Cisco Cisco Firepower Management Center 2000 User Guide
第
章
52-1
FireSIGHT 系统用户指南
52
将 FireSIGHT 系统用作一个合规工具
合规白名单 (或白名单)是允许用户指定可在特定子网上运行的操作系统、应用及和协议的一系
列标准,并且如果该子网上的主机违反了白名单,则会自动生成事件。例如,安全策略可声明,
当允许网络服务器运行 HTTP 时,该网络上的其他主机均不得运行 HTTP。可以创建一份白名
单,评估整个网络 (不包括网络场),以确定哪些主机正在运行 HTTP。
列标准,并且如果该子网上的主机违反了白名单,则会自动生成事件。例如,安全策略可声明,
当允许网络服务器运行 HTTP 时,该网络上的其他主机均不得运行 HTTP。可以创建一份白名
单,评估整个网络 (不包括网络场),以确定哪些主机正在运行 HTTP。
请注意,可以创建一条执行此功能的关联规则,对该 规则进行配置,使其在下列情况下触发:
•
系统发现了有关应用协议的新信息
•
应用协议的名称为 HTTP
•
该事件中涉及的主机的 IP 地址不在相关网络场之中
关联规则能够以更灵活的方式发送警报,并对网络上的违规行为作出反应,但是,其配置和维护
过程比白名单更复杂。关联规则的范围也更广,当其中一种类型的事件符合指定的任何条件时,
可以生成关联事件。另一方面,白名单专门用于评估网络上运行的操作系统、应用协议、客户
端、网络应用及通信协议是否违反了组织的策略。
过程比白名单更复杂。关联规则的范围也更广,当其中一种类型的事件符合指定的任何条件时,
可以生成关联事件。另一方面,白名单专门用于评估网络上运行的操作系统、应用协议、客户
端、网络应用及通信协议是否违反了组织的策略。
可以创建符合特定需求的自定义白名单,也可以使用由思科漏洞研究团队 (VRT) 创建的默认白名
单。该白名单包含适用于所允许的操作系统、应用协议、客户端、网络应用及通信协议的建议设
置。您可能还想根据网络环境来自定义默认的白名单。
单。该白名单包含适用于所允许的操作系统、应用协议、客户端、网络应用及通信协议的建议设
置。您可能还想根据网络环境来自定义默认的白名单。
如果在活动关联策略中添加白名单,系统检测到主机违反白名单时,会将白名单事件 (一种特殊
类型的关联活动)记入数据库。此外,还可以配置系统,使系统在检测到白名单被违反时自动触
发响应 (补救措施和警报)。
类型的关联活动)记入数据库。此外,还可以配置系统,使系统在检测到白名单被违反时自动触
发响应 (补救措施和警报)。
注
虽然可以配置网络发现策略,根据支持 NetFlow 的设备所导出的数据,在网络映射中添加主机和
应用协议,但是,有关这些主机和应用协议的可用信息受到限制。例如,这些主机没有可用的操
作系统数据,除非您使用主机输入功能提供这些数据。这样可能会影响创建合规白名单的方式。
有关详细信息,请参阅
应用协议,但是,有关这些主机和应用协议的可用信息受到限制。例如,这些主机没有可用的操
作系统数据,除非您使用主机输入功能提供这些数据。这样可能会影响创建合规白名单的方式。
有关详细信息,请参阅
系统会创建每台主机的属性,以表明该主机是否符合所创建白名单的条件,因此提供了网络合规
性的一览汇总。只需几秒钟,便可以确定组织内的哪些主机违反了策略正在运行 HTTP,并采取
相应的行动。
性的一览汇总。只需几秒钟,便可以确定组织内的哪些主机违反了策略正在运行 HTTP,并采取
相应的行动。
然后,使用关联功能配置系统,使系统在网络场之外的主机开始运行 HTTP 时发出警报。
此外,系统允许使用主机配置文件,来确定是否有单个主机违反了所配置的任何白名单以及违反
白名单的方式。 FireSIGHT 系统还提供工作流程,可用于查看违反白名单的各违规行为以及每台
主机的违规次数。
白名单的方式。 FireSIGHT 系统还提供工作流程,可用于查看违反白名单的各违规行为以及每台
主机的违规次数。
最后,可以使用控制面板监控系统范围内最近的合规活动,包括白名单事件以及网络整体合规性
的汇总视图。
的汇总视图。