Cisco Cisco Firepower Management Center 2000 User Guide
50-10
FireSIGHT 系统用户指南
第 50 章 使用发现事件
使用发现和主机输入事件
Identity Conflict
通过有效源添加到网络映射中标识数据超时时,生成此事件。
如果要通过重新扫描主机获取更新的有效标识数据来刷新标识冲突,可使用标识冲突事件触
发 Nmap 修复。有关详细信息,请参阅
发 Nmap 修复。有关详细信息,请参阅
。
有关详细信息,请参阅
。
MAC Information Change
系统检测到与特定 MAC 地址或 TTL 值关联的信息发生变化时,生成此事件。
系统检测到主机流量通过路由器时,经常生成此事件。虽然每台主机都有不同的 IP 地址,但
它们似将都有与路由器关联的 MAC 地址。系统检测到与 IP 地址关联的实际 MAC 地址时,
主机配置文件中 MAC 地址显示为粗体文本且在事件视图的事件说明中 MAC 地址显示为“检
测到 ARP/DHCP”消息。 TTL 可能会因为流量可能通过不同的路由器或者系统检测到主机的
实际 MAC 地址而发生改变。
它们似将都有与路由器关联的 MAC 地址。系统检测到与 IP 地址关联的实际 MAC 地址时,
主机配置文件中 MAC 地址显示为粗体文本且在事件视图的事件说明中 MAC 地址显示为“检
测到 ARP/DHCP”消息。 TTL 可能会因为流量可能通过不同的路由器或者系统检测到主机的
实际 MAC 地址而发生改变。
NETBIOS Name Change
系统检测到主机的 NetBIOS 名称改变时,生成此事件。只有有主机使用 NetBIOS 协议时才会
生成此事件。
生成此事件。
New Client
系统检测到新的客户端时,生成此事件。
注
要采集和存储客户数据用于分析,请确保网络发现策略的发现规则中启用应用检测。有关详细信
息,请参阅
息,请参阅
。
New Host
系统检测到新主机在网络中运行时,生成此事件。
如果选择
Discover
选项并在选择了 NetFlow 设备的发现网络规则中选择
Hosts
,设备在处理涉
及新主机的 NetFlow 数据时,也会生成此事件。
New Network Protocol
系统检测到主机使用新的网络协议 (IP、 ARP 等)通信时,生成此事件。
New OS
系统检测到主机适用新的操作系统或者主机操作系统发生变化时,生成此事件。
New TCP Port
系统检测到主机上有活跃的新 TCP 服务器端口 (例如, SMTP 或网络服务使用的端口)时,
生成此事件。注意此事件不用于识别应用协议或与其关联的服务器;此信息在 TCP 服务器信
息更新事件中传输。
生成此事件。注意此事件不用于识别应用协议或与其关联的服务器;此信息在 TCP 服务器信
息更新事件中传输。
如果选择
Discover
选项并在 NetFlow 数据的网络发现规则中选择
Applications
,设备在处理涉及
网络映射中已不存在的受监控网络中服务器的 NetFlow 数据时,也会生成此事件。
New Transport Protocol
系统检测到主机使用新的传输协议,例如 TCP 或 UDP,通信时,生成此事件。