适用于 Firepower 设备管理器的思科 Firepower 威胁防御配置指南,版本 6.3.0

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

当地语言翻译版本说明

思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。

Book Contents
Find Matches in This Book
语言选择
Download Options

Book Title

适用于 Firepower 设备管理器的思科 Firepower 威胁防御配置指南,版本 6.3.0

Chapter Title

安全情报

Results

已更新:
2020年6月16日

Chapter: 安全情报

安全情报

通过安全情报策略能够根据源/目标 IP 地址或目标 URL 提前丢弃非必要流量。以下主题介绍如何实施安全情报。

关于安全情报

通过安全情报策略能够根据源/目标 IP 地址或目标 URL 提前丢弃非必要流量。在使用访问控制策略评估列入黑名单的流量前,系统会将其丢弃,从而减少系统资源的使用量。

您可以基于以下内容将流量列入黑名单:

  • 思科 Talos 情报小组 (Talos) 源 - Talos提供对定期更新的安全情报源的访问权限。具有安全威胁(如恶意软件、垃圾邮件、僵尸网络和网络钓鱼)的站点出现和消失的速度可能比您更新和部署自定义配置的速度要快。系统定期下载情报源更新,从而提供新的威胁情报,而无需重新部署配置。


    Talos 默认情况下,源每小时更新一次。您可以从设备 > 更新页面更改更新频率,甚至根据需要更新情报源。

  • 网络和 URL 对象 - 如果您知道要阻止的特定 IP 地址或 URL,则可为其创建对象并将其添加到黑名单(或例外列表,也称为白名单)。

创建用于 IP 地址(网络)和 URL 的单独黑名单。

黑名单例外

对于各黑名单,可创建关联的例外列表,也称之为白名单。例外列表的唯一目的是免除阻止出现在黑名单中的 IP 地址或 URL。也就是说,如果发现需使用且已知安全的地址或 URL 位于在黑名单上配置的情报源中,则可免除该网络/URL,而无需从黑名单中完全删除该类别。

随后通过访问控制策略评估被排除或列入白名单的流量。有关允许或丢弃连接的最终决定基于连接匹配的访问控制规则。访问规则还会决定恶意软件检查是否应用于连接。

安全情报源类别

下表介绍思科 Talos 情报小组 (Talos)源中的可用类别。这些类别可用于网络和 URL 黑名单。

表 1. Talos 源类别

类别

说明

攻击者

出站恶意活动已知的活动扫描工具和列入黑名单的主机。

bogon

Bogon 网络和未分配的 IP 地址。

僵尸

托管二进制恶意软件丢弃程序的站点。

CnC

托管僵尸网络的命令和控制服务器的站点。

dga

用于生成作为与命令和控制服务器的交汇点的大量域名的恶意软件算法。

exploitkit

指定用于识别客户端中的软件漏洞的软件包。

恶意软件

托管恶意软件二进制或漏洞包的站点。

open_proxy

允许匿名 Web 浏览的开放代理。

open_relay

已知用于垃圾邮件的开放邮件中继。

网络钓鱼

托管网络钓鱼页面的站点。

效率低下

主动参与恶意或可疑活动的 IP 地址和 URL。

垃圾邮件

已知用于发送垃圾邮件的邮件主机。

可疑

看似可疑并具有类似于已知恶意软件的特征的文件。

tor_exit_node

Tor 出口节点。

配置安全情报

通过安全情报策略能够根据源/目标 IP 地址或目标 URL 提前丢弃非必要流量。所有允许的连接仍会通过访问控制策略进行评估,并且最终可能会被丢弃。必须启用威胁许可证,才能使用安全情报。

过程

步骤 1

依次选择策略 > 安全情报
步骤 2

如果未启用策略,请点击启用安全情报按钮。

您可以通过点击安全情报开关切换到关闭随时禁用策略。配置将被保留,因此,当您再次启用该策略时,无需重新配置。

步骤 3

配置安全情报。

网络(IP 地址)和 URL 有单独的黑名单。

  1. 点击网络URL 选项卡显示要配置的黑名单。

  2. 黑名单中,点击 +,选择要立即丢弃其连接的对象或情报源。

    对象选择器按类型对单独选项卡上的对象和情报源进行分门别类。如果所需的对象尚不存在,请点击列表底部的创建新对象链接,立即创建对象。有关思科 Talos 情报小组 (Talos) 源的说明,请点击源旁边的 i 按钮。另请参阅安全情报源类别

     

    安全情报会忽略使用 /0 掩码的 IP 地址块。这包括 any-ipv4 和 any-ipv6 网络对象。不得选择这些对象用于网络黑名单。

  3. 不阻止列表中,点击 + 并选择黑名单的任何例外。

    配置该列表的唯一原因是对黑名单中的 IP 地址或 URL 进行例外处理。被免除的连接随后将通过访问控制策略进行评估,且仍然可能会被丢弃。

  4. 重复此过程以配置其他黑名单。

步骤 4

(可选。)点击编辑日志记录设置按钮 (齿轮/设置按钮。) 来配置日志记录。

如果启用了日志记录,系统会记录与黑名单条目的任意匹配项。系统不记录例外条目的匹配项,但如果被免除的连接与启用日志记录的访问控制规则匹配,您会收到日志消息。

配置以下设置:

  • 连接事件日志记录 - 点击开关以启用或禁用日志记录。

  • 系统日志 - 如果要将事件副本发送到外部系统日志服务器,请选择该选项并选择定义系统日志服务器的服务器对象。如果所需的对象尚不存在,请点击添加系统日志服务器并创建对象。

    由于设备中的事件存储受限,所以将事件发送至外部系统日志服务器可供长期存储,并增强您的事件分析。

监控安全情报

如果启用安全情报策略的日志记录,则系统生成各黑名单连接的安全情报事件。这些连接已有匹配的连接事件。

已丢弃黑名单连接的统计信息显示在“监控”页面上的各控制面板中。

监控 > 访问和 SI 规则控制面板显示排名靠前的访问规则及匹配流量的安全情报等效对象。

此外,可依次选择监控 > 事件,然后选择安全情报视图,查看安全情报事件以及连接选项卡上的相关连接事件。

  • 事件中的 SI 类别 ID 字段指示黑名单中匹配的对象,如网络或 URL 对象或源。

  • 连接事件中的“原因”字段解释为什么应用了事件中显示的操作。例如,与“IP 阻止”或“URL 阻止”等原因配对的“阻止”操作表示某连接已被安全情报列入黑名单并已被丢弃。

安全情报示例

使用案例章节涵盖实施安全情报策略的示例。请参阅如何阻止威胁

此文档是否有帮助?

Feedback反馈

联系我们