Cisco Cisco Firepower Management Center 2000 User Guide
49-9
FireSIGHT 系统用户指南
第 49 章 使用主机配置文件
使用主机配置文件中的操作系统
解决危害表现
许可证:FireSIGHT
在分析和处理完 IOC 标记显示的威胁后,或如果确定 IOC 标记代表误报,可将标记标记为已解
决。将 IOC 标记标记为已经解决时,该标记会从主机配置文件中删除;当主机上的所有有源 IOC
标记都已解决,主机不再显示标有受攻击主机的图标 (
决。将 IOC 标记标记为已经解决时,该标记会从主机配置文件中删除;当主机上的所有有源 IOC
标记都已解决,主机不再显示标有受攻击主机的图标 (
)。请注意,对于已经解决的 IOC,仍然
可查看 IOC 触发事件。
如果触发主机 IOC 标记的事件再次出现,重新设置该标记。您可解决主机上的单独 IOC 标记,或
将主机上的所有标记标记为已解决。
将主机上的所有标记标记为已解决。
要解决危害表现标记,请执行以下操作:
访问:管理员/任何安全分析师
步骤 1
在主机配置文件的
Indications of Compromise
部分,您有两个选项:
•
要将单独的 IOC 标记标记为已解决,请点击要解决的标记右侧的解决图标 (
)。
•
要将主机上的所有 IOC 标记标记为已解决,请点击
Mark All Resolved
。
系统保存更改,并删除所选的 IOC 标记。
使用主机配置文件中的操作系统
许可证:FireSIGHT
通过分析流量中主机生成的网络和应用堆栈或分析用户代理报告的主机数据,系统被动检测运行在
主机上的操作系统的标识。此外,系统还将核对其他来源的操作系统信息,比如通过主机输入功能
导入的 Nmap 扫描仪或应用数据。当确定将要使用的标识时,系统会考虑分配给每个标识源的优先
级。默认情况下,用户输入的优先级最高,其次是应用或扫描仪源,最后是思科发现的标识。
主机上的操作系统的标识。此外,系统还将核对其他来源的操作系统信息,比如通过主机输入功能
导入的 Nmap 扫描仪或应用数据。当确定将要使用的标识时,系统会考虑分配给每个标识源的优先
级。默认情况下,用户输入的优先级最高,其次是应用或扫描仪源,最后是思科发现的标识。
有时候,系统会提供通用操作系统定义而非具体的定义,因为流量和其他标识源无法提供足够信
息以确定更具针对性的标识。系统核对其他来源的信息,以尽可能利用最详细的定义。
息以确定更具针对性的标识。系统核对其他来源的信息,以尽可能利用最详细的定义。
主机配置文件中显示的操作系统信息字段说明如下。
Hardware
移动设备的硬件平台。
OS Vendor/Vendor
操作系统供应商。
OS Product/Product
根据从各种来源搜集到的标识数据确定的最可能运行在主机上的操作系统。
如果操作系统处于
Pending
状态,系统还未确定操作系统,没有其他可用的标识数据。如果操
作系统处于
unknown
状态,系统无法确定操作系统,也没有可用的操作系统的其他标识数据。
如果主机的操作系统不是系统可以检测得到的系统,要使用下列任何一种策略:
–
根据
的描述,为主机创建自定义指纹
–
根据
的描述,运行主机的 Nmap 扫描仪