此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
以下主题介绍如何处理入侵事件。
Firepower 系统可以帮助监控网络中可能影响主机及其数据的可用性、完整性和机密性的流量。通过将受管设备放在关键网段,可以检查流经网络的数据包是否包含恶意活动。系统通过使用多种机制查找攻击者开发的众多漏洞。
如果系统识别出潜在的入侵,会生成入侵事件(有时以传统术语称为“IPS 事件”);入侵事件是有关攻击源和攻击目标的日期、时间、漏洞类型以及情境信息的记录。对于基于数据包的事件,还会记录触发事件的一个或多个数据包的副本。受管设备将其事件传输到Cisco Secure Firewall Management Center,在其中可以查看汇聚数据并更好地了解针对网络资产的攻击。
还可以将受管设备部署为内联式、交换式或路由式入侵系统,以便将设备配置为会丢弃或替换已知有害的数据包。
您可以使用以下工具复审入侵事件和评估其在网络环境与安全策略情境中是否重要所需的工具。
事件摘要页面,提供受管设备上当前活动的概览。
基于文本的报告和图表报告,可以针对所选的任何时间段生成此类报告;还可以自行设计报告并将其配置为按预定的时间间隔运行
事故处理工具,可用于收集与攻击相关的事件数据;还可以添加备注来帮助跟踪调查和响应
自动报警,可用于配置 SNMP、邮件和系统日志
可用于响应和处理特定入侵事件的自动关联策略
预定义和自定义工作流程,可用于向下钻取数据以识别要进一步调查的事件
用于管理和分析数据的外部工具。您可以使用系统日志或 eStreamer将数据发送到这些工具。有关详细信息,请参阅 使用外部工具的事件分析
此外,您还可以使用 分析 > 高级 > 上下文交叉启动 页面上的预定义资源等公开信息来了解有关恶意实体的详细信息。
要搜索特定消息字符串并检索生成事件的规则的文档,请参阅 https://www.snort.org/rule_docs/。
IPS
保护
任意。
任意
管理员
入侵管理员 (Intrusion Admin)
可以查看入侵事件来确定其是否会对网络安全构成威胁。
初始入侵事件视图因用于访问页面的工作流程而异。可以使用其中一个预定义工作流程(其中包括一个或更多向下展开页面、入侵事件表视图和一个终止数据包视图),或者也可以创建自己的工作流程。还可以查看基于自定义表的工作流程,该表可能包括入侵事件。
如果事件视图包含大量 IP 地址且已启用解析 IP 地址 (Resolve IP Addresses) 事件视图设置,事件视图可能显示得很慢。
在多域部署中,可以查看当前域和任何后代域的数据。不能从更高级别的域或同级域查看数据。
|
步骤 1 |
选择。 |
|
步骤 2 |
有以下选项可供选择:
|
如果系统识别出潜在的入侵,会生成入侵事件;入侵事件是有关攻击源和攻击目标的日期、时间、漏洞类型以及情境信息的记录。对于基于数据包的事件,还会记录触发事件的一个或多个数据包的副本。
您可以在 Cisco Secure Firewall Management Center Web 界面中通过路径分析 > 入侵 > 事件来查看入侵事件数据,或者将某些字段中的数据作为系统日志消息发出以供外部工具使用。系统日志字段如下方列表所示;没有所列的系统日志等同项的字段在系统日志消息中不可用。
搜索入侵事件时,请记住任何单独事件的可用信息视系统记录事件的方式、原因和时间而异。例如,只有加密流量上触发的入侵事件才包含 TLS/SSL 信息。
 注 |
在 Cisco Secure Firewall Management Center Web 界面中,入侵事件表视图内的一些字段默认被禁用。要在会话期间启用某个字段,请展开搜索限制条件,然后点击已禁用列 (Disabled Columns) 下的列名。 |
与启用了生成事件的入侵规则、预处理器规则或解码器规则的入侵策略相关联的访问控制策略。
调用生成事件的入侵策略的访问控制规则。Default Action 指示启用了规则的入侵政策未与特定访问控制规则相关联,而是配置为访问控制策略的默认操作。
如果存在以下情况,则此字段为空 (对于系统日志消息,则为省略) :
无关联规则/默认操作:如果入侵检测未关联访问控制规则或默认操作,例如,例如数据包已经过默认入侵策略检查的情况,系统才会决定应用哪条入侵检测规则。(此策略在访问控制策略的“高级”选项卡中指定。)
无关联的连接事件:如果对会话记录的连接事件已从数据库中清除,例如连接事件的周转高于入侵事件的情况。
表示在触发入侵事件的流量中检测到的主机之间的通信的应用协议(如果可用)。
展示了应用特征的条件条件,协助您了解应用功能。
与在触发入侵事件的流量中检测到的应用相关联的风险:“非常高”(Very High)、“高”(High)、“中”(Medium)、“低”(Low) 或“非常低”(Very Low)。在连接中检测的各种类型的应用都有相关的风险;此字段显示当中的最高风险。
与在触发入侵事件的流量中检测到的应用相关联的业务关联性:“非常高”(Very High)、“高”(High)、“中”(Medium)、“低”(Low) 或“非常低”(Very Low)。连接中检测的各类应用都有相关业务;此字段显示当中最低(相关性最小)的业务相关性。
生成事件的规则所属的分类。
请参阅 入侵事件详细信息中的可能分类值列表。
当搜索此字段时,请为生成要查看的事件的规则输入分类编号,或者全部或部分分类名称或说明。也可以输入编号、名称或描述的以逗号分隔列表。最后,如果添加自定义分类,还可以使用其完整或部分名称或描述进行搜索。
客户端应用(如果有),代表在触发入侵事件的流量中检测到的受监控主机上运行的软件。
展示了应用特征的条件,协助您了解应用功能。
区分一个连接与另一个同时连接的计数器。此字段本身没有意义。
以下字段共同唯一地标识与特定入侵件事件相关的连接事件:DeviceUUID,第一个数据包时间,连接实例 ID 和连接计数器。
处理连接事件的 Snort 实例。此字段本身没有意义。
以下字段共同唯一地标识与特定入侵件事件相关的连接事件:DeviceUUID,第一个数据包时间,连接实例 ID 和连接计数器。
与每行中所显示的信息匹配的事件数。请注意,“计数”(Count) 字段仅在应用了创建两个或多个相同行的约束后才显示。此字段不可搜索。
此字段仅为搜索字段。
按与 MITRE 常见漏洞和披露 (CVE) 数据库 (https://cve.mitre.org/) 中漏洞相关联的标识号进行搜索。
入侵事件中涉及的接收主机所在的大洲。
入侵事件中涉及的接收主机所在的国家/地区。
生成事件时的目标主机重要性(相应主机的“主机重要性”属性的值)。
请记住,当主机的重要性发生变化时,此字段不会更新。但是,新事件将具有新的重要性值。
入侵事件中涉及的接收主机使用的 IP 地址。
接收流量的主机的端口号。对于 ICMP 流量,在没有端口号的情况下,此字段显示 ICMP 代码。
与连接事件的响应方 IP 关联的用户名。此主机可能是也可能不是接收漏洞攻击的主机。此值通常仅为您的网络中的用户所知。
。
已部署访问控制策略的受管设备。
生成事件的 Firepower 设备的唯一标识符。
以下字段共同唯一地标识与特定入侵件事件相关的连接事件:DeviceUUID,第一个数据包时间,连接实例 ID 和连接计数器。
检测到入侵的设备的域。 仅当曾经配置 管理中心以实现多租户时,此字段才存在。
触发事件的数据包的出口接口。对于被动接口,不填充此接口列。
触发事件的数据包的出口安全区域。在被动部署中不填充此安全区域字段。
在使用虚拟路由的网络中,用于流量离开网络的虚拟路由器的名称。
提取自“MIME 内容性质”报头的 MIME 附件文件名。要显示附件文件名,必须启用 SMTP 预处理器的记录 MIME 附件名称 (Log MIME Attachment Names) 选项。支持多个附件文件名。
此字段仅为搜索字段。
提取自邮件报头的数据。
要将邮件报头与 SMTP 流量的入侵事件相关联,必须启用 SMTP 预处理器 Log Headers 选项。
提取自 SMTP RCPT TO 命令的邮件收件人的地址。要显示此字段的值,必须启用 SMTP 预处理器的记录收件人地址 (Log To Addresses) 选项。支持多个收件人地址。
