使用工作流程 步骤 3 点击应用 (Apply)。 窗口关闭,并且事件视图页面显示新时间范围内的事件。 更改事件类型的默认时间段 许可证:任何环境 在事件分析期间,可以使用 Date/Time 窗口上的 Preferences 选项卡更改所查看的事件类型的默认 时间段,而不必使用事件视图设置 (请参阅第...
  • Page 1429 第 58 章 了解和使用工作流程 使用工作流程 表 58-26 时间段首选项 (续) 偏好 说明 Default Time Window: 此设置允许配置指定长度的滑动式默认时间段。 Show the Last - Sliding...
  • Page 1430 第 58 章 了解和使用工作流程 使用工作流程 暂停时间窗口 许可证:任何环境 可以暂停时间段,从而能够检查工作流程提供的数据快照。这会有所帮助,因为已取消暂停的工 作流程在更新时,可能会移除要检查的事件,或者添加无关的事件。 请注意,不能暂停静态时间段。此外,暂停事件时间段对控制面板没有影响,而暂停控制面板对 暂停事件时间段也没有任何影响。 完成分析后,可以取消暂停时间段。取消暂停时间段将根据您的喜好对其进行更新,并且还更新 事件视图以反映已取消暂停的时间段。 如果数据库包含的事件数超过单个工作流程页面上可显示的事件数,则可点击页面底部的链接以 显示更多事件 (请参阅第 58-30 页上的导航到工作流程中的其他页面)。执行此操作时,时间段 自动暂停,以便不重复显示相同的事件。当您准备就绪时,可以取消暂停时间段。...
  • Page 1431第 58 章 了解和使用工作流程 使用工作流程 ...则受限页面仅包含具有该 IP 地址的事件: 提示 根据监控规则条件来限制连接事件的过程略有不同,可能需要采取一些额外步骤。此外,不能按 关联文件或入侵信息来限制连接事件。有关详细信息,请参阅第 39-24 页上的使用连接和安全情 报数据表。 还可以使用搜索来限制工作流程中的信息。在搜索页面上输入的搜索条件会列为页面顶部的限 制,并且产生的事件相应地受限制。在防御中心中,除非当前限制是复合限制,否则导航到其他 工作流程时也会应用这些限制 (请参阅第 58-31 页上的在工作流程之间导航)。...
  • Page 1432 第 58 章 了解和使用工作流程 使用工作流程 下表描述应用限制时可执行的每个操作。 表 58-27 搜索限制功能 要...... 点击...... 将视图限制为与单个值 表中的值。 匹配的事件 例如,如果查看的是已记录连接的列表,并要使用访问控制将该列表 仅限于允许的连接,请点击 Action 列中的 Allow。又例如,如果查看...
  • Page 1433 第 58 章 了解和使用工作流程 使用工作流程 不能对复合限制执行搜索或保存搜索操作。也不能在使用事件视图链接或点击 (switch workflow) 以 切换到其他工作流程时保留复合限制。如果将应用了复合限制的事件视图加入书签,则不使用书 签保存限制。 要清除所有复合限制,请点击 Compound Constraints。 对表视图页面进行排序并更改其布局 许可证:任何环境 查看工作流程中的数据时,可以根据任何可用列对数据进行排序,以及移除和恢复要查看的列。 可以按列以升序或降序对数据进行排序。 提示 如果创建自定义工作流程,则可以完全自定义页面上列的排列并预定义页面排序顺序。有关详...
  • Page 1434 第 58 章 了解和使用工作流程 使用工作流程 要对列进行排序,请执行以下操作: 访问:管理员/维护人员/任何安全分析师 步骤 1 点击列标题。 要反转排列顺序,请执行以下操作: 访问:管理员/维护人员/任何安全分析师 步骤 1 再次点击列标题。 选择工作流程页面上的行 许可证:任何环境 有多种方法可选择然后处理工作流程页面上的行: •...
  • Page 1435第 58 章 了解和使用工作流程 使用工作流程 表 58-29 导航页面 (续) 要...... 点击...... 跳至最后一页 >| 跳至第一页 |< 在工作流程之间导航 许可证:任何环境 可以使用工作流程页面上的 Jump to......
