Cisco Cisco Firepower Management Center 2000 User Guide
45-6
FireSIGHT 系统用户指南
第 45 章 网络发现简介
了解发现数据收集
防御中心将登录和注销消息记录为用户活动。当用户代理报告来自用户登录或注销的用户数据
时,会将所报告的用户与用户列表进行比对。如果所报告的用户与代理所报告的现有用户匹配,
报告的数据将分配给该用户。如果所报告的用户与现有用户不匹配,则会导致创建一个新用户。
时,会将所报告的用户与用户列表进行比对。如果所报告的用户与代理所报告的现有用户匹配,
报告的数据将分配给该用户。如果所报告的用户与现有用户不匹配,则会导致创建一个新用户。
即使不会报告与一个已排除用户名相关的用户活动,但可能仍将报告相关的用户活动。如果代理
检测到用户登录机器,然后该代理检测到第二个用户登录,并且您已排除与第二次用户登录相关
的用户名的报告,则代理会报告原始用户的注销。但是,不会报告第二个用户的登录活动。因
此,不会将任何用户映射到 IP 地址,即使有排除的用户已登录主机。
检测到用户登录机器,然后该代理检测到第二个用户登录,并且您已排除与第二次用户登录相关
的用户名的报告,则代理会报告原始用户的注销。但是,不会报告第二个用户的登录活动。因
此,不会将任何用户映射到 IP 地址,即使有排除的用户已登录主机。
请注意,代理检测到的用户名具有以下限制:
•
向防御中心报告的以美元符号 (
$
) 结束的用户名会更新网络映射,但不会显示为用户登录。
•
防御中心对包含 Unicode 字符的用户名显示可能有限制。
防御中心可存储的检测用户的总数取决于 FireSIGHT 许可证。如果达到许可的用户限制,多数情
况下,系统会停止向数据库添加新用户。要添加新用户,必须手动从数据库中删除旧的或非活动
用户,或者清除数据库中的所有用户。
况下,系统会停止向数据库添加新用户。要添加新用户,必须手动从数据库中删除旧的或非活动
用户,或者清除数据库中的所有用户。
防御中心-LDAP 服务器连接
许可证:FireSIGHT
防御中心-LDAP 服务器连接使您可以检索某些检测到的用户的元数据。不管 LDAP 用户的登录是
受管设备还是用户代理检测到的,都可以检索这些用户的元数据;如果这些用户与 LDAP 用户具
有相同的邮件地址,您还可以检索 POP3 和 IMAP 用户的元数据。
受管设备还是用户代理检测到的,都可以检索这些用户的元数据;如果这些用户与 LDAP 用户具
有相同的邮件地址,您还可以检索 POP3 和 IMAP 用户的元数据。
如果组织使用 Microsoft Active Directory 服务器,此连接还允许指定要在访问控制规则中使用的
LDAP 用户和用户组。如果要执行用户控制,必须配置防御中心与 Active Directory 服务器之间的
连接。如果组织不使用 Active Directory,仍可以使用受管设备检测用户登录,还可以从 Oracle 或
OpenLDAP 服务器获取某些用户的元数据。但是,不可以根据这些用户或其活动执行用户控制。
LDAP 用户和用户组。如果要执行用户控制,必须配置防御中心与 Active Directory 服务器之间的
连接。如果组织不使用 Active Directory,仍可以使用受管设备检测用户登录,还可以从 Oracle 或
OpenLDAP 服务器获取某些用户的元数据。但是,不可以根据这些用户或其活动执行用户控制。
防御中心从 LDAP 服务器获取关于每个用户的以下信息和元数据:
•
LDAP 用户名
•
名和姓
•
email address
•
department
•
电话号码
用户数据库
许可证:FireSIGHT
用户数据库包含受管设备或用户代理检测到的每个用户的记录。防御中心可存储的检测用户的总数
取决于 FireSIGHT 许可证。如果达到许可的限制,多数情况下,系统会停止向数据库添加新用户。
要添加新用户,必须手动从数据库中删除旧的或非活动用户,或者清除数据库中的所有用户。
取决于 FireSIGHT 许可证。如果达到许可的限制,多数情况下,系统会停止向数据库添加新用户。
要添加新用户,必须手动从数据库中删除旧的或非活动用户,或者清除数据库中的所有用户。
但是,系统会优先接受授权用户登录。如果已达到用户数量限制,并且系统检测到之前未检测到的
用户的授权用户登录,系统将删除保持非活动状态时间最长的未授权用户,并将其替换为新用户。
用户的授权用户登录,系统将删除保持非活动状态时间最长的未授权用户,并将其替换为新用户。
可以使用防御中心网络界面查看用户数据库的内容。有关查看、搜索和删除检测到的用户的信
息,请参阅
息,请参阅