Руководство Пользователя для Cisco Cisco Firepower Management Center 4000
45-12
FireSIGHT 系统用户指南
第 45 章 网络发现简介
了解发现数据收集
请注意,依赖于客户端、服务器或网络应用检测的操作不受此限制的影响。例如,经配置要在服
务器上触发的访问控制规则仍会记录连接事件。
务器上触发的访问控制规则仍会记录连接事件。
有关应用协议检测的特殊注意事项:Squid
许可证:FireSIGHT
在以下情况下,系统会正确识别 Squid 服务器流量:
•
系统检测监控网络上主机与启用了代理身份验证的 Squid 服务器之间的连接;或
•
系统检测监控网络上 Squid 代理服务器与目标系统 (即,客户端正在其中请求信息或其他资
源的目标服务器)之间的连接
源的目标服务器)之间的连接
但是,在以下情况下,系统无法识别 Squid 业务流量:
•
监控网络上的主机连接到已禁用代理身份验证的 Squid 服务器;或
•
Squid 代理服务器被配置为会从其 HTTP 响应中移除 Via: 报头字段
特殊注意事项:SSL 应用检测
许可证:FireSIGHT
FireSIGHT 系统提供的检测器可以使用安全套接字层 (SSL) 会话中的信息确定会话中的应用协
议、客户应用或 Web 应用。
议、客户应用或 Web 应用。
如果系统检测到加密连接,它会将该连接标记为通用 HTTPS 连接或更为具体的安全协议,例如
SMTPS (如果适用)。如果系统检测到 SSL 会话,它会将
SMTPS (如果适用)。如果系统检测到 SSL 会话,它会将
SSL client
添加到该会话的连接事件
中的
Client
字段。如果识别到会话的 Web 应用,系统会为该流量生成发现事件。
对于 SSL 应用流量,受管设备还可以检测服务器证书中的公用名并将其与 SSL 主机模式的客户端
或 Web 应用比对。当系统识别到特定客户端时,会将
或 Web 应用比对。当系统识别到特定客户端时,会将
SSL 客户端
替换为该客户端的名称。
由于 SSL 应用流量已加密,因此,系统只能使用证书中的信息 (而不是加密数据流中的应用数
据)进行识别。为此, SSL 主机模式有时只能识别作为应用编写者的公司,因此,同一公司开发
的 SSL 应用可能有相同的标别。
据)进行识别。为此, SSL 主机模式有时只能识别作为应用编写者的公司,因此,同一公司开发
的 SSL 应用可能有相同的标别。
在某些情况下,例如 HTTPS 会话是从 HTTP 会话内部发起时,受管设备会从客户端数据包中的
客户端证书检测服务器名称。
客户端证书检测服务器名称。
要启用 SSL 应用标别,必须创建监控响应方流量的访问控制规则。这些规则必须包含适用于 SSL
应用的应用条件或者使用来自 SSL 证书的 URL 的 URL 条件。对于网络发现,响应方 IP 地址必须
位于要在网络发现策略中监控的网络上;访问控制策略配置决定是否识别流量。在应用检测程序
列表中或在访问控制规则中添加应用条件时,可以按
应用的应用条件或者使用来自 SSL 证书的 URL 的 URL 条件。对于网络发现,响应方 IP 地址必须
位于要在网络发现策略中监控的网络上;访问控制策略配置决定是否识别流量。在应用检测程序
列表中或在访问控制规则中添加应用条件时,可以按
SSL protocol
标记进行过滤,以识别 SSL 应
用的检测程序。
特殊注意事项:被推荐网络应用
网络服务器有时会将流量推荐到其他网站,这些网站通常为广告服务器。为了帮助更好地了解网
络上发生的被推荐流量的上下文,系统会在被推荐会话事件的 Web Application 字段中列出推荐流
量的网络应用。 VDB 包含已知被推荐站点的列表。如果系统检测到来自这些站点之一的流量,会
将推荐站点连同该流量的事件一起存储。例如,如果通过 Facebook 访问的广告实际在
Advertising.com 上托管,检测到的 Advertising.com 流量与 Facebook网络应用相关。系统还可以
检测到 HTTP 流量中的推荐 URL,例如当网站提供与另一站点的简单链接时;在这种情况下,推
荐 URL 出现在 HTTP Referrer 事件字段。
络上发生的被推荐流量的上下文,系统会在被推荐会话事件的 Web Application 字段中列出推荐流
量的网络应用。 VDB 包含已知被推荐站点的列表。如果系统检测到来自这些站点之一的流量,会
将推荐站点连同该流量的事件一起存储。例如,如果通过 Facebook 访问的广告实际在
Advertising.com 上托管,检测到的 Advertising.com 流量与 Facebook网络应用相关。系统还可以
检测到 HTTP 流量中的推荐 URL,例如当网站提供与另一站点的简单链接时;在这种情况下,推
荐 URL 出现在 HTTP Referrer 事件字段。