Cisco Cisco Firepower Management Center 4000 User Guide

56-40

FireSIGHT 系统用户指南

第 56 章      使用 Context Explorer         

  使用 Context Explorer 中的过滤器

Data Type 下拉列表中包含可用于限制 Context Explorer 的许多不同类型的 FireSIGHT 系统数据。
选择一个数据类型后，在 

 字段为该类型输入一个特定的值 （例如，为类型 

 输入一

个值 

Asia

）。为了便于操作， Filter 字段将所选数据类型提供多个灰显示例值。（在该字段中输入

数据时，这些示例值将被擦除。）

下表用列出可用作过滤器的数据类型，每种类型附有示例和简要定义。请注意， DC500 防御中心
不显示数据，而且 2 系列设备和用于 Blue Coat X-系列的思科 NGIPS不为其不支持的功能检测数
据。请参阅

表，了解 2 系列设备和用于 Blue Coat X-系列的思科 

NGIPS功能的摘要。

表 

过滤器数据类型 

类型

示例值

定义

Access Control Action

Allow

, 

Block

访问控制策略为允许或阻止流量而采取的措施

Application Category

web browser

, 

email

应用的最基本功能的通用分类

应用名称

Facebook

, 

HTTP

应用的名称

Application Risk

Very High

, 

Medium

应用的预估安全风险

Application Tag

encrypts communications

, 

sends 

mail

有关应用的其他信息；应用可以具备任意数量的标
记，包括无

应用程序类型

Client

, 

Web Application

应用的类型：应用协议、客户端或网络应用

业务相关性

Very Low

, 

High

应用与业务活动 （与娱乐相对）的预估相关性

Continent

North America

, 

Asia

与受监控网络中检测到的可路由 IP 地址相关联的大陆

国家/地区

Canada

, 

Japan

与受监控网络中检测到的可路由 IP 地址相关联的国
家/地区

设备

device1.example.com

, 

192.168.1.3

受监控网络中设备的名称或 IP 地址。

Event Classification

Potential Corporate Policy 

Violation

, 

Attempted Denial of 

Service

入侵事件的简要说明，取决于触发该事件的规则、解
码器或预处理程序的分类

Event Message

dns response

, 

P2P

事件生成的消息，取决于触发该事件的规则、解码器
或预处理程序

File Disposition

Malware

, 

Clean

由云确定的文件性质，对于该文件，防御中心已执行
恶意软件云查找

文件名

Packages.bz2

网络流量中检测到的文件的名称

File SHA256

任何 32 位字符串

文件的 SHA-256 哈希值，对于该文件，防御中心已
执行恶意软件云查找

文件类型

GZ

, 

SWF

, 

MOV

网络流量中检测到的文件类型

File Type Category

Archive

, 

Multimedia

, 

Executables

网络流量中检测到的文件类型的一般类别

IP地址

192.168.1.3

, 

2001:0db8:85a3::0000/24

IPv4 或 IPv6 地址、地址范围或地址块

请注意，搜索 IP 地址时可返回事件，其中，该地址
为事件源或目标

影响级别

Impact Level 1

, 

Impact Level 2

受监控网络上事件的预估影响

Inline Result

dropped

, 

would have dropped

流量是否已丢弃，可能已丢弃或未被系统操作

IOC Category

High Impact Attack

, 

Malware 

Detected

已触发危害表现 (IOC) 事件的类别