Cisco Cisco Firepower Management Center 2000 사용자 가이드
47-10
FireSIGHT 系统用户指南
第 47 章 配置主动扫描
设置 Nmap 扫描
创建 Nmap 补救
许可证:FireSIGHT
可为 Nmap 扫描定义设置,只需创建 Nmap 补救。 Nmap 补救可用作关联策略中的响应,按需运
行,或预定在特定时间运行。为了让 Nmap 扫描结果出现在网络映射中,已扫描的主机必须已存
在于网络映射中。
行,或预定在特定时间运行。为了让 Nmap 扫描结果出现在网络映射中,已扫描的主机必须已存
在于网络映射中。
有关 Nmap 补救中特定设置的详细信息,请参阅
。
请注意, Nmap 提供的服务器和操作系统数据将保持不变,直至运行另一个 Nmap 扫描。如计划
使用 Nmap 扫描主机以获取操作系统和服务器数据,则可能希望设置定期扫描,随时更新任何
Nmap 提供的操作系统和服务器数据。有关详细信息,请参阅
使用 Nmap 扫描主机以获取操作系统和服务器数据,则可能希望设置定期扫描,随时更新任何
Nmap 提供的操作系统和服务器数据。有关详细信息,请参阅
。另请注意,如从网络映射中删除主机,则将丢弃该主机的任何 Nmap 扫描结果。
有关 Nmap 功能的一般信息,请参阅
要创建 Nmap 补救,请执行以下操作:
访问:管理员/发现管理员
步骤 1
选择
Policies > Actions > Scanners
。
系统将显示 Scanners 页面。
步骤 2
在要为其添加补救的扫描实例旁,点击
Add Remediation
。
系统将显示 Edit Remediation 页面。
步骤 3
在
Remediation Name
字段中,键入补救名称,其中包含 1 到 63 个字母数字字符,没有空格以及除
下划线 (_) 和连接号 (-) 以外的特殊字符。
步骤 4
在
Description
字段中,键入补救说明,其中包含 0 到 255 个字母数字字符,包括空格和特殊字符。
步骤 5
如果计划使用此补救响应在发生入侵事件、连接事件或用户事件时触发的关联规则,请配置
Scan
Which Address(es) From Event?
选项:
•
选择
Scan Source and Destination Addresses
,扫描事件中源 IP 地址和目标 IP 地址代表的主机。
•
选择
Scan Source Address Only
,扫描事件源 IP 地址代表的主机。
•
选择
Scan Destination Address Only
,扫描事件目标 IP 地址代表的主机。
如果计划使用此补救响应在发生发现事件或主机输入事件时触发的关联规则,默认情况下,补救
将扫描事件涉及到的主机的 IP 地址;无需配置此选项。
将扫描事件涉及到的主机的 IP 地址;无需配置此选项。
注
不能将 Nmap 修复作为响应分配至在流量量变曲线变更上触发的关联规则。
步骤 6
配置
Scan Type
选项:
•
要在以下主机上以隐形模式快速扫描,可发起但不完成 TCP 连接:
admin
帐户拥有原始数据
包访问权限的主机,或未运行 IPv6 的主机,请选择
TCP Syn Scan
。
•
要使用系统
connect()
调用 (可用于以下主机:防御中心上的
admin
帐户没有原始数据包访
问权限的主机,或未运行 IPv6 的主机)进行扫描,请选择
TCP Connect Scan
。
•
要发送 ACK 数据包检查端口是否过滤,请选择
TCP ACK Scan
。
•
要发送 ACK 数据包以检查端口是否被过滤以及确定端口已打开还是关闭,请选择
TCP Window
Scan
。
•
要使用 FIN/ACK 探针识别 BSD 派生的系统,请选择
TCP Maimon Scan
。