提取自 SMTP MAIL FROM 命令的邮件发件人的地址。要显示此字段的值,必须启用 SMTP 预处理器的记录发件人地址 (Log From Addresses) 选项。支持多个发件人地址。
系统遇到第一个数据包的时间。
以下字段共同唯一地标识与特定入侵件事件相关的连接事件:DeviceUUID,第一个数据包时间,连接实例 ID 和连接计数器。
生成事件的组件。
另请参阅有关以下入侵事件字段的信息:GID、消息和 Snort ID。
生成器 ID;生成事件的组件 ID。
另请参阅有关以下入侵事件字段的信息:生成器、消息和 Snort ID。
提取自 HTTP 请求主机报头的主机名(如果有)。请注意,请求数据包并非总是包含主机名。
要将主机名与 HTTP 客户端流量的入侵事件相关联,必须启用 HTTP 检查预处理器 Log Hostname 选项。
在表视图中,此列显示提取的主机名的前 50 个字符。将光标悬停在缩写主机名的显示部分上可显示完整名称(最多包含 256 个字节)。还可以在数据包视图中显示完整主机名(最多包含 256 个字节)。
在对客户端的 HTTP 请求的响应中通过触发事件的连接发送的 HTTP 状态代码。
与触发入侵事件的 HTTP 请求数据包相关的原始 URI(如果有)。请注意,请求数据包并非总是包含 URI。
要将 URI 与 HTTP 客户端流量的入侵事件相关联,必须启用 HTTP 检查预处理器 Log URI 选项。
要查看与 HTTP 响应触发的入侵事件相关的 HTTP URI,应配置 Perform Stream Reassembly on Both Ports 选项中的 HTTP 服务器端口;但请注意,这样会增加流量重组的资源需求。
此列显示提取的 URI 的前五十个字符。将光标悬停在缩写 URI 的显示部分上可显示完整 URI(最多包含 2048 个字节)。还可以在数据包视图中显示完整 URI(最多包含 2048 个字节)。
此字段中的影响级别指示入侵数据、网络发现数据和漏洞信息之间的相关性。
当搜索此字段时,请勿指定影响图标颜色或部分字符串。例如,请勿使用 blue、level 1 或 0。不区分大小写的有效值为:
影响 0,影响级别 0
影响 1,影响级别 1
影响 2,影响级别 2
影响 3,影响级别 3
影响 4,影响级别 4
对于从 NetFlow 数据添加到网络映射的主机,没有任何操作系统信息可用,因此,系统无法为涉及这些主机的入侵事件分配“易受攻击”(影响级别 1:红色)影响级别。在此情况下,请使用主机输入功能手动设置主机的操作系统身份。
触发事件的数据包的入口接口。对于被动接口,仅填充此接口列。
触发事件的数据包的入口安全区域或隧道区域。在被动部署中仅填充此安全区域字段。
在使用虚拟路由的网络中,用于流量进入网络的虚拟路由器的名称。
在工作流程和表视图中,此字段显示以下其中一项:
|
此图标 |
表明 |
|---|---|
 |
系统已丢弃触发规则的数据包。 |
 |
如果已启用入侵策略选项 内联时丢弃 (在内联部署中),或在系统进行修建时“丢弃并生成”规则生成了该事件,那么 IPS 应该已丢弃该数据包。 |
 |
IPS 可能已将数据包传输或传送到目的地,但包含此数据包的连接现在已被阻止。 |
|
无图标(空) |
触发的规则未设置为“丢弃并生成事件” |
下表列出了内联结果的可能原因 - 已丢弃和部分丢弃。
|
内联结果 |
原因 |
详细原因 |
|---|---|---|
|
会丢弃 |
被动或分流模式下的接口 |
您已将接口配置为内联分流或被动模式。 |
|
“检测”检测模式下的入侵策略 |
您已将入侵策略中的检测模式设置为检测。 |
|
|
连接超时 |
由于 TCP/IP 连接超时,Snort 检测引擎已暂停检测。 |
|
|
部分丢弃 |
已关闭连接 (0x01) |
在创建新流时,如果分配的流数超过允许的流数,Snort 检测引擎会删除最近最少使用的流。 |
|
已关闭连接 (0x02) |
当重新加载 Snort 检测引擎导致内存调整时,引擎会删除最近最少使用的数据流。 |
|
|
连接已关闭 (0x04) |
当 Snort 检测引擎正常关闭时,引擎会清除所有活动数据流。 |
无论入侵策略的规则状态或内联丢弃行为如何(包括当内联接口处于分流模式的情况),系统在被动部署中都不会丢弃数据包。
当搜索此字段时,请输入以下任一项:
已丢弃 用于指定在内联部署中是否丢弃数据包。
会丢弃 用于指定当入侵策略设置为在内联部署中丢弃数据包时是否已丢弃数据包。
部分丢弃 用于指定数据包是否已传输或传送到目的地,但包含此数据包的连接现在已被阻止。
启用了生成事件的入侵规则、预处理器规则或解码器规则的入侵策略。可以选择入侵策略作为访问控制策略的默认操作,也可以将入侵策略与访问控制规则相关联。
触发入侵事件的流量是否也触发了危害表现 (IOC)。
当搜索此字段时,请指定 triggered 或 n/a。
事件的说明文本。对于基于规则的入侵事件,事件消息提取自规则。对于基于解码器和预处理器的事件,事件消息采用硬编码。
生成器和 Snort ID(GID 和 SID)与 SID 版本(修订版本)以冒号分隔的数字格式括于括号中(GID:SID:版本)附于其后。例如,(1:36330:2)。
您可以点击以显示 MITRE 战术和层次结构中的技术的完整列表的模式计数。
与触发入侵事件的数据包相关联的多协议标签交换标签。
与事件生成相关联的网络分析策略(如果有)。
此字段显示提取的 URI 的前五十个字符。将光标悬停在缩写 URI 的显示部分上可显示完整 URI(最多包含 2048 个字节)。还可以在数据包视图中显示完整 URI(最多包含 2048 个字节)。
提取自 X-Forwarded-For (XFF)、True-Client-IP 或自定义的 HTTP 报头的原始客户端 IP 地址。
要显示此字段的值,必须在网络分析策略中启用 HTTP 预处理器的提取原始客户端 IP 地址 (Extract Original Client IP Address) 选项。或者,在网络分析策略的同一区域,还可以指定最多六个自定义客户端 IP 报头,并设置系统选择“原始客户端 IP 事件”(Original Client IP event) 字段值的优先顺序。
事件优先级由Talos 情报小组 确定。优先级对应于 priority 关键字的值或 classtype 关键字的值。对于其他入侵事件,优先级由解码器或预处理器决定。有效值为“高”(high)、“中”(medium) 和“低”(low)。
在 Cisco Secure Firewall Management Center Web 界面中,此字段仅为搜索字段。
连接中使用的传输协议的名称或编号,如 http://www.iana.org/assignments/protocol-numbers 中所列。这是与源端口和目标端口/ICMP 列相关的协议。
审核事件的用户的名称。当搜索此字段时,可以输入 unreviewed 以搜索尚未审核的事件。
用于生成事件的签名的版本。
另请参阅有关以下入侵事件字段的信息:生成器、GID、消息、SID 和 Snort ID。
非 MITRE 规则组的计数,您可以点击该计数以调出模式,其中显示规则组的完整列表。
识别流量通过的虚拟防火墙组的元数据。系统仅对多情景模式下的 ASA FirePOWER 填充此字段。
生成事件的规则的签名 ID(亦称 Snort ID)。
另请参阅有关以下入侵事件字段的信息:生成器、GID、消息、修订版本和 Snort ID。
此字段仅为搜索字段。
(对于系统日志字段,请参阅 SID。)
在执行搜索时:指定生成事件的规则的 Snort ID (SID),或者指定规则的生成器 ID (GID) 和 SID 组合,其中 GID 和 SID 使用冒号 (:) 隔开,格式为 GID:SID。可指定下表中的任何值:
|
值 |
示例 |
|---|---|
|
单个 SID |
10000 |
|
SID 范围 |
10000-11000 |
|
大于某个 SID |
>10000 |
|
大于或等于某个 SID |
>=10000 |
|
小于某个 SID |
<10000 |
|
小于或等于某个 SID |
<=10000 |
|
