Cisco Cisco Firepower Management Center 2000 User Guide
39-2
FireSIGHT 系统用户指南
第 39 章 使用连接与安全情报数据
了解连接和安全情报数据
了解连接和安全情报数据
许可证:任何环境
连接日志,称为
连接事件,包含有关检测到的会话的数据。任何单个连接事件的可用信息取决于
多种因素,但通常包括:
•
基本连接属性:时间戳、源和目标 IP 地址、入口和出口区域,处理连接的设备等
•
系统发现或推断的其他连接属性:应用、请求的 URL 或与连接关联的用户等
•
有关连接记录原因的元数据:哪个策略中的哪条访问控制规则 (或其他配置)处理了流量,
连接是被允许还是被阻止,以及有关已加密和已解密连接的详细信息等
连接是被允许还是被阻止,以及有关已加密和已解密连接的详细信息等
访问控制和 SSL 策略中的各种设置可供您精细控制记录哪些连接、何时记录连接以及在何处存储
数据。可以记录访问控制和 SSL 策略可成功处理的任何连接,这可能需要特定设备型号或许可的
功能。在以下情况下可以启用连接日志记录:
数据。可以记录访问控制和 SSL 策略可成功处理的任何连接,这可能需要特定设备型号或许可的
功能。在以下情况下可以启用连接日志记录:
•
当连接由基于信誉的安全情报功能列入黑名单 (阻止)或监控时
•
当加密会话由 SSL 策略处理时
•
当连接由访问控制规则或访问控制默认操作处理时
除了您配置的日志记录外,系统会自动记录检测到被禁止的文件、恶意软件或入侵尝试的大多数
连接。除非您使用系统策略完全禁用连接事件存储,否则无论您的其他日志记录配置如何,系统
均将这些连接结束事件保存至防御中心数据库,以供进一步分析。
连接。除非您使用系统策略完全禁用连接事件存储,否则无论您的其他日志记录配置如何,系统
均将这些连接结束事件保存至防御中心数据库,以供进一步分析。
此外,当您启用安全情报日志记录时,黑名单匹配项会自动生成
安全情报事件以及连接事件。安全
情报事件是您可以单独查看和分析的一种特殊类型的事件,也可以单独存储和删除。有关配置连接
日志记录的详细信息,包括安全情报黑名单决策,请参阅
日志记录的详细信息,包括安全情报黑名单决策,请参阅
提示
有关连接事件的一般信息也适合安全情报事件,除非另有说明。有关安全情报的详细信息,请参
阅
阅
。
以下各节提供有关所检测到的连接的可用信息种类的其他详细信息:
•
•
•
了解连接摘要
许可证:任何环境
FireSIGHT 系统将五分钟间隔内采集到的连接数据汇总到连接摘要中,供系统生成连接图和流量
量变曲线。或者,您可以基于连接摘要数据创建自定义工作流程,并以与基于单个连接事件的工
作流程相同的方式来使用此类工作流程。
量变曲线。或者,您可以基于连接摘要数据创建自定义工作流程,并以与基于单个连接事件的工
作流程相同的方式来使用此类工作流程。
请注意,尽管相应的连接结束事件可以汇总到连接摘要数据中,但安全情报事件无任何特定的连
接摘要。
接摘要。
多个连接必须满足以下条件才能汇总到连接摘要:
•
表示连接结束
•
具有相同的源 IP 地址和目标 IP 地址,并在响应方 (目标)主机上使用相同的端口
•
使用相同的协议 (TCP 或 UDP)