  • Page 1436 第 58 章 了解和使用工作流程 使用工作流程 此功能可增强您调查可疑活动的能力。例如,如果查看的是连接数据并发现内部主机在向外部站 点传送异常大量的数据,则可以选择响应方 IP 地址和端口作为限制,然后跳至 Applications 工作 流程。应用工作流程将使用响应方 IP 地址和端口作为 IP Address 和 Port 限制,并显示有关应用的...
  • Page 1437第 58 章 了解和使用工作流程 使用工作流程 创建书签 许可证:任何环境 使用以下过程创建新书签: 要创建书签,请执行以下操作: 访问:管理员/维护人员/任何安全分析师 步骤 1 在事件分析期间,显示了有关事件的情况下,点击 Bookmark This Page。 系统将显示 Create a Bookmark...
  • Page 1438 第 58 章 了解和使用工作流程 使用自定义工作流程 步骤 2 点击要移除的书签旁边的 Delete。 系统删除书签。 使用自定义工作流程 许可证:任何环境 如果预定义工作流程和思科提供的自定义工作流无法满足需求,则可以创建自定义工作流程。 有关详情,请参阅: • 第 58-34 页上的创建自定义工作流程以了解创建自定义工作流程的过程 •...
  • Page 1439第 58 章 了解和使用工作流程 使用自定义工作流程 表 58-30 自定义工作流程最终页面 基于下列各项的工作流程 ...... 具有以下最终页面...... 发现事件 主机 漏洞 漏洞详细信息 第三方漏洞 主机 用户 用户 危害表现...
  • Page 1440 第 58 章 了解和使用工作流程 使用自定义工作流程 步骤 7 或者,点击 Add Table View 以向工作流程中添加表视图页面。 注 必须向自定义工作流程中添加至少一个向下钻取页面或事件表视图。 步骤 8 点击 Save。 新工作流程保存并添加到自定义工作流程列表中。...
  • Page 1441第 58 章 了解和使用工作流程 使用自定义工作流程 步骤 7 或者,点击 Add Graph 以向工作流程中添加一个或多个图形页面。 系统将显示图形部分。 首先在 Graph Name 字段中使用最多 80 个字母数字字符 (但无空格)键入页面的名称。 然后,选择要包含在页面中的图形的类型:折线图、条形图或饼图。...
  • Page 1442 第 58 章 了解和使用工作流程 使用自定义工作流程 查看自定义表的自定义工作流程 许可证:FireSIGHT 使用以下过程查看不是基于自定义表的自定义工作流程。 要根据自定义表查看自定义工作流程,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 选择 Analysis > Custom > Custom Tables。...
  • Page 1443第 58 章 了解和使用工作流程 使用自定义工作流程 删除自定义工作流程 许可证:任何环境 以下过程说明如何删除不再需要的自定义工作流程。 要删除自定义工作流程,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 选择 Analysis > Custom > Custom Workflows。 系统将显示...
  • Page 1444 第 58 章 了解和使用工作流程 使用自定义工作流程 FireSIGHT 系统用户指南 58-40
  • Page 1445: 使用自定义表 第 59 章 使用自定义表 FireSIGHT 系统 收集有关网络的信息,防御中心 则将这些信息存储在一系列数据库表中。当您使 用工作流程查看生成的信息时,防御中心会从其中一个表提取数据。例如, Network Applications by Count 工作流程的每个页面的列取自 Applications 表中的字段。 如果您确定通过组合不同表中的字段会增强对网络上活动的分析,则可创建自定义表。例如,可 以将预定义 Host...
  • Page 1446 第 59 章 使用自定义表 了解自定义表 表 59-1 系统定义的自定义表 表 说明 Hosts with Servers 包含 Hosts 和 Servers 表中的字段,提供有关检测到的在网络上 运行的应用的信息,以及有关运行这些应用的主机的基本操作系...
  • Page 1447第 59 章 使用自定义表 了解自定义表 表 59-2 自定义表组合 (续) 可以将这些表中的字段... 与这些表中的字段进行组合... Connection Summary Data • 应用 • Host Attributes •...
