Cisco Cisco Firepower Management Center 4000 User Guide
40-18
FireSIGHT 系统用户指南
第 40 章 分析恶意软件和文件活动
使用恶意软件事件
请记住,并非所有事件都会填充每个字段,不同类型恶意软件事件可以包括不同信息。例如,由
于 FireAMP 恶意软件检测在终端在下载或执行时完成,所以基于终端的恶意软件事件包含文件路
径、调用客户端应用等相关信息。相比之下,由于受管设备在网络流量中检测恶意软件文件,其
相关恶意软件事件包含端口、应用协议和传送文件所用连接相关原始 IP 地址信息。
于 FireAMP 恶意软件检测在终端在下载或执行时完成,所以基于终端的恶意软件事件包含文件路
径、调用客户端应用等相关信息。相比之下,由于受管设备在网络流量中检测恶意软件文件,其
相关恶意软件事件包含端口、应用协议和传送文件所用连接相关原始 IP 地址信息。
下表列出各恶意软件事件字段并根据恶意软件事件类型指示系统是否在该字段中显示信息。请注
意, DC500 防御中心并不支持接收或发送洲或国家/地区的地理定位信息。
意, DC500 防御中心并不支持接收或发送洲或国家/地区的地理定位信息。
表
40-3
恶意软件事件字段
字段
说明
网络
终端
云
追溯性
追溯性
时间
事件生成的日期和时间。
是
是
是
操作
与匹配文件规则的规则操作相关的文件规则操作以及相关文
件规则操作选项。
件规则操作选项。
是
否
是
Sending IP
发送被检测恶意软件的主机的 IP 地址。
是
否
否
Sending Continent
发送被检测恶意软件的主机所在洲。
是
否
是
Sending Country
发送被检测恶意软件的主机所在国家/地区。
是
否
否
Receiving IP
对于基于网络的恶意软件事件,显示接收被检测恶意软件的
主机的 IP 地址。
主机的 IP 地址。
对于基于终端的恶意软件事件,显示安装 FireAMP 连接器终
端的 IP 地址以及发生恶意软件事件的位置。
端的 IP 地址以及发生恶意软件事件的位置。
是
是
否
Receiving Continent 接收检测到的恶意软件的主机所在洲。
是
否
是
Receiving Country
接收检测到的恶意软件的主机所在国家/地区。
是
否
否
Sending Port
受管设备检测到恶意软件的流量所用源端口。
是
否
否
Receiving Port
受管设备检测到恶意软件的流量所用目标端口。
是
否
否
SSL Status
SSL 规则相关操作、默认操作或记录加密连接的不可解密流
量操作:
量操作:
•
Block
和
Block with reset
代表被阻止的加密连接。
•
Decrypt (Resign)
代表使用重签服务器证书解密的传出
连接。
•
Decrypt (Replace Key)
代表使用带替代公共密钥的自签
服务器证书解密的传出连接。
•
Decrypt (Known Key)
代表使用已知私有密钥解密的传入
连接。
•
Do not Decrypt
代表系统未解密的连接。
如果系统无法解密已加密的连接,则它会显示所采取的无法
解密流量操作和失败原因。例如,如果系统检测到使用未知
密码套件加密的流量并且未做进一步检查就允许了该流量,
则此字段将显示
解密流量操作和失败原因。例如,如果系统检测到使用未知
密码套件加密的流量并且未做进一步检查就允许了该流量,
则此字段将显示
Do Not Decrypt (Unknown Cipher Suite)
。
点击锁图标 (
) 可查看证书详细信息。有关详细信息,请参
阅
是
否
否