Cisco Cisco Firepower Management Center 4000 User Guide

50-20

FireSIGHT 系统用户指南

第 50 章      使用发现事件       

  使用主机

操作系统版本

主机上检测到的或使用 Nmap 或主机输入功能升级的的操作系统的版本。

注意：如果系统检测到多个版本，这些版本将显示在逗号分隔列表中。

在此字段中，

unknown

 值是指不与任何已知指纹匹配的操作系统。

pending

 值表明系统尚未采

集到足够的信息用于识别操作系统。

下列值之一用做主机操作系统标识源：

  –

用户：

  –

应用：

  –

扫描仪：

（通过网络发现配置添加的 Nmap 或扫描仪）

  –

FireSIGHT，对于系统检测到的操作系统

系统可能从多个源协调数据，以确定操作系统的标识；请参阅

。

信心

以下任一选项：

  –

对于系统检测到的主机，指系统对在主机上运行的操作系统的标识的置信百分比

  –

对于通过活跃源识别的操作系统，则为 100%，例如主机输入功能或 Nmap 扫描仪

  –

对于系统不能确定操作系统标识的主机和根据 NetFlow 数据已添加到网络映射的主机，
则为 

unknown

。

备注

注释主机属性的自定义内容。

设备

检测流量的受管设备或处理 NetFlow 或将主机添加至网络映射的主机输入数据的设备。

如果此字段为空，则如网络发现策略中所定义，主机已由并非显式监控主机所在网络的设备
添加到网络映射，或使用主机输入功能添加了主机并且系统也尚未检测到该主机。

计数

与每行中所显示的信息匹配的事件数。请注意，仅在您运用了某个创建了两个或多个相同行
的限制之后， Count 字段才显示。

为所选主机创建流量量变曲线

许可证：FireSIGHT

流量量变曲线是以指定的时间跨度内采集的连接数据为基础的网络流量的配置文件。创建流量量变
曲线后，可通过对照配置文件评估新流量的方式检测异常网络流量，新流量应代表正常网络流量。

可使用主机页面创建指定主机组的流量量变曲线。流量量变曲线以检测到的连接为基础，其中所
指定主机之一是启动连接的主机。使用排序和搜索功能隔离要为其创建配置文件的主机。