In dit document wordt beschreven hoe u de oorzaak van de verbinding kunt bepalen en het probleem kunt oplossen wanneer er verbindingsgebeurtenissen uit het FireSIGHT Management Center verdwijnen nadat het systeem enkele dagen heeft gedraaid. Dit kan gebeuren vanwege de configuratie-instellingen van het beheercentrum.
Cisco raadt u aan kennis te hebben van FireSIGHT Management Center.
De informatie in dit document is gebaseerd op de volgende hardware- en softwareversies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Om het aantal Connection Events te bepalen dat is opgeslagen op een FireSIGHT Management Center,
Deze informatie geeft u een idee van hoeveel en hoe lang u in staat bent om Connection Events met uw huidige configuratie te behouden.
Bekijk welke verbindingen worden vastgelegd en waar in de flow die verbindingen worden vastgelegd. U dient de verbindingen te registreren in overeenstemming met de beveiligings- en nalevingsbehoeften van uw organisatie. Als uw doel is om het aantal gebeurtenissen dat u genereert te beperken, laat alleen vastlegging toe voor de regels die van cruciaal belang zijn voor uw analyse. Als u echter een brede weergave van uw netwerkverkeer wilt, kunt u vastlegging inschakelen voor aanvullende toegangscontroleregels of voor de standaardactie. U kunt Verbindingsvastlegging voor niet-essentieel verkeer uitschakelen om te helpen verbindingsgebeurtenissen voor een langere periode te behouden.
In dit schema worden de verschillende registratieopties voor elke regelactie beschreven:
Regel Actie of vastlegging optie | Log bij begin | Log aan einde |
Trust (vertrouwen) Standaard actie: Vertrouwen |
X | X |
Allow (toestaan) Standaardactie: indringing Standaardactie: detectie |
X | X |
Monitor (bewaken) | X (verplicht) | |
Block (blokkeren) Block with reset (blokkeren met reset) Standaardactie: blokkeren |
X | |
Interactive Block (interactief blokkeren) Interactive Block with reset (interactief blokkeren met reset) |
X | X (indien overgeslagen) |
Beveiligingsinformatie | X |
Verbindingsgebeurtenissen worden gesnoeid afhankelijk van de instelling Maximum Connection Events in het systeembeleid. Zo wijzigt u de instelling:
De maximale hoeveelheid Connection Events die kan worden opgeslagen, is afhankelijk van het Management Center model:
Management Center-model | Maximum aantal gebeurtenissen |
FS750, DC750 | 50 miljoen |
FS1500, DC1500 | 100 miljoen |
SF200 | 300 miljoen |
SF350, DC350 | 500 miljoen |
SF400 | 1 miljard |
Virtuele applicatie | 10 miljoen |
Voor widgets die gebeurtenistellingen over een tijdbereik weergeven, het totale aantal gebeurtenissen mogelijk niet het aantal gebeurtenissen weergeven waarvoor gedetailleerde gegevens beschikbaar zijn in de gebeurtenisviewer. Dit komt voor omdat het systeem soms oudere gebeurtenisdetails snoeit om schijfruimte gebruik te beheren. Om het voorkomen van het snoeien van gebeurtenisdetail te minimaliseren, kunt u gebeurtenisregistreren verfijnen om slechts die gebeurtenissen te registreren die voor uw plaatsing het belangrijkst zijn.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
20-May-2015 |
Eerste vrijgave |