Cisco Cisco Firepower Management Center 2000 User Guide
45-2
FireSIGHT 系统用户指南
第 45 章 网络发现简介
了解发现数据收集
系统将网络发现数据存储在防御中心数据库中;有关存储限制的信息,请参阅
。除了数据库限制之外,防御中心可存储的检测到的主机和用户总数取决于
FireSIGHT 许可证。
如果达到许可的用户限值,多数情况下,系统会停止向数据库添加新用户。要添加新用户,必须
手动从数据库中删除旧的或非活动用户,或者清除数据库中的所有用户。另一方面,如果达到许
可的主机限制,可以将系统配置为会采取以下行动之一:停止向数据库添加新主机;替换进入非
活动状态最长时间的主机。
手动从数据库中删除旧的或非活动用户,或者清除数据库中的所有用户。另一方面,如果达到许
可的主机限制,可以将系统配置为会采取以下行动之一:停止向数据库添加新主机;替换进入非
活动状态最长时间的主机。
要补充系统收集的数据,可以导入由支持 NetFlow 的设备、 Nmap 主动扫描、主机输入功能和用
户代理 (用户代理驻留在 Microsoft Active Directory 服务器上,会报告 LDAP 身份验证)生成的
记录。 FireSIGHT 系统将这些记录与其通过直接网络流量观察 (按受管设备)收集到的信息整合
到一起。
户代理 (用户代理驻留在 Microsoft Active Directory 服务器上,会报告 LDAP 身份验证)生成的
记录。 FireSIGHT 系统将这些记录与其通过直接网络流量观察 (按受管设备)收集到的信息整合
到一起。
有关详情,请参阅:
•
•
•
•
•
•
了解主机数据收集
许可证:FireSIGHT
由于系统被动监控流经网络的流量,因此,系统会根据既定的定义 (称为
指纹)比较特定数据包
报头值以及来自网络流量的其他唯一数据,以确定关于网络主机的以下信息,包括:
•
主机的数量和类型 (包括网络设备,例如网桥、路由器、负载均衡器和 NAT 设备)
•
基本网络拓扑数据 (包括从网络上的发现点到主机之间的跳数)。
•
主机上运行的操作系统
•
主机上的应用以及与这些应用关联的用户
如果系统无法识别主机的操作系统,可以使用自定义指纹功能创建自定义客户端或服务器指纹。
系统将会使用这些指纹来识别新主机。可以将指纹映射到漏洞数据库 (VDB) 中的系统,以便在使
用自定义指纹识别主机时显示适当的漏洞信息。有关详细信息,请参阅
系统将会使用这些指纹来识别新主机。可以将指纹映射到漏洞数据库 (VDB) 中的系统,以便在使
用自定义指纹识别主机时显示适当的漏洞信息。有关详细信息,请参阅
。
还可以通过主机输入功能添加或更新主机和操作系统数据。此外,如果创建启用了主机检测的支
持 NetFlow 的发现规则,可以从 NetFlow 数据将主机添加到网络映射。
持 NetFlow 的发现规则,可以从 NetFlow 数据将主机添加到网络映射。
可以使用防御中心网络界面查看系统检测到的主机。
•
有关使用事件查看器查看和搜索主机的信息,请参阅
。
•
有关查看网络映射 (是对网络资产和拓扑的详细表示)的信息,请参阅
•
有关查看主机配置文件 (配置文件可完整展示检测到的主机的所有可用信息)的信息,请参
阅
阅
。