  • Page 1448 第 59 章 使用自定义表 了解自定义表 表 59-2 自定义表组合 (续) 可以将这些表中的字段... 与这些表中的字段进行组合... Connection Events • 应用 • Host Attributes •...
  • Page 1449第 59 章 使用自定义表 创建自定义表 有关创建自定义表的详细信息,请参阅: • 第 59-5 页上的创建自定义表 • 第 59-7 页上的修改自定义表 • 第 59-8 页上的删除自定义表 • 第...
  • Page 1450 第 59 章 使用自定义表 创建自定义表 如果查看此自定义表的事件表视图,则它会显示相关性事件 (每行一个)。包含以下信息: • 事件的生成日期和时间 • 违例的关联策略的名称 • 触发违例的规则的名称 • 与相关性事件中涉及的源主机 (又称为发起主机)相关的 IP 地址 •...
  • Page 1451第 59 章 使用自定义表 修改自定义表 步骤 2 点击 Create Custom Table。 系统将显示 Create Custom Table 页面。 步骤 3 在 Name...
  • Page 1452 第 59 章 使用自定义表 删除自定义表 步骤 3 或者,点击要删除的字段旁边的删除图标 ( ),从表中删除字段。 注 如果您删除报告中当前正在使用的字段,则系统将提示您确认是否要删除使用这些报告中的这些 字段的部分。 步骤 4 根据需要进行其他更改,然后点击 Save。 即会更新您的自定义表。 删除自定义表...
  • Page 1453第 59 章 使用自定义表 搜索自定义表 步骤 2 点击要查看的工作流程创建时所依据的自定义表旁边的查看图标 ( )。 系统将显示该自定义表的默认工作流程的第一页。要使用其他工作流程,请点击按工作流程标题 (switch workflow)。有关如何指定其他默认工作流程的信息,请参阅第 71-3 页上的配置事件查看设 置。如果未显示事件并且可按时间限制工作流程,则可能需要调整时间范围;请参阅第 58-19 页 上的设置事件时间限制。 搜索自定义表...
  • Page 1454 第 59 章 使用自定义表 搜索自定义表 要对自定义表执行搜索,请执行以下操作: 访问:任何角色/管理员 步骤 1 选择 Analysis > Custom > Custom Tables。 系统将显示 Custom Tables...
  • Page 1455: 搜索事件 第 60 章 搜索事件 思科设备生成的信息作为事件存储在数据库表中。事件包含多个字段,描述导致设备生成事件的 活动。 FireSIGHT 系统提供预定义搜索,既可将其用作示例,又可借助其快速访问关于网络的重要信 息。可针对网络环境修改预定义搜索中的字段,然后保存搜索,以供日后重复使用。还可使用自 己的搜索条件。 可使用的搜索条件取决于搜索类型,但搜索技巧相同。请参阅以下各节,了解有关如何执行搜索 和在搜索字段中使用正确语法的详细信息。 • 第 60-1 页上的执行和保存搜索 • 第 60-5...
  • Page 1456 第 60 章 搜索事件 执行和保存搜索 执行搜索 许可证:任何环境 对于某些事件类型, FireSIGHT 系统提供预定义搜索,既可将其用作示例,又可借助其快速访问 关于网络的重要信息。可针对网络环境修改预定义搜索中的字段,然后保存搜索,以供日后重复 使用。还可使用自己的搜索条件。 要执行搜索,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 选择 Analysis >...
  • Page 1457第 60 章 搜索事件 执行和保存搜索 • 第 68-50 页上的搜索运行状况事件 • 第 50-26 页上的搜索主机属性 • 第 50-21 页上的搜索主机 • 第 41-36...
  • Page 1458 第 60 章 搜索事件 执行和保存搜索 加载已保存的搜索 许可证:任何环境 如果先前保存了一个搜索,则可加载该搜索,做出任何必要更改,然后开始搜索。 要加载已保存的搜索,请执行以下操作: 访问:管理员/任何安全分析师 步骤 1 您有以下选项: • 从工作流程的任意页面,点击 Search。 • 选择 Analysis...
