Cisco Cisco Firepower Management Center 4000 User Guide

41-16

FireSIGHT 系统用户指南

第 41 章处理入侵事件

使用下钻式页面和表视图页面

提示

第 58-1 页上的了解和使用工作流程

说明如何使用工作流程以及通用于所有工作流程页面的功能。

本章还介绍如何创建和使用自定义入侵事件工作流程。

有关详情，请参阅：

•

第 41-16 页上的使用下钻式页面和表视图页面

，其中说明如何使用下钻式页面和事件表视图

（两者共享许多常见功能）。

•

第 41-19 页上的使用数据包视图

，其中说明如何使用数据包视图中的功能。

•

第 41-36 页上的搜索入侵事件

说明如何搜索事件数据库以查找特定入侵事件。

使用下钻式页面和表视图页面

许可证：保护

可用于调查入侵事件的工作流程使用三种不同类型的页面：

•

下钻式页面

•

入侵事件的表视图

•

数据包视图

第 41-15 页上的了解入侵事件的工作流程页面

中介绍了这三种页面。

事件的下钻式视图和表视图共享一些常见功能，这些功能可用于缩小事件列表，以便将分析焦点
集中到一组相关事件上。下表介绍了这些功能。

表

41-2

入侵事件常见功能

要......

您可以......

了解有关显示的列的详细信息

在

第 41-8 页上的了解入侵事件

中获得详细信息。

查看主机的配置文件

点击显示在主机 IP 地址旁边的配置文件图标 (

)。

查看地理定位详细信息

点击 Source Country 或 Destination Country 列中显示的旗帜图标。

修改所显示事件的时间和日期范围在

第 58-19 页上的设置事件时间限制

中获得详细信息。

请注意，如果以时间限制事件视图，在为设备配置的时间段（无论是全局还是
特定于事件）之外生成的事件也可能显示在事件视图中。即使已经为设备配置
一个滑动时间窗，这种情况仍然可能发生。

对当前工作流程页面上的事件进行
排序和限制

在以下表中查找详细信息：

•

第 58-29 页上的对向下钻取工作流程页面进行排序

•

限制下钻式页面上的事件

表

•

限制事件表视图中的事件

表

在当前工作流程页面中导航

在

第 58-30 页上的导航到工作流程中的其他页面

中获得详细信息。

提示

为了避免在不同的工作流程页面上显示相同的入侵事件，当您点击位于
页面底部的链接显示另一页事件时，事件范围会暂停；当您在后续页面
上点击以执行任何其他操作时，事件范围将会继续。有关详细信息，请
参阅

第 58-19 页上的设置事件时间限制

。

在当前工作流程中的页面之间导
航，同时保留当前限制条件

点击工作流程页面左上角的相应页面链接。有关详细信息，请参阅

第 58-16 页上

的使用工作流程页面

。