Cisco Cisco Firepower Management Center 4000 Prospecto
5.3.0.1 版
Sourcefire 3D 系统版本说明
29
之前版本引入的功能
SMB 文件检测
许可证:保护
支持的设备:因功能而异
支持的防御中心:因功能而异
支持的设备:因功能而异
支持的防御中心:因功能而异
从 5.3 版开始,您可以检测、检查和阻止 NetBIOS-ssn 流量中传输的文件,包括
通过服务器消息块 (SMB) 传输的文件。
通过服务器消息块 (SMB) 传输的文件。
AMP 云连接
许可证:恶意软件、
URL 过滤
支持的防御中心:除
DC500 之外的所有型号
在 5.3 版之前,要连接到 Sourcefire 云,您必须使用 TCP 端口 32137 以及从防御
中心到云的直接连接。
中心到云的直接连接。
5.3 版本引入了代理支持,用于连接至 Sourcefire 云以执行恶意软件检测和动态分
析。以前,您必须使用 TCP 端口 32137,但现在已通过 TCP 端口 443 建立默认连
接,允许更多公司连接和使用 Sourcefire 的高级恶意软件情报。仍然支持使用端
口 32137,但此端口不再是默认端口。
析。以前,您必须使用 TCP 端口 32137,但现在已通过 TCP 端口 443 建立默认连
接,允许更多公司连接和使用 Sourcefire 的高级恶意软件情报。仍然支持使用端
口 32137,但此端口不再是默认端口。
请注意,如果从 Sourcefire 3D 系统之前的版本更新至 5.3 版,默认情况下可以使
用原端口 32137。如果在更新后要通过端口 443 连接,请取消选择 Cloud
Services 页面 (System > Local > Configuration > Cloud Services) 上相应的复选框。
用原端口 32137。如果在更新后要通过端口 443 连接,请取消选择 Cloud
Services 页面 (System > Local > Configuration > Cloud Services) 上相应的复选框。
主机和事件关联危害表现
(IOC) 样式
许可证:
FireSIGHT + 保护或 FireAMP 订用
支持的设备:因功能而异
支持的防御中心:因功能而异
支持的防御中心:因功能而异
主机和事件关联引入了以下功能:在网络中查明可能已被攻击危害的主机。主机和
事件关联聚合入侵事件、连接事件、安全情报事件和 FireAMP 事件的数据,帮助
您快速诊断和包含网络中的安全漏洞。
事件关联聚合入侵事件、连接事件、安全情报事件和 FireAMP 事件的数据,帮助
您快速诊断和包含网络中的安全漏洞。
此功能引入了 Sourcefire 提供的危害表现 (IOC) 规则,可用于控制系统是否为特定
危害类型生成 IOC 事件并将这些事件与涉及的主机关联。在事件生成时,系统在
受该危害表现事件影响的主机上设置一个危害表现标记。具有与主机 (来自唯一
检测源)关联的大多数危害表现事件的主机很可能受到攻击。一旦解决安全漏洞,
危害表现标记即会移除。危害表现事件和主机标记可在主机配置文件、网络映射、
Context Explorer、控制面板和事件查看器中查看。
危害类型生成 IOC 事件并将这些事件与涉及的主机关联。在事件生成时,系统在
受该危害表现事件影响的主机上设置一个危害表现标记。具有与主机 (来自唯一
检测源)关联的大多数危害表现事件的主机很可能受到攻击。一旦解决安全漏洞,
危害表现标记即会移除。危害表现事件和主机标记可在主机配置文件、网络映射、
Context Explorer、控制面板和事件查看器中查看。
增强的安全情报事件存储和视图
许可证:保护
支持的设备:
支持的设备:
3 系列、虚拟、 X 系列
支持的防御中心:除
DC500 之外的所有型号
如果系统配置为根据安全情报数据将流量列入黑名单或者监控列入黑名单的流量,
您现在可以在控制面板以及 Context Explorer 中查看安全情报数据。虽然与连接事
件类似,但安全情报事件分别执行存储和删除操作,并预设自己的事件视图、工作
流程和自定义分析控制面板构件。
您现在可以在控制面板以及 Context Explorer 中查看安全情报数据。虽然与连接事
件类似,但安全情报事件分别执行存储和删除操作,并预设自己的事件视图、工作
流程和自定义分析控制面板构件。