Cisco Cisco Firepower Management Center 4000 User Guide
48-4
FireSIGHT 系统用户指南
第 48 章 使用网络映射
使用危害表现网络映射
要查看网络设备网络映射,请执行以下操作:
访问:管理员/任何安全分析师
步骤 1
选择
Analysis > Hosts > Network Map > Network Devices
。
系统将显示网络设备网络映射,其中显示唯一网络设备的计数以及网络设备 IP 地址和 MAC 地址
的列表。每个地址或部分地址都是指向下一级地址或指向个别主机的主机配置文件的链接。
的列表。每个地址或部分地址都是指向下一级地址或指向个别主机的主机配置文件的链接。
步骤 2
向下钻取至要调查的网络设备的特定 IP 地址或 MAC 地址。
系统将显示网络设备的主机配置文件。有关主机配置文件的详细信息,请参阅
。
步骤 3
或者,要按 IP 地址或 MAC 地址过滤,请在搜索字段中键入地址。要清除搜索,请点击清除图标
(
(
)。
使用危害表现网络映射
许可证:FireSIGHT
使用危害表现 (IOC) 网络映射查看网络上按 IOC 类别排列的受损主机。受影响主机列在每个类别
下方。
下方。
系统使用来自多个源的数据确定主机的受损状态,包括入侵事件、安全情报和 FireAMP。
从危害表现网络映射中,可查看通过特定方式确定为已受损的每个主机的主机配置文件。也可删
除 (标记为已解析)任何 IOC 类别或任何特定主机,这会从相关主机中移除 IOC 标记。例如,
如已确定问题得到解决且不可能复发,即可从网络映射中删除 IOC 类别。
除 (标记为已解析)任何 IOC 类别或任何特定主机,这会从相关主机中移除 IOC 标记。例如,
如已确定问题得到解决且不可能复发,即可从网络映射中删除 IOC 类别。
标记从网络映射解析的主机或 IOC 类别不会将其从网络中移除。如果系统最近检测到触发该 IOC
的信息,则网络映射中会重新显示已解析的主机或 IOC 类别。
的信息,则网络映射中会重新显示已解析的主机或 IOC 类别。
要查看危害表现网络映射,请执行以下操作:
访问:管理员/任何安全分析师
步骤 1
选择
Analysis > Hosts > Network Map > Indications of Compromise
。
系统将显示危害表现网络映射。
步骤 2
点击要调查的特定 IOC 类别。
例如,如要查看检测到恶意软件的主机,请点击
Malware Detected
。
要按 IP 地址或 MAC 地址过滤,请在搜索字段中键入地址。要清除搜索,请点击清除图标 (
)。
步骤 3
向下钻取至选定 IOC 类别下方的特定 IP 地址。每个地址或部分地址都是一条指向下一级的链接。
系统将显示受损主机的主机配置文件,其中危害表现部分已展开。有关主机配置文件的 IOC 部分
的详细信息,请参阅
的详细信息,请参阅
。
步骤 4
或者,要标记任何 IOC 类别、受损主机或已解析的受损主机组,请点击要解析的元素旁边的删除
图标 (
图标 (
),然后确认要对其进行解析。
类别或主机解析成功 (IOC 标记已移除)。如果再次触发 IOC,则会将其重新添加至网络映射。