Cisco Cisco Firepower Management Center 2000 User Guide

47-10

FireSIGHT 系统用户指南

第 47 章      配置主动扫描       

  设置 Nmap 扫描

创建 Nmap 补救

许可证：FireSIGHT

可为 Nmap 扫描定义设置，只需创建 Nmap 补救。 Nmap 补救可用作关联策略中的响应，按需运
行，或预定在特定时间运行。为了让 Nmap 扫描结果出现在网络映射中，已扫描的主机必须已存
在于网络映射中。

有关 Nmap 补救中特定设置的详细信息，请参阅

。

请注意， Nmap 提供的服务器和操作系统数据将保持不变，直至运行另一个 Nmap 扫描。如计划
使用 Nmap 扫描主机以获取操作系统和服务器数据，则可能希望设置定期扫描，随时更新任何 
Nmap 提供的操作系统和服务器数据。有关详细信息，请参阅

。另请注意，如从网络映射中删除主机，则将丢弃该主机的任何 Nmap 扫描结果。

有关 Nmap 功能的一般信息，请参阅 

 上的 Nmap 文档。

要创建 Nmap 补救，请执行以下操作：

访问：管理员/发现管理员

步骤 1

选择

。

系统将显示 Scanners 页面。

步骤 2

在要为其添加补救的扫描实例旁，点击 

。

系统将显示 Edit Remediation 页面。

步骤 3

在 

 字段中，键入补救名称，其中包含 1 到 63 个字母数字字符，没有空格以及除

下划线 (_) 和连接号 (-) 以外的特殊字符。

步骤 4

在 

 字段中，键入补救说明，其中包含 0 到 255 个字母数字字符，包括空格和特殊字符。

步骤 5

如果计划使用此补救响应在发生入侵事件、连接事件或用户事件时触发的关联规则，请配置 

Which Address(es) From Event？

选项：

选择 

，扫描事件中源 IP 地址和目标 IP 地址代表的主机。

选择 

，扫描事件源 IP 地址代表的主机。

选择 

，扫描事件目标 IP 地址代表的主机。

如果计划使用此补救响应在发生发现事件或主机输入事件时触发的关联规则，默认情况下，补救
将扫描事件涉及到的主机的 IP 地址；无需配置此选项。

注

不能将 Nmap 修复作为响应分配至在流量量变曲线变更上触发的关联规则。

步骤 6

配置 

选项：

要在以下主机上以隐形模式快速扫描，可发起但不完成 TCP 连接：

admin

 帐户拥有原始数据

包访问权限的主机，或未运行 IPv6 的主机，请选择 

。

要使用系统 

connect()

 调用 （可用于以下主机：防御中心上的 

admin

 帐户没有原始数据包访

问权限的主机，或未运行 IPv6 的主机）进行扫描，请选择 

。

要发送 ACK 数据包检查端口是否过滤，请选择 

。

要发送 ACK 数据包以检查端口是否被过滤以及确定端口已打开还是关闭，请选择 

。

要使用 FIN/ACK 探针识别 BSD 派生的系统，请选择 

。