Cisco Cisco Firepower Management Center 2000 User Guide
50-28
FireSIGHT 系统用户指南
第 50 章 使用发现事件
使用危害表现
步骤 5
或者,您可以保存搜索,以备以后使用。您有以下选项:
•
点击
Save
,保存搜索条件。
对于新的搜索,系统将显示一个对话框,提示您提供搜索的名称;请输入一个唯一的搜索名
称,然后点击
称,然后点击
Save
。如果为之前即已存在的搜索保存新的条件,则不会显示提示。搜索保存
成功 (如果您选择了
Private
,则只对您的帐户显示),您以后可以运行此搜索。
•
点击
Save As New
可保存新搜索或通过修改之前保存的搜索为您已创建的搜索指定名称。
系统将显示一个对话框,提示您提供搜索的名称;请输入一个唯一的搜索名称,然后点击
Save
。
搜索保存成功 (如果您选择了
Private
,则只对您的帐户显示),您以后可以运行此搜索。
步骤 6
点击
Search
开始搜索。
搜索结果显示在默认主机属性工作流程中。要使用不同的工作流程,包括自定义工作流程,请点击
(switch workflow)
。有关指定不同默认工作流程的信息,请参阅
。
使用危害表现
许可证:FireSIGHT
FireSIGHT 系统将与主机有关的各种类型的数据 (入侵事件、安全情报、连接事件和文件或恶意
软件事件)关联起来,以确定受监控网络上的主机是否可能被恶意手段损害。事件数据的某些组
合和频率触发了受影响主机上的危害表现 (IOC) 标记。有 IOC 标记的主机的 IP 地址显示在有特殊
危害主机图标 (
软件事件)关联起来,以确定受监控网络上的主机是否可能被恶意手段损害。事件数据的某些组
合和频率触发了受影响主机上的危害表现 (IOC) 标记。有 IOC 标记的主机的 IP 地址显示在有特殊
危害主机图标 (
) 的事件视图中;也可写入对有 IOC 标记的主机进行说明的合规性规则。
要使用此功能,必须在网络发现策略中启用 IOC 规则。可启用任何或所有预定义规则,以触发危
害主机上的 IOC 标记。有关详细信息,请参阅
害主机上的 IOC 标记。有关详细信息,请参阅
。
有关危害表现的详细信息,请参阅:
•
•
•
查看危害表现
许可证:FireSIGHT
可使用防御中心查看已触发危害表现 (IOC) 表。然后,可根据要查找的信息操纵事件视图。
访问 IOC 时所看到的页面因所使用的工作流程的而异。两个预定义的 IOC 工作流程均在主机视图中
终止,该主机视图包含符合限制条件的每台主机的主机配置文件。您也可以创建自定义工作流程,
仅显示符合您具体要求的信息。有关详细信息,请参阅
终止,该主机视图包含符合限制条件的每台主机的主机配置文件。您也可以创建自定义工作流程,
仅显示符合您具体要求的信息。有关详细信息,请参阅
下表说明了可在 IOC 工作流程页面上执行的一些特定操作。也可执行
述的任务。
表
50-7
危害表现操作
要......
您可以......
了解有关表中各列的更多信息
在
查看受损主机的主机配置文件
在
IP Address
列中,点击危害主机图标 (
)。