Cisco Cisco Firepower Management Center 4000 User Guide

39-25

FireSIGHT 系统用户指南 

第 39 章      使用连接与安全情报数据 

  使用连接和安全情报数据表  

说明如何更改默认工作流程，以便查看连接和安全情报事件

数据。

和

提供连接和安全情报事件中数据的详细信息。

意软件文件。

说明如何查看连接相关的入侵事件。

说明如何查看用于加密连接的证书相关详细信息。

使用监控规则相关的事件

许可证：任何环境

当您使用事件查看器查看已记录的连接时，防御中心显示用于处理每个连接的访问控制规则或者
默认操作，并显示匹配这些连接中每个连接的最多 8 个监控规则。

如果连接匹配 1 条监控规则，则防御中心显示处理连接的规则名称，然后显示监控规则名称。如
果连接匹配多个监控规则，则事件查看器显示所匹配的监控规则数量，例如，

Default Action + 2 

Monitor Rules

。

您可以通过下面方式之一约束使用匹配的监控规则的连接事件视图：

处理该连接的访问控制规则或默认操作

连接匹配的单个监控规则

要使用监控规则匹配来约束连接事件，请执行以下操作：

访问：管理员/任何安全分析师

步骤 1

选择 

。

系统将显示默认连接数据工作流程首页。

步骤 2

显示想要用于分析的工作流程。确保您正使用的向下深入了解页面或表视图显示 

 字段。

步骤 3

您希望如何约束事件？

要对处理连接的访问控制规则或默认操作进行约束，请点击规则名称或 

。

要对匹配已记录连接的唯一监控规则进行约束，请点击监控规则名称。

要对匹配已记录连接的多个监控规则之一进行约束，请点击一个 N 

 数值。例如，

点击 

。

系统将显示该连接事件的 Monitor Rules 弹出窗口，其中列出与该连接匹配的前 8 个监控规
则。点击想要用于约束连接事件的监控规则名称。

事件受到约束。如果您正使用向下深入了解页面，事件视图转入工作流程中的下一页面。