Cisco Cisco Firepower Management Center 2000 User Guide
34-22
FireSIGHT 系统用户指南
第 34 章 检测特定威胁
检测敏感数据
步骤 5
可以采取
步骤 6
保存策略,继续编辑,放弃所做的更改,或者在系统缓存中保留更改的同时退出。有关详情,请
参见
参见
选择要监控的应用协议
许可证:可控性
最多可以为每种数据类型指定八个应用协议进行监控。有关系统可在网络上检测的应用协议的详
细信息,请参阅
细信息,请参阅
。
必须为选择的每个应用协议至少启用一个检测器 (参阅
)。默
认情况下,思科提供的所有检测器均已激活。如果没有为应用协议启用检测器,系统会自动为应
用启用思科提供的所有检测器;如果不存在,系统会为应用启用最近修改的用户定义的检测器。
用启用思科提供的所有检测器;如果不存在,系统会为应用启用最近修改的用户定义的检测器。
必须为每种数据类型至少指定一个要监控的应用协议或端口。但是,除了要检测 FTP 流量中的敏
感数据的情况之外,思科建议在指定应用协议时指定相应的端口,以便实现最全面覆盖。例如,
如果指定 HTTP,还可以配置通用的 HTTP 端口 80。如果网络上的新主机执行 HTTP,系统会在
它发现新 HTTP 应用协议的时间间隔内监控端口 80。
感数据的情况之外,思科建议在指定应用协议时指定相应的端口,以便实现最全面覆盖。例如,
如果指定 HTTP,还可以配置通用的 HTTP 端口 80。如果网络上的新主机执行 HTTP,系统会在
它发现新 HTTP 应用协议的时间间隔内监控端口 80。
在想要检测 FTP 流量中的敏感数据的情况下,您必须指定
FTP 数据
应用协议;指定端口号没有好
处。有关详情,请参见
要修改检测敏感数据的应用协议,请执行以下操作:
管理员/入侵管理员
步骤 1
选择
Policies > Intrusion > Intrusion Policy
。
系统将显示 Intrusion Policy 页面。
步骤 2
点击要编辑的策略旁边的编辑图标 (
)。
如果在另一策略中的更改尚未保存,请点击
OK
放弃这些更改并继续操作。有关保存其他策略中
尚未保存的更改的详细信息,请参阅
。
系统将显示 Policy Information 页面。
步骤 3
点击左侧导航面板中的
Advanced Settings
。
系统将显示 Advanced Settings 页面。
步骤 4
您有两种选择,具体取决于是否启用了
Specific Threat Detection
下的
Sensitive Data Detection
:
•
如果该配置已启用,请点击
Edit
。
•
如果该配置已禁用,请点击
Enabled
,然后点击
Edit
。
系统将显示 Sensitive Data Detection 页面。
页面底部消息会识别包含配置的入侵策略层。有关详情,请参见
。
步骤 5
点击
Data Types
下的数据类型名称并选择要修改的数据类型。
Configuration 页面会进行更新以显示选定数据类型的当前设置。
步骤 6
在
Application Protocols
字段中点击,或点击字段旁边的
Edit
。
系统将显示 Application Protocols 弹出窗口。