Cisco Cisco Firepower Management Center 2000 User Guide
46-15
FireSIGHT 系统用户指南
第 46 章 增强网络发现
使用应用检测器
•
检测器的类型是应用协议、客户端、网络应用还是内部检测器
•
对于基于端口的应用检测器,应用流量使用的端口
•
检测到的应用的相关详细信息,包括与检测器检测到的应用关联的名称、描述、任务、业务
相关性、标记和类别
相关性、标记和类别
•
检测器的状态 (活动或非活动)
系统仅使用活动检测器来分析应用流量。
您可能会注意到,列出的检测器拥有不同的属性。例如,可查看部分检测器的设置,但是不能查
看其他检测器的设置。类似地,可删除部分检测器,但是不能删除其他检测器。这是因为,思科
提供有多种不同类型的检测器,如以下各节所述。
看其他检测器的设置。类似地,可删除部分检测器,但是不能删除其他检测器。这是因为,思科
提供有多种不同类型的检测器,如以下各节所述。
思科提供的内部检测器
内部检测器是仅随 FireSIGHT 系统更新提供的应用检测器。取决于检测器,内部检测器可以
检测客户端、网络应用或应用协议流量,但它们被分类为内部检测器,而不是其他类型中的
一种,因为它们是内置检测器,而且无法停用。
检测客户端、网络应用或应用协议流量,但它们被分类为内部检测器,而不是其他类型中的
一种,因为它们是内置检测器,而且无法停用。
内部检测器始终处于开启状态;无法对其进行停用、删除或配置。内部检测器的示例包括:
内置 Amazon 检测器和内置 AppleTalk 检测器。
内置 Amazon 检测器和内置 AppleTalk 检测器。
思科提供的客户端检测器
思科提供的
客户端检测器可检测客户端流量,通过 VDB 更新提供,也随 FireSIGHT 系统的更
新提供。思科 Professional Services 也能以可导入检测器的形式提供这些检测器。
可根据贵组织的需求激活和停用客户端检测器。 VDB 更新也可激活或停用客户端检测器。仅
当导入客户端检测器后,才可以将其导出。
当导入客户端检测器后,才可以将其导出。
客户端检测器的示例包括:Google Earth 和 Immunet 检测器。
思科提供的网络应用检测器
思科提供的
网络应用检测器可检测 HTTP 流量负载中的网络应用,通过 VDB 更新提供,也随
FireSIGHT 系统更新提供。
可根据贵组织的需求激活和停用网络应用检测器。 VDB 更新可以激活或停用网络应用检测
器。网络应用检测器的示例包括:Blackboard 和 LiveJournal 检测器。
器。网络应用检测器的示例包括:Blackboard 和 LiveJournal 检测器。
思科提供的应用协议 (端口)检测器
基于端口的应用协议检测器由思科提供,基于对已知端口的网络流量检测。这些检测器通过
VDB 更新提供,也随 FireSIGHT 系统的更新提供,或由思科 Professional Services 以可导入检
测器的形式提供。
VDB 更新提供,也随 FireSIGHT 系统的更新提供,或由思科 Professional Services 以可导入检
测器的形式提供。
可根据贵组织的需求激活和停用应用协议检测器。还可查看检测器定义,以便将其用作自定
义检测器的基础。 VDB 更新可激活或停用应用协议检测器。
义检测器的基础。 VDB 更新可激活或停用应用协议检测器。
端口检测器的示例包括:chargen 和 finger 检测器。
思科提供的应用协议 (FireSIGHT) 检测器
FireSIGHT 的基于应用协议的检测器,由思科提供,使用 FireSIGHT 应用指纹,基于对网络
流量的检测。这些检测器通过 VDB 更新提供,也随 FireSIGHT 系统的更新提供。
流量的检测。这些检测器通过 VDB 更新提供,也随 FireSIGHT 系统的更新提供。
可根据贵组织的需求激活和停用应用协议检测器。 VDB 更新可以激活或停用思科提供的应用
协议检测器。 FireSIGHT 的基于应用协议的检测器的示例包括:Jabber 和 Steam 检测器。
协议检测器。 FireSIGHT 的基于应用协议的检测器的示例包括:Jabber 和 Steam 检测器。