Cisco Cisco Firepower Management Center 2000 User Guide
45-25
FireSIGHT 系统用户指南
第 45 章 网络发现简介
创建网络发现策略
要创建新的端口对象,请执行以下操作:
管理员/发现管理员
步骤 1
点击
Port Exclusions
。
系统将显示 Port Exclusions 页面。
步骤 2
要将端口添加到 Available Ports 列表,请点击添加对象图标 (
)。
系统将显示 Port Objects 弹出窗口。
步骤 3
在
Name
字段中为端口对象提供名称。您可以使用除小竖线 (
|
) 或花括号(
{}
) 之外的任何可打印标
准 ASCII 字符。
步骤 4
在
Protocol
字段中,指定要排除的流量协议。
选择
TCP
、
UDP
或
Other
,然后从下拉列表中选择一个选项以选择协议,或者选择
All
。
步骤 5
在
Port(s)
字段中,输入要排除在监控范围外的端口。
可以指定单个端口、用破折线 (-) 分隔的一系列端口或者用逗号分隔的端口和端口范围列表。允
许的端口值介于 1 到 65535 之间。
许的端口值介于 1 到 65535 之间。
步骤 6
点击
Save
以将端口添加到 Available Ports 列表。
提示
如果添加的端口没有立即显示在列表中,请点击刷新图标 (
)。
限制用户日志记录
许可证:FireSIGHT
如果应用的网络发现策略带有可发现用户的规则,则将会在使用 AIM、 IMAP、 LDAP、 Oracle、
POP3、SMTP、FTP、HTTP、MDNS 和 SIP 协议的流量中发现用户。这些用户已添加到用户表,
可通过 Analysis 菜单访问。可以限制在其中发现用户活动的协议,以减少检测到的用户的总数,
以便将重点放在可能提供最完整用户信息的用户。
POP3、SMTP、FTP、HTTP、MDNS 和 SIP 协议的流量中发现用户。这些用户已添加到用户表,
可通过 Analysis 菜单访问。可以限制在其中发现用户活动的协议,以减少检测到的用户的总数,
以便将重点放在可能提供最完整用户信息的用户。
防御中心可存储的检测用户的总数取决于 FireSIGHT 许可证。如果达到许可的限制,多数情况
下,系统会停止向数据库添加新用户。要添加新用户,必须手动从数据库中删除旧的或非活动用
户,或者清除数据库中的所有用户。限制协议检测有助于最大程度地减少用户名混乱以及保留
FireSIGHT 用户许可证。
下,系统会停止向数据库添加新用户。要添加新用户,必须手动从数据库中删除旧的或非活动用
户,或者清除数据库中的所有用户。限制协议检测有助于最大程度地减少用户名混乱以及保留
FireSIGHT 用户许可证。
例如,如果通过协议 (例如 AIM、 POP3 和 IMAP)获取用户名,可能会由于承包商、访客及其
他访客的网络访问而引入与组织无关的用户名。
他访客的网络访问而引入与组织无关的用户名。
再如, AIM、 Oracle 和 SIP 登录可能会创建外来用户记录。之所以会发生这种情况,是因为这些
登录类型没有与系统从 LDAP 服务器获取的任何用户元数据关联,也没有与受管设备会检测的其
他类型登录中包含的任何信息关联。因此,防御中心无法将这些用户与其他类型的用户关联。
登录类型没有与系统从 LDAP 服务器获取的任何用户元数据关联,也没有与受管设备会检测的其
他类型登录中包含的任何信息关联。因此,防御中心无法将这些用户与其他类型的用户关联。
请记住,只有受管设备可以检测非 LDAP 用户登录。如果仅使用安装在 Microsoft Active Directory
服务器上的用户代理检测用户活动,限制非 LDAP 登录将不起作用。此外,也不能限制 SMTP 日
志记录。这是因为未根据 SMTP 登录将用户添加到数据库;虽然系统会检测 SMTP 登录,这些登
录不会被记录下来,除非数据库中包含已具有匹配邮件地址的用户。
服务器上的用户代理检测用户活动,限制非 LDAP 登录将不起作用。此外,也不能限制 SMTP 日
志记录。这是因为未根据 SMTP 登录将用户添加到数据库;虽然系统会检测 SMTP 登录,这些登
录不会被记录下来,除非数据库中包含已具有匹配邮件地址的用户。
可以选择是否记录在 LDAP、POP3、FTP 或 IMAP 流量中检测到的失败用户登录尝试。如果登录
尝试失败,不会将新用户添加到数据库的用户列表中。请注意,用户代理不报告失败的登录活
动。检测到的失败登录活动的用户活动类型是 Failed User Login。
尝试失败,不会将新用户添加到数据库的用户列表中。请注意,用户代理不报告失败的登录活
动。检测到的失败登录活动的用户活动类型是 Failed User Login。