Cisco Cisco Firepower Management Center 2000 User Guide
34-6
FireSIGHT 系统用户指南
第 34 章 检测特定威胁
检测端口扫描
可以指定单个 IP 地址或地址块,或者单个 IP 地址和/或地址块的逗号分隔列表。有关在
FireSIGHT 系统中使用 IPv4 和 IPv6 地址块的详细信息,请参阅
FireSIGHT 系统中使用 IPv4 和 IPv6 地址块的详细信息,请参阅
步骤 10
或者,在
Ignore Scanned
字段中,指定要作为扫描目标而忽略的主机。可使用此字段指示在网络上
特别活跃的主机。可能需要随时间修改此主机列表。
可以指定单个 IP 地址或地址块,或者单个 IP 地址和/或地址块的逗号分隔列表。有关在
FireSIGHT 系统中使用 IPv4 和 IPv6 地址块的详细信息,请参阅
FireSIGHT 系统中使用 IPv4 和 IPv6 地址块的详细信息,请参阅
步骤 11
或者,清除
Detect Ack Scans
复选框以停止监视在中途恢复的会话。
注
检测中途会话有助于识别 ACK 扫描,但可能会导致错误事件,特别是在含大流量和丢弃数据包
的网络中。
的网络中。
步骤 12
保存策略,继续编辑,放弃所做的更改,或者在系统缓存中保留更改的同时退出。有关详情,请
参见
参见
了解端口扫描事件
许可证:保护
当启用端口扫描检测时,必须启用生成器 ID (GID) 为 122 且 Snort® ID (SID) 为 1 至 27 的规则,
从而为每种启用的端口扫描类型生成事件。有关详情,请参见
从而为每种启用的端口扫描类型生成事件。有关详情,请参见
表中的
Preprocessor Rule SID
列列出了必须为每种端口扫描类型启用的预处理器规则的 SID。
表
34-5
端口扫描检测
SID (GID:122)
端口扫描类型
协议:
灵敏度级别
预处理器规则 SID
端口扫描检测
TCP
UDP
ICMP
IP
低
中或高
低
中或高
低
中或高
低
中或高
中或高
低
中或高
低
中或高
低
中或高
1
5
17
21
不生成事件。
不生成事件。
9
不生成事件。
9
13
端口清扫
TCP
UDP
ICMP
IP
低
中或高
低
中或高
低
中或高
低
中或高
中或高
低
中或高
低
中或高
低
中或高
3, 27
7
19
23
25
26
11
15