Cisco Cisco Firepower Management Center 2000 User Guide
38-9
FireSIGHT 系统用户指南
第 38 章 记录网络流量中的连接
记录安全情报 (黑名单)决策
下表说明您必须具备哪些许可证,才能成功配置 SSL 检查,从而记录由 SSL 策略处理的连接。请记
住,即使已加密连接未被 SSL 策略记录 (甚至在已检查的情况下),仍可能因其他原因被记录。
住,即使已加密连接未被 SSL 策略记录 (甚至在已检查的情况下),仍可能因其他原因被记录。
记录安全情报 (黑名单)决策
许可证:保护
受支持的设备:任何防御中心,除了 2 系列
受支持的防御中心:除 DC500 外的所有型号
作为抵御恶意互联网内容的第一道防线, FireSIGHT 系统包含安全情报功能,该功能可供您根据
最新声誉情报立即将连接列入黑名单 (加以阻止),再也无需资源更密集的深入分析 。尽管该流
量过滤确实发生在诸如使用快速路径的硬件级别处理之后,但是它会在基于策略的任何其他检
查、分析或流量处理之前进行。
最新声誉情报立即将连接列入黑名单 (加以阻止),再也无需资源更密集的深入分析 。尽管该流
量过滤确实发生在诸如使用快速路径的硬件级别处理之后,但是它会在基于策略的任何其他检
查、分析或流量处理之前进行。
或者,如同被动部署中的建议,您可使用仅监控设置进行安全情报过滤。这使得系统可以进一步
分析本应列入黑名单的连接,并仍将匹配项记录至黑名单。
分析本应列入黑名单的连接,并仍将匹配项记录至黑名单。
注
如果想要根据安全情报信息创建流量量变曲线,或使用连接结束事件中的安全情报信息触发关联
规则,则必须将该信息记录到防御中心数据库。首先,启用安全情报日志记录。然后,使用仅监
控安全情报对象构建黑名单。有关详细信息,请参阅
规则,则必须将该信息记录到防御中心数据库。首先,启用安全情报日志记录。然后,使用仅监
控安全情报对象构建黑名单。有关详细信息,请参阅
。
启用安全情报日志记录将会记录访问控制策略的目标设备处理的所有受阻和受监控的连接。然
而,系统不会记录白名单匹配项;列入白名单的连接的记录取决于其最终的性质。
而,系统不会记录白名单匹配项;列入白名单的连接的记录取决于其最终的性质。
当系统由于安装情报过滤而记录连接事件时,它也会记录匹配的安全情报事件,这是一种您可以
单独查看时和分析的特殊类型的连接事件。两种类型的事件均使用
单独查看时和分析的特殊类型的连接事件。两种类型的事件均使用
Action
和
Reason
字段来反映黑
名单匹配项。此外,您因此可以确定连接中列入黑名单的 IP 地址,列入黑名单和受监控的 IP 地
址旁的主机图标在事件查看器中看上去稍有不同。
址旁的主机图标在事件查看器中看上去稍有不同。
记录受阻且列入黑名单的连接
对于受阻连接,系统会记录连接开始安全情报和连接事件。因为列入黑名单的流量会被立即
拒绝,无需进一步检查,所以,没有要记录的唯一连接结束。对于这些事件,操作为
拒绝,无需进一步检查,所以,没有要记录的唯一连接结束。对于这些事件,操作为
Block
,
原因为
IP Block
。
IP 阻止
连接事件的每个唯一的发起方-响应方对都有 15 秒的阈值。换言之,一旦系统生成了
其阻止连接的事件,在接下来的 15 秒内,无论端口或协议如何,对于这两个主机之间的额外
的已阻止连接,系统不会生成另一连接事件。
的已阻止连接,系统不会生成另一连接事件。
表
38-3
SSL
策略中对于连接记录的许可证和型号要求
要记录连接...
许可证
支持的防御中心。
支持的设备
对使用区域、网络、 VLAN、端口或 SSL
相关条件处理的已加密流量
相关条件处理的已加密流量
任何环境
任何环境
3 系列
对使用地理定位数据处理的已加密流量
FireSIGHT
除 DC500 外的所有型号
3 系列
对使用应用或用户条件处理的已加密流量 可控性
除 DC500 外的所有型号
3 系列
对系统使用 URL 类别和信誉数据过滤的
已加密流量
已加密流量
URL 过滤
除 DC500 外的所有型号
3 系列