Cisco Cisco Firepower Management Center 4000 User Guide
40-22
FireSIGHT 系统用户指南
第 40 章 分析恶意软件和文件活动
使用恶意软件事件
•
开始扫描
•
Threat Detected
•
排除部分检出威胁
•
隔离威胁
如果文件轨迹映射包含恶意软件事件,这些事件是以下类型之一:网络文件传送检出威胁、网络
文件传输 (回溯)检出威胁、检出威胁、排除部分检出威胁和隔离威胁。有关详情,请参见
文件传输 (回溯)检出威胁、检出威胁、排除部分检出威胁和隔离威胁。有关详情,请参见
请注意,2 系列 设备、用于 Blue Coat X-系列的思科 NGIPS和 DC500 防御中心均不支持基于网络
的恶意软件防护,这可能影响显示的数据。例如,仅管理 2 系列设备的 3 系列防御中心只能显示
基于终端的恶意软件事件。
的恶意软件防护,这可能影响显示的数据。例如,仅管理 2 系列设备的 3 系列防御中心只能显示
基于终端的恶意软件事件。
搜索恶意软件事件
许可证:恶意软件或任意
使用防御中心搜索页面,您可以搜索具体恶意软件事件,在事件查看器中显示结果,并保存搜索
条件以便后期重新使用。自定义分析控制面板构件、报告模版和自定义用户角色也可以使用保存
的搜索条件。
条件以便后期重新使用。自定义分析控制面板构件、报告模版和自定义用户角色也可以使用保存
的搜索条件。
下文以已保存搜索列表中用
(
思科
)
标记的系统配套搜索条件作为示例。
请注意,搜索结果依赖于所搜索事件的可用数据。换言之,根据可用数据,搜索限制条件可能不
适用。例如,受管设备检查网络流量并不会生成基于终端的恶意软件事件,因此,这些事件不包
含连接信息 (端口、应用协议等等)。
适用。例如,受管设备检查网络流量并不会生成基于终端的恶意软件事件,因此,这些事件不包
含连接信息 (端口、应用协议等等)。
通用搜索语法
系统在每个搜索字段旁边显示有效语法示例。输入搜索条件时,请记住以下几点:
•
所有字段都接受求反 (
!
)。
•
所有字段都接受逗号分隔的搜索值列表。包含指定字段中列出的任何值的记录与该搜索条件
匹配。
匹配。
•
所有字段都接受将用引号引起来的逗号分隔列表作为搜索值。
–
对于只能包含一个值的字段,将包含指定精确字符串的指定字段放在引号内的记录与搜
索条件匹配。例如,搜索
索条件匹配。例如,搜索
A, B, "C, D, E"
时,匹配记录为包含
"A"
或
"B"
或
"C, D, E"
的指定字段。这允许与可能的值中包含逗号的字段匹配。
–
对于可能同时包含多个值的字段,指定字段包含所有引号引号引起来的逗号分隔列表中
所有值的记录与该搜索条件匹配。
所有值的记录与该搜索条件匹配。
–
对于可能同时包含多个值的字段,搜索条件可以包含单个值以及引号引起来的逗号分隔
列表。例如,在某字段上搜索
列表。例如,在某字段上搜索
A, B, "C, D, E"
时,如果该字段可能包含这其中一个或多
个字母,则匹配的记录指定字段将包含
A
或
B
或同时包含
C
、
D
和
E
。
•
搜索仅返回与所有字段的指定搜索条件匹配的记录。
•
许多字段接受一个或多个星号 (
*
) 作为通配符。
•
在任一字段指定
n/a
以便识别信息不适用于该字段的事件;使用
!n/a
识别字段填充事件。
•
使用设备字段搜索特定设备以及组、堆栈或集群中的设备。有关 FireSIGHT 系统如何处理搜
索中的设备字段的详细信息,请参阅
索中的设备字段的详细信息,请参阅
•
点击搜索字段旁边的添加对象图标 (
),使用对象作为搜索条件。
。