Cisco Cisco Firepower Management Center 4000 用户指南
47-11
FireSIGHT 系统用户指南
第 47 章 配置主动扫描
设置 Nmap 扫描
步骤 7
或者,除了 TCP 端口,如果还要扫描 UDP 端口,请针对
Scan for UDP ports
选项选择
On
。
提示
UDP 端口扫描比 TCP 端口扫描需要更多时间。要加快扫描速度,请保持禁用该选项。
步骤 8
如计划使用此补救响应违反关联策略的情况,请配置
Use Port From Event
选项:
•
选择
On
可扫描关联事件中的端口,而不是第
如果扫描关联事件中的端口,请注意补救扫描的是第
步指定的 IP 地址的端口。这些端口也
将添加至补救的动态扫描目标。
•
选择
Off
可仅扫描第
步指定的端口。
步骤 9
如果计划使用此补救响应关联策略违反事件,并希望使用运行检测引擎来检测事件的设备运行扫
描,请配置
描,请配置
Scan from reporting detection engine
选项:
•
要从运行报告检测引擎的设备进行扫描,请选择
On
。
•
要从在补救中配置的设备进行扫描,请选择
Off
。
步骤 10
配置
Fast Port Scan
选项:
•
要仅扫描
nmap-services
文件中列出的端口,而忽略其他端口设置,请选择
On
,该文件可在
扫描设置上的
/var/sf/nmap/share/nmap/nmap-services
目录中找到。
•
要扫描所有 TCP 端口,请选择
Off
。
步骤 11
在
Port Ranges and Scan Order
字段中,键入要在默认情况下使用 Nmap 语法按自己想要的顺序扫描的
端口。
指定值为 1 到 65535。端口间用逗号或空格分隔。还可使用连字符指明端口范围。扫描 TCP 和
UDP 端口时,以 T 作为要扫描的 TCP 端口列表的开端,以 U 作为 UDP 端口列表的开端。例如,
要扫描 UDP 流量的端口 53 和 111,然后扫描 TCP 流量的端口 21-25,请输 入
UDP 端口时,以 T 作为要扫描的 TCP 端口列表的开端,以 U 作为 UDP 端口列表的开端。例如,
要扫描 UDP 流量的端口 53 和 111,然后扫描 TCP 流量的端口 21-25,请输 入
U:53,111,T:21-25
。
请注意,启动补救以响应关联策略违反事件时,如第
步中所述,
Use Port From Event
选项将覆盖此
设置。
步骤 12
要探测开放端口以了解服务器厂商和版本信息,请配置
Probe open ports for vendor and version
information:
•
选择
On
,扫描主机上的开放端口以获取服务器信息,识别服务器厂商和版本。
•
选择
Off
,继续使用主机的思科服务器信息。
步骤 13
如果选择探测开放端口,请从
Service Version Intensity
下拉列表中选择一个数字,设置使用的探针
数量:
•
要使用更多探针进行更精确、更长久的扫描,请选择一个较大的数字。
•
要使用更少探针进行不太精确、更加快速的扫描,请选择一个较小的数字。
步骤 14
要扫描操作系统信息,请配置
Detect Operating System
设置:
•
选择
On
可扫描主机信息以确定操作系统。
•
选择
Off
,继续使用主机的思科操作系统信息。
步骤 15
要确定主机发现是否发生,是否仅针对可用端口运行端口扫描,请配置
Treat All Hosts As Online
:
•
要跳过主机发现过程并对目标范围内每个主机运行端口扫描,请选择
On
。
•
要使用
Host Discovery Method
和
Host Discovery Port List
的设置执行主机发现,并跳过对所有不可
用主机的端口扫描,选择
Off
。