Cisco Cisco Firepower Management Center 2000 User Guide
50-57
FireSIGHT 系统用户指南
第 50 章 使用发现事件
使用用户活动
步骤 6
点击
Search
开始搜索。
搜索结果显示在默认用户工作流程中。要使用不同的工作流程,请点击
(switch workflow)
。有关指
使用用户活动
许可证:FireSIGHT
FireSIGHT 系统生成在网络上传达用户活动详情的事件。以下对四种类型的用户活动进行了说明。
New User Identity
系统检测到非数据库中用户登录时,生成此事件。
用户登录
出现以下任一情况时,生成此事件:
–
Active Directory 服务器上安装的 Active Directory Agent 检测到 LDAP 登录
–
受管设备检测到 LDAP、POP3、IMAP、SMTP、AIM、Oracle、FTP、HTTP、MDNS 或
SIP 登录
SIP 登录
–
有关用户登录事件需要谨记以下几点:
–
系统将不记录 SMTP 登录,除非数据库中已有匹配邮件地址的用户。
–
失败登录仅限 LDAP、 IMAP、 FTP 和 POP3,且仅限在流量中被检测到时。系统不因失
败登录而将用户添加至检测到的用户数据库,但是,可选择根据网络发现策略中的用户
登录配置在用户活动数据库中记录此活动。
败登录而将用户添加至检测到的用户数据库,但是,可选择根据网络发现策略中的用户
登录配置在用户活动数据库中记录此活动。
–
如果明确限制了登录类型,则不会记录用户登录;请参阅
注意:当未授权用户登录主机时,该登录操作将记录在用户和主机历史记录中。如果没有授
权用户与该主机相关联,则未授权用户可能是该主机的当前用户。但是,授权用户登录该主
机后,只有另一授权用户登录才能改变当前用户。此外,未授权用户是主机当前用户时,该
用户仍不能进行用户管理。
权用户与该主机相关联,则未授权用户可能是该主机的当前用户。但是,授权用户登录该主
机后,只有另一授权用户登录才能改变当前用户。此外,未授权用户是主机当前用户时,该
用户仍不能进行用户管理。
Delete User Identity
手动删除数据库中用户时,生成此事件。
User Identity Dropped: User Limit Reached
系统检测到非数据库中用户时生成此事件,但是,无法添加用户,因为数据库中用户数已经
达到 FireSIGHT 许可证规定的最大数量。
达到 FireSIGHT 许可证规定的最大数量。
防御中心可存储的检测用户的总数取决于 FireSIGHT 许可证。如果达到许可的限制,多数情
况下,系统会停止向数据库添加新用户。要添加新用户,必须手动从数据库中删除旧的或非
活动用户,或者清除数据库中的所有用户。
况下,系统会停止向数据库添加新用户。要添加新用户,必须手动从数据库中删除旧的或非
活动用户,或者清除数据库中的所有用户。
但是,系统支持授权用户。如果已达到极限且系统检测到先前未检测到的授权用户登录,则
系统会删除保持非活动状态时间最长的未授权用户,并用新授权用户替换该用户。
系统会删除保持非活动状态时间最长的未授权用户,并用新授权用户替换该用户。
系统检测用户活动时,会将该操作记录到数据库中。可查看、搜索和删除用户活动;也可从数据
库中清除所有用户活动。
库中清除所有用户活动。
FireSIGHT 系统会尽可能地将用户活动与其他类型的事件关联。例如,入侵事件可以指出在事件
发生时登录源主机和目标主机的用户。这样,可以了解哪个用户拥有作为攻击目标的主机,或者
了解内部攻击或端口扫描的发起者。
发生时登录源主机和目标主机的用户。这样,可以了解哪个用户拥有作为攻击目标的主机,或者
了解内部攻击或端口扫描的发起者。