Cisco Cisco Firepower Management Center 2000 User Guide
3-8
FireSIGHT 系统用户指南
第 3 章 管理可重用对象
使用安全情报列表和源
为了帮助您构建黑名单,思科提供了 Intelligence Feed(有时称为 Sourcefire Intelligence Feed),其
中包括 VRT 确定为信誉不佳的 IP 地址的多个列表,这些列表会定期更新。情报源中的每个列表均
代表一个特定类别:开放中继、已知攻击者、伪造 IP 地址(虚假)等。在访问控制策略中,可以将任
何或所有类别加入到黑名单。
中包括 VRT 确定为信誉不佳的 IP 地址的多个列表,这些列表会定期更新。情报源中的每个列表均
代表一个特定类别:开放中继、已知攻击者、伪造 IP 地址(虚假)等。在访问控制策略中,可以将任
何或所有类别加入到黑名单。
由于情报源会定期更新,因此系统可以使用最新信息来过滤网络流量。恶意 IP 地址是指诸如恶意
软件、垃圾邮件、僵尸网络以及网络钓鱼的安全威胁,它们的出现和消失速度要快于更新和应用
新策略的速度。
软件、垃圾邮件、僵尸网络以及网络钓鱼的安全威胁,它们的出现和消失速度要快于更新和应用
新策略的速度。
虽然不能删除情报源,但对情报源进行编辑可以更改其更新频率。默认情况下,源每两小时更新
一次。
一次。
要修改情报源的更新频率,请执行以下操作:
访问:管理员/网络管理员
步骤 1
在对象管理器的 Security Intelligence 页面上,点击 Sourcefire Intelligence Feed 旁的编辑图标
(
(
)。
系统将显示 Sourcefire Security Intelligence 弹出窗口。
步骤 2
编辑
Update Frequency
。
可选择从两小时到一周不等的时间间隔。也可以禁用源更新。
步骤 3
点击
Save
。
已保存您的更改。
使用自定义安全情报源
许可证:保护
受支持的设备:任何防御中心,除了 2 系列
受支持的防御中心:除 DC500 外的所有型号
自定义或第三方安全情报源允许您使用互联网上其他定期更新且信誉良好的白名单和黑名单来扩充情
报源。也可以设置内部源;如果要使用一个源列表来更新部署中的多个防御中心,这将会很有用。
报源。也可以设置内部源;如果要使用一个源列表来更新部署中的多个防御中心,这将会很有用。
配置源时,可使用 URL 指定位置;但 URL 不能使用 Punycode 编码。默认情况下,防御中心会按
照配置的时间间隔下载整个源列表,然后自动更新其受管设备。
照配置的时间间隔下载整个源列表,然后自动更新其受管设备。
或者,可以将系统配置为使用 md5 校验和来确定是否下载更新的源。如果校验和自防御中心上一
次下载源以来没有更改,系统不需要重新下载该源。您可能希望将 md5 校验和用于内部源,尤其
是那些很大的内部源。 md5 校验和必须存储在仅带有该校验和的简单文本文件中。不支持注释。
次下载源以来没有更改,系统不需要重新下载该源。您可能希望将 md5 校验和用于内部源,尤其
是那些很大的内部源。 md5 校验和必须存储在仅带有该校验和的简单文本文件中。不支持注释。
要配置安全情报源:
访问:管理员/入侵管理员
步骤 1
在对象管理器的 Security Intelligence 页面上,点击
Add Security Intelligence
。
系统将显示 Security Intelligence 弹出窗口。
步骤 2
在
Name
字段中为源键入名称。可以使用除管道 (
|
) 或大括号 (
{}
) 之外的任何可打印标准 ASCII 字符。
步骤 3
从
Type
下拉列表中指定要配置
Feed
。
弹出窗口将会更新以显示新的选项。