Cisco Cisco Firepower Management Center 4000 Mode D'Emploi
52-14
FireSIGHT 系统用户指南
第 52 章 将 FireSIGHT 系统用作一个合规工具
创建合规白名单
步骤 2
此时您有两种选择:
•
要添加列表中已有的应用协议,请选择此应用协议并点击
OK
。点击的同时使用 Ctrl 或 Shift
选择多个应用协议。您也可以点击并拖动鼠标,以选择多个相邻的应用协议。
该应用协议已添加。请注意,如果添加的是内置应用协议,则其名称以斜体显示。您可以跳
过剩余步骤,或者更改该应用协议的任何值 (例如端口或通信协议),点击刚刚添加的应用
协议即可显示应用协议编辑器。
过剩余步骤,或者更改该应用协议的任何值 (例如端口或通信协议),点击刚刚添加的应用
协议即可显示应用协议编辑器。
•
要添加新的应用协议,请选择
<New Application Protocol>
并点击
OK
。
系统将显示应用协议编辑器。
步骤 3
从
Type
下拉列表中,选择应用协议的类型。对于自定义应用协议,请选择
any
。
步骤 4
指定应用协议端口。此时您有两种选择:
•
要允许应用协议在任何端口上运行,请选择
Any port
复选框。
•
要只允许应用协议在某个特定端口上运行,请在
port
字段中输入端口号。
步骤 5
从
Protocol
下拉列表中,选择通信协议:
TCP
或
UDP
。
步骤 6
或者,在
Vendor
和
Version
字段中,指定应用协议的供应商和版本。
如果不指定供应商或版本,则只要类型与协议匹配,白名单便允许所有供应商和版本。请注意,
如果您限制供应商和版本,就必须指定供应商和版本,确保它们与将显示在事件视图或应用协议
网络映射中的供应商和版本完全相同。
如果您限制供应商和版本,就必须指定供应商和版本,确保它们与将显示在事件视图或应用协议
网络映射中的供应商和版本完全相同。
步骤 7
点击
OK
。
该应用协议已添加。请注意,白名单保存后,更改才会生效。
如果在一个活动的关联策略所使用的白名单中添加了应用协议,则保存该白名单后,系统会重新评
估目标主机。尽管此次重新评估可能将某些主机的属性改为合规,但它不会生成任何白名单事件。
估目标主机。尽管此次重新评估可能将某些主机的属性改为合规,但它不会生成任何白名单事件。
添加客户端至主机配置文件
许可证:FireSIGHT
您可以使用共享主机配置文件或属于单个白名单的主机配置文件,将合规白名单配置为允许某些
客户端在特定的操作系统上运行。还可以将白名单配置为允许某些客户端在任何有效的目标上运
行;这些客户端被称为全局允许的客户端。
客户端在特定的操作系统上运行。还可以将白名单配置为允许某些客户端在任何有效的目标上运
行;这些客户端被称为全局允许的客户端。
或者,要求客户端的特定版本。例如,可以只允许 Microsoft Internet Explorer 8.0 在 Microsoft
Windows 主机上运行。
Windows 主机上运行。
要添加客户端至合规白名单主机配置文件,请执行以下操作:
访问:管理
步骤 1
创建或修改白名单主机配置文件时,点击
Allowed Clients
旁的添加图标 (
) (或者,如果修改适
合任何操作系统的主机配置文件,则点击
Globally Allowed Clients
旁的添加图标)。
系统将显示一个弹出窗口。列出以下客户端:
•
在白名单中创建的客户端
•
在
•
白名单中的其他主机配置文件使用的客户端,包括 VRT 创建的用于默认白名单的内置客户端