Cisco Cisco Firepower Management Center 4000 User Guide
41-22
FireSIGHT 系统用户指南
第 41 章 处理入侵事件
使用数据包视图
Email Headers
提取自邮件报头的数据。请注意,邮件报头不显示在入侵事件表视图中,但可以将邮件报头
数据作为搜索条件。
数据作为搜索条件。
要将邮件报头与 SMTP 流量的入侵事件相关联,必须启用 SMTP 预处理器
Log Headers
选项。
有关详细信息,请参阅
时会显示此行。
HTTP Hostname
提取自 HTTP 请求主机报头的主机名 (如果有)。此行显示完整的主机名 (最多包含 256 个
字节)。如果主机名超过一行,点击展开箭头 (
字节)。如果主机名超过一行,点击展开箭头 (
) 可显示完整的主机名。
要显示主机名,必须启用 HTTP 检查预处理器
Log Hostname
。
请注意,HTTP 请求数据包并非总是包含主机名。对于基于规则的事件,当数据包包含 HTTP
主机名或 HTTP URI 时,会显示此行。
主机名或 HTTP URI 时,会显示此行。
HTTP URI
与触发入侵事件的 HTTP 请求数据包相关的原始 URI (如果有)。此行显示完整 URI (最多
包含 2048 个字节)。如果完整 URI 超过一行,点击展开箭头 (
包含 2048 个字节)。如果完整 URI 超过一行,点击展开箭头 (
) 可显示完整 URI。
要显示 URI,必须启用 HTTP 检查预处理器
Log URI
选项。有关详细信息,请参阅
请注意, HTTP 请求数据包并非总是包含 URI。对于基于规则的事件,当数据包包含 HTTP
主机名或 HTTP URI 时,会显示此行。
主机名或 HTTP URI 时,会显示此行。
要查看与 HTTP 响应触发的入侵事件相关的 HTTP URI,应配置
Perform Stream Reassembly on
Both Ports
选项中的 HTTP 服务器端口;但请注意,这样会增加流量重组的资源需求。请参阅
Intrusion Policy
启用了生成入侵事件的入侵规则、预处理器规则或解码器规则的入侵策略 (如果有)。可以
选择入侵策略作为访问控制策略的默认操作,也可以将入侵策略与访问控制规则关联起来。
请参阅
选择入侵策略作为访问控制策略的默认操作,也可以将入侵策略与访问控制规则关联起来。
请参阅
和
。
访问控制策略
包含启用了生成事件的入侵规则、预处理器规则或解码器规则的入侵策略的访问控制策略。
请参阅
请参阅
。
Access Control Rule
与生成事件的入侵规则相关的访问控制规则;请参阅
。
Default Action
指出启用了规则的入侵政策未与访问控制规则关联,但被配置为
访问控制策略的默认操作;请参阅
。
Rule
对于标准文本规则事件,生成事件的规则。
请注意,如果事件基于共享对象规则、解码器或预处理器,规则不可用。
由于规则数据可能包含有关网络的敏感信息,管理员可以使用用户角色编辑器中的 View
Local Rules 权限来设置用户查看数据包视图中的规则信息的权限。有关详细信息,请参阅
Local Rules 权限来设置用户查看数据包视图中的规则信息的权限。有关详细信息,请参阅
。