Cisco Cisco Firepower Management Center 2000 User Guide
38-4
FireSIGHT 系统用户指南
第 38 章 记录网络流量中的连接
决定要记录哪些连接
要优化性能,请记录任何连接的开始或结束事件,而不是同时记录两者。您可以根据连接开始或
连接结束事件触发关联规则。请注意,出于任何原因监控连接均会强制执行连接结束日志记录;
请参阅
连接结束事件触发关联规则。请注意,出于任何原因监控连接均会强制执行连接结束日志记录;
请参阅
。
下表详细说明连接开始和结束事件之间的区别,包括两种记录各自的优势。
将连接事件记录到防御中心或外部服务器中
许可证:任何环境
您可以将连接记录到防御中心数据库,以及外部系统日志或 SNMP 陷阱服务器中。您必须为外部
服务器配置一个叫做
服务器配置一个叫做
警报响应的连接,才能将连接数据记录到该外部服务器中;请参阅
通过将日志记录到防御中心数据库,您可以利用 FireSIGHT 系统的很多报告、分析和数据关联功
能。例如:
能。例如:
•
控制面板和 Context Explorer 为您提供由系统记录的连接的图形化概览视图;请参阅
和
。
•
事件视图显示有关系统记录的连接的详细信息,您可以用图形或表格格式显示这些信息,也
可以汇总于报告中;请参阅
可以汇总于报告中;请参阅
。
•
流量分析使用连接数据创建正常网络流量的配置文件,然后您可以将其用作检测和跟踪异常
行为的基准;请参阅
行为的基准;请参阅
•
通过关联策略,您可以对特定类型的连接或流量配置文件变更生成事件并触发响应 (例如警
报或外部补救);请参阅
报或外部补救);请参阅
表
38-1
连接开始和连接结束事件比较
连接开始事件
连接结束事件
生成事件的条件
当系统检测到连接开始 (或者在头几个
数据包之后,如果事件生成取决于应用
或 URL 识别)
数据包之后,如果事件生成取决于应用
或 URL 识别)
当系统存在以下情况时:
•
检测到连接关闭
•
一段时间以后未检测到连接结束
•
由于内存限制无法跟踪会话
记录对象...
安全情报或访问控制规则评估的所有连
接,尽管您可能无法在所有位置配置连
接结束日志记录
接,尽管您可能无法在所有位置配置连
接结束日志记录
所有连接,不过您可能无法在所有位置配置连接结束
记录
记录
包含...
仅在第一个数据包中可以确定的信息 (如
果事件的生成取决于应用或 URL 标识,则
包含在前几个数据包中确定的信息)
果事件的生成取决于应用或 URL 标识,则
包含在前几个数据包中确定的信息)
连接开始事件中的所有信息,加上通过检查会话期间
的流量而确定的信息,例如,所传输的数据总量或连
接中最后一个数据包的时间戳。
的流量而确定的信息,例如,所传输的数据总量或连
接中最后一个数据包的时间戳。
有用于...
如果您要记录:
•
受阻止的连接,包括安全情报黑名单
决策
决策
•
仅记录连接开始事件,因为连接结束
信息对您来说不重要
信息对您来说不重要
如果您要:
•
记录由 SSL 策略处理的已加密连接
•
使用在会话持续期间收集的信息执行任何类型的
详细分析或者触发关联规则
详细分析或者触发关联规则
•
在自定义工作流程中查看连接汇总 (汇聚连接数
据),查看图形格式的连接数据或创建和使用流
量配置文件
据),查看图形格式的连接数据或创建和使用流
量配置文件