Cisco Cisco Firepower Management Center 2000 User Guide

Page of 1826
 
52-30
FireSIGHT 系统用户指南
  
 52        FireSIGHT 系统用作一个合规工具         
  处理白名单的违规事件
  –
对于可能同时包含多个值的字段,搜索条件可以包括单个值以及用引号引住的逗号分隔
列表。例如,在某字段上搜索 
A, B, "C, D, E"
 时,如果该字段可能包含其中一个或多个
这些字母,则匹配记录的指定字段将包含 
A
 或 
B
或同时包含 
C
D
和 
E
  •
搜索仅返回与所有字段的指定搜索条件均匹配的记录。
  •
许多字段接受一个或多个星号 (
*
) 作为通配符。
  •
在任一字段指定 
n/a
 以便识别信息不适用于该字段的事件;使用 
!n/a
 识别字段填充事件。
  •
点击搜索字段旁边的添加对象图标  (
),使用对象作为搜索条件。
有关搜索语法 (包括在搜索中使用对象)的详细信息,请参阅
步骤 4
如果您计划保存搜索,也可以选择 
Private
 复选框,将搜索另存为私有,这样只有您才能访问它。
否则,请清除此复选框,为所有用户保存搜索。
提示
如想要使用搜索作为对自定义用户角色的数据限制,必须将其另存为私有搜索。
步骤 5
或者,您可以保存搜索,以备以后使用。您有以下选项:
  •
点击 
Save
,保存搜索条件。
对于新的搜索,系统将显示一个对话框,提示您提供搜索的名称;请输入一个唯一的搜索名
称,然后点击 
Save
。如果为之前即已存在的搜索保存新的条件,则不会显示提示。搜索保存
成功 (如果您选择了 
Private
,则只对您的帐户显示),以便您稍后运行此搜索。
  •
点击 
Save As New
 可保存新搜索或通过修改之前保存的搜索为您已创建的搜索指定名称。
系统将显示一个对话框,提示您提供搜索的名称;请输入一个唯一的搜索名称,然后点击 
Save
搜索保存成功 (如果您选择了 
Private
,则只对您的帐户显示),以便您稍后运行此搜索。
步骤 6
点击 
Search
 开始搜索。
搜索结果将显示在默认白名单事件的工作流程中,受当前时间范围的限制。要使用不同的工作流
程,包括自定义工作流程,请按照工作流程标题点击
 (switch workflow)
。有关指定不同默认工作流
程的信息,请参阅
处理白名单的违规事件
许可证:FireSIGHT
系统跟踪网络上主机违反活动关联策略中的合规白名单的方式。您可以搜索并查看这些记录。
有关详细信息,请参阅:
  •
  •
  •