Cisco Cisco Firepower Management Center 2000 User Guide
45-19
FireSIGHT 系统用户指南
第 45 章 网络发现简介
创建网络发现策略
查看和编辑危害表现数据
许可证:FireSIGHT
在网络发现策略之外,可以在 FireSIGHT 系统网络界面的其他几个部分中查看和编辑危害表现
(IOC) 数据:
(IOC) 数据:
•
在控制面板中,默认情况下, Summary Dashboard 的 Threats 选项卡会按一段时间内触发的主
机和新 IOC 规则显示 IOC 标记。Custom Analysis 构件根据 IOC 数据提供预设。有关信息,请
参阅
机和新 IOC 规则显示 IOC 标记。Custom Analysis 构件根据 IOC 数据提供预设。有关信息,请
参阅
和
•
Context Explorer 的 Indications of Compromise 部分按 IOC 类别显示主机图,按主机显示 IOC
类别。有关信息,请参阅
类别。有关信息,请参阅
•
发现 (IOC) 事件、连接事件、安全情报事件、入侵事件和恶意软件事件的事件视图 (在 IOC
列中)显示事件是否触发了 IOC 规则。触发 IOC 规则的基于终端的恶意软件事件的事件类型
为FireAMP IOC,并同时显示指明危害的事件子类型。可以根据事件查看器中显示的所有
IOC 数据编写合规性规则。有关详细信息,请参阅:
列中)显示事件是否触发了 IOC 规则。触发 IOC 规则的基于终端的恶意软件事件的事件类型
为FireAMP IOC,并同时显示指明危害的事件子类型。可以根据事件查看器中显示的所有
IOC 数据编写合规性规则。有关详细信息,请参阅:
•
•
•
•
•
•
网络映射的 Indications of Compromise 选项卡列出监控网络上的主机 (这些主机按 IOC 标记
进行分组)。有关信息,请参阅
进行分组)。有关信息,请参阅
•
在可能受到危害的主机的主机配置文件视图中,可以查看与该主机关联的所有 IOC 标记,解
析该主机的任何或所有 IOC 标记,以及配置 IOC 规则状态。有关信息,请参阅
析该主机的任何或所有 IOC 标记,以及配置 IOC 规则状态。有关信息,请参阅
创建网络发现策略
许可证:FireSIGHT
防御中心上的网络发现策略控制系统如何收集有关组织网络资产以及哪些网段和端口受监控的数据。
策略中的发现规则指定 FireSIGHT 系统监控哪些网络和端口来根据流量中的网络数据生成发现数
据,以及策略适用于哪些区域。在规则中,可以配置是否发现主机、应用和用户。可以创建规则
来将网络和区域排除在发现范围外。从 NetFlow 设备创建发现规则时,可以选择只记录连接。
据,以及策略适用于哪些区域。在规则中,可以配置是否发现主机、应用和用户。可以创建规则
来将网络和区域排除在发现范围外。从 NetFlow 设备创建发现规则时,可以选择只记录连接。
网络发现策略有一个默认规则,被配置为会发现 0.0.0.0/0 网络上任何 IPv4 流量中的应用。请注
意,必须将访问控制策略应用于目标设备,才可应用网络发现策略。该规则不排除任何网络、区
域和端口,未配置主机和用户发现,并且未配置 NetFlow 设备。请注意,默认情况下,网络发现
策略应用于已注册到防御中心的任何受管设备。要开始收集主机或数据,必须添加或修改发现规
则并将策略重新应用于设备。
意,必须将访问控制策略应用于目标设备,才可应用网络发现策略。该规则不排除任何网络、区
域和端口,未配置主机和用户发现,并且未配置 NetFlow 设备。请注意,默认情况下,网络发现
策略应用于已注册到防御中心的任何受管设备。要开始收集主机或数据,必须添加或修改发现规
则并将策略重新应用于设备。
请记住,访问控制策略定义允许的流量以及因此可使用网络发现监控的流量。请注意,这意味着,
如果使用访问控制阻止某些流量,系统将无法检查主机、用户和应用活动的流量。例如,如果在访
问控制策略中阻止对社交网络应用的访问,系统将不会提供关于这些应用的任何发现数据。
如果使用访问控制阻止某些流量,系统将无法检查主机、用户和应用活动的流量。例如,如果在访
问控制策略中阻止对社交网络应用的访问,系统将不会提供关于这些应用的任何发现数据。
如果要调整网络发现范围,可以创建其他发现规则,并修改或移除默认规则。可以从 NetFlow 设
备配置数据发现,还可以限制用于网络上发现的用户数据所在流量的协议。
备配置数据发现,还可以限制用于网络上发现的用户数据所在流量的协议。