概述:网络发现策略
管理中心上的网络发现策略控制系统如何收集有关组织网络资产以及哪些网段和端口受监控的数据。
策略中的发现规则指定系统监控哪些网络和端口来根据流量中的网络数据生成发现数据,以及指定策略部署到的区域。在规则中,您可以配置是否发现主机、应用和非管理用户。可以创建规则来将网络和区域排除在发现范围外。您可以从 NetFlow 导出器配置数据发现,并且限制在网络上发现了用户数据的流量的协议。
网络发现策略包含一个配置为从观察到的所有流量发现应用的默认规则。该规则不排除任何网络、区域或端口,未配置主机和用户发现,并且规则未配置为监控 NetFlow 导出器。当受管设备注册到 管理中心时,此策略默认部署到任何受管设备。要开始收集主机或用户数据,必须添加或修改发现规则并将策略重新部署到设备。
如果要调整网络发现范围,可以创建其他发现规则,并修改或移除默认规则。
请记住,每个受管设备的访问控制策略都定义面向该设备允许的流量,以及因此可使用网络发现监控的流量。如果使用访问控制阻止某些流量,则系统无法检查主机、用户和应用活动的该流量。例如,如果访问控制策略阻止对社交网络应用的访问,则系统无法在这些应用上提供任何发现数据。
如果在发现规则中启用基于流量的用户检测,则可以通过使用一组应用协议的流量中的用户登录活动来检测非管理用户。如有需要,可以禁用用于所有规则的特定协议中的发现。禁用某些协议有助于避免达到与 管理中心型号关联的用户限制,从而为来自其他协议的用户保留可用用户计数。
借助高级网络发现设置,可以管理记录哪些数据、如何存储发现数据、哪些危害表现 (IOC) 规则处于活动状态、哪些漏洞映射用于影响评估,以及如果源提供冲突发现数据将会发生什么情况。您还可以添加要监控的主机输入和 NetFlow 导出器的源。