Cisco Cisco Firepower Management Center 2000 User Guide
54-10
FireSIGHT 系统用户指南
第 54 章 配置补救
创建补救
Cisco PIX Block Source 补救
许可证:FireSIGHT
Cisco PIX Block Source 补救可用于阻止从违反关联策略的事件所包含源主机发送的任何流量。源
主机是连接事件或入侵事件中的源 IP 地址 (这些事件均基于关联规则),或者是发现事件中的主
机 IP 地址。
主机是连接事件或入侵事件中的源 IP 地址 (这些事件均基于关联规则),或者是发现事件中的主
机 IP 地址。
要添加补救,请执行以下操作:
访问:管理员/发现管理员
步骤 1
选择
Policies > Actions > Instances
。
系统将显示 Instances 页面。
步骤 2
在要向其添加补救的实例旁,点击
View
。
如果尚未添加实例,请参阅
。
系统将显示 Edit Instance 页面。
步骤 3
在
Configured Remediations
部分,选择
Block Source
,然后点击
Add
。
系统将显示 Edit Remediation 页面。
步骤 4
在
Remediation Name
字段中,输入补救名称。
选择的名称不得包含空格或特殊字符,且应为描述性名称。例如,如有多个 Cisco PIX 防火墙实
例,且每个实例有多个补救,则可能想要指定一个诸如
例,且每个实例有多个补救,则可能想要指定一个诸如
PIX_01_BlockSrc
之类的名称。
步骤 5
或者,在
Description
字段中,输入补救的说明。
补救添加成功。
配置 Nmap 补救
许可证:FireSIGHT
可响应关联事件,只需扫描触发事件发生的主机。可选择仅扫描触发关联事件的事件端口。
要设置响应关联事件的 Nmap 扫描,必须先创建 Nmap 扫描实例,然后添加 Nmap 扫描补救。然
后,可配置 Nmap 扫描,以响应违反策略中规则的情况。
后,可配置 Nmap 扫描,以响应违反策略中规则的情况。
请参阅以下各节:
•
•
添加 Nmap 扫描实例
许可证:FireSIGHT
可为要用于扫描网络主机的每个 Nmap 模块设置单独的扫描实例,以查看操作系统和服务器信
息。可为 防御中心 中的本地 Nmap 模块和用于远程运行扫描的任何受管设备设置扫描实例。每次
扫描结果均始终存储在配置扫描所在的防御中心,即使是从远程受管设备运行扫描。为防止意外
或恶意扫描关键任务主机,可创建实例黑名单,指出不应通过实例扫描的主机。
息。可为 防御中心 中的本地 Nmap 模块和用于远程运行扫描的任何受管设备设置扫描实例。每次
扫描结果均始终存储在配置扫描所在的防御中心,即使是从远程受管设备运行扫描。为防止意外
或恶意扫描关键任务主机,可创建实例黑名单,指出不应通过实例扫描的主机。
请注意,不可添加与现有扫描实例名称相同的扫描实例。