Cisco Cisco Firepower Management Center 4000 User Guide
50-29
FireSIGHT 系统用户指南
第 50 章 使用发现事件
使用危害表现
要查看危害表现,请执行以下操作:
访问:管理员/任何安全分析师
步骤 1
选择
Analysis > Hosts > Indications of Compromise
。
系统显示默认危害表现 (IOC) 工作流程的第一页。要使用不同的工作流程,包括自定义工作流
程,请点击
程,请点击
(switch workflow)
。有关指定不同默认工作流程的信息,请参阅
。
提示
如在使用的自定义工作流程不包括 IOC 表视图,请点击
(switch workflow)
,然后选择
Indications of
Compromise
。
了解危害表现表
许可证:FireSIGHT
FireSIGHT 系统 将与主机相关的各种类型的事件数据关联起来,以确定受监控网络上的主机是否
可能被恶意手段损害。与主机关联的这些相关性显示为危害表现 (IOC)。可将主机 IOC 标记为已
解决,这样可从主机清除此 IOC 标记。主机可触发多个 IOC 标记;可查看与主机配置文件的“危
害表现”部分中的主机关联的所有 IOC 标记。有关主机配置文件中 IOC 数据的详细信息,请参阅
可能被恶意手段损害。与主机关联的这些相关性显示为危害表现 (IOC)。可将主机 IOC 标记为已
解决,这样可从主机清除此 IOC 标记。主机可触发多个 IOC 标记;可查看与主机配置文件的“危
害表现”部分中的主机关联的所有 IOC 标记。有关主机配置文件中 IOC 数据的详细信息,请参阅
以下对 IOC 表中的字段进行了说明。
IP地址
与触发 IOC 的主机关联的 IP 地址。
类别
所指示危害类型的简要说明,例如
Malware Executed
或
Impact 1 Attack
。
事件类型
与特定危害表现 (IOC) 关联的标识符,指触发该标识的事件。
说明
说明 IOC 对于潜在危害主机的意义,例如
此主机可能受到远程控制
或
已针对此主机执行了恶意软件
。
First/Last Seen
触发主机 IOC 的事件的第一次出现 (或最近)日期和时间。
将所选 IOC 事件标记为已解决,这样
他们就不会再出现在此列表中。
他们就不会再出现在此列表中。
选择要编辑的 IOC 事件旁边的复选框,然后点击
Mark
Resolved
。有关详细信息,请参阅
查看触发 IOC 的事件的详细信息
在
First Seen
或
Last Seen
列中,点击视图图标 (
)。
表
50-7
危害表现操作 (续)
要......
您可以......