Cisco Cisco Firepower Management Center 4000 Guía Del Usuario
45-21
FireSIGHT 系统用户指南
第 45 章 网络发现简介
创建网络发现策略
•
•
•
•
了解设备选择
许可证:FireSIGHT
如果选择某个发现规则中的 NetFlow 设备,该规则将被限制为为指定网络发现 NetFlow 数据。应
先选择 NetFlow 设备再配置规则行为的其他方面,因为选择 NetFlow 设备时可用规则操作会更
改。此外,不能为 NetFlow 流量配置端口排除。
先选择 NetFlow 设备再配置规则行为的其他方面,因为选择 NetFlow 设备时可用规则操作会更
改。此外,不能为 NetFlow 流量配置端口排除。
在选择网络发现规则中的 NetFlow 设备之前,必须在网络发现高级设置中配置与 NetFlow 设备的
连接。有关详细信息,请参阅
连接。有关详细信息,请参阅
了解操作和发现的资产
许可证:FireSIGHT
配置发现规则时,必须为规则选择操作。操作确定在系统处理规则时发现或排除哪些资产。但请
注意,规则操作的影响取决于规则是用于从受管设备还是支持 NetFlow 的设备发现数据。
注意,规则操作的影响取决于规则是用于从受管设备还是支持 NetFlow 的设备发现数据。
请注意,如果创建不带有用于发现主机或用户的任何规则的网络发现策略,应用该策略将会禁用
对设备的新发现。要在将受管设备只用于入侵防御时优化性能,请从策略中移除所有发现规则,
并将其应用于主用设备。
对设备的新发现。要在将受管设备只用于入侵防御时优化性能,请从策略中移除所有发现规则,
并将其应用于主用设备。
下表说明了规则使用这两种方案中指定的操作设置发现的资产。
了解受监控网络
许可证:FireSIGHT
发现规则仅用于发现指定网络上主机收到和发出的流量中的受监控资产。对于发现规则,会为符
合以下条件的连接执行发现:在指定的网络中至少有一个 IP 地址;且只为要监控的网络中的 IP
地址生成事件。默认发现规则只会发现
合以下条件的连接执行发现:在指定的网络中至少有一个 IP 地址;且只为要监控的网络中的 IP
地址生成事件。默认发现规则只会发现
0.0.0.0/0
和
::/0
网络上的应用。
表
45-4
发现规则操作
操作
受管设备
NetFlow
排除
将指定网络排除在监控范围外。如果用于连接的源主机或目标主机已被排除在发现范围外,
会记录连接,但不会为排除的主机创建发现事件。
会记录连接,但不会为排除的主机创建发现事件。
发现:主机
根据发现事件将主机添加到网络映射。(可选
操作;如果启用了用户发现,则为必要操作。)
操作;如果启用了用户发现,则为必要操作。)
根据 NetFlow 记录将主机添加到网络映射。
(必要操作)
发现:应用
根据应用检测程序将应用添加到网络映射。请
注意,在没有发现应用的情况下,无法发现规
则中的主机或用户。(必要操作)
注意,在没有发现应用的情况下,无法发现规
则中的主机或用户。(必要操作)
根据 NetFlow 记录和
/etc/sf/services
中的端口应用协议关联将
应用协议添加到网络映射。(选填)
发现:用户
将用户添加到用户表,并根据与网络发现策略
中配置的用户协议匹配的流量中检测到的活动
记录用户活动。(选填)
中配置的用户协议匹配的流量中检测到的活动
记录用户活动。(选填)
不适用
记录 NetFlow 连接
不适用
仅记录 NetFlow 连接。不发现主机或应用。