Cisco Cisco Firepower Management Center 2000 User Guide
第
章
50-1
FireSIGHT 系统用户指南
50
使用发现事件
发现事件提醒网络活动并提供正确响应所需的信息。这些事件是由受管设备在所监控网段检测到
的变化触发的。
的变化触发的。
网络发现策略规定了系统所采集数据、受监控网段以及系统用于监控流量的特定
硬件接口的类型。有关网络发现的详细信息,请参阅
拥有访问员工连接到网络的会议室或备用工作空间是发现事件的简单例子。可在这些分段中发现
定期生成的新主机事件,无需怀疑其恶意目的。但是,如果在锁定网段发现新主机事件,则可相
应地升级响应。
定期生成的新主机事件,无需怀疑其恶意目的。但是,如果在锁定网段发现新主机事件,则可相
应地升级响应。
用户发现事件提供登录到网络中的主机的用户信息。可查看网络上用户活动的事件目录并钻取查
看特定用户的信息。例如,如果要查看与新主机关联的用户,可通过查看主机配置文件了解用主
机流量监控过程中检测到的用户。
看特定用户的信息。例如,如果要查看与新主机关联的用户,可通过查看主机配置文件了解用主
机流量监控过程中检测到的用户。
通过发现事件可更加深入地了解网络上的活动,其程度比简单示例所示程度更加细致。对于每个
受监控主机,可通过配置系统检测相关应用协议、网络协议、客户端、用户和潜在漏洞。系统也
可提供有关使用主机输入功能导入到防御中心上的第三方扫描仪所检测到的漏洞的信息。危害表
现 (IOC) 使用入侵、恶意软件和其他数据识别安全可能受到威胁的主机。此外,可跟踪在主机重
要性、主机属性或用户通过用户界面输入的漏洞设置的所有更改。
受监控主机,可通过配置系统检测相关应用协议、网络协议、客户端、用户和潜在漏洞。系统也
可提供有关使用主机输入功能导入到防御中心上的第三方扫描仪所检测到的漏洞的信息。危害表
现 (IOC) 使用入侵、恶意软件和其他数据识别安全可能受到威胁的主机。此外,可跟踪在主机重
要性、主机属性或用户通过用户界面输入的漏洞设置的所有更改。
系统提供了用于分析系统生成的发现事件的一系列预定义工作流程。也可创建仅显示与特定需求
匹配的自定义工作流程。
匹配的自定义工作流程。
要采集和存储网络发现数据用于分析,确保配置网络发现策略,发现思科受管设备和 NetFlow 可
用设备监控流量的网络和区域中的适当数据。要从发现的区域中排除受监控区域,请在网络发现
策略中进行配置。注意在应用网络发现策略前必须在受管设备上应用访问控制策略。有关详细信
息,请参阅
用设备监控流量的网络和区域中的适当数据。要从发现的区域中排除受监控区域,请在网络发现
策略中进行配置。注意在应用网络发现策略前必须在受管设备上应用访问控制策略。有关详细信
息,请参阅
有关详情,请参阅:
•
•
•
•
•
•
•
•
•
•
•