Cisco Cisco Firepower Management Center 4000 User Guide

41-13

FireSIGHT 系统用户指南 

第 41 章      处理入侵事件 

  查看入侵事件  

电子邮件附件

提取自 MIME Content-Disposition 报头的 MIME 附件文件名。要显示附件文件名，必须启用 
SMTP 预处理器 

 选项。支持多个附件文件名。有关详细信息，请参

阅

。

默认情况下，此字段处于禁用状态。

审核事件的用户的名称。请参阅

计数

与每行中所显示的信息匹配的事件数。请注意，仅在您运用了某个创建了两个或多个相同行
的限制之后， Count 字段才显示。

查看与入侵事件相关的连接数据

许可证：保护

系统可以记录在其中检测到入侵事件的连接。虽然会对与访问控制规则关联的入侵策略自动执行
这种记录，但必须手动启用连接记录才能查看与默认操作关联的连接数据；请参阅

。

注

任何单个连接或安全情报事件的可用信息取决于多种因素，包括许可证和设备型号。有关详细信
息，请参阅

。

要查看与一个或多个入侵事件相关的连接数据，请执行以下操作：

访问：管理

步骤 1

选择 

。

系统显示默认入侵事件工作流程的第一个页面。

在事件的表视图之间导航时，查看相关数据最有用。请参阅

，以了解有关如何将视图缩小至对分析非常重要的入侵事件的详细信息。

步骤 2

使用事件查看器中的复选框选择入侵事件，然后从 

 下拉列表选择 

。

可以使用类似方法查看与特定连接相关的入侵事件。有关详细信息，请参阅

提示

如果使用不包括入侵事件表视图的自定义工作流程，请点击工作流程标题旁边的 

 

以选择随设备提供的任意预定义工作流程。