Cisco Cisco Firepower Management Center 2000 User Guide
52-29
FireSIGHT 系统用户指南
第 52 章 将 FireSIGHT 系统用作一个合规工具
处理白名单事件
搜索合规白名单事件
许可证:FireSIGHT
您可以搜索特定的合规白名单事件。您可能想要创建适合您网络环境的自定义搜索,然后进行保
存,以便后续使用。下表列出了可以使用的搜索条件。
存,以便后续使用。下表列出了可以使用的搜索条件。
要搜索合规白名单事件,请执行以下操作:
访问:管理员/任何安全分析师
步骤 1
选择
Analysis > Search
。
系统将显示 Search 页面。
步骤 2
从表下拉列表中选择
White List Events
。
系统将用相应限制更新页面。
步骤 3
按照
•
所有字段都接受求反 (
!
)。
•
所有字段都接受逗号分隔的搜索值列表。包含指定字段中列出的任何值的记录与该搜索条件
匹配。
匹配。
•
所有字段都接受将用引号引起来的逗号分隔列表作为搜索值。
–
对于只能包含一个值的字段,将包含用引号引住的指定精确字符串的指定字段的记录与
搜索条件匹配。例如,搜索
搜索条件匹配。例如,搜索
A, B, "C, D, E"
时,匹配记录为包含
"A"
或
"B"
或
"C, D, E"
的指定字段。这允许与可能的值中包含逗号的字段匹配。
–
对于可能同时包含多个值的字段,指定字段包含用引号引住的逗号分隔列表中所有值的
记录与该搜索条件匹配。
记录与该搜索条件匹配。
表
52-5
合规白名单事件的条件
字段
搜索条件规则
策略
输入关联策略的名称,返回由于违反该策略所包含的白名单而导致的所有事件。
White List
输入白名单的名称,返回由于违反该白名单而导致的所有事件。
说明
输入白名单事件的描述。
优先级
根据关联策略中白名单的优先级或关联策略自身的优先级,指定白名单事件
的优先级。请注意,白名单的优先级优先于策略的优先级。输入
的优先级。请注意,白名单的优先级优先于策略的优先级。输入
none
,表示
没有优先级。
有关设置关联规则和策略优先级的详细信息,请参阅
和
IP地址
指定不符合白名单规定的主机的 IP 地址。
用户
指定登录不符合白名单规定的主机的用户身份。
端口
指定与触发应用协议白名单违规 (违规应用协议造成的违规)的发现事件关
联的端口 (如有)。
联的端口 (如有)。
Host Criticality
指定白名单事件中涉及的源主机的重要性:
None
、
Low
、
Medium
或
High
。有关
主机重要性的详细信息,请参阅
。
设备
键入设备名称或 IP 地址或设备组、堆栈或集群名称,将搜索限制于已检测到
白名单违规的特定设备。有关 FireSIGHT 系统如何处理搜索中的设备字段的
详细信息,请参阅
白名单违规的特定设备。有关 FireSIGHT 系统如何处理搜索中的设备字段的
详细信息,请参阅
。