Cisco Cisco Firepower Management Center 4000 User Guide

Page of 1826
 
49-6
FireSIGHT 系统用户指南
  
 49       使用主机配置文件       
  使用主机配置文件中的 IP 地址
  –
检测使用同一 MAC 地址的多台主机,可用于识别 MAC 地址为属于路由器
  –
检测客户端 TTL 值的变化或变化频率高于典型启动时间的 TTL 值,可用于识别 NAT 设
备和负载均衡器
  –
系统可用下列方法区分移动设备:
  –
分析来自移动设备的移动浏览器的 HTTP 流量中的用户代理字符串 
  –
监控特定移动应用的 HTTP 流量
如果一种设备未被确定为网络设备或移动设备,该设备将归类为主机。
Last Seen
最后一次检测主机的 IP 地址的日期和时间。
Current User
最近一次登录该主机的用户。
请注意,只有当现有当前用户不是授权用户时,登录主机的非授权用户才注册为当前用户。
有关详细信息,请参阅
View
事件数据视图链接,使用该事件类型的默认工作流并仅限于显示与主机相关的事件;如果可
能,这些事件包括与主机相关的所有 IP 地址。有关详细信息,请参阅:
  –
Content Explorer - 有关详细信息,请参阅
  –
Connection Events - 有关详细信息,请参阅
  –
Connection Events - 有关详细信息,请参阅
  –
Malware Events - 有关详细信息,请参阅
  –
Intrusion Events by Source - 有关详细信息,请参阅
  –
Intrusion Events by Destination - 有关详细信息,请参阅
使用主机配置文件中的 IP 地址
许可证:FireSIGHT
系统检测与主机相关的 IP 地址,并且,如果支持的话,把同一主机使用的多个 IP 地址进行分
组。 IPv6 主机通常拥有至少两个 IPv6 地址:仅本地和全局路由。 IPv6 主机还可有一个或多个分
配的 IPv4 地址。纯 IPv4 主机可拥有多个 IPv4 地址。
主机配置文件列出所有检测到的与主机相关的 IP 地址。如果可用, IP 地址还有一个代表相关国
家的小旗帜图标和 ISO 国家代码。有关地理位置的进一步详细信息,可点击旗帜图标或国家代
码。有关详细信息,请参阅
请注意,默认情况下,仅显示前三个地址。点击 
show all
 显示主机的所有地址。