Cisco Cisco Firepower Management Center 2000 User Guide
第
章
45-1
FireSIGHT 系统用户指南
45
网络发现简介
FireSIGHT 系统使用称为网络发现的功能来监控网络中的流量并构建网络资产的全面映射。
由于受管设备被动观察指定网段上的流量,因此,系统会根据既定的定义 (称为
指纹)比较特定
数据包报头值以及来自网络流量的其他唯一数据,以确定网络上主机 (包括网络设备)的数量和
类型以及这些主机上的操作系统、活动应用和开放端口。
类型以及这些主机上的操作系统、活动应用和开放端口。
还可以配置 FireSIGHT 系统受管设备来监控网络上的用户活动,以便识别策略违规、攻击或网络
漏洞的来源。
漏洞的来源。
要补充系统收集的数据,可以导入由支持 NetFlow 的设备、 Nmap 主动扫描、主机输入功能和用户代
理 (用户代理驻留在 Microsoft Active Directory 服务器上,会报告 LDAP 身份验证)生成的记录。
FireSIGHT 系统将这些记录与其通过直接网络流量观察 (按受管设备)收集到的信息整合到一起。
理 (用户代理驻留在 Microsoft Active Directory 服务器上,会报告 LDAP 身份验证)生成的记录。
FireSIGHT 系统将这些记录与其通过直接网络流量观察 (按受管设备)收集到的信息整合到一起。
系统可关联网络主机上发生的某些类型的入侵、恶意软件及其他事件,以确定主机何时可能受到
危害,并会使用
危害,并会使用
危害表现 (IOC) 标记来标记这些主机。 IOC 数据使您可以清楚、直接地了解试图
攻击受监控网络上主机的威胁。
系统使用所有这些信息帮助执行取证分析、行为分析和访问控制,以及减少和应对组织容易遇到
的漏洞和攻击。
的漏洞和攻击。
有关详情,请参阅:
•
•
•
•
了解发现数据收集
许可证:FireSIGHT
发现数据包括关于网络主机以及这些主机上的操作系统、活动应用和用户活动的信息。
要开始收集发现数据,必须首先应用访问控制策略。访问控制策略定义允许的流量以及因而可使
用网络发现监控的流量。请注意,这意味着,如果使用访问控制阻止某些流量,系统将无法检查
主机、用户和应用活动的流量。例如,如果阻止对社交网络应用的访问,系统将不会提供关于社
交网络应用的任何发现数据。
用网络发现监控的流量。请注意,这意味着,如果使用访问控制阻止某些流量,系统将无法检查
主机、用户和应用活动的流量。例如,如果阻止对社交网络应用的访问,系统将不会提供关于社
交网络应用的任何发现数据。
应用访问控制策略后,必须配置和应用网络发现策略,后者指定要使用受管设备监控的网段和端
口以及要收集的数据类型。应用网络发现政策后,系统开始生成发现数据 (可以使用防御中心网
络界面查看和分析这些数据)。
口以及要收集的数据类型。应用网络发现政策后,系统开始生成发现数据 (可以使用防御中心网
络界面查看和分析这些数据)。