Cisco Cisco Firepower Management Center 2000 Mode D'Emploi
34-5
FireSIGHT 系统用户指南
第 34 章 检测特定威胁
检测端口扫描
要配置端口扫描检测,请执行以下操作:
管理员/入侵管理员
步骤 1
选择
Policies > Access Control > Access Control Policy
以显示 Access Control Policy 页面,然后点击
Network Analysis Policy
。
系统将显示 Network Analysis Policy 页面。
步骤 2
点击要编辑的策略旁边的编辑图标 (
)。
如果在另一策略中的更改尚未保存,请点击
OK
放弃这些更改并继续操作。有关保存在另一策略
中未保存的信息,请参见[曾是“确认入侵策略更改”;更新 xref]。
系统将显示 Policy Information 页面。
步骤 3
在左侧的导航面板中,点击
Settings
。
系统将显示 Settings 页面。
步骤 4
您有两种选择,具体取决于是否启用了
Specific Threat Detection
下的
Portscan Detection
:
•
如果该配置已启用,请点击
Edit
。
•
如果该配置已禁用,请点击
Enabled
,然后点击
Edit
。
系统将显示 Portscan Detection 页面。页面底部消息会识别包含配置的入侵策略层。有关详
情,请参见
情,请参见
步骤 5
在
Protocol
字段中,指定要启用以下哪些协议:
•
TCP
•
UDP
•
ICMP
•
IP
按住 Ctrl 或 Shift 键的同时点击可选择多个协议或清除单个协议。有关详细信息,请参阅
表。
请注意,必须确保已启用 TCP 流处理以在 TCP 上检测扫描,并确保已启用 UDP 流处理以在 UDP
上检测扫描。
上检测扫描。
步骤 6
在
Scan Type
字段中,指定要检测以下哪些端口扫描:
•
端口扫描检测
•
端口清扫
•
诱骗端口扫描
•
分布式端口扫描
按住 Ctrl 或 Shift 键的同时点击可选择或取消选择多个协议。有关详细信息,请参阅
表。
步骤 7
在
Sensitivity Level
列表中,选择要使用的级别:低、中或高。
有关详细信息,请参阅
表。
步骤 8
或者,在
Watch IP
字段中,指定要监视哪个主机的端口扫描活动标志,或者将字段留空以监视所
有网络流量。
可以指定单个 IP 地址或地址块,或者单个 IP 地址和/或地址块的逗号分隔列表。有关在
FireSIGHT 系统中使用 IPv4 和 IPv6 地址块的详细信息,请参阅
FireSIGHT 系统中使用 IPv4 和 IPv6 地址块的详细信息,请参阅
步骤 9
或者,在
Ignore Scanners
字段中,指定要作为扫描器而忽略的主机。可使用此字段指示在网络上特
别活跃的主机。可能需要随时间修改此主机列表。