以逗号分隔的 SID 值列表 |
10000,11000,12000 |
|
单个 GID:SID 组合 |
1:10000 |
|
以逗号分隔的 GID:SID 组合列表 |
1:10000,1:11000,1:12000 |
|
以逗号分隔的 SID 和 GID:SID 组合列表 |
10000,1:11000,12000 |
您查看的事件的 SID 在“消息”(Message) 列中列出。有关详细信息,请参阅此部分中有关“消息”字段的说明。
入侵事件中涉及的发送主机所在的大洲。
入侵事件中涉及的发送主机所在的国家/地区。
生成事件时的源主机重要性(相应主机的“主机重要性”属性的值)。
请记住,当主机的重要性发生变化时,此字段不会更新。但是,新事件将具有新的重要性值。
入侵事件中涉及的发送主机使用的 IP 地址。
发送主机上的端口号。对于 ICMP 流量,在没有端口号的情况下,此字段显示 ICMP 类型。
与发起连接的主机(可能是也可能不是漏洞攻击的源主机)的 IP 地址相关联的用户名。此用户值通常只有您的网络上的用户知道。
如果适用,用户名前面会附加 <区域>\。
在 Cisco Secure Firewall Management Center Web 界面中,此字段仅为搜索字段。
系统应用于已加密流量的操作:
表示阻止的加密连接。
表示使用重新签名的服务器证书解密的传出连接。
表示使用具有替代公钥的自签名服务器证书解密的传出连接。
表示使用已知私钥解密的传入连接。
表示连接采用默认操作处理。
表示系统未解密的连接。
字段值显示在搜索工作流程页面上的 SSL 状态 (SSL Status) 字段中。
此字段仅为搜索字段。
用于加密流量的公钥证书上存储的信息,包括:
使用者/颁发者公用名称
使用者/颁发者组织
使用者/颁发者单位
无效时间
序列号
证书指纹
公钥指纹
此字段仅为搜索字段。
系统无法解密已加密流量的原因:
未知
不匹配
成功
未缓存的会话
未知加密套件
不受支持的加密套件
不支持的 SSL 版本
使用了 SSL 压缩
会话在被动模式下无法解密
握手错误
解密错误
挂起的服务器名称类别查找
挂起的公用名类别查找
内部错误 (Internal Error)
网络参数不可用
服务器证书处理无效
服务器证书指纹不可用
无法缓存使用者 DN
无法缓存颁发者 DN
未知的 SSL 版本
外部证书列表不可用
外部证书指纹不可用
内部证书列表无效
内部证书列表不可用
内部证书不可用
内部证书指纹不可用
服务器证书验证不可用
服务器证书验证失败
无效操作
字段值显示在搜索工作流程页面上的 SSL 状态 (SSL Status) 字段中。
与记录加密连接的 SSL 实际操作 (解密规则、默认操作或无法解密的流量操作)关联的操作。
如果系统无法解密已加密连接,则其会显示所采取的 SSL 实际操作 (SSL Actual Action)(无法解密的流量操作)以及 SSL 失败原因 (SSL Failure Reason)。例如,如果系统检测到使用未知密码套件加密的流量并且未做进一步检查即允许了该流量,则此字段显示 Do Not Decrypt (Unknown Cipher Suite)。
点击 锁图标 可查看证书详细信息。
当搜索该字段时,请输入一个或多个 SSL 实际操作 (SSL Actual Action) 和 SSL 失败原因 (SSL Failure Reason) 值以查看系统处理或无法解密的已加密流量。
此字段仅为搜索字段。
与加密证书关联的使用者或颁发者所在国家/地区的双字符 ISO 3166-1 alpha-2 国家/地区代码。
事件的日期和时间。此字段不可搜索。
与触发入侵事件的数据包相关的最内部的 VLAN ID。
Web 应用,代表在触发入侵事件流量中检测到的 HTTP 流量的内容或请求的 URL。
如果系统检测到 HTTP 应用协议,但无法检测特定 Web 应用,则系统会另行提供通用 Web 浏览名称。
展示了应用特征的条件,以帮助您了解应用功能。
为了帮助评估事件对网络的影响,Cisco Secure Firewall Management Center在入侵事件的表视图中显示影响级别。对于每一个事件,系统都会添加影响级别图标,其颜色表示入侵数据、网络发现数据和漏洞信息之间的相关性。
注 |
对于从 NetFlow 数据添加到网络映射的主机,没有任何操作系统信息可用,因此,系统无法为涉及这些主机的入侵事件分配“易受攻击”(影响级别 1:红色)影响级别。在此情况下,请使用主机输入功能手动设置主机的操作系统身份。 |
下表介绍了影响级别的可能值。
|
影响级别 (Impact Level) |
漏洞 |
颜色 |
说明 |
|---|---|---|---|
 ) |
未知 |
灰色 |
源主机和目标主机都不在由网络发现监控的网络上。 |
 ) |
较弱 |
红色 |
可以为以下任意一项:
|
 ) |
可能易受攻击 |
橙色 |
源主机或目标主机在网络映射中,并且下列情况之一属实:
|
 ) |
当前不易受攻击 |
黄色 |
源主机或目标主机在网络映射中,并且下列情况之一属实:
|
 ) |
未知目标 |
蓝色 |
源主机或目标主机在受监控网络上,但网络映射中没有该主机的条目。 |
系统可以记录在其中检测到入侵事件的连接。虽然会对与访问控制规则关联的入侵策略自动执行这种记录,但必须手动启用连接记录才能查看与默认操作关联的连接数据。
在事件的表视图之间导航时,查看相关数据最有用。
在多域部署中,可以查看当前域和任何后代域的数据。不能从更高级别的域或同级域查看数据。
|
步骤 1 |
选择。 |
||
|
步骤 2 |
使用表中的复选框选择入侵事件,然后从跳转至下拉列表中选择连接。
|
如果确信入侵事件不是恶意的,可以将其标记为“已审核”。
如果检查了某个入侵事件并确信其不对网络安全构成威胁(例如,因为您知道网络中的所有主机均不易受检测到的漏洞攻击),那么可以将事件标记为“已审核”。已审核事件存储在数据库中并包括在事件摘要统计信息中,但不再显示在默认入侵事件页面中。您的姓名会作为审核者显示。
在多域部署中,如果将事件标记为“已审核”,则系统会在可以查看该事件的所有域中将其标记为“已审核”。
如果执行备份然后删除已审核的入侵事件,恢复备份会恢复已删除的入侵事件,但不能恢复其“已审核”状态。应在入侵事件 (Intrusion Events) 下,而不是在已审核事件 (Reviewed Events) 下查看这些恢复的入侵事件。
|
在显示入侵事件的页面上,您有两个选择:
|
在多域部署中,如果将事件标记为“已审核”,则系统会在可以查看该事件的所有域中将其标记为“已审核”。
|
步骤 1 |
选择。 |
|
步骤 2 |
有以下选项可供选择: |
可以将已审核的事件返回到默认入侵事件视图,方法是将该事件标记为“未审核”。
在多域部署中,如果将事件标记为“已审核”,则系统会在可以查看该事件的所有域中将其标记为“已审核”。
|
在显示已审核事件的页面上,您有两个选择:
|
预处理器提供两项功能:对数据包执行指定操作(例如解码和规范化 HTTP 流量);一旦数据包触发某个预处理器选项且相关预处理器规则处于启用状态,就会通过生成事件来报告指定预处理器选项的执行情况。例如,您可以用 HTTP 检查生成器 (GID) 119
和 Snort ID (SID) 2 来启用 Double Encoding HIIP 检查选项及相关的预处理器规则,以在预处理器遇到 IIS 双编码流量时生成事件。
生成事件来报告预处理器的执行情况有助于检测异常协议漏洞攻击。例如,攻击者可以制造重叠的 IP 片段来对主机进行 DoS 攻击。IP 分片重组预处理器可以检测此类攻击并为之生成入侵事件。
预处理器事件与规则事件的不同之处在于,数据包显示不包含对事件的详细规则说明。相反,数据包显示的是事件消息、GID、SID、数据包报头数据和数据包负载。这让您可以分析数据包的报头信息,确定数据包的报头选项是否正在使用以及它们是否会令系统出现漏洞,并检查数据包负载。预处理器分析每个数据包后,规则引擎对其执行适当的规则(如果预处理器能够整理数据包并将其作为有效会话的一部分),进一步分析潜在内容级别的威胁并提供相关报告。
