Cisco Cisco Firepower Management Center 2000 User Guide
34-23
FireSIGHT 系统用户指南
第 34 章 检测特定威胁
检测敏感数据
步骤 7
您有两种选择:
•
要添加要监控的应用协议 (最多八个),请从左侧的
Available
列表中选择一个或多个应用协
议,然后点击右箭头 (
>
) 按钮。
•
要删除应用协议,请从右侧的
Enabled
列表中选择,然后点击左箭头 (
<
) 按钮。
点击的同时使用 Ctrl 或 Shift 选择多个应用协议。您也可以点击并拖动鼠标,以选择多个相邻的
应用协议。
应用协议。
注
要检测 FTP 中的敏感数据,必须添加
FTP data
应用程序协议。有关详情,请参见
。
步骤 8
点击
OK
以添加应用协议。
系统将显示 Sensitive Data Detection 页面且应用协议会进行更新。
特殊情况:检测 FTP 流量中的敏感数据
许可证:可控性
通常,可通过指定要监控的端口或在部署中指定应用协议来确定要监控敏感数据的流量。但是,
对于检测 FTP 流量中的敏感数据来说,指定端口或应用协议并不足够。在 FTP 应用协议的流量中
找到 FTP 流量中的敏感数据,这种情况间歇出现并使用临时端口号,因此难以检测。要检测 FTP
流量中的敏感数据,必须在配置中包括以下几项:
对于检测 FTP 流量中的敏感数据来说,指定端口或应用协议并不足够。在 FTP 应用协议的流量中
找到 FTP 流量中的敏感数据,这种情况间歇出现并使用临时端口号,因此难以检测。要检测 FTP
流量中的敏感数据,必须在配置中包括以下几项:
•
指定
FTP data
应用协议。
指定
FTP data
应用协议可检测 FTP 流量中的敏感数据。有关详情,请参见
。
对于检测 FTP 流量中的敏感数据这种特殊情况,指定
FTP data
应用协议不会调用检测功能;
而是会调用 FTP/Telnet 预处理器的快速处理功能来检测 FTP 流量中的敏感数据。有关详情,
请参见
请参见
•
确保 FTP Data 检测器已启用 (默认情况下已启用)。
请参阅
•
确保配置包括至少一个要监控敏感数据的端口。
请注意,不需要指定 FTP 端口 (只要检测 FTP 流量中的敏感数据这种罕见情况除外)。大多数
敏感数据配置将包括其他端口 (例如 HTTP 或邮件端口)。如果只要指定一个 FTP 端口进行监
控,思科建议指定 FTP 命令端口
敏感数据配置将包括其他端口 (例如 HTTP 或邮件端口)。如果只要指定一个 FTP 端口进行监
控,思科建议指定 FTP 命令端口
23
。有关详细信息,请参阅
。
使用自定义数据类型
许可证:保护
可以创建和修改自定义数据类型以检测指定的数据模式。例如,医院可以创建一种数据类型来保
护患者编号;再如,大学可以创建一种数据类型来检测具有唯一编号模式的学号。
护患者编号;再如,大学可以创建一种数据类型来检测具有唯一编号模式的学号。
创建的每种自定义数据类型还会创建一个敏感数据预处理器规则,该规则的生成器 ID (GID) 为
138, Snort ID 为大于或等于 1000000 (也就是本地规则的 SID)。必须启用关联的敏感数据规则
才能为要用于策略中的每种自定义数据类型启用检测和事件生成。有关在入侵策略中启用规则的
详细信息,请参阅
138, Snort ID 为大于或等于 1000000 (也就是本地规则的 SID)。必须启用关联的敏感数据规则
才能为要用于策略中的每种自定义数据类型启用检测和事件生成。有关在入侵策略中启用规则的
详细信息,请参阅
。