Cisco Cisco Firepower Management Center 2000 User Guide
45-22
FireSIGHT 系统用户指南
第 45 章 网络发现简介
创建网络发现策略
对于启用了指定 NetFlow 设备和
Log Network Connections
选项的规则,也会记录发向和来自指定网
络中 IP 地址的连接。请注意,网络发现规则提供记录 NetFlow 网络连接的唯一方法。
也可以使用网络对象或对象组指定要监控的网络。如果修改网络发现策略中使用的网络对象,必
须重新应用策略,所做的更改才会对发现生效。
须重新应用策略,所做的更改才会对发现生效。
了解网络发现策略中的区域
许可证:FireSIGHT
出于性能方面的考虑,应配置每个发现规则,以便规则中的区域包括物理连接到规则中要监控网
络的受管设备上的感应接口。
络的受管设备上的感应接口。
但是,系统可能并不总是告知您网络配置的更改情况。网络管理员可以通过路由或主机更改修改
网络配置而无需告知您,这可能会导致您难以随时了解正确的网络发现策略配置。如果您不知道
受管设备上的感应接口如何与网络物理连接,请将区域配置保留为默认设置,这可将发现规则应
用于部署中的所有区域。(如果没有区域被排除,发现策略将应用于所有区域。)
网络配置而无需告知您,这可能会导致您难以随时了解正确的网络发现策略配置。如果您不知道
受管设备上的感应接口如何与网络物理连接,请将区域配置保留为默认设置,这可将发现规则应
用于部署中的所有区域。(如果没有区域被排除,发现策略将应用于所有区域。)
了解端口排除
许可证:FireSIGHT
可以将特定端口排除在监控范围外,就像将主机排除在监控范围外一样 (请参阅
)。
例如,负载均衡器可在短时间内报告同一端口上的多个应用。可以配置网络发现策略,以便将该
端口排除在监控范围外,例如,排除处理 Web 场的负载均衡器上的端口 80。
端口排除在监控范围外,例如,排除处理 Web 场的负载均衡器上的端口 80。
另一种情况是,组织可以使用采用特定端口范围的自定义客户端。如果来自该客户端的流量生成
过多有误导性的事件,可以排除对这些端口的监控。同样,可以决定是否要监控 DNS 流量。在
这种情况下,可以将策略配置为不监控端口 53。
过多有误导性的事件,可以排除对这些端口的监控。同样,可以决定是否要监控 DNS 流量。在
这种情况下,可以将策略配置为不监控端口 53。
添加要排除的端口时,可以决定是使用 Available Ports 列表中的可重用端口对象,将端口直接添
加到源或目标排除列表,还是创建新的可重用端口然后将其移至排除列表。
加到源或目标排除列表,还是创建新的可重用端口然后将其移至排除列表。
请注意,不能将支持 NetFlow 的设备配置为会将端口排除在监控范围外。
添加发现规则
许可证:FireSIGHT
可以配置发现规则,以根据自身需求定制主机和应用数据的发现。请注意,修改规则中引用的对
象后,必须重新应用网络发现策略,所做的更改才会生效。
象后,必须重新应用网络发现策略,所做的更改才会生效。
要添加发现规则,请执行以下操作:
访问:管理员/发现管理员
步骤 1
检查访问控制政策,以确保正在为要在其中发现网络数据的流量记录必要的记录。
有关详细信息,请参阅
。要发现大多数数据,请在要
发现的流量的连接结束时进行记录。
步骤 2
选择
Policies > Network Discovery
。
系统将显示 Network Discovery Policy 页面。
步骤 3
点击
Add Rule
。
系统将显示 Add Rule 弹出窗口。