Cisco Cisco Firepower Management Center 2000 用户指南
34-21
FireSIGHT 系统用户指南
第 34 章 检测特定威胁
检测敏感数据
要配置敏感数据检测,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
选择
Policies > Intrusion > Intrusion Policy
。
系统将显示 Intrusion Policy 页面。
步骤 2
点击要编辑的策略旁边的编辑图标 (
)。
如果在另一策略中的更改尚未保存,请点击
OK
放弃这些更改并继续操作。有关保存其他策略中
系统将显示 Policy Information 页面。
步骤 3
点击左侧导航面板中的
Advanced Settings
。
系统将显示 Advanced Settings 页面。
步骤 4
您有两种选择,具体取决于是否启用了
Specific Threat Detection
下的
Sensitive Data Detection
:
•
如果该配置已启用,请点击
Edit
。
•
如果该配置已禁用,请点击
Enabled
,然后点击
Edit
。
系统将显示 Sensitive Data Detection 页面。页面底部消息会识别包含配置的入侵策略层。有关详
情,请参见
情,请参见
为数据类型添加或删除
要监控的应用协议
要监控的应用协议
请注意,此功能需要可
控性许可证。
控性许可证。
在
Application Protocols
字段中点击,或点击字段旁边的
Edit
。系统将显示 Application
Protocols 弹出窗口:
•
要添加要监控的应用协议 (最多八个),请从左侧的
Available
列表中选择一个或多个
应用协议,然后点击右箭头 (
>
) 按钮。
•
要删除应用协议,请从右侧的
Enabled
列表中选择,然后点击左箭头 (
<
) 按钮。
点击的同时使用 Ctrl 或 Shift 选择多个应用协议。您也可以点击并拖动鼠标,以选择多个相
邻的应用协议。
邻的应用协议。
必须为选择的每个应用协议至少启用一个检测器 (参阅
)。默认情况下,思科提供的所有检测器均已激活。如果没有为应用协议启用检测器,
系统会自动为应用启用思科提供的所有检测器;如果不存在,系统会为应用启用最近修改
的用户定义的检测器。
的用户定义的检测器。
注
要检测 FTP 流量中的敏感数据,必须添加
Ftp 数据
应用协议。有关详情,请参见
。
创建自定义数据类型
在页面左侧点击
Data Types
旁边的
+
符号。系统将显示 Add Data Type 弹出窗口。
指定唯一的数据类型名称和要使用该数据类型检测的模式,然后点击
OK
,或者点击
Cancel
放弃编辑。有关详情,请参见
。
显示敏感数据预处理器
规则
规则
点击 Global Settings 页面区域上方的
Configure Rules for Sensitive Data Detection
链接。所有敏感
数据预处理器规则的列表显示在 Rules 页面的过滤视图中。
或者,可以启用或禁用任何列出的规则。请注意,必须为要用于入侵策略中的每种数据类
型启用敏感数据预处理器规则。有关详情,请参见
型启用敏感数据预处理器规则。有关详情,请参见
还可以为 Rules 页面上可用的任何其他操作 (例如规则抑制、基于速率的攻击防御,等
等)配置敏感数据规则;有关详细信息,请参阅
等)配置敏感数据规则;有关详细信息,请参阅
点击
Back
返回到 Sensitive Data Detection 页面。
表
34-9
敏感数据配置操作 (续)
要......
您可以......