Cisco Cisco Firepower Management Center 4000 User Guide
41-15
FireSIGHT 系统用户指南
第 41 章 处理入侵事件
了解入侵事件的工作流程页面
要将已审核事件标记为“未审核”,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
在显示已审核事件的页面上,您有两个选择:
•
要移除已审核事件列表中的单个入侵事件,请选择事件旁边的复选框并点击
Unreview
。
•
要从已审核事件列表移除所有入侵事件,请点击
Unreview All
。
系统显示成功消息,并且更新已审核事件的列表。
了解入侵事件的工作流程页面
许可证:保护
如果监控的流量违反策略,当前入侵策略中启用的预处理器规则、解码器规则和入侵规则就会生
成入侵事件。
成入侵事件。
FireSIGHT 系统提供一系列填充了事件数据的预定义工作流程,这些工作流程可用于查看和分析入
侵事件。每个这些工作流程都会引导您浏览一系列页面,从而帮助您要确定要评估的入侵事件。
侵事件。每个这些工作流程都会引导您浏览一系列页面,从而帮助您要确定要评估的入侵事件。
预定义的入侵事件工作流程包含三种不同类型的页面 (又称为事件视图):
•
一个或多个下钻式页面
•
入侵事件的表视图
•
数据包视图
下钻式页面通常在一个表中包含两列或更多列 (对于某些下钻式视图,还可能有多于一个表),
允许查看一种特定类型的信息。
允许查看一种特定类型的信息。
“向下钻取”以查找有关一个或多个目标端口的详细信息时,将会自动选择这些事件,然后显示
工作流程中的下一页。这样,下钻式表就能够帮助减少一次分析的事件数。
工作流程中的下一页。这样,下钻式表就能够帮助减少一次分析的事件数。
入侵事件的初始的
表视图在其自身的行中列出每个入侵事件。表中的各列列出各种信息,例如,
时间、源 IP 地址、源端口、目标 IP 地址、目标端口、事件优先级和事件消息,等等。
选择表视图中的事件时,可以先不选择事件并显示工作流程中的下一页,而是为事件添加
限制条
件。限制条件是对要分析的事件类型施加的限制。
例如,如果点击任何列中的关闭列图标 (
) 并从下拉列表清除
Time
,可以将 Time 作为一列移
除。要减少分析中事件列表的事件数,可以点击表视图中任何行中某个值的链接。例如,要将分
析范围缩小为从其中一个源 IP 地址 (假设是潜在攻击者)生成的事件,请点击
析范围缩小为从其中一个源 IP 地址 (假设是潜在攻击者)生成的事件,请点击
Source IP Address
列中的 IP 地址。
如果选择表中的一行或多行,然后点击
View
,将会显示数据包视图。
数据包视图提供有关触发生
成事件的规则或预处理器的数据包的信息。数据包中的每个部分都包含有关数据包中特定层的信
息。可以展开折叠的部分以了解详细信息。
息。可以展开折叠的部分以了解详细信息。
注
由于每个端口扫描事件均由多个数据包触发,因此,端口扫描事件使用特殊版本的数据包视图。
有关详细信息,请参阅
有关详细信息,请参阅
如果预定义工作流程不能满足您的特定需求,您可以创建自定义工作流程,在其中仅显示您感兴
趣的信息。自定义入侵事件工作流程可以包括下钻式页面和/或事件表视图;系统会自动包括数据
包视图作为最后一页。根据调查事件的需要,您可以轻松地在预定义工作流程和自定义工作流程
之间切换。
趣的信息。自定义入侵事件工作流程可以包括下钻式页面和/或事件表视图;系统会自动包括数据
包视图作为最后一页。根据调查事件的需要,您可以轻松地在预定义工作流程和自定义工作流程
之间切换。