Cisco Cisco Firepower Management Center 2000 User Guide
52-8
FireSIGHT 系统用户指南
第 52 章 将 FireSIGHT 系统用作一个合规工具
创建合规白名单
步骤 9
点击
Save White List
保存白名单。
白名单已保存。现在,可以将该白名单添加至活动的关联策略,开始评估目标主机的合规性,在
主机违反白名单时生成白名单事件,或者触发针对白名单违规的响应。有关详细信息,请参阅
主机违反白名单时生成白名单事件,或者触发针对白名单违规的响应。有关详细信息,请参阅
调查网络
许可证:FireSIGHT
开始创建合规白名单时,可以调查整个网络或某个特定网段。
调查网络时,系统从数据库收集在检测到的不同操作系统上运行的应用协议、客户端、网络应用
及通信协议的相关数据。然后,系统会在白名单内为检测到的各操作系统创建一个主机配置文
件。默认情况下,这些主机配置文件允许系统在适用的操作系统上检测到的所有客户端、应用协
议、网络应用和通信协议。
及通信协议的相关数据。然后,系统会在白名单内为检测到的各操作系统创建一个主机配置文
件。默认情况下,这些主机配置文件允许系统在适用的操作系统上检测到的所有客户端、应用协
议、网络应用和通信协议。
这样,系统可以创建一个基准白名单,您就无需手动创建和配置多个主机配置文件。调查网络之
后,您可以编辑或删除调查根据需求而创建的主机配置文件;还可以添加您可能需要的任何其他
主机配置文件。
后,您可以编辑或删除调查根据需求而创建的主机配置文件;还可以添加您可能需要的任何其他
主机配置文件。
请注意,在创建白名单的过程中,您可以随时调查网络。这样,便可以向已有的主机配置文件添
加其他允许的客户端、应用协议、网络应用及通信协议,并且如果调查检测到有主机正在运行初
始调查时未检测到的操作系统,则会创建其他主机配置文件。如果重新调查活动的关联策略下所
使用白名单中的网络,则该调查会更改目标或主机配置文件,当您保存该名单时系统重新评估目
标主机。尽管此次重新评估可能将某些主机的属性改为合规,但它不会生成任何白名单事件。
加其他允许的客户端、应用协议、网络应用及通信协议,并且如果调查检测到有主机正在运行初
始调查时未检测到的操作系统,则会创建其他主机配置文件。如果重新调查活动的关联策略下所
使用白名单中的网络,则该调查会更改目标或主机配置文件,当您保存该名单时系统重新评估目
标主机。尽管此次重新评估可能将某些主机的属性改为合规,但它不会生成任何白名单事件。
要通过网络调查开始创建合规白名单,请执行以下操作:
访问:管理
步骤 1
选择
Policies > Correlation
,然后点击
White List
。
系统将显示 White List 页面。
步骤 2
点击
New White List
。
系统将显示 Survey Network 页面。
步骤 3
是否要调查网络?
•
如果选择 yes,请继续执行下一步。
•
如果选择 no,请点击
Skip
。
系统将显示 Create White List 页面,并显示一个空白的白名单。继续执行下一节
中的操作步骤。
步骤 4
在
IP Address
和
Netmask
字段中,输入表示要调查的主机的 IP 地址和网络掩码(使用特殊表示法,
例如 CIDR)。
请确保在网络发现策略中指定系统监控的网络。有关在 FireSIGHT 系统中使用 IP 地址表示法的详
细信息,请参阅
细信息,请参阅
提示
要调查整个受监控网络,请使用默认值
0.0.0.0/0
和
::/0
。