Cisco Cisco Firepower Management Center 4000 User Guide
50-55
FireSIGHT 系统用户指南
第 50 章 使用发现事件
使用用户
了解用户详细信息和主机历史记录
许可证:FireSIGHT
从将用户标识数据与其他类型事件关联的任何事件视图以及用户表视图中,可以显示 User Identity
弹出窗口以了解有关特定用户的详细信息。用户信息也可在用户工作流程终止页面上显示。
弹出窗口以了解有关特定用户的详细信息。用户信息也可在用户工作流程终止页面上显示。
所看到的用户数据与在用户表视图中所看到的数据相同;有关详细信息,请参阅
主机历史记录以图表再现了最后二十四个小时的用户活动。用户所登录和所注销主机的 IP 地址的
列表以条形图大约显示登录和注销次数。典型用户在一天中可能登录和注销多台主机。例如,如
果定期自动登录邮件服务器,则将显示多个短期会话,而如果长时间登录 (例如在工作时间),
则将显示长时间会话。
列表以条形图大约显示登录和注销次数。典型用户在一天中可能登录和注销多台主机。例如,如
果定期自动登录邮件服务器,则将显示多个短期会话,而如果长时间登录 (例如在工作时间),
则将显示长时间会话。
注意,如果检测到未授权用户登录主机,则将该登录记录在用户和主机历史记录中。如果没有授
权用户与该主机相关联,则未授权用户可能是该主机的当前用户。但是,检测至一个授权用户登
录该主机后,只有另一授权用户登录才能改变当前用户。此外,未授权用户是主机当前用户时,
该用户仍不能进行用户管理。如果在网络发现策略中配置了捕获失败登录,则主机历史记录也包
括用户登录失败的主机。
权用户与该主机相关联,则未授权用户可能是该主机的当前用户。但是,检测至一个授权用户登
录该主机后,只有另一授权用户登录才能改变当前用户。此外,未授权用户是主机当前用户时,
该用户仍不能进行用户管理。如果在网络发现策略中配置了捕获失败登录,则主机历史记录也包
括用户登录失败的主机。
用于生成主机历史记录的数据存储在用户历史记录数据库中,默认情况下可存储 10 百万次用户
登录事件。如果在主机历史记录中未看到特殊用户的任何数据,则该用户为非活动用户,或者可
能需要增加数据库限制。有关详细信息,请参阅
登录事件。如果在主机历史记录中未看到特殊用户的任何数据,则该用户为非活动用户,或者可
能需要增加数据库限制。有关详细信息,请参阅
。
要查看用户详细信息和主机历史记录:
访问:管理员/任何安全分析师
步骤 1
此时您有两种选择:
•
在列出了用户的任何事件视图中,点击用户标识旁边显示的用户图标 (
)。
•
在任何用户工作流程中,点击 Users terminating 页面。
系统显示用户详细信息。
搜索用户
许可证:FireSIGHT
可搜索特定用户。您可能想要创建为自己的网络环境订制的搜索,然后保存这些搜索以便以后再用。
通用搜索语法
系统在每个搜索字段旁边显示有效语法示例。输入搜索条件时,请记住以下几点:
•
所有字段都接受求反 (
!
)。
•
所有字段都接受逗号分隔的搜索值列表。包含指定字段中列出的任何值的记录与该搜索条件
匹配。
匹配。
•
所有字段都接受将用引号引起来的逗号分隔列表作为搜索值。
–
对于只能包含一个值的字段,将包含指定精确字符串的指定字段放在引号内的记录与搜
索条件匹配。例如,搜索
索条件匹配。例如,搜索
A, B, "C, D, E"
时,匹配记录为包含
"A"
或
"B"
或
"C, D, E"
的指定字段。这允许与可能的值中包含逗号的字段匹配。
–
对于可能同时包含多个值的字段,指定字段包含所有引号引号引起来的逗号分隔列表中
所有值的记录与该搜索条件匹配。
所有值的记录与该搜索条件匹配。