Cisco Cisco Firepower Management Center 4000 User Guide

Page of 1826
 
41-36
FireSIGHT 系统用户指南
  
 41       处理入侵事件       
  搜索入侵事件
搜索入侵事件
许可证:保护
可以使用随 FireSIGHT 系统提供的预定义搜索或创建您自己的搜索条件来搜索特定入侵事件。
预定义搜索用作示例,可用于快速访问关于网络的重要信息。您可能想要修改默认搜索中的特定
字段,以根据网络环境对它们进行自定义,然后保存以便日后重复使用。请注意,搜索结果依赖
于所搜索事件的可用数据。换言之,根据可用数据,搜索限制条件可能不适用。例如,只有加密
流量上触发的入侵事件才包含 SSL 信息。
提示
有关在入侵事件搜索中指定 IP 地址和端口的语法的信息,请参阅
有关搜索的详细信息,包括如何加载和删除已保存搜索,请参阅
以下列表介绍了可使用的搜索条件:
优先级
指定要查看的事件的优先级。优先级对应于 
priority
 关键字或 
classtype
 关键字的值。对于
其他入侵事件,优先级由解码器或预处理器决定。有效值为 
high、 medium
 和 
low
影响
指定根据入侵数据与网络发现数据的相关性对入侵事件分配的影响级别。有效值 (不区分大
小写)包括 
Impact 0、Impact Level 0
Impact 1、Impact Level 1
Impact 2、Impact Level 
2
Impact 3、 Impact Level 3
Impact 4 
和 
Impact Level 4
请勿使用影响图标颜色或部分字符串 (例如,请勿使用 
blue
level 1
 或 
0
)。
有关详细信息,请参阅
Inline Result
键入以下内容之一:
  –
dropped
,指定在内联部署中是否丢弃数据包
  –
would have dropped
,指定是否已丢弃数据包 (如果入侵策略设置为在内联部署中丢弃数
据包)
请注意,无论入侵策略的规则状态或内联丢弃行为如何,系统都不会丢弃被动部署中的数据
包,当内联接口处于分路模式时也是如此。
 IP
指定入侵事件中涉及的源主机使用的 IP 地址。
目标 IP
指定入侵事件中涉及的目标主机使用的 IP 地址。
Source/Destination IP
指定要查看其入侵事件的主机使用的源或目标 IP 地址。
Source Country
指定入侵事件中涉及的源主机所在的国家/地区。