Cisco Cisco Firepower Management Center 2000 User Guide
45-8
FireSIGHT 系统用户指南
第 45 章 网络发现简介
了解发现数据收集
用户数据收集限制
许可证:FireSIGHT
下表介绍了用户数据收集的限制。
表
45-1
用户感知限制
限制
说明
用户控制
要执行用户控制,组织必须使用 Microsoft Active Directory LDAP 服务器。系统从 Active
Directory 获取可在访问控制规中使用的用户和组,并使用安装在 Active Directory 服务器
上的用户代理所报告的登录和注销数据将用户与 IP 地址进行绑定。
Directory 获取可在访问控制规中使用的用户和组,并使用安装在 Active Directory 服务器
上的用户代理所报告的登录和注销数据将用户与 IP 地址进行绑定。
用于 LDAP 连接的非
Kerberos 登录
Kerberos 登录
受管设备仅将用于 LDAP 连接的 Kerberos 登录解释为 LDAP 身份验证。受管设备无法检
测到加密的 LDAP 身份验证 (如果它们使用其他协议,例如 SSL 或 TLS)。
测到加密的 LDAP 身份验证 (如果它们使用其他协议,例如 SSL 或 TLS)。
另一方面,用户代理使用 Active Directory 服务器上的安全日志收集用户登录数据,且无
此类限制。
此类限制。
登录检测
如果要检测 Active Directory 服务器上的登录,必须用服务器 IP 地址配置 Active Directory
服务器连接。有关详细信息,请参阅 《
服务器连接。有关详细信息,请参阅 《
用户代理配置指南》。
如果有多个用户使用远程会话登录主机,代理可能无法正常检测到该主机上的登录。有
关如何防止这种情况的详细信息,请参阅 《
关如何防止这种情况的详细信息,请参阅 《
用户代理配置指南》。
注销检测
注销可能不会立即被检测到。与注销关联的时间戳反映代理检测到用户不再映射到主机
IP 地址的时间,此时间可能与实际的用户注销主机的时间不一致。
IP 地址的时间,此时间可能与实际的用户注销主机的时间不一致。
当检测到用户从主机 IP 地址注销时,代理会生成注销。当检测到登录主机的用户已更改
时 (在 Active Directory 服务器报告用户已更改之前),代理也会生成注销。
时 (在 Active Directory 服务器报告用户已更改之前),代理也会生成注销。
实时数据检索
Active Directory 服务器必须运行 Windows Server 2008 或 Windows Server 2012。
不同用户多次登录到同一
主机
主机
系统假设一次只有一个用户登录任何给定主机,且主机的当前用户是最后一次授权用户
登录。如果只有未授权登录用户登录到主机,最后的未授权登录用户将被视为当前用户。
如果有多个用户通过远程会话登录, Active Directory 服务器报告的最后用户是报告给防
御中心的用户。
登录。如果只有未授权登录用户登录到主机,最后的未授权登录用户将被视为当前用户。
如果有多个用户通过远程会话登录, Active Directory 服务器报告的最后用户是报告给防
御中心的用户。
同一用户多次登录到同一
主机
主机
系统记录用户在特定主机的首次登录并忽略后续的登录。如果单个用户是唯一登录到特
定主机的人员,则系统唯一记录的登录为原始登录。
定主机的人员,则系统唯一记录的登录为原始登录。
然而,如果另一用户登录到该主机,则系统会记录新的登录。如果原始用户再次登录,
将会记录其新的登录。
将会记录其新的登录。
Unicode 字符
用户界面可能无法正确显示包含 Unicode 字符的用户名。
用户数据库中的 LDAP 用
户帐户
户帐户
如果从 LDAP 服务器上移除或禁用某个 LDAP 用户,或者排除向防御中心报告该用户名,
防御中心不会从用户数据库中删除该用户,该用户继续被算在数据库所列用户许可数量
限制内。必须从数据库中手动清除该用户。
防御中心不会从用户数据库中删除该用户,该用户继续被算在数据库所列用户许可数量
限制内。必须从数据库中手动清除该用户。
请注意,用户许可证限制对访问受控用户同时应用;访问受控用户的用户计数取决于
LDAP 配置检索到的用户数量。
LDAP 配置检索到的用户数量。
AOL Instant Messenger
(AIM) 登录检测
(AIM) 登录检测
受管设备只能检测使用 OSCAR 协议的 AIM 登录。尽管大多数 AIM 客户端使用 OSCAR,
但是有些使用 TOC2。
但是有些使用 TOC2。