Cisco Cisco Firepower Management Center 2000 User Guide

39-3

FireSIGHT 系统用户指南 

第 39 章      使用连接与安全情报数据 

  了解连接和安全情报数据  

使用相同的应用协议

由相同的思科受管设备检测，或者由相同的 NetFlow 启用设备导出

每份连接摘要都包括总流量统计信息，以及摘要中连接的数量。因为 NetFlow 启用设备生成单向
连接，所以对于每个基于 NetFlow 数据的连接而言，摘要中的连接数应乘以 2。

请注意，连接摘要中并未包含与摘要中汇总的连接相关联的所有信息。例如，在汇总连接以形成
连接摘要时没有使用客户端信息，因此摘要中不包含客户端信息。

有关详细信息，请参阅以下各节：

长期运行连接

许可证：任何环境

如果汇总连接数据的受控会话跨越两个或多个 5 分钟时间间隔，那么该连接可视为长期运行连
接。当计算连接摘要中的连接数时，系统仅累加启动长期运行连接的 5 分钟间隔内的连接数。

此外，当计算由长期运行连接中的发起方和响应方传输的数据包和字节数时，系统并不会报告每 
5 分钟间隔中实际传输的数据包和字节数。相反，系统会假定一个固定传输比率，并基于传输的
数据包和字节总数、连接长度及每 5 分钟间隔内发生的连接部分计算预估数字。

源于外部响应方的组合连接摘要

许可证：任何环境

要减少存储连接数据所需的空间并加快连接图的绘制，系统将在下列情况下合并连接摘要：

连接中涉及的其中一台主机并不在监控网络中 

除了外部主机的 IP 地址外，摘要中的连接均满足

列出的汇总条

件：协议、应用协议、检测装置等

当在事件查看器中查看连接摘要并使用连接图时，系统将显示外部 IP 地址而非未监控主机的 IP 
地址。

由于执行汇总的缘故，如果您尝试从涉及外部响应方的连接摘要或连接图深入了解连接数据的表
视图 （即，访问单个连接的数据），该表视图将不包含任何信息。

了解连接和安全情报数据字段

许可证：因功能而异

受支持的设备：因功能而异

受支持的防御中心：因功能而异

每个连接表视图或连接图中都包含您正在查看的连接或连接摘要的信息，包括时间戳、 IP 地址、
地理定位信息、应用等。安全情报事件视图中包含与连接事件视图相同的一般信息，但仅列出具
有分配的 

 值的连接。