Cisco Cisco Firepower Management Center 2000 User Guide

50-19

FireSIGHT 系统用户指南 

第 50 章      使用发现事件 

  使用主机  

分配给主机的用户指定的关键性值。请参阅

中 Host Criticality 

列的说明，了解有关此字段的详细信息。

主机的 NetBIOS 名称。只有运行 NetBIOS 协议的主机才有 NetBIOS 名称。

主机使用的 VLAN ID。有关 VLAN ID 的详细信息，请参阅

。

跃点数

逐一检测主机的设备的网络跳数。

主机类型 （主机、移动设备、越狱移动设备、路由器、网桥、 NAT 设备或负载均衡器）。系
统用于区分网络设备的方法包括：

  –

分析思科发现协议 (CDP) 消息，可识别网络设备及其类型 （仅限思科设备）

  –

检测生成树协议 (STP)，可识别作为交换机或网桥的设备

  –

检测使用同一 MAC 地址的多台主机，可用于识别 MAC 地址为属于路由器

  –

检测客户端 TTL 值的变化或变化频率高于典型启动时间的 TTL 值，可用于识别 NAT 设
备和负载均衡器

如果设备未被识别为网络设备，则归类为主机。

硬件

移动设备的硬件平台。

操作系统

检测到的在主机上运行的 （名称、供应商和版本）或使用 Nmap 或主机输入功能更新的操作
系统。从控制面板上 Custom Analysis 构件中调用主机事件视图时，此字段显示。它也是基于
主机表的自定义表中的一个字段选项。

注意：如果系统检测到多个标识，这些标识将显示在逗号分隔列表中。

在此字段中，

unknown

 值是指不与任何已知指纹匹配的操作系统。

pending

 值表明系统尚未采

集到足够的信息用于识别操作系统。

主机上检测到的或使用 Nmap 或主机输入功能升级的的操作系统的供应商。

注意：如果系统检测到多个供应商，这些供应商将显示在逗号分隔列表中。

在此字段中，

unknown

 值是指不与任何已知指纹匹配的操作系统。

pending

 值表明系统尚未采

集到足够的信息用于识别操作系统。

检测到的在主机上运行的或使用 Nmap 或主机输入功能更新的操作系统。

注意：如果系统检测到多个名称，这些名称将显示在逗号分隔列表中。

在此字段中，

unknown

 值是指不与任何已知指纹匹配的操作系统。

pending

 值表明系统尚未采

集到足够的信息用于识别操作系统。