Cisco Cisco Firepower Management Center 2000 User Guide

39-29

FireSIGHT 系统用户指南 

第 39 章      使用连接与安全情报数据 

  搜索连接和安全情报数据  

带一个数值 （Bytes、 Packets 和 Connections）的条件

您可以将下列字符添加在该数值前面：大于 (

>

)、大于或等于(

>=

)、小于(

<

)、小于或等于(

<=

) 

或者等于 (

=

)。

提示

要查看通过 

 条件进行搜索获得的有意义结果，您必须使用具有连接摘要页面的自定义

工作流程。

与连接相关的 

 或 

您无法使用连接/安全情报事件 Search 页面搜索与连接相关联的文件、恶意软件和入侵事件。
有关查看这些相关事件的信息，请参阅

连接的 

 或 

系统执行部分匹配，即您可以搜索全部或部分字段内容而无需使用星号。

连接中使用的总流量 （字节）或传输协议

要确定连接表视图上是否存在协议或流量约束，请展开搜索限制。

要搜索特定协议，请使用 

 中列出的名称或编

号协议。

这些列不会显示在表视图中。

NetFlow 连接中的 TCP Flags

键入以逗号分隔的一列 TCP 标志，查看至少具有其中一个标志 （而不是全部）的所有连接。
您也可以选择 

 复选框搜索仅具有您所指定 TCP 标志的连接。

应用于连接的 SSL 加密

键入 

yes

 或 

no

 查看 SSL 加密或未加密连接。

此列不显示在安全情报或连接事件表视图中。

键入为 

 和 

 列出的一个或多个关键字，以查看系统对其应用操作

或发生问题的已加密流量。此字段可能同时包含一个 

 值和 

 值。

当解密成功时，安全情报和连接事件表视图在 

 列中显示 

 的值。当系

统解密流量失败时，安全情报和连接事件表视图在 

 列中同时显示 

 

 和 

的值。

键入任何以下关键字，以查看系统已应用指定操作的已加密流量：

  –

Do not Decrypt

 代表系统未解密的连接。

  –

Block

 和 

Block with reset

 代表被阻止的加密连接。

  –

Decrypt (Known Key)

 代表使用已知私有密钥解密的传入连接。

  –

Decrypt (Replace Key)

 代表使用带替代公共密钥的自签服务器证书解密的传出连接。

  –

Decrypt (Resign)

 代表使用重签服务器证书解密的传出连接。

当解密成功时，安全情报和连接事件表视图在 

 列中显示此值。当系统解密流量失败

时，安全情报和连接事件表视图在 

 列中同时显示此值和 

。