每个预处理器都有自己的生成器 ID(即 GID),用以指明数据包触发的是哪个预处理器。某些预处理器还具有相关 SID,这是用于对潜在攻击进行分类的 ID 编号。这有助于通过对事件类型进行分类来更有效地分析事件,就像规则的 Snort ID (SID) 可以提供数据包触发规则的情景一样。可以在入侵策略“规则”页面的“预处理器”筛选组中按预处理器列出预处理器规则;还可以在“类别”筛选组的预处理器和数据包解码器子组中列出预处理器规则。
注 |
由标准文本规则生成的事件的生成器 ID 为 1(全局域或旧式 GID)或 1000-2000(子代域)。对于共享对象规则,事件的生成器 ID 为 3。对于二者,事件的 SID 指明触发的是哪条具体规则。 |
下表介绍了生成每个 GID 的事件的类型。
|
ID |
组件 |
说明 |
|---|---|---|
|
1 |
标准文本规则 |
该事件是在数据包触发标准文本规则 (全局域或旧式 GID)时生成的。 |
|
2 |
标记的数据包 |
事件由标记生成器生成(标记生成器会根据带标记会话生成数据包)。使用 |
|
3 |
共享对象规则 |
在数据包共享对象规则时生成事件。 |
|
102 |
HTTP 解码器 |
解码器引擎解码数据包中的 HTTP 数据。 |
|
105 |
Back Orifice 检测器 |
Back Orifice 检测器识别与数据包关联的 Back Orifice 攻击。 |
|
106 |
RPC 解码器 |
RPC 解码器解码数据包。 |
|
116 |
数据包解码器 |
事件由数据包解码器生成。 |
|
119、120 |
HTTP 检查预处理器 |
事件由 HTTP 检查预处理器生成。GID 120 规则与服务器特定 HTTP 流量相关。 |
|
122 |
端口扫描检测器 |
事件由端口扫描流量检测器生成。 |
|
123 |
IP 分片重组器 |
分片的 IP 数据报不能正确重组时生成事件。 |
|
124 |
SMTP 解码器 |
SMTP 预处理器检测到针对 SMTP 谓词的漏洞时生成事件。 |
|
125 |
FTP 解码器 |
FTP/Telnet 解码器检测到 FTP 流量中有漏洞时生成事件。 |
|
126 |
Telnet 解码器 |
FTP/Telnet 解码器检测到 Telnet 流量中有漏洞时生成事件。 |
|
128 |
SSH 预处理器 |
SSH 预处理器检测到 SSH 流量中的漏洞时生成事件。 |
|
129 |
流预处理器 |
在数据流预处理器对数据流进行预处理期间生成事件。 |
|
131 |
DNS 预处理器 |
事件由 DNS 预处理器生成。 |
|
133 |
DCE/RPC 预处理器 |
事件由 DCE/RPC 预处理器生成。 |
|
134 |
规则延迟 数据包延迟 |
规则延迟暂停 (134:1) 或重新启用 (134:2) 一组入侵规则时,或者由于超出数据包延迟阈值而使系统停止检查数据包 (134:3) 时,生成事件。 |
|
135 |
基于速率的攻击检测器 |
基于速率的攻击检测器识别到网络上的主机存在过多连接时生成事件。 |
|
137 |
SSL 预处理器 |
事件由 TLS/SSL 预处理器生成。 |
|
138、139 |
敏感数据预处理器 |
事件由敏感数据预处理器生成。 |
|
140 |
SIP 预处理器 |
事件由 SIP 预处理器生成。 |
|
141 |
IMAP 预处理器 |
事件由 IMAP 预处理器生成。 |
|
142 |
POP 预处理器 |
事件由 POP 预处理器生成。 |
|
143 |
GTP 预处理器 |
事件由 GTP 预处理器生成。 |
|
144 个 |
Modbus 预处理器 |
事件由 Modbus SCADA 预处理器生成。 |
|
145 |
DNP3 预处理器 |
事件由 DNP3 SCADA 预处理器生成。 |
|
148 |
CIP 预处理器 |
事件由 CIP SCADA 预处理器生成。 |
| 149 |
S7Commplus 预处理器 |
事件由 S7Commplus SCADA 预处理器生成。 |
|
1000 - 2000 |
标准文本规则 |
在数据包触发标准文本规则(子代域)时生成事件。 |
如果监控的流量违反策略,当前入侵策略中启用的预处理器规则、解码器规则和入侵规则就会生成入侵事件。
Firepower 系统提供使用事件数据填充的一组预定义工作流程,可用于查看和分析入侵事件。这些工作流程中,每个都会引导您浏览一系列页面,从而帮助您确定要评估的入侵事件。
预定义的入侵事件工作流程包含三种不同类型的页面(又称为事件视图):
一个或多个向下钻取页面
入侵事件的表视图
数据包视图
向下钻取页面通常在一个表中包含两列或更多列(对于某些向下钻取视图,有多个表),通过其可查看一种特定类型的信息。
“向下钻取”以查找有关一个或多个目标端口的详细信息时,将会自动选择这些事件,然后显示工作流程中的下一页。这样,向下展开表就能够帮助减少一次分析的事件数。
入侵事件的初始表视图在其各自的行中列出每个入侵事件。表中的各列列出各种信息,例如时间、源 IP 地址、源端口、目标 IP 地址、目标端口、事件优先级和事件消息,等等。
在表视图中选择事件时,可以先不选择事件并显示工作流程中的下一页,而是为事件添加限制条件。限制条件是对要分析的事件类型施加的限制。
例如,如果点击任何列中的 关闭(
) 并从下拉列表清除 时间 ,可以将“时间”作为一列移除。要减少分析中事件列表的事件数,可以点击表视图任一行中某个值的链接。例如,要将分析范围缩小为从其中一个源 IP 地址(假设是潜在攻击者)生成的事件,请点击源 IP 地址 (Source IP Address) 列中的 IP 地址。
如果选择表中的一行或多行,然后点击视图 (View),将会显示数据包视图。数据包视图提供有关触发生成事件的规则或预处理器的数据包的信息。数据包视图的每个部分都包含有关数据包中特定层的信息。您可以展开折叠的部分以了解详细信息。
注 |
由于每个端口扫描事件均由多个数据包触发,因此端口扫描事件会使用特殊版本的数据包视图。 |
如果预定义工作流程无法满足您的特定需求,则您可以创建仅显示您感兴趣的信息的自定义工作流程。自定义入侵事件工作流程可以包含向下钻取页面和/或事件表视图;系统自动将数据包视图包含作为最后一页。根据调查事件的需要,您可以轻松地在预定义工作流程和自定义工作流程之间切换。
事件的下钻式视图和表视图共享一些常见功能,这些功能可用于缩小事件列表,以便将分析焦点集中到一组相关事件上。
为了避免在不同的工作流程页面上显示相同的入侵事件,当您点击位于页面底部的链接显示另一页事件时,事件范围会暂停;当您在后续页面上点击以执行任何其他操作时,事件范围将会继续。
 提示 |
在操作过程中,可以随时将限制条件保存为一组搜索条件。例如,如果您发现几天内您的网络被来自某个 IP 地址的攻击者探测,您可以在调查期间保存限制条件,以供日后再次使用。但是,不能将复合限制条件保存为一组搜索条件。 |
|
步骤 1 |
使用访问入侵事件工作流程。 |
||||
|
步骤 2 |
或者,限制事件视图中显示的入侵事件数,如入侵事件向下钻取页面限制或入侵事件表视图限制中所述。 |
||||
|
步骤 3 |
有以下选项可供选择:
|
下表介绍如何使用向下钻取页面。
|
所需的操作… |
可执行的操作 |
|---|---|
|
向下展开到下一个工作流程页面,约束特定值 |
点击该值。 例如,在“目标端口”(Destination Port) 工作流程中,要将事件限制为目标端口为 80 端口的事件,请点击 DST 端口/ICMP 代码 (DST Port/ICMP Code) 列中的 80/tcp。屏幕上将会显示工作流程的下一页(“事件”[Events] 页面),其中仅包含 80/tcp 端口事件。 |
|
向下展开到下一个工作流程页面,约束选定事件 |
