Cisco Cisco Firepower Management Center 2000 User Guide
50-9
FireSIGHT 系统用户指南
第 50 章 使用发现事件
使用发现和主机输入事件
Client Update
系统在 HTTP 流量中检测到负载 (即特定类型的内容,例如音频、视频或网页邮件)时,生
成此事件。
成此事件。
DHCP: IP Address Changed
系统检测到主机 IP 地址因 DHCP 地址分配改变时,生成此事件。
DHCP: IP Address Reassigned
主机重新使用 IP 地址时,生成此事件;即主机因 DHCP IP 地址分配获得另一物理主机以前使
用的 IP 地址时。
用的 IP 地址时。
Hops Change
系统检测到主机与检测此主机的设备之间的网络跳数发生变化时,生成此事件。
设备通过通过不同路由器查看主机流量时可能发生此事件并能够更好地确定主机的位置。如
果设备检测到来自该主机的 ARP 传输也可能发生此事件,这表明主机在本地网段。
果设备检测到来自该主机的 ARP 传输也可能发生此事件,这表明主机在本地网段。
Host Deleted: Host Limit Reached
在防御中心中超过主机上限时发生此事件且从防御中心网络映射删除一台受监控主机。
Host Dropped: Host Limit Reached
在防御中心中达到主机上限时发生此事件且并丢弃一台新主机。对比此事件与达到主机上限
时旧主机从网络映射中被删除的先前事件
时旧主机从网络映射中被删除的先前事件
要在达到主机上限时丢弃新主机,请转至
Policies > Network Discovery > Advanced
并将
When Host
Limit Reached
设置为
Drop hosts
。有关详情,请参见
Host IOC Set
为主机设置 IOC (危害表现)时生成此事件并并生成警报。
Host Timeout
主机由于未在网络发现策略规定的区间内发生流量而从网络映射中丢失时生成此事件。注意
个别主机 IP 地址和 MAC 地址会单独超时;主机不会从网络映射中消失除非其所有关联地址
均已超时。有关配置主机超时值的信息,请参阅
个别主机 IP 地址和 MAC 地址会单独超时;主机不会从网络映射中消失除非其所有关联地址
均已超时。有关配置主机超时值的信息,请参阅
如果更改了网络发现策略需监控的网络,可能需要从网络映射中手动删除旧主机,以免
FireSIGHT 许可证受到影响。有关详细信息,请参阅
FireSIGHT 许可证受到影响。有关详细信息,请参阅
。
Host Type Changed to Network Device
系统检测到的主机实际上是网络设备时生成此事件。
Identity Conflict
系统检测到新服务器或操作系统标识与服务器或操作系统的当前活跃标识相冲突时生成此事件。
如果要通过重新扫描主机获取更新的有效标识数据来解决标识冲突,可使用标识冲突事件触
发 Nmap 修复。有关详细信息,请参阅
发 Nmap 修复。有关详细信息,请参阅
。
有关详细信息,请参阅
关手动解决冲突的详细信息,请参阅