Cisco Cisco Firepower Management Center 4000 User Guide

Page of 1826
 
50-37
FireSIGHT 系统用户指南 
 
 50       使用发现事件 
  使用应用  
提示
如在使用的自定义工作流程不包括应用详情表视图,请点击 
(switch workflow)
,然后选择 
Clients
了解应用表
许可证:FireSIGHT
当受监控主机连接至另一台主机时,在许多情况下, FireSIGHT 系统可确定所使用是的什么应用。
系统检测各种网络浏览器或服务器、邮件客户端或服务器、即时消息工具、 P2P 应用等。系统检测
已知客户端流量、应用协议或网络应用时,会记录有关该应用及运行该应用的主机的信息。
FireSIGHT 系统将应用数据分为三类:客户端、网络应用和应用协议。应用表提供的列表组合了
设备上已检测到的所有三种类型的应用。
以下对应用表中的字段进行了说明。
应用
检测到的应用的名称。
IP地址
与使用应用的主机关联的 IP 地址。
Category
说明应用的最基本功能的应用通用分类。每个应用都至少归属于一个类别。
Tag
有关应用的附加信息。应用可以包括任何数量的标记,也可以没有标记。
Risk
应用被用于可能违反组织安全策略之目的的可能性。应用风险的取值范围为 
Very Low
 到 
Very 
High
在应用协议风险、客户端风险和网络应用风险中,如适用,则是触发入侵事件的流量中检测
到的三个风险中级别最高的风险。
Business Relevance
应用被用于组织的企业运营中 (而不是被用于娱乐目的)的可能性。应用的业务相关性的取
值范围为 
Very Low
 到 
Very High
在应用协议业务相关性、客户端业务相关性和网络应用业务相关性中,如适用,则是触发入
侵事件的流量中检测到的三个业务关联性中关联性最低的一个。
Current User
主机当前登录用户的用户标识 (用户名)。
注意:当未授权用户登录主机时,该登录操作将记录在用户和主机历史记录中。如果没有授
权用户与该主机相关联,则未授权用户可能是该主机的当前用户。但是,授权用户登录该主
机后,只有另一授权用户登录才能改变当前用户。此外,未授权用户是主机当前用户时,该
用户仍不能进行用户管理。