选择要在下一个工作流程页面上查看的事件旁边的复选框,然后点击查看 (View)。 例如,在“目标端口”(Destination Port) 工作流程中,要将事件限制为目标端口为 20/tcp 和 21/tcp 端口的事件,请选择这些端口对应行旁边的复选框,然后点击查看 (View)。屏幕上将会显示工作流程的下一页(“事件”[Events] 页面),其中仅包含 20/tcp 和 21/tcp 端口事件。 请注意,如果对多行施加限制,并且表具有多列(不包括“计数”[Count] 列),则会构建复合限制。复合限制可确保您限制中的事件数不会超过意欲包含的数量。例如,如果使用“事件和目标”(Event and Destination) 工作流程,在第一个向下钻取页面上选择的每一行都会创建一个复合限制条件。如果您选择的是目标 IP 地址为 10.10.10.100 的事件 1:100,同时也选择了目标 IP 地址为 192.168.10.100 的事件 1:200,则复合限制可确保您不会同时也选择事件类型为 1:100、目标 IP 地址为 192.168.10.100 的事件,或者事件类型为 1:200、目标 IP 地址为 10.10.10.100 的事件。 |
|
向下展开到下一个工作流程页面,保留当前限制 |
点击查看全部 (View All)。 |
下表介绍如何使用表视图。
|
所需的操作… |
可执行的操作 |
|---|---|
|
将视图限制为仅显示具有单个属性的事件 |
点击该属性。 例如,要将视图限制为仅显示目标端口为 80 端口的事件,请点击 DST 端口/ICMP 编码 (DST Port/ICMP Code) 列中的 80/tcp。 |
|
从表中移除列 |
在要隐藏的列标题中点击 关闭( 如果要隐藏或显示其他列,请选择或清除相应的复选框,然后点击应用 (Apply)。要将禁用列添加回视图中,请点击 展开箭头 以展开搜索限制条件,然后点击 禁用列下的列名称。 |
|
查看与一个或多个事件相关的数据包 |
执行以下其中一种操作:
|
数据包视图提供有关触发生成入侵事件的规则的数据包的信息。
提示 |
如果用于检测事件的设备的传输数据包选项已禁用,则 Cisco Secure Firewall Management Center上的数据包视图不包含数据包信息。 |
数据包视图通过提供有关数据包触发的入侵事件的信息来指示捕获特定数据包的原因,这些信息包括事件的时间戳、消息、分类和优先级(如果事件由标准文本规则生成,则还包括生成事件的规则)。数据包视图还提供有关数据包的一般信息(例如大小)。
此外,数据包视图有一部分是介绍数据包中的每一层(数据链路层、网络层和传输层),还有一部分介绍组成数据包的字节。如果系统已解密数据包,可以查看解密的字节。可以展开折叠的部分以显示详细信息。
注 |
由于每个端口扫描事件均由多个数据包触发,因此端口扫描事件会使用特殊版本的数据包视图。 |
在多域部署中,可以查看当前域和任何后代域的数据。不能从更高级别的域或同级域查看数据。
|
步骤 1 |
在入侵事件的表视图中,选择要查看的数据包,如入侵事件表视图限制中所述。 |
||
|
步骤 2 |
或者,如果选择多个事件,可以使用页面底部的页码来浏览数据包视图中的数据包。 |
||
|
步骤 3 |
此时,您还有以下选择:
|
在数据包视图上,可以查看有关“事件信息”部分数据包的信息。
事件消息。对于基于规则的事件,这相当于规则消息。对于其他事件,这取决于解码器或预处理器。
事件 ID 以 (GID:SID:Rev) 格式附加到消息后面。GID 是生成事件的规则引擎、解码器或预处理器的生成器 ID。SID 是规则、解码器消息或预处理器消息的标识符。Rev 是规则的修订号。
捕获数据包的时间,采用 UTC 时区。
事件分类。对于基于规则的事件,这相当于规则分类。对于其他事件,这取决于解码器或预处理器。
事件优先级。对于基于规则的事件,这相当于 priority 关键字的值或 classtype 关键字的值。对于其他事件,这取决于解码器或预处理器。
触发事件的数据包的入口安全区域。在被动部署中仅填充此安全区域字段。
触发事件的数据包的出口安全区域。在被动部署中未填充此字段。
受管设备所属的域。 仅当曾经配置 管理中心以实现多租户时,此字段才存在。
已部署访问控制策略的受管设备。
识别流量通过的虚拟防火墙组的元数据。请注意,系统仅对多情景模式下的 ASA FirePOWER 填充此字段。
触发事件的数据包的入口接口。对于被动接口,仅填充此接口列。
对于内联部署,指触发事件的数据包的出口接口。
触发事件的数据包源自的(源)主机 IP 地址或域名,或触发事件的流量的目标主机(目的地)。
触发事件的数据包的源端口。对于 ICMP 流量,在没有端口号的情况下,系统将显示 ICMP 类型。
接收流量的主机的端口号。对于 ICMP 流量,在没有端口号的情况下,系统将显示 ICMP 代码。
提取自邮件报头的数据。请注意,邮件报头不显示在入侵事件表视图中,但可以将邮件报头数据作为搜索条件。
要将邮件报头与 SMTP 流量的入侵事件相关联,必须启用 SMTP 预处理器的记录报头 (Log Headers) 选项。对于基于规则的事件,提取邮件数据时会显示此行。
提取自 HTTP 请求主机报头的主机名(如果有)。此行显示完整的主机名(最多包含 256 个字节)。如果完整主机名不再是单行,则可以将其展开。
要显示主机名,必须启用 HTTP 检查预处理器 Log Hostname 选项。
请注意,HTTP 请求数据包并非总是包含主机名。对于基于规则的事件,当数据包包含 HTTP 主机名或 HTTP URI 时,会显示此行。
与触发入侵事件的 HTTP 请求数据包相关的原始 URI(如果有)。此行显示完整 URI(最多包含 2048 个字节)。如果完整 URL 不再是单行,则可以将其展开。
要显示 URI,必须启用 HTTP 检查预处理器 Log URI 选项。
请注意,HTTP 请求数据包并非总是包含 URI。对于基于规则的事件,当数据包包含 HTTP 主机名或 HTTP URI 时,会显示此行。
要查看与 HTTP 响应触发的入侵事件相关的 HTTP URI,应配置 Perform Stream Reassembly on Both Ports 选项中的 HTTP 服务器端口;但请注意,这样会增加流量重组的资源需求。
启用了生成入侵事件的入侵规则、预处理器规则或解码器规则的入侵策略。可以选择入侵策略作为访问控制策略的默认操作,也可以将入侵策略与访问控制规则相关联。
包含入侵策略(启用了生成事件的入侵规则、预处理器规则或解码器规则)的访问控制策略。
与生成事件的入侵规则关联的访问控制规则。默认操作指示启用了规则的入侵策略未与访问控制规则关联,而是配置为访问控制策略的默认操作。
对于标准文本规则事件,是指生成事件的规则。
请注意,如果事件基于共享对象规则、解码器或预处理器,则规则不可用。
由于规则数据可能包含有关网络的敏感信息,管理员可以使用用户角色编辑器中的 View Local Rules 权限来设置用户查看数据包视图中的规则信息的权限。
对于标准文本和自定义规则事件,展开操作以对触发事件的规则执行以下任何操作:
编辑规则
查看规则修订文档;仅对于标准文本规则,在“操作”下点击查看文档后,您可以点击文档弹出窗口中的规则文档以查看更具体的规则详情。
向规则添加注释
更改规则的状态
设置规则的阈值
抑制规则
请注意,如果事件基于共享对象规则、解码器或预处理器,则规则不可用。
在入侵事件的数据包视图中,可以对触发事件的规则执行几项操作。请注意,如果事件基于共享对象规则、解码器或预处理器,则规则不可用。
|
步骤 1 |
在入侵规则生成的入侵事件的数据包视图中,展开“事件信息”(Event Information) 部分的操作 (Actions)。 |
||||||
|
步骤 2 |
有以下选项可供选择:
|
通过在入侵事件的数据包视图中设置阈值选项,可以控制每个规则随时间推移生成的事件数。可以在能够在本地编辑的所有策略中设置阈值选项;或者,如果能够在本地编辑策略,可以仅在当前策略(即,导致事件生成的策略)中设置阈值选项。
|
步骤 1 |
在入侵规则生成的入侵事件的数据包视图中,展开“事件信息”(Event Information) 部分的操作 (Actions)。 |
|
步骤 2 |
展开设置阈值选项 (Set Thresholding Options),并在两个选项中选择一个:
|
|
步骤 3 |
选择要设置的阈值的类型:
|
|
步骤 4 |
点击相应的阈值,以指明是要按源 (Source) 或目标 (Destination) IP 地址跟踪事件实例。 |
|
步骤 5 |
在计数 (Count) 字段中,输入要用作阈值的事件实例数。 |
