Cisco Cisco Firepower Management Center 2000 User Guide
39-10
FireSIGHT 系统用户指南
第 39 章 使用连接与安全情报数据
了解连接和安全情报数据
检测方法:FireSIGHT 系统 与 NetFlow
除了 TCP 标志和 NetFlow 自治系统、前缀和 TOS 数据,与通过受管设备监控网络流量产生的
信息相比,从 NetFlow 记录中可获得的信息更加有限。有关详细信息,请参阅
信息相比,从 NetFlow 记录中可获得的信息更加有限。有关详细信息,请参阅
。
记录方法:连接的开始或结束
当系统检测到连接时,您是在其开始时还是在其结束 (或两者)时记录它取决于您如何将系
统配置为检测和处理它;请参阅
统配置为检测和处理它;请参阅
开始连接事件不具有必须通过检查会话持续时间内的流量来确定的信息 (例如,连接中传输
数据的总量或最终数据包的时间戳)。也不保证开始连接事件拥有关于会话中应用或 URL 流
量的信息,且该等事件不包含有关会话加密的任何详细信息。
数据的总量或最终数据包的时间戳)。也不保证开始连接事件拥有关于会话中应用或 URL 流
量的信息,且该等事件不包含有关会话加密的任何详细信息。
检查方法:关联的 SSL、文件和入侵策略
只有 SSL 规则处理的加密连接在连接日志中才包含 SSL 相关信息。只有通过具有相关文件策
略的访问控制规则记录的连接才包含文件信息。同样,您必须将入侵策略与访问控制规则或
默认操作相关联才能查看连接日志中的入侵信息。
略的访问控制规则记录的连接才包含文件信息。同样,您必须将入侵策略与访问控制规则或
默认操作相关联才能查看连接日志中的入侵信息。
连接事件类型:个别与摘要
连接摘要不包含与汇总连接相关的所有信息。例如,在汇总连接以形成连接摘要时没有使用
客户端信息,因此摘要中不包含客户端信息。
客户端信息,因此摘要中不包含客户端信息。
请记住,连接图基于连接摘要数据,并且只使用了结束连接记录。如果只记录了开始连接的
数据,连接图和连接摘要事件视图将不包含任何数据。
数据,连接图和连接摘要事件视图将不包含任何数据。
其他配置
访问控制策略中控制系统在连接记录中为 HTTP 会话中受控主机请求的每个 URL 存储的字符
数的高级设置。如果使用此设置禁用 URL 记录,系统不会在连接记录中显示每个 URL;但
如果连接记录中存在类别和信誉数据,仍然可以查看。
数的高级设置。如果使用此设置禁用 URL 记录,系统不会在连接记录中显示每个 URL;但
如果连接记录中存在类别和信誉数据,仍然可以查看。
此外,并非所有的连接事件都会有一个
Reason
,该字段仅在特定情况下填充,例如当用户绕
过交互阻止配置时;有关信息,请参阅
。
下表列出了各连接事件/安全情报事件字段,以及根据检测方法、记录方法和连接事件类型系统是
否在字段中显示信息。请注意,因为安全情报事件永远不会汇总,所以 Summary 列仅指连接事件
摘要。
否在字段中显示信息。请注意,因为安全情报事件永远不会汇总,所以 Summary 列仅指连接事件
摘要。
提示
默认情况下,在连接事件和安全情报事件表视图中,有几个字段是隐藏的,包括每种应用类型的
类别和标记字段、 NetFlow 相关字段、 SSL 相关字段和其他字段。要显示事件视图的隐藏字段,
请展开搜索限制,然后点击
类别和标记字段、 NetFlow 相关字段、 SSL 相关字段和其他字段。要显示事件视图的隐藏字段,
请展开搜索限制,然后点击
Disabled Columns
下的字段名称。
表
39-1
基于记录和检测方法的连接和安全情报数据
字段
检测方法:
记录方法:
连接事件:
FireSIGHT
NetFlow
开始
结束
单个
摘要
Time
是
是
否
是
否
是
First Packet
是
是
是
是
是
否
Last Packet
是
是
否
是
是
否
Action
是
否
是
是
是
否
Reason
是
否
是
是
是
否