  • Page 1459第 60 章 搜索事件 在搜索中使用通配符和符号 在搜索中使用通配符和符号 许可证:任何环境 在搜索页面的许多文本字段中,可使用星号 (*) 匹配字符串中的字符。例如,指定 net* 匹配 network、 netware、 netscape 等等。 如果想要搜索非字母数字字符 (包括星号字符),请用引号将搜索字符串引起来。例如,要搜索 字符串: Find...
  • Page 1460 第 60 章 搜索事件 在搜索中指定 IP 地址 在搜索中指定 IP 地址 许可证:任何环境 在搜索中指定 IP 地址时,可输入单个 IP 地址、用逗号隔开的地址列表、地址块或者一系列用连 字符 (-) 隔开的...
  • Page 1461 第 60 章 搜索事件 在搜索中指定端口 有关详细信息,请参阅: • 第 4-16 页上的处理设备 • 第 4-23 页上的管理设备组 • 第 4-37 页上的管理堆叠设备 •...
  • Page 1462 第 60 章 搜索事件 停止长期查询 请注意,只有在本地创建并且在防御中心上拥有外壳访问权限的用户才是 admin 用户。如果使用 授予外壳访问权限的外部身份验证对象,匹配外壳访问过滤器的用户也可以登录外壳。 用法: query_manager [-v] [-l [minutes]] [-k query_id [...]] [--kill-all minutes]...
  • Page 1463: 管理用户 第 61 章 管理用户 如果用户帐户具有管理员访问权,则可以管理能够访问防御中心或受管设备上的 Web 界面的用户帐 户。在防御中心上,还可以通过外部身份验证服务器而不是通过内部数据库来设置用户身份验证。 有关详细信息,请参阅: • 第 61-1 页上的了解思科用户身份验证 • 第 61-5 页上的管理身份验证对象 • 第...
  • Page 1464 第 61 章 管理用户 了解思科用户身份验证 对于带有内部或外部身份验证的用户,可以控制用户权限。除非手动更改用户权限,否则带有外 部身份验证的用户会接收其所属的组或访问列表的权限,或者接收基于在服务器身份验证对象中 或在管理防御中心上的系统策略中设置的默认用户访问角色的权限。 有关详细信息,请参阅: • 第 61-2 页上的了解内部身份验证 • 第 61-3 页上的了解外部身份验证 • 第...
  • Page 1465第 61 章 管理用户 了解思科用户身份验证 由于是手动创建每个进行内部身份验证的用户,因此在创建用户时设置访问权限,并且无需设置 默认设置。 注 请注意,在以下情况下,进行内部身份验证的用户会转换为外部身份验证:启用外部身份验证, 对于外部服务器上的用户存在同一用户名,用户使用在外部服务器上为该用户存储的密码进行登 录。内部身份验证用户转换为外部身份验证用户后,无法还原为该用户的内部身份验证。 了解外部身份验证 许可证:任何环境 当防御中心或受管设备从外部存储库 (例如, LDAP 目录服务器或 RADIUS 身份验证服务器)检 索用户凭证时,即发生外部身份验证。...
  • Page 1466 第 61 章 管理用户 了解思科用户身份验证 在防御中心上的系统策略中,为所有进行外部身份验证的用户设置默认访问角色。外部身份验证 用户首次登录后,可以在 User Management 页面上添加或移除该用户的访问权限。如果没有修改 用户权限,则用户仅具有默认授予的权限。由于是手动创建内部身份验证用户,因此在创建这些 用户时设置访问权限。 如果通过 LDAP 组配置访问权限的管理,则用户的访问权限基于其在 LDAP 组中的成员资格。他 们接收其所属的具有最高访问级别的组的默认访问权限。如果他们不属于任何组,并且您已配置 组访问权,则他们会接收在...
  • Page 1467第 61 章 管理用户 管理身份验证对象 管理身份验证对象 许可证:任何环境 身份验证对象是外部身份验证服务器的服务器配置文件,其中包含这些服务器的连接设置和身份 验证过滤器设置。可以在防御中心上创建、配置和删除身份验证对象,并使用其管理向 LDAP 或 RADIUS 服务器进行的外部身份验证。有关详细信息,请参阅: • 第 61-5 页上的 LDAP 身份验证 •...
