Cisco Cisco Firepower Management Center 2000 User Guide
52-6
FireSIGHT 系统用户指南
第 52 章 将 FireSIGHT 系统用作一个合规工具
了解合规白名单
•
系统检测到主机上有新的客户端正在运行
•
系统从数据库中删除了某个不活动的客户端
•
系统检测到主机上有新的网络应用正在运行
•
系统从主机配置文件中删除了某个不活动的网络应用
•
系统检测到主机正在与新的网络协议 (例如 Novell Netware 或 IPv6)或新的传输协议 (例如
ICMP 或 EGP)进行通信
ICMP 或 EGP)进行通信
•
系统检测到一台越狱的新移动设备
•
系统检测到主机上的某个 TCP 或 UDP 端口已关闭或超时
此外,您还可以使用主机输入功能或主机配置文件执行以下操作来触发主机合规性的改变:
•
向主机添加客户端、协议或服务器
•
从主机中删除客户端、协议或服务器
•
设置主机的操作系统定义
•
更改主机的主机属性,这样该主机便不再是一个有效目标
例如,如果白名单指定只允许在网络上运行 Microsoft Windows 主机,但系统检测到该主机当前
正在运行 Mac OS X,则系统会生成一个白名单事件。此外,该主机与白名单关联的主机属性的
值从
正在运行 Mac OS X,则系统会生成一个白名单事件。此外,该主机与白名单关联的主机属性的
值从
合规
更改为
违规
。
要将本示例中主机的合规属性恢复为合规,必须发生下列任一情况:
•
您编辑白名单,以允许 Mac OS X 操作系统的运行
•
您手动将主机的操作系统定义更改为 Microsoft Windows
•
系统检测到操作系统已更改回 Microsoft Windows
此外,与白名单关联的主机属性的值从
违规
更改为
合规
。
又例如,如果合规白名单禁止使用 FTP,并且您从应用协议网络映射或事件视图中删除了 FTP,
则运行 FTP 的主机的属性变为合规。但如果系统再次检测到该应用协议,则会生成白名单事件,
且该主机的属性变为违规。
则运行 FTP 的主机的属性变为合规。但如果系统再次检测到该应用协议,则会生成白名单事件,
且该主机的属性变为违规。
请注意,如果系统生成的事件所包含的白名单信息不足,则不会触发白名单。例如,白名单指定
端口 21 上只允许传输 TCP FTP 流量。然后,系统检测到使用 TCP 协议的端口 21 已在白名单的
其中一个目标上激活,但系统无法该流量是否来自 FTP。在这种情况下,不会触发白名单,除非
系统将该数据流识别为是除 FTP 流量以外的流量,或者您使用主机输入功能将该流量指定为非
FTP 流量。
端口 21 上只允许传输 TCP FTP 流量。然后,系统检测到使用 TCP 协议的端口 21 已在白名单的
其中一个目标上激活,但系统无法该流量是否来自 FTP。在这种情况下,不会触发白名单,除非
系统将该数据流识别为是除 FTP 流量以外的流量,或者您使用主机输入功能将该流量指定为非
FTP 流量。
注
在白名单的初始评估期间,系统不会对违规主机生成白名单事件。如果想要对所有违规目标的生
成白名单事件,则必须清除防御中心数据库。这样,系统会重新发现网络上的主机以及与其关联
的客户端、应用协议、网络应用与通信协议,从而触发白名单事件。有关详细信息,请参阅
成白名单事件,则必须清除防御中心数据库。这样,系统会重新发现网络上的主机以及与其关联
的客户端、应用协议、网络应用与通信协议,从而触发白名单事件。有关详细信息,请参阅
。
此外,还可以将系统配置为检测到白名单违规行为时自动触发响应。响应包括补救措施 (例如运
行 Nmap 扫描)、警报 (邮件、 SNMP 和系统日志警报),或警报与补救措施的组合。有关详细
信息,请参阅
行 Nmap 扫描)、警报 (邮件、 SNMP 和系统日志警报),或警报与补救措施的组合。有关详细
信息,请参阅