加密可视性引擎概述
加密可视性引擎 (EVE)用于提供对加密会话的更多可视性,而无需对其进行解密。对 TLS 连接的见解源自思科的开源库,该库包含在思科的漏洞数据库 (VDB) 中。库指纹并分析传入的加密会话,并将其与一组已知指纹进行匹配。已知指纹的数据库在思科 VDB 中也可用。
注 |
只有运行 Snort 3 的 管理中心管理的设备才支持加密可视性引擎功能。Snort 2 设备, 设备管理器管理的设备或 CDO 不支持此功能。 |
EVE 的一些重要功能如下:
-
您可以使用从 EVE 派生的信息对流量执行访问控制策略操作。
-
Cisco Secure Firewall 中包含的 VDB 能够以高置信度值将应用分配给 EVE 检测到的某些进程。或者,您可以创建自定义应用检测器,以便:
-
将 EVE 检测到的进程映射到用户定义的新应用。
-
覆盖用于将应用分配给 EVE 检测到的进程的进程置信度的内置值。
请参阅 Cisco Secure Firewall Management Center 设备配置指南的应用程序检测一章中的配置自定义应用程序检测器和指定 EVE 进程分配部分。
-
-
EVE 可以检测在加密流量中创建客户端 Hello 数据包的客户端的操作系统类型和版本。
-
EVE 也支持快速 UDP 互联网连接 (QUIC) 流量的指纹识别和分析。来自客户端 Hello 数据包的服务器名称显示在 连接事件 页面的 URL 字段中。
注意 |
要在 管理中心上使用 EVE,您的设备上必须具有有效的 IPS 许可证。在没有 IPS 许可证的情况下,策略会显示警告,并且不允许部署。 |
注 |
EVE 可以检测 SSL 会话的操作系统类型和版本。操作系统的正常使用(例如运行应用、软件包管理软件等)可以触发操作系统检测。要查看客户端操作系统检测,除了启用 EVE 切换按钮,您还必须在 主机 (Hosts) 。要查看主机 IP 地址上可能的操作系统的列表,请点击 ,然后选择所需的主机。 下启用 |
相关链接