Cisco Cisco Firepower Management Center 4000 User Guide
58-5
FireSIGHT 系统用户指南
第 58 章 了解和使用工作流程
工作流程的组件
预定义恶意软件工作流程
许可证:任何环境
受支持的设备:因功能而异
受支持的防御中心:因功能而异
下表描述防御中心中包含的预定义恶意软件工作流程。所有预定义恶意软件工作流程都使用恶意
软件事件表视图。
软件事件表视图。
请注意,由于 DC500 2 系列防御中心、 2 系列设备和 用于 Blue Coat X-系列的思科 NGIPS不支持
高级恶意软件防护, DC500防御中心 不显示此功能的数据,并且 2 系列设备和 用于 Blue Coat
X-系列的思科 NGIPS不检测此数据。
高级恶意软件防护, DC500防御中心 不显示此功能的数据,并且 2 系列设备和 用于 Blue Coat
X-系列的思科 NGIPS不检测此数据。
有关访问恶意软件事件的信息,请参阅
Impact to Destination 可以使用此工作流程识别在易受攻击计算机上重复发生的事件,从而能够处理这些系统上的漏
洞并停止进行中的任何攻击。
此工作流程以其中显示了与每个事件关联的影响级别、内联结果 (数据包已被丢弃还是本会
被丢失)、目标 IP 地址、优先级和计数,目标 IP 地址、优先级和计数的页面开头。在每个事
件级别内,事件依次按计数和优先级排序。接下来,系统将显示含有每个事件的源 IP 地址和
目标 IP 地址的向下钻取页面。第二页上的事件按计数排序。工作流程中的最终页面为事件表
视图和数据表视图。
被丢失)、目标 IP 地址、优先级和计数,目标 IP 地址、优先级和计数的页面开头。在每个事
件级别内,事件依次按计数和优先级排序。接下来,系统将显示含有每个事件的源 IP 地址和
目标 IP 地址的向下钻取页面。第二页上的事件按计数排序。工作流程中的最终页面为事件表
视图和数据表视图。
源端口
此工作流程指示哪些服务器生成最多警报。可以使用此信息标识需要调整的方面,以及决定需
要注意的服务器。
要注意的服务器。
此工作流程以其中显示了与入侵事件关联的源端口的页面开头,后跟其中显示了已生成的事件
类型的页面。工作流程中的最终页面为事件表视图和数据表视图。
类型的页面。工作流程中的最终页面为事件表视图和数据表视图。
Source and
Destination
Destination
此工作流程识别共享高级警报的主机 IP 地址。列表顶部的对可能是误报,并可确定需要调整
的方面。可以检查列表底部的对来查找针对性攻击、访问其不应访问的资源的用户或不属于该
网络的主机。
的方面。可以检查列表底部的对来查找针对性攻击、访问其不应访问的资源的用户或不属于该
网络的主机。
此工作流程以其中显示了每个事件的源 IP 地址和目标 IP 地址的页面开头,后跟其中显示了已
生成的事件类型的页面。工作流程中的最终页面为事件表视图和数据表视图。
生成的事件类型的页面。工作流程中的最终页面为事件表视图和数据表视图。
表
58-1
预定义入侵事件工作流程 (续)
工作流程名称
说明
表
58-2
预定义恶意软件工作流程
工作流程名称
说明
Malware Summary
此工作流程提供在网络流量中或由基于终端的 FireAMP 连接器检测到的恶意软件列表,
按个别威胁分组。
按个别威胁分组。
Malware Event Summary
此工作流程提供不同恶意软件事件类型和子类型的快速细分。
接收恶意软件的主机
此工作流程提供已接收恶意软件的主机 IP 地址列表,按恶意软件文件的关联性质分组。
发送恶意软件的主机
此工作流程提供已发送恶意软件的主机 IP 地址列表,按恶意软件文件的关联性质分组。
引入恶意软件的应用
此工作流程提供已接收文件的主机 IP 地址列表,按这些文件的关联恶意软件性质分组。