Cisco Cisco Firepower Management Center 2000 User Guide
45-17
FireSIGHT 系统用户指南
第 45 章 网络发现简介
了解危害表现
了解危害表现
许可证:FireSIGHT
作为网络发现的一部分, FireSIGHT 系统的数据相关器可以将各种类型的数据 (入侵事件、安全
情报、连接事件和恶意软件事件)与主机关联,以确定监控网络上的主机是否可能遭受恶意侵
害。这些关联称为危害表现 (IOC)。可以通过在发现策略编辑器中启用此功能以及思科预定义的
众多 IOC 规则当中的任意一个来激活此功能。启用此功能后,还可以编辑主机配置文件中单个主
机的规则状态。每个 IOC 规则都对应于主机关联的一个特定 IOC 标记。
情报、连接事件和恶意软件事件)与主机关联,以确定监控网络上的主机是否可能遭受恶意侵
害。这些关联称为危害表现 (IOC)。可以通过在发现策略编辑器中启用此功能以及思科预定义的
众多 IOC 规则当中的任意一个来激活此功能。启用此功能后,还可以编辑主机配置文件中单个主
机的规则状态。每个 IOC 规则都对应于主机关联的一个特定 IOC 标记。
除数据相关器外,思科的基于终端的综合安全智能云数据也可以从 IOC 规则生成 IOC 标记。由于
这些数据检查主机本身上的活动 (例如,单个程序执行的操作),因此,通过这些数据可了解到
纯网络数据无法洞察到的可能威胁。来自终端的 FireAMP IOC 数据通过 思科 云连接进行传输。
这些数据检查主机本身上的活动 (例如,单个程序执行的操作),因此,通过这些数据可了解到
纯网络数据无法洞察到的可能威胁。来自终端的 FireAMP IOC 数据通过 思科 云连接进行传输。
带有活动 IOC 标记的主机显示在事件视图的 IP Address 列,同时显示受危害主机图标 (
) 而不是
正常主机图标 (
)。可触发 IOC 标记的事件的事件视图指出事件是否已触发 IOC。
了解危害表现类型
许可证:FireSIGHT
有很多威胁表现 (IOC) 规则和标记类型。这些类型全部由思科预定义,一个 IOC 规则对应于一个
IOC 标记。由于 IOC 规则根据 FireSIGHT 系统的其他功能 (对于某些事件,根据 思科 云)提供
的数据触发,这些功能对于要设置 IOC 标记的 IOC 规则必须可用且处于活动状态。在思科开发新
的基于终端的恶意软件事件 IOC 类型时,系统通过云自动下载并开始使用它们。以下列表详细介
绍了 IOC 规则类型、与这些类型相关的功能以及任何其他许可要求 (除了网络发现所需的
FireSIGHT 许可证之外):
IOC 标记。由于 IOC 规则根据 FireSIGHT 系统的其他功能 (对于某些事件,根据 思科 云)提供
的数据触发,这些功能对于要设置 IOC 标记的 IOC 规则必须可用且处于活动状态。在思科开发新
的基于终端的恶意软件事件 IOC 类型时,系统通过云自动下载并开始使用它们。以下列表详细介
绍了 IOC 规则类型、与这些类型相关的功能以及任何其他许可要求 (除了网络发现所需的
FireSIGHT 许可证之外):
•
•
•
基于终端的恶意软件事件 IOC 类型
许可证:FireSIGHT
以下列表包含的 IOC 类型示例与基于终端的恶意软件事件相关联,这些类型需要订用思科云。除
了下面列出的 IOC 类型外,思科定期开发新型,系统通过到云的连接自动下载和实施新类型。
了下面列出的 IOC 类型外,思科定期开发新型,系统通过到云的连接自动下载和实施新类型。
有关配置基于终端的恶意软件防护的详细信息,请参阅
和
。
•
Adobe Reader 危害 - Adobe Reader 启动了外壳程序
•
Adobe Reader 危害 - FireAMP 检测到的 PDF 危害
•
CnC 已连接 - FireAMP 检测到的可疑僵尸网络
•
植入程序感染 - FireAMP 检测到的植入程序感染
•
Excel 危害 - FireAMP 检测到的 Excel 危害
•
Excel 危害 - Excel 启动了外壳程序
•
FireAMP 检测到的通用 IOC
•
Java 危害 - FireAMP检测到的 Java 危害
•
Java 危害 - Java 启动了外壳程序