|
步骤 6 |
在秒 (Seconds) 字段中,输入一个 1 和 86400 之间的数字来指定跟踪事件实例的时间段。 |
|
步骤 7 |
如果要覆盖现有入侵策略中的规则的所有当前阈值,请选中覆盖此规则的任何现有设置 (Override any existing settings for this rule) 复选框。 |
|
步骤 8 |
点击 Save Thresholding。 |
可以使用抑制选项抑制全部入侵事件,或者基于源或目标 IP 地址抑制入侵事件。可在能够在本地编辑的所有策略中设置抑制选项。或者,如果能够在本地编辑当前策略,可以仅在当前策略(即,生成事件的策略)中设置抑制选项。
|
步骤 1 |
在入侵规则生成的入侵事件的数据包视图中,展开“事件信息”(Event Information) 部分的操作 (Actions)。 |
||
|
步骤 2 |
展开设置抑制选项 (Set Suppression Options),并在两个可能的选项中选择一个:
|
||
|
步骤 3 |
选择以下其中一个跟踪方式 (Track By) 选项:
|
||
|
步骤 4 |
在 IP address or CIDR block 字段中,输入要指定为源或目标 IP 地址的 IP 地址或 CIDR 块/前缀长度。 |
||
|
步骤 5 |
点击 Save Suppression。 |
在数据包视图中,点击帧 (Frame) 旁边的箭头可查看捕获的帧的信息。数据包视图可以显示单个帧或多个帧。每个帧提供有关单个网络数据包的信息。您会看到多个帧,例如,对于已标记的数据包或重组的 TCP 数据流中的数据包。
捕获的帧,其中,n 为 1(对于单帧数据包)或递增帧编号(对于多帧数据包)。帧中捕获的字节数将附加到帧编号后面。
捕获帧的日期和时间。
对于多帧数据包,表示自捕获上一个帧以来经过的时间。
对于多帧数据包,表示自显示上一个帧以来经过的时间。
对于多帧数据包,表示自捕获第一个帧以来经过的时间。
递增的帧编号。
帧的长度,以字节为单位。
捕获的帧的长度,以字节为单位。
帧是否被标记(true 或 false)。
帧中包括的协议。
在数据包视图中,点击数据链路层协议(例如,以太网 II [Ethernet II])旁边的箭头可查看有关数据包的数据链路层信息,这些信息包括源主机和目标主机的 48 位介质访问控制 (MAC) 地址。它还可能根据硬件协议,显示有关数据包的其他信息。
注 |
请注意,本示例介绍以太网链路层信息,也可能出现其他协议。 |
数据包视图反映数据链路层使用的协议。以下列表说明在数据包视图中可能会看到的以太网 II 或 IEEE 802.3 以太网数据包的信息。
目标主机的 MAC 地址。
注 |
以太网还可以使用组播地址和广播地址作为目标地址。 |
源主机的 MAC 地址。
对于以太网 II 数据包,代表在以太网帧中封装的数据包的类型,例如 IPv6 或 ARP 数据报。请注意,此项目仅对以太网 II 数据包显示。
对于 IEEE 802.3 以太网数据包,代表数据包的总长度(以字节为单位,不包括校验和)。请注意,此项目仅对 IEEE 802.3 以太网数据包显示。
|
在数据包视图中,点击网络层协议(例如,互联网协议)旁边的箭头可查看有关与数据包相关的网络层的更多详细信息。
|
以下列表介绍在 IPv4 数据包中可能显示的协议特定信息。
互联网协议的版本号。
报头(包括任何 IP 选项)中的字节数。不带选项的 IP 报头的长度为 20 字节。
差分服务的值,用以指明发送主机如何支持显式堵塞通知 (ECN):
0x0 - 不支持具有 ECN 功能的传输 (ECT)
0x1 和 0x2 - 支持 ECT
0x3 - 堵塞情况 (CE)
IP 数据包的长度(以字节为单位,不包括 IP 报头在内)。
唯一标识源主机发送的 IP 数据报的值。此值用于跟踪同一数据报的数据分片。
控制 IP 分片的值,其中:
“最后一个分片”(Last Fragment) 标志的值指明是否有更多与数据报相关的分片。
0 - 没有更多与数据报相关的分片
1 - 有更多与数据报相关的分片
“不分片”(Don’t Fragment) 标志的值控制数据报是否可以分片:
0 - 数据报可以分片
1 - 数据报不可分片
自数据报开始以来分片偏移量的值。
数据包在过期之前可以在路由器之间跳转的剩余跳数。
封装在 IP 数据报中的传输协议;例如,ICMP、IGMP、TCP 或 UDP。
指明 IP 校验和是否有效。如果校验和无效,表示数据报在传输期间可能已损坏或可能正被用于躲避入侵。
源(或目标)主机的 IP 地址或域名。
请注意,要显示域名,必须启用 IP 地址解析。
点击地址或域名查看上下文菜单,然后选择 Whois 可在主机上执行 whois 搜索,选择 查看主机配置文件 可查看主机信息,或选择可将地址添加到全局黑名单或白名单。
以下列表介绍在 IPv6 数据包中可能显示的协议特定信息。
IPv6 报头中的试验性 8 位字段,用于识别 IPv6 数据包类别或优先级,类似于 IPv4 提供的差分服务功能。未使用时,此字段设为零。
可选的 20 位 IPv6 十六进制值(从 1 到 FFFFF),用于识别特殊流(例如,非默认服务质量或实时服务)。未使用时,此字段设为零。
表示 IPv6 负载中八位组数的 16 位字段,负载由 IPv6 报头后面的所有数据包组成,包括任何扩展报头。
表示紧随 IPv6 报头之后的报头类型的 8 位字段,使用与 IPv4 协议字段相同的值。
一个 8 位十进制整数,其中用于转发数据包的每个节点每次减 1。如果递减的值达到零,则丢弃数据包。
源主机的 128 位 IPv6 地址。
目标主机的 128 位 IPv6 地址。
|
步骤 1 |
在数据包视图中,点击传输层协议(例如,TCP、UDP 或 ICMP)旁边的箭头。 |
||
|
步骤 2 |
或者,点击数据 (Data)(如果显示)可在紧接其上方的数据包视图的“数据包信息”(Packet Information) 部分中查看协议负载的前二十四个字节。 |
||
|
步骤 3 |
查看 TCP、UDP 和 ICMP 协议的传输层内容,如TCP 数据包视图字段、UDP 数据包视图字段或ICMP 数据包视图字段中所述。
|
本节介绍 TCP 数据包的特定于协议的信息。
用于识别发起应用协议的编号。
用于识别接收应用协议的编号。
当前 TCP 分段中第一个字节的值,包含在 TCP 数据流中的初始序列号中。
在响应数据包中,要发送的下一个数据包的序列号。
TCP 确认,包含在之前接受的数据的序列号中。
报头中的字节数。
六位,表示 TCP 分段的传输状态:
U - 紧急指针有效
A - 确认号有效
P - 接收方应推送数据
R - 重置连接
S - 同步序列号以开始新连接
F - 发送方完成发送数据
接收主机将接受的未确认数据数量(以字节为单位)。
指明 TCP 校验和是否有效。如果校验和无效,表示数据报在传输期间可能已损坏或可能正被用于躲避入侵。
TCP 分段中发送紧急数据的位置(如果存在)。与 U 标记一起使用。
TCP 选项的值(如果有)。
本节介绍 UDP 数据包的特定于协议的信息。
用于识别发起应用协议的编号。
用于识别接收应用协议的编号。
UDP 报头和数据的总长度。
指明 UDP 校验和是否有效。如果校验和无效,表示数据报在传输期间可能已损坏。
本节介绍 ICMP 数据包的协议特定信息。
ICMP 消息的类型:
0 - 回应应答
3 - 目的地不可达
4 - 源抑制
5 - 重定向
8 - 回应请求
9 - 路由器通告
10 - 路由器请求
11 - 超时
12 - 参数问题
13 - 时间戳请求
14 - 时间戳应答
15 - 信息请求(过时)
16 - 信息应答(过时)
17 - 地址掩码请求
18 - 地址掩码应答
ICMP 消息类型随附的代码。ICMP 消息类型 3、5、11 和 12 都有一个相应的代码,如 RFC 792 中所述。
指明 ICMP 校验和是否有效。如果校验和无效,表示数据报在传输期间可能已损坏。
|
在数据包视图中,点击数据包字节数 (Packet Bytes) 旁边的箭头可查看构成数据包的字节的十六进制和 ASCII 版本。如果系统已解密流量,可以查看解密的数据包字节。 |
