Cisco Cisco Firepower Management Center 2000 User Guide

47-7

FireSIGHT 系统用户指南 

第 47 章      配置主动扫描 

  设置 Nmap 扫描    

注意事项

如有大型或动态网络，新主机检测可能太频繁，而无法使用扫描进行响应。为防止资源超载，请
避免使用 Nmap 扫描响应频繁发生的事件。此外，请注意，如果使用 Nmap 向新主机质询操作系
统和服务器信息思科，则将停用系统为已扫描主机对该数据进行的监控。

要为响应新主机的出现执行扫描，请执行以下操作：

访问：管理员/发现管理员

步骤 1

为 Nmap 模块配置扫描实例。

有关详细信息，请参阅

步骤 2

使用以下设置创建 Nmap 补救：

启用 

，可扫描与新服务器相关的端口。

启用 

，可检测主机的操作系统信息。

启用 

，可检测服务器厂商和版本信息。

启用 

，因为已知存在主机。

有关创建 Nmap 补救的信息，请参阅

步骤 3

创建在系统检测特定子网中的新主机时可触发的关联规则。

此规则应在

发生发现事件

并

检测到新主机时

触发。

有关创建关联规则的信息，请参阅

步骤 4

创建包含关联规则的关联策略。

有关创建关联策略的更多信息，请参阅

步骤 5

在关联策略中，将在以前步骤中创建的 Nmap 补救作为响应添加至在第 3 步中创建的规则。

步骤 6

激活关联策略。

步骤 7

收到出现新主机的通知时，检查主机配置文件，查看 Nmap 扫描结果，解决任何适用于主机的
漏洞。

设置 Nmap 扫描

许可证：FireSIGHT

要使用 Nmap 扫描，必须首先配置扫描实例和扫描补救。如果计划安排 Nmap 扫描，还必须界定
扫描目标。

有关详细信息，请参阅以下各节：