Cisco Cisco Firepower Management Center 2000 User Guide
48-7
FireSIGHT 系统用户指南
第 48 章 使用网络映射
使用漏洞网络映射
如果认为特定漏洞不适用于网络上的主机 (例如,已应用修补程序),则可停用漏洞。已停用的
漏洞仍显示在网络映射中,但是其先前受影响主机的 IP 地址以灰色斜体显示。这些主机的主机配
置文件将已停用的漏洞显示为无效,不过可以手动将其标记为对于个别主机有效;有关详细信
息,请参阅
漏洞仍显示在网络映射中,但是其先前受影响主机的 IP 地址以灰色斜体显示。这些主机的主机配
置文件将已停用的漏洞显示为无效,不过可以手动将其标记为对于个别主机有效;有关详细信
息,请参阅
。
如果主机上的应用或操作系统存在身份冲突,则系统会列出两种潜在身份的漏洞。解决身份冲突
后,漏洞保持与当前身份关联。有关详细信息,请参阅
后,漏洞保持与当前身份关联。有关详细信息,请参阅
和
。
默认情况下,仅当数据包包含应用的厂商和版本时,漏洞网络映射才会显示检测到的应用的漏
洞。但是,可将系统配置列出缺少厂商和版本数据的应用的漏洞,只需在系统策略中为应用启用
漏洞映射设置。有关为应用设置漏洞映射的信息,请参阅
洞。但是,可将系统配置列出缺少厂商和版本数据的应用的漏洞,只需在系统策略中为应用启用
漏洞映射设置。有关为应用设置漏洞映射的信息,请参阅
。
漏洞 ID (或漏洞 ID 的范围)旁边的数字表示两个计数:
•
第一个数字是受漏洞影响的非唯一主机的计数。如果主机受多个漏洞影响,则会多次对其进
行计数。因此,计数可能高于网络上的主机数。停用漏洞会按可能受该漏洞影响的主机数减
小此计数。如果尚未面向漏洞或漏洞范围停用任何潜在受影响主机的任何漏洞,则不显示此
计数。
行计数。因此,计数可能高于网络上的主机数。停用漏洞会按可能受该漏洞影响的主机数减
小此计数。如果尚未面向漏洞或漏洞范围停用任何潜在受影响主机的任何漏洞,则不显示此
计数。
•
第二个数字是系统已确定为
潜在受漏洞影响的非唯一主机的总数的类似计数。
停用漏洞致使其仅对指定的主机处于非活动状态。可停用已判定为易受攻击的所有主机或指定的
个别易受攻击主机的漏洞。如果系统随后在主机上检测到未尚未停用的漏洞 (例如,在网络映射
中的新主机上),则系统会激活该主机的漏洞。必须明确停用最近发现的漏洞。此外,如果系统
检测到主机的操作系统或应用变化,则可能重新激活关联的已停用漏洞。
个别易受攻击主机的漏洞。如果系统随后在主机上检测到未尚未停用的漏洞 (例如,在网络映射
中的新主机上),则系统会激活该主机的漏洞。必须明确停用最近发现的漏洞。此外,如果系统
检测到主机的操作系统或应用变化,则可能重新激活关联的已停用漏洞。
要查看漏洞网络映射,请执行以下操作:
访问:管理员/任何安全分析师
步骤 1
选择
Analysis > Hosts > Network Map > Vulnerabilities
。
系统将显示漏洞网络映射。
步骤 2
从
Type
下拉列表,选择要查看的漏洞的等级。默认情况下,漏洞按旧版漏洞 ID (SVID) 显示。
步骤 3
向下钻取至要调查的特定漏洞。
要按 IP 地址或 MAC 地址过滤,请在搜索字段中键入地址。要清除搜索,请点击清除图标 (
)。
系统将显示漏洞详细信息。有关所提供的信息的详情,请参阅
。
此外,在网络映射中,防御中心显示受影响主机的 IP 地址。可以点击任何 IP 地址以显示该主机
的主机配置文件。
的主机配置文件。
步骤 4
或者,停用漏洞:
•
要停用受漏洞影响的所有主机的漏洞,请点击漏洞编号旁边的删除图标 (
)。
•
要停止个别主机的漏洞,请点击主机 IP 地址旁边的删除图标 (
)。
漏洞停用成功。适用的主机 IP 地址在网络映射中以灰色斜体显示。此外,这些主机的主机配置文
件将已停用的漏洞显示为无效。
件将已停用的漏洞显示为无效。
提示
有关重新激活漏洞的详细信息,请参阅
。