Cisco Cisco Firepower Management Center 4000 User Guide
52-28
FireSIGHT 系统用户指南
第 52 章 将 FireSIGHT 系统用作一个合规工具
处理白名单事件
了解白名单事件表
许可证:FireSIGHT
您可以使用关联策略功能,构建让系统实时响应网络威胁的
关联策略。关联策略描述构成违规
(包括违反合规白名单)的活动类型。有关关联策略的详细信息,请参阅
出现合规白名单的违规时,系统生成一个白名单事件。下表列出了白名单事件表中的字段。
表
52-4
合规白名单事件字段
字段
说明
时间
白名单事件生成时的日期和时间。
IP地址
违规主机的 IP 地址。
用户
登录违规主机的任何已知用户的身份。
端口
与触发应用协议白名单违规 (违规应用协议造成的违规)的事件关联的端
口 (如有)。对于其他类型的白名单违规活动,该字段为空白。
口 (如有)。对于其他类型的白名单违规活动,该字段为空白。
说明
描述白名单是如何被违反的。例如:
Client “AOL Instant Messenger” is not allowed.
涉及应用协议的违规指明应用协议的名称和版本,以及所使用的端口和协
议 (TCP 或 UDP)。如果限制禁止某个特定的操作系统,描述中会包含操
作系统的名称。例如:
议 (TCP 或 UDP)。如果限制禁止某个特定的操作系统,描述中会包含操
作系统的名称。例如:
Server "ssh / 22 TCP ( OpenSSH 3.6.1p2 )" is not
allowed on Operating System “Linux Linux 2.4 or
2.6”.
策略
被违反的关联策略的名称,即包含该白名单的关联策略。
White List
白名单的名称。
优先级
策略或触发策略违规的白名单所指定的优先级。有关设置关联规则和策略
优先级的详细信息,请参阅
优先级的详细信息,请参阅
和
。
Host Criticality
用户向不符合白名单规定的主机所分配的主机重要性:
None
、
Low
、
Medium
或
High
。有关主机重要性的详细信息,请参阅
设备
检测到白名单违规行为的受管设备的名称。
计数
与每行中所显示的信息匹配的事件数。请注意,仅在您运用了某个创建了
两个或多个相同行的限制之后, Count 字段才显示。
两个或多个相同行的限制之后, Count 字段才显示。