Cisco Cisco Firepower Management Center 2000 User Guide

Page of 1826
 
58-4
FireSIGHT 系统用户指南
  
 58       了解和使用工作流程       
  工作流程的组件
表 
58-1
预定义入侵事件工作流程 
工作流程名称
说明 
目的端口
由于目标端口通常绑定到应用,因此该工作流程可以帮助检测遭遇异常高的警报量的应用。
Destination Port 列可以帮助识别不应存在于网络上的应用。
此工作流程以其中显示了与入侵事件关联的目标端口的页面开头,后跟其中显示了已生成的事
件类型的页面。然后,可以看到事件信息的表视图 (称为事件表视图),后跟其中显示了与每
个事件关联的数据包的已解码内容的数据包视图。
Event-Specific
此工作流程提供两个有用的功能。频繁发生的事件可能指示:
  •
误报
  •
蠕虫
  •
配置错误的网络
偶尔发生的事件很可能指示针对性攻击和特别关注事项。
此工作流程以其中显示了已生成的事件类型的页面开头。然后,可以查看包含两个表的页面,
一个表列出与事件关联的源 IP 地址,另一个表显示与事件关联的目标 IP 地址。工作流程中的
最终页面为事件表视图和数据表视图。
Events by Priority 
and Classification
此工作流程按事件优先级列出事件及其类型,随之还列出一个表明每个事件已发生的次数的
计数。
此工作流程以包含所列的每个事件的优先级、分类和计数的向下钻取页面开头。工作流程中的
最终页面为事件表视图和数据表视图。
Events to 
Destinations
此工作流程提供受攻击主机 IP 地址和攻击性质的高级视图;在适用情况下,还可查看有关攻
击中涉及的国家/地区的信息。
此工作流程以由成对的事件类型和目标 IP 地址组成的页面开头,该页面可用于调查哪些事件
类型面向特定 IP 地址。工作流程中的最终页面为事件表视图和数据表视图。
IP-Specific
此工作流程显示哪些主机 IP 地址生成最多警报。事件数最多的主机面向公众并接收蠕虫类型
流量 (指示适合进行调整的位置),或者需要进一步调查以确定警报原因。具有最低计数的主
机也有必要进行调查,因为它们可能是针对性攻击的对象。低计数还可指示主机可能不属于该
网络。
此工作流程以其中显示了两个表的页面开头,一个表示与事件关联的源 IP 地址,另一个表示
与事件关联的目标 IP 地址。下一页显示生成的事件类型。工作流程中的最终页面为事件表视
图和数据表视图。
Impact and Priority
通过此工作流程,可以快速查找重大影响复发事件。报告的影响级别通过事件已发生的次数进
行显示。使用此信息,可以识别复发最频繁的重大影响事件,此类事件可能指示攻击在网络上
范围广泛。
此工作流程以其中显示了与每个事件关联的影响级别、优先级和计数的页面开头。接下来,系
统将显示含有每个事件的源 IP 地址和目标 IP 地址的向下钻取页面。第二页上的事件按计数排
序。工作流程中的最终页面为事件表视图和数据表视图。
Impact and Source
此工作流程可帮助识别进行中的攻击的源。报告的影响级别通过事件的关联源 IP 地址进行显
示。例如,如果具有 1 级影响的事件重复来自同一源 IP 地址,则这些事件可能指示攻击者已
识别易受攻击的系统并在针对这些系统。
此工作流程以其中显示了与每个事件关联的影响级别、源 IP 地址、优先级和计数的页面开头。
在每个事件级别内,事件依次按计数和优先级排序。接下来,系统将显示含有每个事件的源 IP 
地址和目标 IP 地址的向下钻取页面。第二页上的事件按计数排序。工作流程中的最终页面为
事件表视图和数据表视图。