Cisco Cisco Firepower Management Center 4000 プリント
1-10
FireSIGHT 系统安装指南
第 1 章 FireSIGHT 系统简介
FireSIGHT 系统组件
•
配置第 3 层部署,为两个或更多个接口之间的流量提供路由
•
进行网络地址转换 (NAT)
•
从受管设备上的虚拟路由器到远程设备或其他第三方 VPN 终端,建立安全的 VPN 隧道
FireSIGHT
FireSIGHT™ 是思科研发的发现和感知技术,用于收集主机、操作系统、应用、用户、文件、网
络、地理位置信息和漏洞相关信息,帮助您全面了解您的网络。
络、地理位置信息和漏洞相关信息,帮助您全面了解您的网络。
通过防御中心的网络界面可查看和分析由 FireSIGHT 收集的数据。还可以基于该数据执行访问控制
并修改入侵规则状态。此外,还可以根据主机的关联事件数据生成和跟踪网络上主机的危害表现。
并修改入侵规则状态。此外,还可以根据主机的关联事件数据生成和跟踪网络上主机的危害表现。
访问控制
访问控制是一项基于策略的功能,可指定、检查和记录流经网络的流量。作为访问控制的一部
分,在对流量进行更深层次的分析之前,可使用安全情报功能将特定 IP 地址列入黑名单,拒绝发
往和来自该地址的流量。
分,在对流量进行更深层次的分析之前,可使用安全情报功能将特定 IP 地址列入黑名单,拒绝发
往和来自该地址的流量。
进行安全情报过滤后,可以定义目标设备处理哪些流量以及如何处理流量,从简单的 IP 地址匹
配,到涉及不同用户、应用、端口和 URL 的复杂场景。可以信任、监控或阻止流量,或进行进
一步分析,例如:
配,到涉及不同用户、应用、端口和 URL 的复杂场景。可以信任、监控或阻止流量,或进行进
一步分析,例如:
•
入侵检测和防御
•
文件控制
•
文件跟踪和基于网络的高级恶意软件防护 (AMP)
入侵检测和防御
入侵检测和防御是一项基于策略的功能。该功能被集成至访问控制功能,可用于监控网络流量以
检测安全违规以及在内联部署中阻止或修改恶意流量。入侵策略包含各种组件,包括:
检测安全违规以及在内联部署中阻止或修改恶意流量。入侵策略包含各种组件,包括:
•
检查协议标头值、负载内容和某些数据包大小特征的规则
•
基于 FireSIGHT 建议的规则状态配置
•
高级设置,例如预处理器及其他检测和性能功能
•
预处理器规则,允许您为关联预处理器和预处理器选项生成事件
文件跟踪、控制和基于网络的高级恶意软件防护 (AMP)
为了便于识别和减轻恶意软件的影响, FireSIGHT 系统的文件控制、网络文件轨迹和高级恶意软
件防护组件可以检测、跟踪、捕获、分析并选择性地阻止网络流量中的文件 (包括恶意软件文
件)传输。
件防护组件可以检测、跟踪、捕获、分析并选择性地阻止网络流量中的文件 (包括恶意软件文
件)传输。
文件控制是一项基于策略的功能。该功能被集成至访问控制,允许受管设备检测并阻止用户上传
(发送)或下载 (接收)超出特定应用协议范围的特定类型文件。
通过基于网络的
高级恶意软件防护 (AMP),系统可以检查网络流量,以发现某些类型文件中的恶
意软件。设备可以将检测到的文件存储到硬盘或 (对于某些型号)恶意软件存储包中,进行进一
步的分析。
步的分析。
无论是否存储已检测到的文件,您都可以使用此文件的 SHA-256 哈希值,将文件提交至思科云,
进行简单的已知文件性质查找。还可以提交文件用于
进行简单的已知文件性质查找。还可以提交文件用于
动态分析,产生威胁得分。您可以利用此情
景信息配置系统,以阻止或允许特定的文件。
FireAMP 是思科制定的企业级高级恶意软件分析和防护解决方案,可发现、了解和阻止高级恶意
软件爆发、高级持续性威胁和针对性攻击。如果贵公司已订用 FireAMP,个人用户可在其计算机
和移动设备 (也称为终端)上安装 FireAMP 连接器。这些轻型代理与思科云通信,该云进而与
防御中心通信。
软件爆发、高级持续性威胁和针对性攻击。如果贵公司已订用 FireAMP,个人用户可在其计算机
和移动设备 (也称为终端)上安装 FireAMP 连接器。这些轻型代理与思科云通信,该云进而与
防御中心通信。