Cisco Cisco Firepower Management Center 2000 User Guide
58-16
FireSIGHT 系统用户指南
第 58 章 了解和使用工作流程
使用工作流程
使用工作流程页面
许可证:任何环境
可以在工作流程页面上执行的操作取决于页面类型。表视图页面和向下钻取页面包含许多可用于限
制要查看的事件集或浏览工作流程的功能。有关各类型的页面上可用的功能的详细信息,请参阅:
制要查看的事件集或浏览工作流程的功能。有关各类型的页面上可用的功能的详细信息,请参阅:
•
•
•
•
•
使用通用表视图或向下钻取页面功能
许可证:任何环境
表视图和向下钻取工作流程页面在表头和表行中提供可用于对所显示数据执行操作的一组图标和
其他功能。
其他功能。
下表中对功能进行了描述。
表
58-22
表视图和向下钻取页面功能
特性
说明
点击蓝色向下箭头图标以显示工作流程的下一页中的对应行。
(无害)
(恶意软件)
(自定义检测)
(未知)
(不可用)
点击显示在文件名和 SHA-256 哈希值列中的网络文件轨迹图标,以在新窗口中查看文件
的轨迹图。有关详细信息,请参阅
的轨迹图。有关详细信息,请参阅
请注意,由于 DC500 防御中心、2 系列设备和 用于 Blue Coat X-系列的思科 NGIPS不支持
高级恶意软件防护,因此无法在这些设备上查看基于网络的恶意软件和文件事件的网络
文件轨迹。
高级恶意软件防护,因此无法在这些设备上查看基于网络的恶意软件和文件事件的网络
文件轨迹。
(潜在受损)
(已列入黑名单)
(已列入黑名单,
设置进行监控)
点击显示在 IP 地址列中的主机配置文件图标,以在弹出窗口中显示与该 IP 地址关联的主
机配置文件。有关详细信息,请参阅
机配置文件。有关详细信息,请参阅
已被所触发的危害表现 (IOC) 规则标记为潜在受损的主机显示带有受损主机图标而不是正
常图标。有关 IOC 的详细信息,请参阅
常图标。有关 IOC 的详细信息,请参阅
如果主机配置文件图标灰显,则无法查看主机配置文件,因为该主机不能位于网络映射
中 (例如,
中 (例如,
0.0.0.0
)。
如果是根据安全情报数据执行流量过滤,则连接事件视图中列入黑名单的 IP 地址和受监
控 IP 地址旁边的主机图标略有不同。这有助于识别连接中列入黑名单的主机。请注意,
DC500 防御中心和 2 系列设备都不支持安全情报数据。
控 IP 地址旁边的主机图标略有不同。这有助于识别连接中列入黑名单的主机。请注意,
DC500 防御中心和 2 系列设备都不支持安全情报数据。
(低威胁评分)
(中等威胁评分)
(高威胁评分)
(超高威胁评分)
点击显示在危险评分列中的威胁评分图标,以查看与文件关联的最高威胁评分的 Dynamic
Analysis Summary 报告。
Analysis Summary 报告。
请注意,由于 DC500 防御中心、2 系列设备和 用于 Blue Coat X-系列的思科 NGIPS支持高
级恶意软件防护,因此无法在这些设备上查看 Dynamic Analysis Summary 报告。
级恶意软件防护,因此无法在这些设备上查看 Dynamic Analysis Summary 报告。