Cisco Cisco Firepower Management Center 4000 User Guide

第

章

56-1

FireSIGHT 系统用户指南 

56

使用 Context Explorer

FireSIGHT 系统Context Explorer 在上下文中显示有关受监控网络状态的详细、交互图形信息，包
括有关应用、应用统计、连接、地理定位、危害表现、入侵事件、主机、服务器、安全情报、用
户、文件 （包括恶意软件文件）和相关 URL 的数据。不同部分以生动的曲线图、条形图、饼状
图和环状图方式显示这些数据，附有详细列表。

可轻松创建和应用自定义过滤器以微调分析，此外，还可更详细地查看各数据部分，只需点击图
形区域或将光标悬停在图形区域上方。还可配置资源管理器的时间范围，以反映短至前一小时或
长至上一年的时间段。只有具备管理员、安全分析师或安全分析师 （只读）用户角色的用户才能
访问 Context Explorer。

FireSIGHT 系统 控制面板可自定义、分区且可实时更新。相反， Context Explorer 需手动更新，以
便为其数据提供更广泛的上下文，而且拥有单一且一致的布局，以供活跃用户浏览。

可根据自己的特定需求使用控制面板监控网络上的实时活动和设备。相反，可用 Context Explorer 
在特别详细和清晰的上下文中调查预定义的一组最新 FireSIGHT 数据：例如，如果注意到网络中只
有 15% 的主机在使用 Linux，但却占据了几乎所有的 YouTube 流量，则可快速应用过滤器查看仅适
合 Linux 主机的数据和/或 YouTube 关联的应用数据。与紧凑、狭小的控制面板构件不同， Context 
Explorer 部分旨在以对 FireSIGHT 系统专家和普通用户均有效的格式醒目再现的系统活动。

请注意，显示的数据取决于多个因素，例如，如何许可和部署受管设备，是否配置提供数据的功
能，以及在使用 2 系列设备和 用于 Blue Coat X-系列的思科 NGIPS的情况下设备是否支持数据提
供功能。例如， DC500 防御中心和 2 系列设备或用于 Blue Coat X-系列的思科 NGIPS均不支持高
级恶意软件防护，因此， DC500 防御中心无法显示这些数据，而且 2 系列设备和用于 Blue Coat 
X-系列的思科 NGIPS也检测不到这些数据。

下表概述了控制面板与 Context Explorer 之间的一些主要差异。

表 

对比：控制面板与

特性

控制面板

情景管理器

可显示数据

FireSIGHT 系统的所有监控对象

应用、应用统计、地理定位、危害表现、入
侵事件、文件 （包括恶意软件文件）、主
机、安全情报事件、服务器、用户和 URL

可自定义性

控制面板构件的选择可自定义

可按不同程度自定义各个构件

不能改变基本布局

应用的过滤器显示在资源管理器 URL 
中且可标上书签供以后使用

数据更新频率

自动 （默认）；用户配置的

手动

数据过滤

可用于某些构件 （必须编辑构件首选项）

可用于资源管理器的所有部分，可支持多个
过滤器