Cisco Cisco Firepower Management Center 2000 User Guide
49-7
FireSIGHT 系统用户指南
第 49 章 使用主机配置文件
使用主机配置文件中的危害表现
使用主机配置文件中的危害表现
许可证:FireSIGHT
FireSIGHT 系统可关联与主机相关的各种数据 (入侵事件、安全情报、连接事件和文件事件或恶
意软件事件),以确定监控网络上的主机是否可能会受到恶意侵害。事件数据的某些组合和频率
触发了受影响主机上的危害表现 (IOC) 标记。主机配置文件中 Indications of Compromise 部分显示
了所有主机的 IOC 标记。在本节,可查看主机面临的威胁的详细情况,跳至可触发 IOC 标记的事
件,编辑 IOC 规则状态、以及解决不再相关的 IOC 标记。
意软件事件),以确定监控网络上的主机是否可能会受到恶意侵害。事件数据的某些组合和频率
触发了受影响主机上的危害表现 (IOC) 标记。主机配置文件中 Indications of Compromise 部分显示
了所有主机的 IOC 标记。在本节,可查看主机面临的威胁的详细情况,跳至可触发 IOC 标记的事
件,编辑 IOC 规则状态、以及解决不再相关的 IOC 标记。
要使用 IOC 功能,您必须先激活该功能以及发现策略中的至少一条 IOC 规则。此外,还可在主机
的配置文件页面上编辑该主机的 IOC 规则状态。每条 IOC 规则对应一种类型的 IOC 标记;根据
公司需求,可激活任何一条或全部规则。有关发现策略中 IOC 的详细信息和整体信息,请参阅
的配置文件页面上编辑该主机的 IOC 规则状态。每条 IOC 规则对应一种类型的 IOC 标记;根据
公司需求,可激活任何一条或全部规则。有关发现策略中 IOC 的详细信息和整体信息,请参阅
。
除了主机配置文件中包含 IOC 数据外,还可以在事件查看器中对 IOC 数据进行分析。有关详细信
息,请参阅
息,请参阅
主机配置文件显示的 IOC 信息字段的说明如下。
IP地址
与触发 IOC 的主机关联的 IP 地址。
类别
所指示危害类型的简要说明,例如
Malware Executed
或
Impact 1 Attack
。
事件类型
与特定危害表现 (IOC) 关联的标识符,指触发该标识的事件。
说明
说明可能受攻击的主机面临的威胁情况,比如
This host may be under remote control
或
Malware has been executed on this host
。
First/Last Seen
触发主机 IOC 的事件的第一次出现 (或最近)日期和时间。
有关使用主机配置文件中的 IOC 数据的详细信息,请参阅以下各节:
•
•
•
编辑单台主机的危害表现规则状态
许可证:FireSIGHT
为使系统能够检测和标记危害表现 (IOC),首先必须激活发现策略中的 IOC 功能并且激活至少一
条 IOC 规则 (适用于整个策略或单个主机)。从主机配置文件,设置适用于单个主机的 IOC 规则
状态。有关配置发现策略中的 IOC 和设置适用于整个策略 IOC 规则状态的详细信息,请参阅
条 IOC 规则 (适用于整个策略或单个主机)。从主机配置文件,设置适用于单个主机的 IOC 规则
状态。有关配置发现策略中的 IOC 和设置适用于整个策略 IOC 规则状态的详细信息,请参阅