Cisco Cisco Firepower Management Center 4000 Betriebsanweisung
39-24
FireSIGHT 系统用户指南
第 39 章 使用连接与安全情报数据
使用连接和安全情报数据表
使用连接和安全情报数据表
许可证:因功能而异
受支持的设备:因功能而异
受支持的防御中心:因功能而异
FireSIGHT 系统事件查看器使您可以查看表中的连接数据,并根据分析相关信息利用事件视图。
查看安全情报事件可让您专注于具有已确定的安全情报信誉的连接。(安全情报需要一个保护许
可证,在 2 系列受管设备或者 DC500 防御中心上不予支持。)访问连接数据时所看到的页面因工
作流程有所不同。工作流程只是一系列页面,您可以从广泛视图移动至更加突出重点的视图,使
用这些页面评估事件。
查看安全情报事件可让您专注于具有已确定的安全情报信誉的连接。(安全情报需要一个保护许
可证,在 2 系列受管设备或者 DC500 防御中心上不予支持。)访问连接数据时所看到的页面因工
作流程有所不同。工作流程只是一系列页面,您可以从广泛视图移动至更加突出重点的视图,使
用这些页面评估事件。
注
此外,可用于任何单个连接或安全情报事件的信息取决于若干因素,包括许可证和应用型号。有
关详细信息,请参阅
关详细信息,请参阅
提供的
连接事件和安全情报事件工作流程提供基本连接和已检测到的应用信息相关摘要视图,然
后,您可以展开到事件表视图。您还可以创建一个自定义工作流程,其中仅显示匹配特定需求的
信息。
信息。
使用事件查看器,您可以:
•
搜索、分类和限制事件,以及变更已显示事件的时间范围
•
指定显示的列 (仅适用于表视图)
•
查看 IP 地址相关主机配置文件,或者与用户标识相关的用户详细信息和主机历史
•
查看连接中检测到的文件 (包括恶意软件文件)和入侵
•
查看与 IP 地址有关的地理定位信息
•
查看连接事件中的 URL 全文
•
查看用于加密会话的证书相关信息
•
查看已加密的会话详细信息
•
查看同一工作流程内使用不同工作流程页面的事件
•
集中查看使用不同工作流程的事件
•
展开工作流程内应用具体值限制的各个页面
•
给当前页加书签并进行限制,以便您在此后返回至相同数据 (假设该数据仍然存在)
•
使用当前限制创建报告模板
•
从数据库中删除事件
•
使用 IP 地址上下文菜单定制白名单、黑名单或者获取连接相关主机或 IP 地址的其他信息
请注意,当您在向下深入了解页面上约束连接事件时,来自相同事件的数据包和字节数将累加。
然而,如果您正使用自定义工作流程,且没有将
然而,如果您正使用自定义工作流程,且没有将
Count
列添加到向下深入了解页面,则会单独列
出事件,数据包和字节将不会累加。
以下各节包含有关查看及分析连接和安全情报事件表的信息:
•
提供有关使用事件查看器的详细说明。
•
信息。