Cisco Cisco Firepower Management Center 2000 User Guide
39-29
FireSIGHT 系统用户指南
第 39 章 使用连接与安全情报数据
搜索连接和安全情报数据
带一个数值 (Bytes、 Packets 和 Connections)的条件
您可以将下列字符添加在该数值前面:大于 (
>
)、大于或等于(
>=
)、小于(
<
)、小于或等于(
<=
)
或者等于 (
=
)。
提示
要查看通过
Connections
条件进行搜索获得的有意义结果,您必须使用具有连接摘要页面的自定义
工作流程。
与连接相关的
Files
或
Intrusion Events
您无法使用连接/安全情报事件 Search 页面搜索与连接相关联的文件、恶意软件和入侵事件。
有关查看这些相关事件的信息,请参阅
有关查看这些相关事件的信息,请参阅
连接的
Initiator User
或
URL
系统执行部分匹配,即您可以搜索全部或部分字段内容而无需使用星号。
连接中使用的总流量 (字节)或传输协议
要确定连接表视图上是否存在协议或流量约束,请展开搜索限制。
要搜索特定协议,请使用
中列出的名称或编
号协议。
这些列不会显示在表视图中。
NetFlow 连接中的 TCP Flags
键入以逗号分隔的一列 TCP 标志,查看至少具有其中一个标志 (而不是全部)的所有连接。
您也可以选择
您也可以选择
Only
复选框搜索仅具有您所指定 TCP 标志的连接。
应用于连接的 SSL 加密
键入
yes
或
no
查看 SSL 加密或未加密连接。
此列不显示在安全情报或连接事件表视图中。
The SSL Status
键入为
SSL Actual Action
和
SSL Failure Reason
列出的一个或多个关键字,以查看系统对其应用操作
或发生问题的已加密流量。此字段可能同时包含一个
SSL Actual Action
值和
SSL Failure Reason
值。
当解密成功时,安全情报和连接事件表视图在
SSL Status
列中显示
SSL Actual Action
的值。当系
统解密流量失败时,安全情报和连接事件表视图在
SSL Status
列中同时显示
SSL Actual
Action
和
SSL Failure Reason
的值。
The SSL Actual Action taken
键入任何以下关键字,以查看系统已应用指定操作的已加密流量:
–
Do not Decrypt
代表系统未解密的连接。
–
Block
和
Block with reset
代表被阻止的加密连接。
–
Decrypt (Known Key)
代表使用已知私有密钥解密的传入连接。
–
Decrypt (Replace Key)
代表使用带替代公共密钥的自签服务器证书解密的传出连接。
–
Decrypt (Resign)
代表使用重签服务器证书解密的传出连接。
当解密成功时,安全情报和连接事件表视图在
SSL Status
列中显示此值。当系统解密流量失败
时,安全情报和连接事件表视图在
SSL Status
列中同时显示此值和
SSL Failure Reason
。