关于主机、应用和用户数据的检测
Firepower 系统使用网络发现和身份策略收集网络上流量的主机、应用和用户数据。您可以使用特定类型的发现和身份数据构建全面的网络资产映射,执行调查分析、行为剖析和访问控制并缓解和应对组织最易遭受的漏洞和攻击。
- 主机和应用数据
-
主机和应用数据由主机身份源和应用检测器根据网络发现策略中的设置进行收集。受管设备会观察指定网段上的流量。
有关详细信息,请参阅主机和应用检测基础知识。
- 用户数据
-
用户数据由用户身份源根据网络发现和身份策略中的设置进行收集。您可以使用这些数据获取用户感知和用户控制。
有关详细信息,请参阅关于用户身份。
通过记录发现和身份数据,您可以利用 Firepower 系统中的许多功能,包括:
-
查看网络映射,网络映射是对网络资产和拓扑的详细表示,可通过对主机和网络设备、主机属性、应用协议或漏洞进行分组来查看。
-
执行应用和用户控制,即,使用应用、领域、用户、用户组和 ISE 属性条件编写访问控制规则。
-
查看主机配置文件,配置文件可完整展示检测到的主机的所有可用信息。
-
查看控制面板,控制面板提供有关网络资产和用户活动的概览及其他功能。
-
查看关于系统记录的发现事件和用户活动的详细信息。
-
将主机及其运行的任何服务器或客户端与它们易受攻击的漏洞关联起来。
这使您能够识别和减少漏洞,评估入侵事件对您的网络的影响,并优化入侵规则状态,以便它们为您的网络资产提供最大的保护
-
在系统生成具有特定影响标志的入侵事件或特定类型的发现事件时,通过邮件、SNMP 陷阱或系统日志向您发出警报
-
监控组织是否遵守允许的 allow操作系统、客户端、应用协议和协议的列表
-
在系统生成发现事件或检测用户活动时,创建具有会触发和生成关联事件的规则的关联策略
-
记录和使用 NetFlow 连接(如果适用)。