Cisco Cisco Firepower Management Center 2000 User Guide
38-3
FireSIGHT 系统用户指南
第 38 章 记录网络流量中的连接
决定要记录哪些连接
已加密连接 (可选)
您可以根据 SSL 策略中的设置,在系统阻止已加密会话时记录连接。您还可以强制系统记录其传
递供访问控制规则进一步评估的连接,无论您是否解密具体流量,也无论系统之后如何处理或检
查该流量。您可以按每条 SSL 规则配置此日志记录功能,以便仅记录关键连接。有关详细信息,
请参阅
递供访问控制规则进一步评估的连接,无论您是否解密具体流量,也无论系统之后如何处理或检
查该流量。您可以按每条 SSL 规则配置此日志记录功能,以便仅记录关键连接。有关详细信息,
请参阅
访问控制处理 (可选)
您可以在访问控制规则或访问控制默认操作处理连接时记录该连接。您可以按每条访问控制规则
配置此日志记录功能,以便仅记录关键连接。有关详细信息,请参阅
配置此日志记录功能,以便仅记录关键连接。有关详细信息,请参阅
与入侵关联的连接 (自动)
访问控制规则调用的入侵策略 (请参阅
)检测到入侵
并生成入侵事件时,系统会将发生入侵连接结束自动记录至防御中心数据库,而无论该规则的日
志记录配置如何。
志记录配置如何。
但是,当与访问控制默认操作 (请参阅
)相关
联的入侵策略生成入侵事件时,系统不会自动记录关联连接的结束事件。您必须显式启用默认操
作连接记录。对于不想记录任何连接数据的仅入侵防御部署,这十分有用。
作连接记录。对于不想记录任何连接数据的仅入侵防御部署,这十分有用。
对于入侵受阻的连接,连接记录中的连接操作为
Block
,原因为
Intrusion Block
,即使执行入侵
检查,也必须使用 Allow 规则。
提示
要在 3 系列或虚拟设备上禁用该连接记录,请使用 CLI;请参阅
与文件和恶意软件事件关联的连接
访问控制规则调用的文件策略检测到受禁文件 (包括恶意软件)并生成文件或恶意软件事件时,
系统会将检测到文件的连接结束自动记录至 数据库,而无论该访问控制规则的日志记录配置如
何。防御中心您无法禁用该记录。
系统会将检测到文件的连接结束自动记录至 数据库,而无论该访问控制规则的日志记录配置如
何。防御中心您无法禁用该记录。
注
检查 NetBIOS-ssn (SMB) 流量所生成的文件事件不会立即生成连接事件,因为客户端和服务器构
建一个持久连接。系统在客户端或服务器结束会话之后生成连接事件。
建一个持久连接。系统在客户端或服务器结束会话之后生成连接事件。
对于文件受阻的连接,连接记录中的连接操作为
Block
,即便要执行文件和恶意软件检查,也必
须使用 Allow 规则。连接原因是
File Monitor
(文件类型或恶意软件被检测)或者是
Malware
Block
或
File Block
(文件被阻止)。
记录连接的开始或结束事件
许可证:任何环境
当系统检测到连接时,在大多数情况下您可以在其开始或其结束时记录该连接。
然而,因为受阻流量会被立即拒绝,无需进一步检查,在大多数情况下,您只能记录已阻止或列
入黑名单的流量的连接开始事件;没有要记录的唯一连接结束。阻止已加密流量时例外。当在
SSL 策略中启用连接记录时,系统将记录连接结束而不是连接开始事件。这是因为,系统无法确
定连接是否使用会话中第一个数据包加密,因此无法立即阻止已加密会话。
入黑名单的流量的连接开始事件;没有要记录的唯一连接结束。阻止已加密流量时例外。当在
SSL 策略中启用连接记录时,系统将记录连接结束而不是连接开始事件。这是因为,系统无法确
定连接是否使用会话中第一个数据包加密,因此无法立即阻止已加密会话。
注
对于单一未受阻连接,连接结束事件限制包含连接开始事件中的所有信息,以及在会话期间收集
到的信息。
到的信息。