Cisco Cisco Firepower Management Center 4000 User Guide
50-36
FireSIGHT 系统用户指南
第 50 章 使用发现事件
使用应用
使用应用
许可证:FireSIGHT
当受监控主机连接到另一台主机时,在许多情况下,系统可以确定所使用的应用。 FireSIGHT 系
统检测许多邮件、即时消息、对等设备、网络应用以及其他类型的应用的使用情况。
统检测许多邮件、即时消息、对等设备、网络应用以及其他类型的应用的使用情况。
对于每个检测到的应用,系统均将记录使用该应用的 IP 地址、产品、版本和检测到的使用次数。
可使用网络界面查看、搜索和删除应用事件。也可在主机上使用主机输入功能更新应用数据。
可使用网络界面查看、搜索和删除应用事件。也可在主机上使用主机输入功能更新应用数据。
如果知道哪些应用在哪些主机上运行,则可使用此信息创建主机配置文件限制,以便在构建流量
量变曲线时限制所采集的数据,也可限制用于触发关联规则的条件。关联规则也可基于应用检
测。例如,如果希望员工使用特定邮件客户端,可在系统检测到一台主机上有不同的邮件客户端
运行时触发关联规则。
量变曲线时限制所采集的数据,也可限制用于触发关联规则的条件。关联规则也可基于应用检
测。例如,如果希望员工使用特定邮件客户端,可在系统检测到一台主机上有不同的邮件客户端
运行时触发关联规则。
应仔细阅读每个 FireSIGHT 系统更新的版本说明以及每次 VDB 更新的公告以便获得有关已更新
检测器的信息。
检测器的信息。
要采集和存储应用数据用于分析,请确保在网络发现策略中启用应用检测。有关详细信息,请参
阅
阅
有关详细信息,请参阅:
•
•
•
查看应用
许可证:FireSIGHT
可使用防御中心查看检测到的应用表。然后,可根据要查找的信息操纵事件视图。
访问应用时所看到的页面因所使用的工作流程而异。您也可以创建自定义工作流程,仅显示符合
您具体要求的信息。有关详细信息,请参阅
您具体要求的信息。有关详细信息,请参阅
表说明可在应用工作流程页面执行的一些特定操作。也可执行
中所描述的任务。
要查看应用:
访问:管理员/任何安全分析师
步骤 1
选择
Analysis > Hosts > Application Details
。
系统显示默认应用详情工作流程的第一页。要使用不同的工作流程,包括自定义工作流程,请点击
(switch workflow)
。有关指定不同默认工作流程的信息,请参阅
。
表
50-9
应用操作
要......
您可以......
了解有关表中各列的更多信息
在
打开特定应用的应用详情视图
点击客户端、应用协议或网络应用旁边的应用详情视图
图标 (
图标 (
)。