Cisco Cisco Firepower Management Center 2000 User Guide
50-53
FireSIGHT 系统用户指南
第 50 章 使用发现事件
使用用户
查看用户
许可证:FireSIGHT
可查看用户表,然后根据所查找的信息操纵事件视图。
访问用户时所看到的页面因所使用的工作流程而异。可使用预定义工作流程并在用户详情页面终
止,此工作流程包括列出了所有已检测到用户的用户表视图。用户详情页面提供有关符合限制条
件的所有用户的信息。
止,此工作流程包括列出了所有已检测到用户的用户表视图。用户详情页面提供有关符合限制条
件的所有用户的信息。
您也可以创建自定义工作流程,仅显示符合您具体要求的信息。有关创建自定义工作流程的信
息,请参阅
息,请参阅
。
。下表对可在用户工作流程页面
执行的一些特定操作进行了说明。也可在
要查看用户:
访问:管理员/任何安全分析师
步骤 1
选择
Analysis > Users > Users
。
系统显示默认用户工作流程的第一页。要使用不同的工作流程,包括自定义工作流程,请点击
(switch workflow)
。有关指定不同默认工作流程的信息,请参阅
提示
如在使用的自定义工作流程不包括用户的表视图,请点击
(switch workflow)
, ,然后选择
Users
。
了解用户表
许可证:FireSIGHT
如果系统发现用户,会采集有关此用户的数据并将其存储在数据库中。以下对用户表中的字段进
行了说明。
行了说明。
用户
以下任一选项:
–
通过选配防御中心 LDAP 服务器连接采集到的用户的名字、姓氏和用户名
–
如果尚未配置防御中心 LDAP 服务器连接,或对防御中心无法将其 LDAP 记录关联的用
户,仅指用户名
户,仅指用户名
防御中心也显示用于检测用户的协议。
注意,由于记录了失败的 AIM 登录尝试,防御中心可存储无效 AIM 用户 (例如,用户名拼
写错误的用户)。
写错误的用户)。
Current IP
与用户登录的主机关联的 IP 地址。如果该用户登录后另一授权用户登录具有相同 IP 地址的
主机,则此字段为空,除非该用户为授权用户且新用户为未授权用户。(系统将 IP 地址与登
录到该主机的最后一名授权用户关联。)有关授权与 未授权用户的详细信息,请参阅
主机,则此字段为空,除非该用户为授权用户且新用户为未授权用户。(系统将 IP 地址与登
录到该主机的最后一名授权用户关联。)有关授权与 未授权用户的详细信息,请参阅
。