Cisco Cisco Firepower Management Center 2000 Guía Del Usuario
42-2
FireSIGHT 系统用户指南
第 42 章 事故处理
事故处理基本信息
另一方面,如果系统生成表明您网络中的主机已受到危害并且正在参与分布式拒绝服务 (DDoS)
攻击的事件,那么这个活动就可能明显违反安全策略,您应在 FireSIGHT 系统中创建一个事故来
帮助跟踪对这些事件的调查。
攻击的事件,那么这个活动就可能明显违反安全策略,您应在 FireSIGHT 系统中创建一个事故来
帮助跟踪对这些事件的调查。
常规事故处理流程
许可证:保护
每个组织都可能确定了自己处理安全事故的流程。大多数方法都包括以下部分或全部阶段:
•
•
•
•
•
•
这些阶段都将在后续各节中逐一说明。这些说明还会解释如何将 FireSIGHT 系统纳入每个阶段。
准备
您可以通过两种方式为事故做准备︰
•
落实明确和全面的安全策略以及强化这些策略的硬件和软件资源
•
制定一个清晰明确的事故响应计划,并配备一个可以实施此计划的训练有素的团队
事故处理的关键部分在于了解网络的哪些部分面临最大的风险。在这些网段部署 FireSIGHT 系统
组件,可以提高对于事故发生时间和状况的了解。此外,花时间仔细调整每个受管设备的入侵策
略,可以确保生成的事件具有最高的质量。
组件,可以提高对于事故发生时间和状况的了解。此外,花时间仔细调整每个受管设备的入侵策
略,可以确保生成的事件具有最高的质量。
检测和通知
您必须能检测到事故,才能响应事故。事故处理流程应注意您可以检测到的安全相关事件的类型
以及您可用于检测这些类型事件的软件和硬件机制。您还应该注意会在何处检测到违反安全策略
的活动。如果网络包括没有被主动或被动监控的网段,则需要特别注意。
以及您可用于检测这些类型事件的软件和硬件机制。您还应该注意会在何处检测到违反安全策略
的活动。如果网络包括没有被主动或被动监控的网段,则需要特别注意。
您在网络中部署的受管设备负责分析安装了这些设备的网段的流量、检测入侵以及生成描述入侵
的事件。记住:您在每个受管设备上应用的访问控制策略控制这些设备可以检测哪些类型的活动
以及如何确定其优先级。您还可以设置特定类型入侵事件的通知选项,从而让事故团队无需筛查
数百个事件。您可以指定在检测到特定高优先级、高敏感性事件时自动获得通知。
的事件。记住:您在每个受管设备上应用的访问控制策略控制这些设备可以检测哪些类型的活动
以及如何确定其优先级。您还可以设置特定类型入侵事件的通知选项,从而让事故团队无需筛查
数百个事件。您可以指定在检测到特定高优先级、高敏感性事件时自动获得通知。
调查和资格审批
您的事故处理流程应指定检测到安全事故之后如何执行调查。某些组织中,初级团队成员负责将
所有事故分类并处理严重程度或优先级较低的事故。高严重程度和高优先级事故则由更高级的团
队成员来处理。您应该认真确定升级流程,让每个团队成员都了解提高事故重要性的标准。
所有事故分类并处理严重程度或优先级较低的事故。高严重程度和高优先级事故则由更高级的团
队成员来处理。您应该认真确定升级流程,让每个团队成员都了解提高事故重要性的标准。
升级流程的一部分在于了解检测到的事件会如何影响网络资产的安全性。例如,运行 Microsoft
SQL Server 的主机的攻击对于使用不同数据库服务器的组织来说优先级并不高。同样,如果网络
中使用的是 SQL Server,但是您确信所有服务器都已打补丁并且不容易受到攻击,那么这种攻击
对您来说重要性也会降低。但是,如果有人最近安装了一个易受攻击的版本的软件 (可能是为了
进行测试),您所遇到的问题可能会比粗略调查反映的问题更严重。
SQL Server 的主机的攻击对于使用不同数据库服务器的组织来说优先级并不高。同样,如果网络
中使用的是 SQL Server,但是您确信所有服务器都已打补丁并且不容易受到攻击,那么这种攻击
对您来说重要性也会降低。但是,如果有人最近安装了一个易受攻击的版本的软件 (可能是为了
进行测试),您所遇到的问题可能会比粗略调查反映的问题更严重。
FireSIGHT 系统特别适合支持调查和资格审批流程。您可以创建自己的事件分类,然后以最充分
描述网络漏洞的方式应用这些分类。网络上的流量触发事件时,系统将自动划分事件的优先级和
类别,并向您提供表明哪些攻击是针对已知易受攻击的主机的具体指标。
描述网络漏洞的方式应用这些分类。网络上的流量触发事件时,系统将自动划分事件的优先级和
类别,并向您提供表明哪些攻击是针对已知易受攻击的主机的具体指标。