Cisco Cisco Firepower Management Center 4000 User Guide

Page of 1826
 
52-33
FireSIGHT 系统用户指南 
 
 52        FireSIGHT 系统用作一个合规工具 
  处理白名单的违规事件  
搜索白名单的违规事件
许可证:FireSIGHT
您可以搜索特定的合规白名单的违规事件。您可能想要创建适合您网络环境的自定义搜索,然后
进行保存,以便后续使用。下表列出了可以使用的搜索条件。
要搜索合规白名单的违规事件,请执行以下操作:
访问:管理员/任何安全分析师 
步骤 1
选择 
Analysis > Search
系统将显示 Search 页面。
步骤 2
从表下拉列表中选择 
White List Violations
系统将用相应限制更新页面。
步骤 3
按照
  •
所有字段都接受求反 (
!
)。
  •
所有字段都接受逗号分隔的搜索值列表。包含指定字段中列出的任何值的记录与该搜索条件
匹配。
  •
所有字段都接受将用引号引起来的逗号分隔列表作为搜索值。
  –
对于只能包含一个值的字段,将包含用引号引住的指定精确字符串的指定字段的记录与
搜索条件匹配。例如,搜索 
A, B, "C, D, E"
 时,匹配记录为包含 
"A"
 或 
"B"
 或 
"C, D, E"
 
的指定字段。这允许与可能的值中包含逗号的字段匹配。
  –
对于可能同时包含多个值的字段,指定字段包含用引号引住的逗号分隔列表中所有值的
记录与该搜索条件匹配。
表 
52-8
合规白名单的违规事件的搜索条件 
字段
搜索条件规则
时间
指定白名单被违反时的日期和时间。
IP地址
指定不符合白名单规定的主机的 IP 地址。
White List
输入白名单的名称,返回该白名单中的所有违规事件。
类型
输入白名单违规的类型:
  •
输入 
os
(或 
operating system
)搜索基于操作系统的违规事件
  •
输入 
server
 搜索基于应用协议的违规事件
  •
输入 
client
 搜索基于客户端的违规事件
  •
输入 
protocol
 搜索基于通信协议的违规事件
  •
输入 
web application
 搜索基于网络应用的违规事件
信息
输入白名单违规信息。
端口
指定与触发应用协议白名单违规 (违规应用协议造成的违规)的发现事件关
联的端口 (如有)。
协议
指定与触发应用协议白名单违规 (违规应用协议造成的违规)的发现事件关
联的信讯协议 (如有)。