Cisco Cisco Firepower Management Center 2000 User Guide
56-41
FireSIGHT 系统用户指南
第 56 章 使用 Context Explorer
使用 Context Explorer 中的过滤器
在 Filter 字段中,可以输入特殊搜索参数,例如,
*
和
!
作为事件搜索的重要参数。可创建排斥过
滤器,只需将
!
符号作为过滤器参数的前缀。有关 FireSIGHT 系统通常支持的搜索限制的详细信
息,请参阅
。
当多个过滤器活跃时,同一种数据类型的值被视为 OR 搜索条件:将出现至少与其中一个值相匹
配的所有数据。不同数据类型的值被视为 AND 搜索条件:显示至少与每种过滤数据类型相匹配
的数据。例如,为
配的所有数据。不同数据类型的值被视为 AND 搜索条件:显示至少与每种过滤数据类型相匹配
的数据。例如,为
Application: 2channel
、
Application: Reddit
和
User: edickinson
的过滤器
集显示的数据必须与用户
edickinson
和 应用
2channel
或应用
Reddit
相关联。
确认过滤器的数据类型和值后,过滤器构件出现在页面的左上角,显示新过滤器的数据类型和值。
由于可能想要先配置多个过滤器,然后再应用它们,并且, Context Explorer 可能需要时间完全重
新加载所有部分,添加的过滤器将不自动应用。要应用过滤器,必须点击
新加载所有部分,添加的过滤器将不自动应用。要应用过滤器,必须点击
Apply Filters
。已配置但
尚未应用的过滤器会逐渐消失。一次性最多可配置 20 个过滤器,此外,点击过滤器构件上的删
除图标 (
除图标 (
) 即可删除单个过滤器。如果要一次性删除所有过滤器,可点击
Clear
按钮。
请注意某些过滤器类型与其他类型不兼容:例如,与入侵事件相关的过滤器 (例如,
Device
和
Inline Result
)无法与连接事件相关的过滤器 (例如,
Access Control Action
)同时应用,因为系统无
法按入侵事件数据对连接事件数据进行排序。系统将自动阻止同时应用不兼容过滤器;只要存在
不兼容性,当一个过滤器类型最近被激活时,不兼容的过滤器会被隐藏。
不兼容性,当一个过滤器类型最近被激活时,不兼容的过滤器会被隐藏。
请注意,显示的数据取决于您如何许可和部署受管设备、您是否配置了提供数据的功能,以及,
如果是 2 系列设备,该设备是否支持提供数据的功能等因素。例如,因为 DC500 防御中心和 2 系
列设备都不支持按类别和信誉进行 URL 过滤,所以, DC500 防御中心不能显示该功能的数据,
且 2 系列设备也无法检测到该数据。
如果是 2 系列设备,该设备是否支持提供数据的功能等因素。例如,因为 DC500 防御中心和 2 系
列设备都不支持按类别和信誉进行 URL 过滤,所以, DC500 防御中心不能显示该功能的数据,
且 2 系列设备也无法检测到该数据。
要从 Add Filter 窗口新建过滤器,请执行以下操作:
访问:管理员/任何安全分析师
步骤 1
选择
Analysis > Context Explorer
。
系统将显示 Context Explorer。
步骤 2
在右上角的
Filters
项下方,点击加号图标 (
)。
系统将显示 Add Filter 弹出窗口。
IOC Event Type
exploit-kit
,
malware-backdoor
与特定危害表现 (IOC) 相关联的标识符,指触发该标
识符的事件
识符的事件
Malware Threat Name
W32.Trojan.a6b1
恶意软件威胁的名称
OS Name
Windows
,
Linux
操作系统的名称
操作系统版本
XP
,
2.6
操作系统的特定版本
优先级
high
,
low
事件的预估紧急程度
Security Intelligence
Category
Category
Malware
,
Spam
危险流量的类别,取决于安全情报
Security Zone
My Security Zone
,
Security Zone X
一组接口,流量通过该接口进行分析并在内联部署中
传递
传递
SSL
yes, no
SSL 或 TLS 加密流量
用户
wsmith
,
mtwain
登录至受监控网络中主机的用户的身份
表
56-2
过滤器数据类型 (续)
类型
示例值
定义