Cisco Cisco Firepower Management Center 2000 Guida Utente
45-14
FireSIGHT 系统用户指南
第 45 章 网络发现简介
了解 NetFlow
•
监控组织是否遵守允许的操作系统、客户端、应用协议和协议的白名单;请参阅
•
在系统生成发现事件或检测用户活动时,创建具有会触发和生成关联事件的规则的关联策略;
请参阅
请参阅
•
如果记录 NetFlow 连接,使用这些连接数据;请参阅
了解 NetFlow
许可证:FireSIGHT
NetFlow 是思科 IOS 软件中一个展示网络操作特征的嵌入式工具。通过 RFC 流程实现标准化后,
NetFlow 不仅可在思科网络设备上使用,也可以嵌入到 Juniper、 FreeBSD 和 OpenBSD 设备中。
NetFlow 不仅可在思科网络设备上使用,也可以嵌入到 Juniper、 FreeBSD 和 OpenBSD 设备中。
支持 NetFlow 的设备非常广泛地用于捕获和导出关于流经这些设备的流量的数据。支持 NetFlow
的设备拥有称为 NetFlow 缓存 (存储流经设备的数据流的记录)的数据库。数据流 (在
FireSIGHT 系统中称为连接)是数据包序列,代表使用特定端口、协议和应用协议的源主机和目
标主机之间的会话。
的设备拥有称为 NetFlow 缓存 (存储流经设备的数据流的记录)的数据库。数据流 (在
FireSIGHT 系统中称为连接)是数据包序列,代表使用特定端口、协议和应用协议的源主机和目
标主机之间的会话。
对于指定的网络, FireSIGHT 系统受管设备检测支持 NetFlow 的设备导出的记录,根据这些记录
中的数据生成连接事件,最后将这些事件发送到防御中心以供记录在数据库中。还可以根据
NetFlow 连接中的信息来配置系统,以将主机和应用协议信息添加到数据库。
中的数据生成连接事件,最后将这些事件发送到防御中心以供记录在数据库中。还可以根据
NetFlow 连接中的信息来配置系统,以将主机和应用协议信息添加到数据库。
可以使用这些发现和连接数据补充受管设备直接收集到的数据。如果在受管设备无法监控的网络
上部署了支持 NetFlow 的设备,这尤其有用。
上部署了支持 NetFlow 的设备,这尤其有用。
可以使用网络发现策略中的规则来配置 NetFlow 数据收集 (包括连接日志记录)。可以将这种数
据收集与FireSIGHT 系统受管设备 (根据访问控制规则进行配置)检测到的连接的连接日志记录
进行比较,如
据收集与FireSIGHT 系统受管设备 (根据访问控制规则进行配置)检测到的连接的连接日志记录
进行比较,如
中所述。由于 NetFlow 数据收集与网络
而不是访问控制规则相关联,因此,您不能非常精细地控制要记录哪些连接。此外,系统会自动
将所有基于 NetFlow 的连接事件保存到防御中心连接事件数据库;您不能将这些连接发送到系统
日志或 SNMP 陷阱服务器。
将所有基于 NetFlow 的连接事件保存到防御中心连接事件数据库;您不能将这些连接发送到系统
日志或 SNMP 陷阱服务器。
有关详情,请参阅:
•
•
•
•
NetFlow 与 FireSIGHT 数据之间的差异
许可证:FireSIGHT
NetFlow 记录中可用的信息比通过使用受管设备监控网络流量而生成的信息有更多限制,但有一
种例外情况 (TCP 标记)。由于系统无法直接分析 NetFlow 数据表示的流量,因此在系统处理
NetFlow 记录时,它会使用多种方法将数据转换为连接日志以及主机和应用协议记录。
种例外情况 (TCP 标记)。由于系统无法直接分析 NetFlow 数据表示的流量,因此在系统处理
NetFlow 记录时,它会使用多种方法将数据转换为连接日志以及主机和应用协议记录。
转换后的 NetFlow 数据与受管设备直接收集到的发现数据和连接数据之间存在一些差异。在执行
具有以下要求的分析时,应记住这些差异:
具有以下要求的分析时,应记住这些差异:
•
需要检测到的连接次数的统计信息
•
需要与操作系统及其他主机相关的信息 (包括漏洞)