Cisco Cisco Firepower Management Center 2000 User Guide

46-17

FireSIGHT 系统用户指南 

第 46 章      增强网络发现 

  使用应用检测器  

要创建用户定义的应用协议检测器：

访问：管理员/发现管理员

步骤 1

选择 

。

系统将显示 Detectors 页面。

步骤 2

点击 

。

系统将显示 Create Detector 页面。

步骤 3

提供基本的检测器信息，如检测器名称和描述。

请参阅

。

步骤 4

或者，可以为检测器创建用户定义的应用。

请参阅

。

步骤 5

提供检测条件，包括检测器应检查的流量的协议以及流量使用的端口。

请参阅

。

步骤 6

或者，配置检测器配置，使其在流量中检查该应用协议流量中出现的一个或多个模式的匹配项。

请参阅

。

步骤 7

或者，针对一个或多个 PCAP 文件的内容测试新检测器。

请参阅

。

步骤 8

点击 

。

系统将保存应用协议检测器。

注

必须先激活检测器，然后系统才能将其用于分析应用协议流量。有关详细信息，请参阅

。请注意，如将应用纳入访问控制规则中，则检测器将自动激活，而且

在使用时不能停用。

提供基本的应用协议检测器信息

许可证：FireSIGHT

必须为每个用户定义的应用协议检测器提供名称，并确定想要检测的应用协议。或者，可提供检
测器的简短描述。

除了您提供的信息，防御中心还指示检测器是处于活动状态还是非活动状态，以及检测器是端口
检测器还是模式检测器。如果检测器通过端口和模式识别应用协议流量， FireSIGHT 系统会将其
视为模式检测器。

如在编辑现有检测器，防御中心也会显示检测器的作者。如已创建用户定义的应用协议检测器，
则您是作者。您也是自己导入或编辑与保存的任何检测器的作者。