Cisco Cisco Firepower Management Center 4000 User Guide
50-59
FireSIGHT 系统用户指南
第 50 章 使用发现事件
使用用户活动
用户
与活动关联的用户。至少,此字段应包含用户名和用于检测用户的协议。如有关于用户的
LDAP 元数据,则此字段也应包含用户的名字和姓氏。
LDAP 元数据,则此字段也应包含用户的名字和姓氏。
用户类型
用于检测用户的协议。例如,对于系统检测到 POP3 登录时添加至数据库的用户,用户类型
为
为
pop3
。
IP地址
对于用户登录活动、登录中所涉的 IP 地址,可能是用户主机 (对于 LDAP、 POP3、 IMAP、
FTP、 HTTP、 MDNS 和 AIM 登录)、服务器 (对于 SMTP 和 Oracle 登录)或会话发起者
FTP、 HTTP、 MDNS 和 AIM 登录)、服务器 (对于 SMTP 和 Oracle 登录)或会话发起者
(对于 SIP 登录)的 IP 地址。
注意,关联的 IP 地址并不意味着用户是该 IP 地址的当前用户;未授权用户登录一台主机时,
用户历史记录和主机历史记录中会记录此次登录。如果没有授权用户与该主机相关联,则未
授权用户可能是该主机的当前用户。但是,授权用户登录该主机后,只有另一授权用户登录
才能改变当前用户。
用户历史记录和主机历史记录中会记录此次登录。如果没有授权用户与该主机相关联,则未
授权用户可能是该主机的当前用户。但是,授权用户登录该主机后,只有另一授权用户登录
才能改变当前用户。
对于其他类型的用户活动,此字段留空。
说明
对于 Delete User Identity 和 User Identity Dropped activity 活动,指从数据库中删除的或未能添
加至数据库的用户的用户名。对于网络资源的登录,显示
加至数据库的用户的用户名。对于网络资源的登录,显示
network login
。对于其他类型的用
户活动,此字段留空。
设备
对于受管设备检测到的用户活动,指该设备的名称。对于其他用户活动类型,是管理防御中心。
计数
与每行中所显示的信息匹配的事件数。请注意,仅在您运用了某个创建了两个或多个相同行
的限制之后, Count 字段才显示。
的限制之后, Count 字段才显示。
搜索用户活动
许可证:FireSIGHT
可搜索特定用户活动。您可能想要创建为自己的网络环境订制的搜索,然后保存这些搜索以便以
后再用。
后再用。
通用搜索语法
系统在每个搜索字段旁边显示有效语法示例。输入搜索条件时,请记住以下几点:
•
所有字段都接受求反 (
!
)。
•
所有字段都接受逗号分隔的搜索值列表。包含指定字段中列出的任何值的记录与该搜索条件
匹配。
匹配。
•
所有字段都接受将用引号引起来的逗号分隔列表作为搜索值。
–
对于只能包含一个值的字段,将包含指定精确字符串的指定字段放在引号内的记录与搜
索条件匹配。例如,搜索
索条件匹配。例如,搜索
A, B, "C, D, E"
时,匹配记录为包含
"A"
或
"B"
或
"C, D, E"
的指定字段。这允许与可能的值中包含逗号的字段匹配。