Cisco Cisco Firepower Management Center 4000 User Guide

52-29

FireSIGHT 系统用户指南 

第 52 章      将 FireSIGHT 系统用作一个合规工具 

  处理白名单事件  

搜索合规白名单事件

许可证：FireSIGHT

您可以搜索特定的合规白名单事件。您可能想要创建适合您网络环境的自定义搜索，然后进行保
存，以便后续使用。下表列出了可以使用的搜索条件。

要搜索合规白名单事件，请执行以下操作：

访问：管理员/任何安全分析师 

步骤 1

选择 

。

系统将显示 Search 页面。

步骤 2

从表下拉列表中选择 

。

系统将用相应限制更新页面。

步骤 3

按照

 中所述，在相应字段输入搜索条件，同时记住以下附加要点：

所有字段都接受求反 (

!

)。

所有字段都接受逗号分隔的搜索值列表。包含指定字段中列出的任何值的记录与该搜索条件
匹配。

所有字段都接受将用引号引起来的逗号分隔列表作为搜索值。

  –

对于只能包含一个值的字段，将包含用引号引住的指定精确字符串的指定字段的记录与
搜索条件匹配。例如，搜索 

A, B, "C, D, E"

 时，匹配记录为包含 

"A"

 或 

"B"

 或 

"C, D, E"

 

的指定字段。这允许与可能的值中包含逗号的字段匹配。

  –

对于可能同时包含多个值的字段，指定字段包含用引号引住的逗号分隔列表中所有值的
记录与该搜索条件匹配。

表 

合规白名单事件的条件 

字段

搜索条件规则

策略

输入关联策略的名称，返回由于违反该策略所包含的白名单而导致的所有事件。

White List

输入白名单的名称，返回由于违反该白名单而导致的所有事件。

说明

输入白名单事件的描述。

优先级

根据关联策略中白名单的优先级或关联策略自身的优先级，指定白名单事件
的优先级。请注意，白名单的优先级优先于策略的优先级。输入 

none

，表示

没有优先级。

有关设置关联规则和策略优先级的详细信息，请参阅

和

IP地址

指定不符合白名单规定的主机的 IP 地址。

用户

指定登录不符合白名单规定的主机的用户身份。

端口

指定与触发应用协议白名单违规 （违规应用协议造成的违规）的发现事件关
联的端口 （如有）。

Host Criticality

指定白名单事件中涉及的源主机的重要性：

None

、

Low

、

Medium

 或 

High

。有关

主机重要性的详细信息，请参阅

。

设备

键入设备名称或 IP 地址或设备组、堆栈或集群名称，将搜索限制于已检测到
白名单违规的特定设备。有关 FireSIGHT 系统如何处理搜索中的设备字段的
详细信息，请参阅

。