Cisco Cisco Firepower Management Center 4000 User Guide
58-28
FireSIGHT 系统用户指南
第 58 章 了解和使用工作流程
使用工作流程
下表描述应用限制时可执行的每个操作。
使用复合限制
许可证:任何环境
复合限制基于特定事件的所有非计数值。选择含有多个非计数值的行时,复合限制仅检索与该页
面上的该行中所有非计数值匹配的事件。例如,如果选择源 IP 地址为
面上的该行中所有非计数值匹配的事件。例如,如果选择源 IP 地址为
10.10.31.17
且目标 IP 地
址为
10.10.31.15
的行以及源 IP 地址为
172.10.10.17
且目标 IP 地址为
172.10.10.15
的行,则会
检索下列所有内容:
•
源 IP 地址为 10.10.31.17 且目标 IP 地址为 10.10.31.15 的事件
或者
•
源 IP 地址为 172.10.31.17 且目标 IP 地址为 172.10.31.15 的事件
将复合限制与简单限制组合时,简单限制分布在各复合限制集合中。例如,如果在以上所列的复
合限制中为协议值
合限制中为协议值
tcp
添加了一条简单限制,则会检索下列所有内容:
•
源 IP 地址为 10.10.31.17 且目标 IP 地址为 10.10.31.15 且协议为 tcp 的事件
或者
•
源 IP 地址为 172.10.31.17 且目标 IP 地址为 172.10.31.15 且协议为 tcp 的事件
表
58-27
搜索限制功能
要......
点击......
将视图限制为与单个值
匹配的事件
匹配的事件
表中的值。
例如,如果查看的是已记录连接的列表,并要使用访问控制将该列表
仅限于允许的连接,请点击
仅限于允许的连接,请点击
Action
列中的
Allow
。又例如,如果查看
的是入侵事件,并要将列表仅限于目标端口为 80 的事件,请点击
DST Port/ICMP Code
列中的
80 (http)/tcp
。
将视图限制为与多个值
匹配的事件
匹配的事件
具有这些值的事件的对应复选框,然后点击
View
。
请注意,如果行包含多个非计数值,则会添加复合限制。有关复合限
制的详细信息,请参阅
制的详细信息,请参阅
。
移除限制
Search Constraints 框中限制的名称。
使用搜索页面编辑限制
Search Constraints 框中的
Edit Search
。
要再次限制一列中的多个值时,请使用此功能。例如,如果要查看与
两个 IP 地址相关的事件,请点击
两个 IP 地址相关的事件,请点击
Edit Search
,然后修改 Search 页面上
相应的 IP 地址字段以将两个地址均包含在内,然后点击
Search
。
将限制另存为已保存的
搜索
搜索
Search Constraints 框中的
Save Search
并指定查询名称。
请注意,不能保存包含复合限制的查询。有关复合限制的详细信息,
请参阅
请参阅
。
对其他事件视图使用相
同限制
同限制
Jump to
并选择事件视图。有关详情,请参见
。
请注意,在切换到其他工作流程时,不会保留复合限制。有关复合限
制的详细信息,请参阅
制的详细信息,请参阅
。
切换限制的显示
展开箭头 (
)。这在限制列表较大并占据大部分屏幕时有用。