Cisco Cisco Firepower Management Center 2000 User Guide
46-2
FireSIGHT 系统用户指南
第 46 章 增强网络发现
评估检测策略
•
•
•
受管设备是否正确布置?
许可证:FireSIGHT
如果诸如负载均衡器、代理服务器或 NAT 设备的网络设备位于受管设备和未识别或错误识别的
主机之间,请将受管设备布置在更靠近错误识别的主机的位置,而不是使用自定义指纹技术。思
科不建议在这种情况下使用自定义指纹技术。
主机之间,请将受管设备布置在更靠近错误识别的主机的位置,而不是使用自定义指纹技术。思
科不建议在这种情况下使用自定义指纹技术。
未识别的操作系统是否拥有唯一的 TCP 堆栈?
许可证:FireSIGHT
如果系统错误地识别主机,应调查主机为何被错误地识别,以便帮助您做出以下决择:是创建和
激活自定义指纹,还是用 Nmap 或主机输入数据替代发现数据。
激活自定义指纹,还是用 Nmap 或主机输入数据替代发现数据。
注意事项
如果遇到错误识别的主机,请在创建自定义指纹之前联系支持代表。
如果主机正在运行的操作系统未被系统默认检测到而且不与已检测的现有操作系统共享识别性
TCP 堆栈特征,应创建自定义指纹。
TCP 堆栈特征,应创建自定义指纹。
例如,如您拥有的 Linux 自定义版本带有系统无法识别的唯一 TCP 堆栈,则创建自定义指纹将让
您受益,因为,这可使系统识别并继续监控主机,而不必使用扫描结果或第三方数据,进而无需
持续自行主动更新数据。
您受益,因为,这可使系统识别并继续监控主机,而不必使用扫描结果或第三方数据,进而无需
持续自行主动更新数据。
请注意,许多开源 Linux 发行版本使用相同的内核,同样,系统将使用 Linux 内核名称来识别它
们。如为 Red Hat Linux 系统创建自定义指纹,可能会看到识别为 Red Hat Linux 的其他操作系统
们。如为 Red Hat Linux 系统创建自定义指纹,可能会看到识别为 Red Hat Linux 的其他操作系统
(如 Debian Linux、 Mandrake Linux、 Knoppix 等),因为相同的指纹与多个 Linux 发行版本匹配。
不应在每种情况下都使用指纹。例如,可能对主机的 TCP 堆栈做出了修改,以使其与另一操作系
统类似或相同。例如, Apple Mac OS X 主机已修改,使其指纹与 Linux 2.4 主机相同,从而导致
系统将其识别为 Linux 2.4 而不是 Mac OS X。如果为 Mac OS X 主机创建自定义指纹,可能导致
将所有合法的 Linux 2.4 主机错误地识别为 Mac OS X 主机。在这种情况下,如果 Nmap 正确地识
别主机,应为该主机安排定期的 Nmap 扫描。
统类似或相同。例如, Apple Mac OS X 主机已修改,使其指纹与 Linux 2.4 主机相同,从而导致
系统将其识别为 Linux 2.4 而不是 Mac OS X。如果为 Mac OS X 主机创建自定义指纹,可能导致
将所有合法的 Linux 2.4 主机错误地识别为 Mac OS X 主机。在这种情况下,如果 Nmap 正确地识
别主机,应为该主机安排定期的 Nmap 扫描。
如果使用主机输入从第三方系统导入数据,则必须将第三方用于描述服务器和应用协议的供应
商、产品和版本字符串映射至这些产品的思科定义。有关详细信息,请参阅
商、产品和版本字符串映射至这些产品的思科定义。有关详细信息,请参阅
。请注意,即使将应用数据映射至 FireSIGHT 系统供应商和版本定义,导入的第
三方漏洞也不用于客户端或网络应用的影响评估。
系统可以协调来自多个源的数据,以便确定操作系统或应用的当前标识。有关系统如何执行此操
作的详细信息,请参阅
作的详细信息,请参阅
。
对于 Nmap 数据,可安排定期 Nmap 扫描。对于主机输入数据,可定期运行用于导入的 Perl 脚本
或命令行实用程序。然而,请注意,主动扫描数据和主机输入数据可能不会随发现数据的频率进
行更新。
或命令行实用程序。然而,请注意,主动扫描数据和主机输入数据可能不会随发现数据的频率进
行更新。