  • Page 1468 第 61 章 管理用户 管理身份验证对象 注 当前, FireSIGHT 系统在 LDAP 服务器 (在 Windows Server 2003 和 Windows Server 2008...
  • Page 1469 第 61 章 管理用户 管理身份验证对象 了解模拟帐户 许可证:任何环境 要允许本地设备访问用户对象,必须为模拟帐户提供用户凭证。模拟帐户是具有按基础 DN 浏览 目录名称并检索要检索的用户对象的适当权限的用户帐户。请记住,所指定用户的可分辨名称对 于服务器树必须唯一。 了解 LDAP 连接 许可证:任何环境 可以管理 LDAP 连接的加密方法。可以选择不加密、传输层安全 (TLS)...
  • Page 1470 第 61 章 管理用户 管理身份验证对象 可以替换其他 LDAP 属性,以使本地设备将用户名与该属性而不是可分辨名称值匹配。选择服务 器类型并设置默认值将会填写适合于该类型的服务器的 UI 访问属性。如果其中一个对象具有匹 配的用户名,而且对于非 CAC 对象,还具有作为您所指定属性的值的密码,系统会对用户登录 请求进行身份验证。如果属性的值是 FireSIGHT 系统Web 界面的有效用户名,则可以使用任何属 性。有效用户名是唯一的,并且可以包含下划线...
  • Page 1471 第 61 章 管理用户 管理身份验证对象 了解通过 CAC 进行 LDAP 身份验证 许可证:任何环境 如果贵组织使用通用访问卡 (CAC),则可以配置 LDAP 身份验证来对登录到 Web 界面中的用户进 行身份验证,并根据组成员资格或默认访问权限来授权访问特定功能。在已配置 CAC 身份验证...
  • Page 1472 第 61 章 管理用户 管理身份验证对象 • Attribute Mapping 部分中的 UI Access Attribute。有关详细信息,请参阅第 61-7 页上的了解用于管 理访问的属性。 • Group Controlled Access...
  • Page 1473第 61 章 管理用户 管理身份验证对象 准备创建 LDAP 身份验证对象 许可证:任何环境 在配置与 LDAP 服务器的连接之前,应该收集创建 LDAP 身份验证对象所需的信息。有关特定方 面的配置的详细信息,请参阅第 61-5 页上的了解 LDAP 身份验证。 所有身份验证对象都需要下列信息:...
  • Page 1474 第 61 章 管理用户 管理身份验证对象 注 如果在创建身份验证对象 (例如,以配置 CAC 身份验证和授权)时首选考虑并可能定制各身份 验证设置,请使用第 61-15 页上的创建高级 LDAP 身份验证对象中的过程创建对象。如果计划加 密与服务器的连接,设置用户超时,定制用户名模板或根据 LDAP 组成员资格分配 FireSIGHT...
  • Page 1475第 61 章 管理用户 管理身份验证对象 步骤 8 要获取所有基础 DN 的列表,请点击 Fetch DNs 并从下拉列表中选择相应的基础 DN。 例如,要对 Example 公司的 Security 部门中的名称进行身份验证,请选择 ou=security,dc=example,dc=com。...
  • Page 1476 第 61 章 管理用户 管理身份验证对象 调整基本 LDAP 身份验证连接 许可证:任何环境 如果创建 LDAP 身份验证对象,并且其无法成功连接到选择的服务器或无法检索所需的用户列 表,则可以调整该对象中的设置。 如果在测试连接时该连接失败,请尝试以下建议对配置进行故障排除。 • 使用屏幕顶部和测试输出中显示的消息确定对象的哪些方面导致问题。 • 检查用于对象的用户名和密码是否有效。 •...
  • Page 1477第 61 章 管理用户 管理身份验证对象 例如,如果是尝试使用 domainadmin@myrtle.example.com 用户和基本过滤器 (cn=*) 连接到 myrtle.example.com 上的安全域,则可以使用以下语句测试连接: ldapsearch -x -b 'CN=security,DC=myrtle,DC=example,DC=com' -h myrtle.example.com -p 389...
