Cisco Cisco Firepower Management Center 2000 User Guide
第
章
38-1
FireSIGHT 系统用户指南
38
记录网络流量中的连接
在受管设备监控网络主机生成的流量时,其可为其检测到的连接生成日志。访问控制和 SSL 策略
中的各种设置可供您精细控制记录哪些连接、何时记录连接以及在何处存储数据。访问控制规则
的特定日志记录配置还可以确定您是否记录与该连接相关联的文件和恶意软件事件。
中的各种设置可供您精细控制记录哪些连接、何时记录连接以及在何处存储数据。访问控制规则
的特定日志记录配置还可以确定您是否记录与该连接相关联的文件和恶意软件事件。
在大多数情况下,您均可记录连接的开始和/或结束。当您记录连接时,系统将生成连接事件。无
论何时基于声誉的安全情报功能阻止连接或将其列入黑名单,您均可记录一种特殊类型的连接事
件,称为
论何时基于声誉的安全情报功能阻止连接或将其列入黑名单,您均可记录一种特殊类型的连接事
件,称为
安全情报事件。
连接事件包含有关已检测会话的数据。任何个别连接事件的可用信息取决于多种因素,但是通常
包括:
包括:
•
基本连接属性:时间戳、源和目标 IP 地址、入口和出口区域,处理连接的设备等
•
系统发现或推断的其他连接属性:应用、请求的 URL 或与连接关联的用户等
•
有关连接记录原因的元数据:哪个策略中的哪条访问控制规则 (或其他配置)处理了流量,
连接是被允许还是被阻止,以及有关已加密和已解密连接的详细信息等
连接是被允许还是被阻止,以及有关已加密和已解密连接的详细信息等
您应该根据组织的安全和合规性要求记录连接。除了那些在到达访问控制之前于设备级别使用快
速路径的连接,您可以记录任何连接。
速路径的连接,您可以记录任何连接。
通过将连接事件保存到防御中心数据库,您可以利用 FireSIGHT 系统的许多报告、分析和数据关
联功能;请参阅
联功能;请参阅
。或者,您可以将连接数据发送到外部系
统日志 (syslog) 或 SNMP 陷阱服务器。
要补充受管设备采集到的连接数据,您可以使用由 NetFlow 启用设备生成的记录来生成连接事
件。如果将 NetFlow 启用设备部署在FireSIGHT 系统受管设备无法监控的网络中,则此功能特别
有用。
件。如果将 NetFlow 启用设备部署在FireSIGHT 系统受管设备无法监控的网络中,则此功能特别
有用。
注
由于 NetFlow 数据收集与访问控制无关联,因此您无法对想要记录的 NetFlow 连接进行精细控
制。 FireSIGHT 系统受管设备检测由 NetFlow 启用设备导出的记录,依据这些记录中的数据生成
单向连接结束事件,并最终将这些事件发送至防御中心,以便在数据库中进行记录。 NetFlow 记
录无法生成安全情报事件,也不会被记录到外部服务器中。有关详细信息,请参阅
制。 FireSIGHT 系统受管设备检测由 NetFlow 启用设备导出的记录,依据这些记录中的数据生成
单向连接结束事件,并最终将这些事件发送至防御中心,以便在数据库中进行记录。 NetFlow 记
录无法生成安全情报事件,也不会被记录到外部服务器中。有关详细信息,请参阅
有关记录连接数据的详细信息,请参阅:
•
•
•
•
•