Cisco Cisco Firepower Management Center 2000 Guida Utente
34-19
FireSIGHT 系统用户指南
第 34 章 检测特定威胁
检测敏感数据
每种数据类型至少必须指定一个事件阈值和至少一个要监控的端口或应用协议。
由思科提供的每种预定义数据类型使用一种其他方法无法访问的
sd_pattern
关键字来定义用于在
流量中进行检测的内置数据模式。有关预定义数据类型的列表,请参阅
您还可以创建自定义数据类型,然后可以使用简单的正则表达式为这些数据类型指定自己的数据
模式。有关详情,请参见
模式。有关详情,请参见
请注意,数据类型名称和模式适用于整个系统;所有其他数据类型选项适用于策略。
下表介绍了可配置的数据类型选项。
使用预定义数据类型
许可证:保护
每个入侵策略都包括用于检测常用数据模式的预定义数据类型,例如信用卡号、邮件地址、美国
电话号码以及 带和不带连字符的美国社会安全保障号。每种预定义数据类型都与一个生成器 ID
(GID) 为 138 的敏感数据预处理器规则相关。必须启用入侵策略中的关联敏感数据规则才能为要
用于策略中的每种数据类型启用检测和事件生成。有关在入侵策略中启用规则的详细信息,请参
阅
电话号码以及 带和不带连字符的美国社会安全保障号。每种预定义数据类型都与一个生成器 ID
(GID) 为 138 的敏感数据预处理器规则相关。必须启用入侵策略中的关联敏感数据规则才能为要
用于策略中的每种数据类型启用检测和事件生成。有关在入侵策略中启用规则的详细信息,请参
阅
。
表
34-7
具体数据类型选项
选项
说明
数据类型
显示数据类型的唯一名称。
阈值
指定系统生成事件时数据类型出现的次数。如果没有为启用的数据类型设置
阈值,在保存策略时会收到一条错误消息。可以指定 1 至 255 之间的数字。
阈值,在保存策略时会收到一条错误消息。可以指定 1 至 255 之间的数字。
请注意,在每个会话中,预处理器为检测到的数据类型生成一个事件。另
请注意,全局阈值事件与具体数据类型事件无关;也就是说,预处理器会
在达到数据类型事件阈值时生成事件,而不管全局事件阈值是否达到
请注意,全局阈值事件与具体数据类型事件无关;也就是说,预处理器会
在达到数据类型事件阈值时生成事件,而不管全局事件阈值是否达到
,
反
之亦然。
目标端口
为数据类型指定要监控的目标端口。可以指定单个端口、端口的逗号分隔
列表或
列表或
any
(表示任何目标端口)。如果在没有为某种数据类型设置至少一
个端口或应用协议的情况下为该数据类型启用了规则,在保存策略时会收
到一条错误消息。
到一条错误消息。
应用协议
请注意,此功能需
要可控性许可证。
要可控性许可证。
最多可以为数据类型指定八个要监控的应用协议。如果在没有为某种数据
类型设置至少一个端口或应用协议的情况下为该数据类型启用了规则,在
保存策略时会收到一条错误消息。
类型设置至少一个端口或应用协议的情况下为该数据类型启用了规则,在
保存策略时会收到一条错误消息。
必须为选择的每个应用协议至少启用一个检测器 (参阅
)。默认情况下,思科提供的所有检测器均已激活。如果
没有为应用协议启用检测器,系统会自动为应用启用思科提供的所有检测
器;如果不存在,系统会为应用启用最近修改的用户定义的检测器。
器;如果不存在,系统会为应用启用最近修改的用户定义的检测器。
有关为数据类型选择应用协议的详细说明,请参阅
。
Pattern
对于自定义数据类型,这是指定的检测模式 (思科提供的数据类型的数据
模式已预先定义)。有关详情,请参见
模式已预先定义)。有关详情,请参见
请注意,自定义和预定义的数据模式是针对整个系统的。