  • Page 1478 第 61 章 管理用户 管理身份验证对象 步骤 4 识别要在其中检索用户数据以进行外部身份验证的身份验证服务器。有关详细信息,请参阅第 61-16 页上的识别 LDAP 身份验证服务器。 步骤 5 配置身份验证设置以构建用于检索要进行身份验证的用户的搜索请求。指定用户名模板以格式化 用户在登录时输入的用户名。有关详细信息,请参阅第 61-17 页上的配置特定于 LDAP...
  • Page 1479 第 61 章 管理用户 管理身份验证对象 • 如果是连接到 OpenLDAP 服务器,请选择 OpenLDAP,然后点击 Set Defaults。 • 如果是连接到除上述所列以外的 LDAP 服务器并要清除默认设置,请选择 Other,然后点击 Set Defaults。 步骤...
  • Page 1480 第 61 章 管理用户 管理身份验证对象 表 61-2 LDAP 特定参数 (续) 环境 说明 示例 User Name/ 允许本地设备访问用户对象。为对于要检索的身份验证对象具有适 Example 公司的 Security...
  • Page 1481 第 61 章 管理用户 管理身份验证对象 表 61-2 LDAP 特定参数 (续) 环境 说明 示例 Shell Access 如果要检查外壳访问凭证的特定属性,必须将此字段显式设置为与 sAMAccountName Attribute 该属性匹配。如果属性的值是外壳访问的有效用户名,则可以使用 任何属性。...
  • Page 1482 第 61 章 管理用户 管理身份验证对象 注 请注意,如果在指定端口后更改加密方法,则会将端口重置为该方法的默认值。对于 None 或 TLS,端口使用默认值 389。如果选择 SSL 加密,则端口使用默认值 636。 步骤 7 如果选择 TLS 或...
  • Page 1483第 61 章 管理用户 管理身份验证对象 按组配置访问权限 许可证:任何环境 如果首选将默认访问权限基于 LDAP 组中的用户成员资格,则可以为 FireSIGHT 系统使用的各访 问角色指定 LDAP 服务器上现有组的可分辨名称。执行此操作时,可以为 LDAP 检测到的不属于 任何指定组的用户配置默认访问设置。当用户登录时, FireSIGHT 系统动态检查...
  • Page 1484 第 61 章 管理用户 管理身份验证对象 步骤 4 如果使用静态组,请在 Group Member Attribute 字段中键入用于指定静态组中的成员资格的 LDAP 属性。 例如,如果 member 属性用于指示为默认 Security Analyst...
  • Page 1485第 61 章 管理用户 管理身份验证对象 • 要使用配置身份验证设置时指定的同一过滤器,请选择 Same as Base Filter。 • 要防止对外壳访问进行 LDAP 身份验证,请将此字段留空。如果选择不指定外壳访问过滤 器,则在保存身份验证对象时会显示警告,要求确认是否意图将过滤器留空。 例如,如果所有网络管理员都具有属性值为 shell 的 manager...
  • Page 1486 第 61 章 管理用户 管理身份验证对象 LDAP 身份验证对象示例 许可证:任何环境 以下各节提供使用基本设置的 LDAP 配置示例和使用更高级配置选项的示例: • 第 61-24 页上的示例:基本 LDAP 配置 • 第...
  • Page 1487 第 61 章 管理用户 管理身份验证对象 但是,由于此服务器是 Microsoft Active Directory 服务器,因此其使用 sAMAccountName 属性存储 用户名而不是 uid 属性。选择 MS Active Directory 服务器类型并点击 Set...
  • Page 1488 第 61 章 管理用户 管理身份验证对象 此示例显示对于 Example 公司的信息技术领域中的 security 部门使用基础可分辨名称 OU=security,DC=it,DC=example,DC=com 的连接。但请注意,此服务器具有基本过滤器 (cn=*smith)。过滤器将从服务器检索的用户限制为具有以 smith 结尾的常见名称的用户。 与服务器的连接使用 SSL 进行加密,并且会为该连接使用一个名为 certificate.pem...<