Cisco Cisco Firepower Management Center 4000 User Guide

Page of 1826
 
50-39
FireSIGHT 系统用户指南 
 
 50       使用发现事件 
  使用应用详情  
要搜索应用:
访问:管理员/任何安全分析师
步骤 1
选择 
Analysis > Search
系统将显示 Search 页面。
步骤 2
从表下拉列表中选择 
Applications
页面根据相应限制进行更新。
步骤 3
在相应字段输入搜索条件。
如果您输入多个字段的条件,则搜索仅返回符合为所有字段指定的搜索条件的记录。点击在搜索
字段旁边显示的添加图标  (
),使用对象作为搜索条件。
步骤 4
如果您计划保存搜索,也可以选择 
Private
 复选框,将搜索保存为私有,这样就只有您可以访问
它。否则,请清除此复选框,将搜索保存为适用于所有用户。
提示
如果要将搜索另存为对权限有限的自定义用户角色的约束,必须将其另存为私有搜索。
步骤 5
或者,您可以保存搜索,以备以后使用。您有以下选项:
  •
点击 
Save
,保存搜索条件。
对于新的搜索,系统将显示一个对话框,提示您提供搜索的名称;请输入一个唯一的搜索名
称,然后点击 
Save
。如果为之前即已存在的搜索保存新的条件,则不会显示提示。搜索保存
成功 (如果您选择了 
Private
,则只对您的帐户显示),您以后可以运行此搜索。
  •
点击 
Save As New
 可保存新搜索或通过修改之前保存的搜索为您已创建的搜索指定名称。
系统将显示一个对话框,提示您提供搜索的名称;请输入一个唯一的搜索名称,然后点击 
Save
搜索保存成功 (如果您选择了 
Private
,则只对您的帐户显示),您以后可以运行此搜索。
步骤 6
点击 
Search
 开始搜索。
搜索结果显示在默认客户端工作流程中。要使用不同的工作流程,包括自定义工作流程,请点击 
(switch workflow)
。有关指定不同默认工作流程的信息,请参阅
使用应用详情
许可证:FireSIGHT
当受监控主机连接到另一台主机时,在许多情况下,系统可以确定所使用的应用。 FireSIGHT 系
统检测许多邮件、即时消息、对等设备、网络应用以及其他类型的应用的使用情况。
对于每个检测到的应用,系统均将记录使用该应用的 IP 地址、产品、版本和检测到的使用次数。
可使用网络界面查看、搜索和删除应用事件。也可在主机上使用主机输入功能更新应用数据。
如果知道哪些应用在哪些主机上运行,则可使用此信息创建主机配置文件限制,以便在构建流量
量变曲线时限制所采集的数据,也可限制用于触发关联规则的条件。关联规则也可基于应用检
测。例如,如果希望员工使用特定邮件客户端,可在系统检测到一台主机上有不同的邮件客户端
运行时触发关联规则。
应仔细阅读每个 FireSIGHT 系统更新的版本说明以及每次 VDB 更新的公告以便获得有关已更新
检测器的信息。