来自内部源的入侵事件表示网络上的主机受到攻击。如果源 IP 地址在您的网络上,则表明您应该调查此主机。
Intrusion Event Statistics 页面提供设备当前状态和网络生成的所有入侵事件的简要摘要。
页面上显示的每个 IP 地址、端口、协议和事件消息等均为链接。点击任意链接可查看相关的事件信息。例如,如果前 10 大目标端口之一是 80 (http)/tcp,点击该链接会显示默认入侵事件工作流程的第一个页面,并列出以该端口为目标的事件。请注意,只会显示当前时间范围内的事件(以及生成事件的受管设备)。此外,标记为“已审核”的入侵事件会继续显示在统计信息中。例如,如果当前时间范围是过去一小时,但第一个事件是在五小时前生成的,当点击
First Event 链接时,打开的事件页面将不会显示事件,直至时间范围被更改。
在多域部署中,可以查看当前域和任何后代域的数据。不能从更高级别的域或同级域查看数据。
|
步骤 1 |
选择。 |
||
|
步骤 2 |
从页面顶部的两个选择框选择要查看其统计信息的区域和设备,或者选择所有安全区域 (All Security Zones) 和所有设备 (All Devices) 以查看收集入侵事件的所有设备的统计信息。 |
||
|
步骤 3 |
点击 Get Statistics。
|
“入侵事件统计信息”(Intrusion Event Statistics) 页面的“主机统计信息”(Host Statistics) 部分提供有关设备本身的信息。在 Cisco Secure Firewall Management Center上,此部分还提供有关所有受管设备的信息。
这些信息包括以下内容:
设备的当前时间。
设备本身重新启动以来的天数、小时数和分钟数。在Cisco Secure Firewall Management Center上,Uptime 还显示每个受管设备上一次重新启动的时间、已登录用户数和平均负载。
正使用的磁盘空间的百分比。
正使用的系统内存的百分比。
过去 1 分钟、5 分钟和 15 分钟内 CPU 队列的平均进程数。
“入侵事件统计信息”(Intrusion Event Statistics) 页面的“事件概述”(Event Overview) 部分提供入侵事件数据库中信息的概述。
这些统计信息包括以下内容:
入侵事件数据库中的事件数。
当前选定的时间范围以及数据库中属于该时间范围的事件数量和所占百分比。
事件数据库中第一个事件的事件消息。
事件数据库中最后一个事件的事件消息。
注 |
如果在 Cisco Secure Firewall Management Center上查看入侵事件数据时选择受管设备,将会转而显示该设备的“事件概述”部分。 |
“入侵事件统计信息”页面的“事件统计信息”部分提供有关入侵事件数据库中信息的更具体信息。
这些信息包括以下方面的详细信息:
前 10 大事件类型
前 10 大源 IP 地址
前 10 大目标 IP 地址
前 10 大目标端口
具有最大数量事件的协议、入口安全区域、出口安全区域和设备
注 |
在多域部署中,系统会为每个枝叶域构建单独的网络映射。因此,枝叶域可以包含这样一个 IP 地址,该地址在它的网络内是唯一的,但与另一枝叶域中的 IP 地址完全相同。在祖先域中查看事件统计信息时,系统可以展示该重复 IP 地址的多个实例。初看上去,似乎是重复条目。但是,如果向下展开到每个 IP 地址的主机配置数据,则系统会显示它们属于不同的枝叶域。 |
在入侵事件性能页面上,可生成用于说明 Cisco Secure Firewall Management Center或受管设备的入侵事件在特定时间段内的性能统计信息的图表。可以生成图表来反映每秒入侵事件数、每秒兆位数、每个数据包的平均字节数、Snort 未检查的数据包百分比以及因 TCP 规范化而被阻止的数据包数量。这些图表可以显示过去一小时、前一天、上一周或上个月的运行统计信息。
注 |
新数据将进行累计,统计信息图表每五分钟更新一次。因此,如果快速重新加载图表,直到下一次五分钟更新间隔之前数据可能不会更改。每个图表显示所选时间段(上个月、上周、前一天或前一小时)内所示时间间隔(每天、每小时或每五分钟)的平均 值。如果平均值小于 1,则以十进制形式显示值。 |
在多域部署中,可以查看当前域和任何后代域的数据。不能从更高级别的域或同级域查看数据。
|
步骤 1 |
选择。 |
|
步骤 2 |
从选择设备 (Select Device) 列表中,选择要查看其数据的设备。 |
|
步骤 3 |
从选择图表 (Select Graph[s]) 列表中,选择要创建的图表类型,如入侵事件性能统计信息图表类型中所述。 |
|
步骤 4 |
从选择时间范围 (Select Time Range) 列表中,选择要用于图表的时间范围。 |
|
步骤 5 |
点击 Graph。 |
|
步骤 6 |
要保存图表,请右键点击它并按照浏览器的指示保存图像。 |
下表列出了可用的图表类型。请注意,如果图表类型填充的数据受网络分析策略 Inline Mode 设置影响,则图表类型显示会有所不同。如果禁用内联模式,Web 界面上标有星号 (*) 的图表类型(在下方列中列出 yes)会使用有关流量的数据进行填充;如果启用内联模式,则系统会修改或丢弃数据。
|
要为以下项生成数据: |
您必须...... |
代表含义...... |
是否受“内联模式”(Inline Mode) 影响? |
|---|---|---|---|
|
平均字节/数据包 |
n/a |
每个数据包中包含的平均字节数。 |
否 |
|
在 TCP 流量/数据包中规范化的 ECN 标志 |
启用 Explicit Congestion Notification 并选择 Packet |
无论是否协商,以数据包为单位,已为其清除 ECN 标记的数据包的数量。 |
是 |
|
在 TCP 流量/会话中规范化的 ECN 标记 |
启用 Explicit Congestion Notification 并选择 Stream |
未协商使用 ECN 使用时,以数据流为单位,ECN 标记被清除的次数。 |
是 |
|
事件/秒 |
n/a |
设备上每秒生成的事件数。 |
否 |
|
ICMPv4 回应规范化 |
启用 Normalize ICMPv4 |
回显(请求)或回显回复消息中 8 位 Code 字段被清除的 ICMPv4 数据包的数量。 |
是 |
|
ICMPv6 回应规范化 |
启用 Normalize ICMPv6 |
回显(请求)或回显回复消息中 8 位 Code 字段被清除的 ICMPv6 数据包的数量。 |
是 |
|
IPv4 DF 标记规范化 |
启用 Normalize IPv4 和 Normalize Don’t Fragment Bit |
IPv4 Flags 报头字段的一位 Don’t Fragment 子字段被清除的 IPv4 数据包的数量。 |
是 |
|
IPv4 选项规范化 |
启用规范化 IPv4 (Normalize IPv4) |
选项八位字节被设置为 1(“无操作”[No Operation])的 IPv4 数据包的数量。 |
是 |
|
IPv4 保留标记规范化 |
启用 Normalize IPv4 和 Normalize Reserved Bit |
IPv4 Flags 报头字段的一位 Reserved 子字段被清除的 IPv4 数据包的数量。 |
是 |
|
IPv4 调整大小规范化 |
启用 Normalize IPv4 |
已按照 IP 报头中指定数据报长度截断多余长度负载的 IPv4 数据包的数量。 |
是 |
|
IPv4 TOS 规范化 |
启用 Normalize IPv4 和 Normalize TOS Bit |
单字节 Differentiated Services (DS) 字段(之前叫做 Type of Service (TOS) 字段)被清除的 IPv4 数据包的数量。 |
是 |
|
IPv4 TTL 规范化 |
启用规范化 IPv4 (Normalize IPv4)、最大 TTL (Maximum TTL) 和重置 TTL (Reset TTL) |
IPv4 生存时间规范化的数量。 |
是 |
|
IPv6 选项规范化 |
