Cisco Cisco Firepower Management Center 2000 User Guide
49-8
FireSIGHT 系统用户指南
第 49 章 使用主机配置文件
使用主机配置文件中的危害表现
从主机配置文件,可访问并利用 Indications of Compromise 部分的
Edit Rule States
编辑 IOC 规则列
表。可根据网络和组织需要启用任何或全部规则。例如,如果使用诸如 Microsoft Excel 等软件的
主机从未出现在监控网络上,可决定不启用与基于 Excel 的威胁相关的 IOC 。
主机从未出现在监控网络上,可决定不启用与基于 Excel 的威胁相关的 IOC 。
所有 IOC 规则都经思科事先定义;尽管可根据触发的 IOC 标记编写合规性规则,但不得创建原始
规则。有关详细信息,请参阅
规则。有关详细信息,请参阅
。每条 IOC 规则仅由一种类型
的事件 (比如恶意软件或入侵)触发并对应一种特定的 IOC 标记。为方便对应,规则和标记的
类别、事件类型和说明数据相同;IOC 规则状态的编辑页面还显示每条规则的事件数据源,以方
便用户了解触发规则所需要的系统功能。
类别、事件类型和说明数据相同;IOC 规则状态的编辑页面还显示每条规则的事件数据源,以方
便用户了解触发规则所需要的系统功能。
要编辑主机的危害表现规则状态,请执行以下操作:
访问:管理员/任何安全分析师
步骤 1
在主机配置文件中,点击
Indications of Compromise
部分的
Edit Rule States
。
系统将在新窗口中显示 Edit Indication of Compromise Rule States 页面。
步骤 2
在规则的
Enabled
列中,点击滑块启用或禁用规则。
步骤 3
点击
Save
。
已保存您的更改。
查看危害表现源事件
许可证:FireSIGHT
您可利用危害表现部分快速导航至在主机上触发 IOC 标记的事件。通过分析这些事件,可获得信
息,以确定是否需要采取措施解决可能受到攻击的主机面临的威胁以及采取什么措施。
息,以确定是否需要采取措施解决可能受到攻击的主机面临的威胁以及采取什么措施。
点击 IOC 标记时间戳旁边的查看图标 (
) 可导航至相关事件类型的事件表视图,仅显示触发
IOC 标记的事件。
有关触发 IOC 标记的事件类型和功能的详细信息,请参阅下列内容:
•
•
•
要查看危害表现标记的源事件,请执行以下操作:
访问:管理员/任何安全分析师
步骤 1
在主机配置文件的
Indications of Compromise
部分,点击想要调查的 IOC 标记的
First Seen
或
Last Seen
列中的查看图标 (
)。
系统将显示触发 IOC 的适当事件的事件表视图,但仅限于显示触发事件。如果您在一个单独的窗
口中查看主机配置文件,事件视图在主窗口中显示。
口中查看主机配置文件,事件视图在主窗口中显示。