Cisco Cisco Firepower Management Center 4000 User Guide
50-8
FireSIGHT 系统用户指南
第 50 章 使用发现事件
使用发现和主机输入事件
此外,系统为每个网络、传送和在每台已发现主机上运行的应用协议生成新的事件。创建已配置
的发现规则用于包括 NetFlow 可用设备时,可禁用应用协议检测。但是,不能在未使用已配置的
NetFlow 可用设备的发现规则中禁用应用检测。如果在非 NetFlow 发现规则中启用的主机或用户
发现,系统自动发现应用。
的发现规则用于包括 NetFlow 可用设备时,可禁用应用协议检测。但是,不能在未使用已配置的
NetFlow 可用设备的发现规则中禁用应用检测。如果在非 NetFlow 发现规则中启用的主机或用户
发现,系统自动发现应用。
初次网络映射完成后,系统通过生成更改事件持续记录网络变化。无论先前发现的资产配置何时
发生改变,系统都会生成更改事件。
发生改变,系统都会生成更改事件。
如果生成发现事件,表明已登录到数据库。可使用防御中心网络界面查看、搜索和删除发现事
件。也可在关联规则中使用发现事件。根据生成的发现事件类型以及其他指定条件,用于关联策
略时可生成关联规则,网络流量符合条件时可启动修复和系统记录、 SNMP和邮件警报响应。
件。也可在关联规则中使用发现事件。根据生成的发现事件类型以及其他指定条件,用于关联策
略时可生成关联规则,网络流量符合条件时可启动修复和系统记录、 SNMP和邮件警报响应。
可使用主机输入功能向网络映射中添加数据。可添加、修改或删除操作系统信息,这些操作会导
致系统停止更新此主机的此信息。也可手动添加,修改或删除应用协议、客户端、服务器和主机
属性或修改漏洞信息。执行此操作时,系统生成主机输入事件。
致系统停止更新此主机的此信息。也可手动添加,修改或删除应用协议、客户端、服务器和主机
属性或修改漏洞信息。执行此操作时,系统生成主机输入事件。
有关详细信息,请参阅:
•
•
•
•
•
了解发现事件类型
许可证:FireSIGHT
发现事件有许多不同的类型。例如,在受监控网段检测到新主机时,系统生成并记录一个新的主
机事件。查看发现事件表时,
机事件。查看发现事件表时,
Event
列中列出事件类型。有关详细信息,请参阅
对比系统检测到所监控网络中的变化 (例如检测到来自之前未检测到主机的流量)时生成的发现
事件与用户执行特定操作 (例如手动添加主机)时生成的主机输入事件。有关主机输入事件的详
细信息,请参阅
事件与用户执行特定操作 (例如手动添加主机)时生成的主机输入事件。有关主机输入事件的详
细信息,请参阅
可配置系统通过修改网络发现策略记录的发现事件的类型。默认情况下,系统记录所有发现事件
的类型。有关详细信息,请参阅
的类型。有关详细信息,请参阅
。
如果了解了不同类型发现事件事件所提供的信息,可以更有效地确定需记录和警报的事件以及如
何在关联策略中使用这些警报。此外,了解事件类型的名称有助于更有效地进行事件搜索。不同
类型的发现事件的说明如下。
何在关联策略中使用这些警报。此外,了解事件类型的名称有助于更有效地进行事件搜索。不同
类型的发现事件的说明如下。
Additional MAC Detected for Host
系统检测到先前所发现主机的新 MAC 地址时,生成此事件。
系统检测到主机经流量通过路由器时,经常生成此事件。虽然每台主机都有不同的 IP 地址,
但它们似乎有与路由器关联的 MAC 地址。系统检测到与 IP 地址关联的实际 MAC 地址时,
主机配置文件中 MAC 地址显示为粗体文本且在事件视图的事件说明中 MAC 地址显示为“检
测到 ARP/DHCP”消息。
但它们似乎有与路由器关联的 MAC 地址。系统检测到与 IP 地址关联的实际 MAC 地址时,
主机配置文件中 MAC 地址显示为粗体文本且在事件视图的事件说明中 MAC 地址显示为“检
测到 ARP/DHCP”消息。
Client Timeout
系统从数据库中删除一个不活跃的客户端时,生成此事件。