Cisco Cisco Firepower Management Center 2000 User Guide
52-32
FireSIGHT 系统用户指南
第 52 章 将 FireSIGHT 系统用作一个合规工具
处理白名单的违规事件
要查看合规白名单的违规事件,请执行以下操作:
访问:管理员/任何安全分析师/发现管理员
步骤 1
选择
Analysis > Correlation > White List Violations
。
系统将显示默认白名单违规事件工作流程的第一个页面。要使用不同的工作流程,包括自定义工
作流程,请按照工作流程标题点击
作流程,请按照工作流程标题点击
(switch workflow)
。有关指定不同默认工作流程的信息,请参阅
。
了解白名单违规事件表
许可证:FireSIGHT
您可以使用关联策略功能,构建让系统实时响应网络威胁的
关联策略。关联策略描述构成违规
(包括违反合规白名单)的活动类型。有关关联策略的详细信息,请参阅
当合规白名单被违反时,系统记录该违规事件。请注意,您无法在表视图中设置事件时间限制,
这是因为表视图仅显示网络上当前的主机违规事件。下表列出了白名单违规事件表中的字段。
这是因为表视图仅显示网络上当前的主机违规事件。下表列出了白名单违规事件表中的字段。
表
52-7
合规白名单的违规事件的字段
字段
说明
时间
该白名单违规事件被检测到的日期和时间。
IP地址
违规主机的相关 IP 地址。
类型
白名单违规事件的类型,即,该违规事件是否由于下列内容不合规而导致的:
•
操作系统 (
os
)
•
应用协议 (
server
)
•
客户端 (
client
)
•
通信协议 (
protocol
)
•
网络应用 (
web
)
信息
与该白名单违规事件相关的任何可用的供应商、产品或版本信息。
例如,如果白名单只允许运行 Microsoft Windows 主机,则 Information 字段描
述的是不运行 Microsoft Windows 的主机的操作系统。
述的是不运行 Microsoft Windows 的主机的操作系统。
对于违反白名单的通信协议, Information 字段表示违规是由网络协议还是传
输协议造成的。
输协议造成的。
端口
与触发应用协议白名单违规 (违规应用协议造成的违规)的事件关联的端口
(如有)。对于其他类型的白名单违规活动,该字段为空白。
协议
与触发应用协议白名单违规 (违规应用协议造成的违规)的事件关联的通信
协议 (如有)。对于其他类型的白名单违规活动,该字段为空白。
协议 (如有)。对于其他类型的白名单违规活动,该字段为空白。
White List
被违反的白名单的名称。
计数
与每行中所显示的信息匹配的事件数。请注意,仅在您运用了某个创建了两个
或多个相同行的限制之后, Count 字段才显示。
或多个相同行的限制之后, Count 字段才显示。