Cisco Cisco Firepower Management Center 4000 User Guide
39-27
FireSIGHT 系统用户指南
第 39 章 使用连接与安全情报数据
搜索连接和安全情报数据
在弹出窗口中,您可以点击列出事件的视图图标 (
),以便在数据包视图中查看详细信息。您还
可以点击
View Intrusion Events
查看与连接有关的所有入侵事件的详细信息。
提示
要快速查看与一个或多个连接相关联的入侵事件,请在事件查看器中使用复选框选择连接,然后
从
从
Jump to
下拉列表中选择
Intrusion Events
。您可以使用类似方式查看与入侵事件相关的连接。有关
详细信息,请参阅
。
当您查看相关事件时,防御中心使用默认的入侵事件工作流程。有关入侵事件的详细信息,请参
阅
阅
查看与加密连接相关的证书
许可证:任何环境
如果配置 SSL 检查,可以记录已加密的连接。通过使用事件查看器,您可以查看用于加密连接的
公共密钥证书详细信息,但前提是系统已对流量执行操作和该证书可用。
公共密钥证书详细信息,但前提是系统已对流量执行操作和该证书可用。
防御中心不显示证书本身,而是显示将锁形图标 (
) 显示在
SSL Status
列中。点击该图标将显示
一个弹出窗口,其中包含下表中所述的证书详细信息。
通过双击标题,您可以在弹出窗口内展开或折叠区域。
请注意,如果系统已对加密流量执行操作,但证书不可用,那么锁形图标呈现灰色。例如,如果
系统因连接包含 SSL 握手错误,且无法进行解密而阻止了该连接,那么系统不具有加密证书详细
信息,并且该连接的锁形图标会灰显。
系统因连接包含 SSL 握手错误,且无法进行解密而阻止了该连接,那么系统不具有加密证书详细
信息,并且该连接的锁形图标会灰显。
搜索连接和安全情报数据
许可证:任何环境
通过使用防御中心的 Search 页面,可以搜索特定连接事件、安全情报事件或连接摘要;在事件查
看器中显示结果;并保存您的搜索条件以备稍后重复使用。自定义分析控制面板构件、报告模版
和自定义用户角色也可以使用保存的搜索条件。
看器中显示结果;并保存您的搜索条件以备稍后重复使用。自定义分析控制面板构件、报告模版
和自定义用户角色也可以使用保存的搜索条件。
下文以已保存搜索列表中用
(
思科
)
标记的系统配套搜索条件作为示例。
表
39-7
已加密连接的证书详细信息
属性
说明
Subject/Issuer Common Name 证书主体或证书颁发者的主机名和域名。
Subject/Issuer Organization
证书主体或证书颁发者的组织。
Subject/Issuer Organization
Unit
Unit
证书主体或证书颁发者的组织单位。
Not Valid Before/After
证书有效日期。
Serial Number
由发行 CA 分配的序列号。
Certificate Fingerprint
用于验证证书的 SHA 哈希值。
Public Key Fingerprint
用于对证书内所含公钥进行身份验证的 SHA 哈希值。