Cisco Cisco Firepower Management Center 4000 User Guide
第
章
58-1
FireSIGHT 系统用户指南
58
了解和使用工作流程
工作流程是防御中心网络界面中可供分析师用于评估系统生成的事件的定制系列的数据页面。防
御中心提供三种类型的工作流程:
御中心提供三种类型的工作流程:
•
预定义工作流程,此类工作流程是系统上安装的无法修改或删除的预设工作流程。
•
已保存自定义工作流程,此类工作流程是可以修改或删除的预定义的自定义工作流程。
•
自定义工作流程,此类工作流程是为特定需求创建和自定义的工作流程。
例如,分析入侵事件时,可以从专为任务创建的若干预定义工作流程中进行选择。
请注意,工作流程中显示的数据通常取决于多个因素,例如,如何许可和部署受管设备,是否配
置提供数据的功能,以及在使用 2 系列设备和 用于 Blue Coat X-系列的思科 NGIPS的情况下设备
是否支持数据提供功能。例如,由于 DC500 防御中心和 2 系列设备都不支持按类别和信誉进行
URL 过滤,因此 DC500 防御中心不显示此功能的数据,并且 2 系列设备不检测此数据。
置提供数据的功能,以及在使用 2 系列设备和 用于 Blue Coat X-系列的思科 NGIPS的情况下设备
是否支持数据提供功能。例如,由于 DC500 防御中心和 2 系列设备都不支持按类别和信誉进行
URL 过滤,因此 DC500 防御中心不显示此功能的数据,并且 2 系列设备不检测此数据。
有关使用预定义和自定义工作流程的详细信息,请参阅:
•
•
•
提示
还可以使用自定义工作流程作为事件报告的基础。有关详情,请参见
。
工作流程的组件
许可证:任何环境
工作流程可以包含若干类型的页面,如以下部分中所述。
表视图
表视图对应于工作流程所基于的数据库中的每个字段包含一列。
例如,发现事件的表视图包含 Time、 Event、 IP Address、 User、 MAC Address、 MAC
Vendor、 Port、 Description 和 Device 列。
Vendor、 Port、 Description 和 Device 列。
相反,服务器的表视图包含 Last Used、 IP Address、 Port、 Protocol、 Application Protocol、
Vendor、 Version、 Web Application、 Application Risk、 Business Relevance、 Hits、 Source
Type、 Device 和 Current User 列。
Vendor、 Version、 Web Application、 Application Risk、 Business Relevance、 Hits、 Source
Type、 Device 和 Current User 列。