Cisco Cisco Firepower Management Center 2000 User Guide
39-4
FireSIGHT 系统用户指南
第 39 章 使用连接与安全情报数据
了解连接和安全情报数据
注
此外,可用于任何单个连接或安全情报事件的信息取决于若干因素,包括许可证和应用型号。有
关详细信息,请参阅
关详细信息,请参阅
以下列表详细列明了由 FireSIGHT 系统记录的连接数据。有关确定任何单个连接或安全情报事件
中所记录信息的因素的讨论,请参阅下一节:
中所记录信息的因素的讨论,请参阅下一节:
。
Access Control Policy
监控连接的访问控制策略。
Access Control Rule
处理连接的访问控制规则或默认操作,以及最多 8 条该连接匹配的监控规则。
如果连接匹配 1 条监控规则,则防御中心显示处理连接的规则名称,然后显示监控规则名
称。如果连接匹配多个监控规则,则事件查看器显示所匹配的监控规则数量,例如,
称。如果连接匹配多个监控规则,则事件查看器显示所匹配的监控规则数量,例如,
Default
Action + 2 Monitor Rules
。
要显示带有匹配连接的前 8 条监控规则列表的弹出窗口时,请点击 N
Monitor Rules
。
Action
与记录连接的访问控制规则或默认操作相关的操作:
–
Allow
表示示确容许和用户忽略的被阻止连接。
–
Trust
表示信任的连接。请注意,系统记录信任规则检测到的 TCP 连接的方式因设备而异。
在 2 系列、虚拟设备以及用于 Blue Coat X-系列的思科 NGIPS中,第一个数据包的信任规
则检测到的 TCP 连接仅会生成连接结束事件。系统会在最终会话数据包之后一小时生成
事件。
则检测到的 TCP 连接仅会生成连接结束事件。系统会在最终会话数据包之后一小时生成
事件。
在 3 系列设备上,第一个数据包中的信任规则检测到的 TCP 连接会根据监控规则是否存
在生成不同的事件。如果监控规则处于活动状态,系统评估数据包并生成连接开始和结
束事件。如果没有监控规则处于活动状态,系统仅生成连接结束事件。
在生成不同的事件。如果监控规则处于活动状态,系统评估数据包并生成连接开始和结
束事件。如果没有监控规则处于活动状态,系统仅生成连接结束事件。
–
Block
和
Block with reset
代表被阻止连接。系统还将
Block
操作与由安全情报列入黑名
单的连接、受 SSL 规则阻止的连接、入侵策略检测到存在漏洞的连接及文件被文件策略
阻止的连接相关联。
阻止的连接相关联。
–
Interactive Block
和
Interactive Block with reset
标记开始连接事件,您可以在系统
利用交互式规则最初阻止用户的 HTTP 请求时进行记录。如果用户点击阅读系统显示的
警告页面,则您为会话记录的任何其他连接事件均具有
警告页面,则您为会话记录的任何其他连接事件均具有
Allow
操作。
–
Default Action
表示连接采用默认操作处理。
–
对于受安全情报监控的连接,该项操作即为由连接触发的第一个非监控访问控制规则的
操作,或者为默认操作。同样地,因为匹配监控规则的流量始终由后续规则或通过默认
操作进行处理,所以与因监控规则原因记录的连接相关联的操作不可能为
操作,或者为默认操作。同样地,因为匹配监控规则的流量始终由后续规则或通过默认
操作进行处理,所以与因监控规则原因记录的连接相关联的操作不可能为
Monitor
。
Application Protocol
连接中检测到的表示主机之间通信的应用协议。
Application Risk
连接中检测到的应用流量相关风险:
Very High
、
High
、
Medium
、
Low
或
Very Low
。连接中检测
的各类应用都有一个相关风险;该字段显示最高风险。有关详细信息,请参阅
。