启用 Normalize IPv6 |
Hop-by-Hop Options 或 Destination Options 扩展报头中 Option Type 字段设置为 |
是 |
|
IPv6 TTL 规范化 |
启用规范化 IPv6 (Normalize IPv6)、最小 TTL (Minimum TTL) 和重置 TTL (Reset TTL) |
IPv6 跳数限制 (TTL) 规范化的数量。 |
是 |
|
兆位/秒 |
n/a |
每秒通过设备的流量兆位数。 |
否 |
|
调整大小以适应 MSS 的数据包规范化 |
启用调整数据以适应 MSS (Trim Data to MSS) |
负载长于“TCP 数据”(TCP Data) 字段,因而被调整至“最大分片大小”(Maximum Segment Size) 的数据包的数量。 |
是 |
|
调整大小以适应 TCP 窗口的数据包规范化 |
启用调整数据以适应窗口 (Trim Data to Window) |
“TCP 数据”(TCP Data) 字段被调整以适应接收主机的 TCP 窗口的数据包的数量。 |
是 |
|
丢包率 |
n/a |
所有选定设备上未经检查的数据包的平均百分比。例如,如果选择两个设备,那么平均百分比 50% 可能表示一个设备的丢包率为 90%,另一个的丢包率为 10%。也可能表示这两个设备的丢包率均为 50%。当选择一个设备时,此图表仅表示总丢包率。 |
否 |
|
数据条带化的 RST 数据包规范化 |
启用 RST 时删除数据 (Remove Data on RST) |
数据被从 TCP 重置 (RST) 数据包移除的数据包的数量。 |
是 |
|
数据条带化的 SYN 数据包规范化 |
启用 SYN 时删除数据 (Remove Data on SYN) |
当 TCP 操作系统不是 Mac OS 时数据被从 SYN 数据包移除的数据包的数量。 |
是 |
|
TCP 报头填充规范化 |
启用规范化/清除选项填充字节 (Normalize/Clear Option Padding Bytes) |
选项填充字节设置为 0 的 TCP 数据包的数量。 |
是 |
|
无选项 TCP 规范化 |
启用允许这些 TCP 选项 (Allow These TCP Options) 并设置为 |
“时间戳”(Time Stamp) 选项条带化的数据包的数量。 |
是 |
|
TCP NS 标记规范化 |
启用显式堵塞通知并选择数据包 |
“ECN 随机数总和 (NS)”(ECN Nonce Sum [NS]) 选项规范化的数量。 |
是 |
|
TCP 选项规范化 |
启用允许这些 TCP 选项 (Allow These TCP Options) 并设置为 |
选项字段设置为“无操作(TCP 选项 1)”(No Operation [TCP Option 1]) 的选项的数量(MSS、“窗口比例”[Window Scale]、“时间戳”[Time Stamp] 以及明确允许的选项除外)。 |
是 |
|
TCP 数据包阻止条件规范化 |
启用规范化 TCP 负载 (Normalize TCP Payload)(分片重组必须失败) |
因为 TCP 分段无法正确重组而被丢弃的数据包的数量。 |
是 |
|
TCP 保留标记规范化 |
启用规范化/清除保留位 (Normalize/Clear Reserved Bits) |
“保留”(Reserved) 位被清除的 TCP 数据包的数量。 |
是 |
|
TCP 分段重组规范化 |
启用规范化 TCP 负载 (Normalize TCP Payload)(分片重组必须成功) |
“TCP 数据”(TCP Data) 字段已规范化以确保重传数据一致性的数据包数量(无法正确重组的所有分段都被丢弃)。 |
是 |
|
TCP SYN 选项规范化 |
启用允许这些 TCP 选项 (Allow These TCP Options) 并设置为 |
由于未设置 SYN 控制位,“最大分片大小”(Maximum Segment Size) 或“窗口比例”(Window Scale) 选项被设置为“无操作(TCP 选项 1)”(No Operation [TCP Option 1]) 的选项的数量。 |
是 |
|
TCP 时间戳 ECR 规范化 |
启用允许这些 TCP 选项 (Allow These TCP Options) 并设置为 |
“时间戳回应答复 (TSecr)”(Time Stamp Echo Reply [TSecr]) 选项字段由于未设置确认 (ACK) 控制位而被清除的数据包的数量。 |
是 |
|
TCP 紧急指针规范化 |
启用 Normalize Urgent Pointer |
双字节 TCP 报头 Urgent Pointer 字段大于负载长度,因而被设置成负载长度的数据包的数量。 |
是 |
|
被阻止的地址块总数 |
配置内联模式 (Inline Mode) 或内联时丢弃 (Drop when Inline) |
丢弃的数据包总数,包括规则、解码器和预处理器丢弃。 |
否 |
|
总计注入的数据包 |
配置内联模式 (Inline Mode) |
在重新传输前调整大小的数据包的数量。 |
否 |
|
总 TCP 过滤的数据包 |
配置“TCP 数据流预处理”(TCP Stream Preprocessing) |
由于 TCP 端口过滤而被数据流跳过的数据包的数量。 |
否 |
|
总 UDP 过滤的数据包 |
配置“UDP 数据流预处理”(UDP Stream Preprocessing) |
由于 UDP 端口过滤而被数据流跳过的数据包的数量。 |
否 |
|
紧急标记清除规范化 |
启用如果未设置紧急指针则清除 URG (Clear URG if Urgent Pointer is Not Set) |
因为未设置紧急指针,TCP 报头 URG 控制位被清除的数据包的数量。 |
是 |
|
紧急指针和紧急标记清除规范化 |
启用空负载时清除紧急指针/URG (Clear Urgent Pointer/URG on Empty Payload) |
TCP 报头“紧急指针”(Urgent Pointer) 字段和 URG 控制位由于没有负载而被清除的数据包的数量。 |
是 |
|
紧急指针清除规范化 |
启用 Clear Urgent Pointer if URG=0 |
16 位 TCP 报头 Urgent Pointer 字段由于未设置紧急 (URG) 控制位而被清除的数据包的数量。 |
是 |
Firepower 系统提供显示入侵事件随时间推移变化趋势的图表。可为一个或所有受管设备生成时间变化范围为过去一小时至上个月的入侵事件图表。
在多域部署中,可以查看当前域和任何后代域的数据。不能从更高级别的域或同级域查看数据。
|
步骤 1 |
选择。 |
|
步骤 2 |
在选择设备 (Select Device) 下,选择全部 (all) 以包括所有设备,或选择要包括在图表中的特定设备。 |
|
步骤 3 |
在选择图表 (Select Graph[s]) 下,选择要生成的图表类型:
|
|
步骤 4 |
在选择时间范围 (Select Time Range) 下,选择图表的时间范围:
|
|
步骤 5 |
点击 Graph。 |
|
功能 |
最低 管理中心 |
最低 威胁防御 |
详情 |
|---|---|---|---|
|
IPS 事件数据存储库替换 |
7.1 |
任意 |
支持的平台: Cisco Secure Firewall Management Center |
|
系统日志中连接事件的唯一标识符 |
6.4.0.4 |
任意 |
以下系统日志字段共同唯一标识连接事件并在入侵事件的系统日志中显示:DeviceUUID,第一个数据包时间,连接实例 ID 和连接计数器。 |
|
系统日志中现包括 IntrusionPolicy 字段 |
6.4 |
任意 |
入侵事件系统日志现在指定触发事件的入侵策略。 |
|
新入侵事件搜索字段:CVE ID |
6.4 |
任意 |
您现在可以按 MITRE 的常见漏洞和风险标识号进行搜索 修改的屏幕: 分析 > 入侵 > 事件 > 编辑搜索 支持的平台:所有。 |
反馈