Cisco Cisco Firepower Management Center 2000 User Guide

Page of 1826
 
39-7
FireSIGHT 系统用户指南 
 
 39       使用连接与安全情报数据 
  了解连接和安全情报数据  
Network Analysis Policy
与事件生成相关的网络分析策略 (NAP) (如果有)。
Reason
在以下几种情况,连接被记录的原因:
  –
User Bypass
 表示系统最初阻止了用户的 HTTP 请求,但用户选择通过点击警告页面继续
访问原先请求的站点。
User Bypass
 原因始终与 
Allow
 操作匹配。
  –
IP Block
 表示系统根据安全情报数据未经检查就拒绝连接。
IP Block
 原因始终与 
Block
 操
作匹配。
  –
IP Monitor
 表示系统根据安全情报数据本可拒绝连接,但您将系统配置为监控连接,而
不是拒绝连接。
  –
File Monitor
 表示系统在连接中检测到特定类型的文件。
  –
File Block
 表示连接中包含系统禁止传输的文件或恶意软件文件。
File Block
 原因始终
与 
Block
 操作匹配。
  –
File Custom Detection
 表示连接中包含自定义检测列表上的系统禁止传输的文件。
  –
File Resume Allow
 表示文件传输最初被 Block Files 或 Block Malware 文件规则阻止。应
用允许文件的新访问控制策略后,会自动恢复 HTTP 会话。请注意,此原因只出现在内
联部署中。
  –
File Resume Block
 表示件传输最初被 Detect Files 或 Malware Cloud Lookup 文件规则允
许。应用阻止文件的新访问控制策略后,会自动停止 HTTP 会话。请注意,此原因只出
现在内联部署中。
  –
SSL Block
 表示系统基于 SSL 检查配置阻止了加密连接。
SSL Block
 原因始终与 
Block
 操
作匹配。
  –
Intrusion Block
 表示系统阻止或本可阻止在连接中检测到的攻击程序 (违反入侵策
略)。
Intrusion Block
 原因与用于阻止攻击程序的 
Block
 操作和用于本可阻止的攻击程
序的 
Allow
 操作相匹配。
  –
Intrusion Monitor
 表示系统检测到但并未阻止连接中检测到的攻击程序。当触发的入侵
规则状态设置为 
Generate Events
 时,会发生这种情况。
Referenced Host
如果连接的协议是 DNS、 HTTP 或 HTTPS,此字段显示各自协议使用的主机名。
Security Context
识别流量通过的虚拟防火墙组的元数据。请注意,系统仅对多情景模式下的 ASA FirePOWER 
设备填充此字段。
Security Intelligence Category
表示或包含连接中被列为黑名单的 IP 地址的黑名单对象名称。安全情报类别可以是网络对象
或网络组、全局黑名单、自定义安全情报列表或源、或者情报源中一个类别的名称。请注
意,只有在 
Reason
 是 
IP Block
 或 
IP Monitor
 时才填充该字段;安全情报事件视图中的条目始
另请注意,无论是 DC500 防御中心还是 2 系列设备都不支持此功能。
Source Device
导出连接数据的 NetFlow 启用设备的 IP 地址。如果受管设备检测到连接,则此字段包含 
FireSIGHT
 值。