Cisco Cisco Firepower Management Center 2000 User Guide
40-7
FireSIGHT 系统用户指南
第 40 章 分析恶意软件和文件活动
使用文件事件
您可以使用防御中心事件查看器查看、搜索和删除文件事件。此外,文件控制面板还使用图表快
速展示与网络上检测到的文件 (包括恶意软件文件)相关的详细信息。网络文件轨迹可更加深入
地展现单个文件,提供该文件相关摘要信息以及文件在一段时间内穿过网络的方式。使用文件识
别数据,您可以触发关联规则并创建报告,报告将采用预定义文件报告模板或自定义报告模板。
速展示与网络上检测到的文件 (包括恶意软件文件)相关的详细信息。网络文件轨迹可更加深入
地展现单个文件,提供该文件相关摘要信息以及文件在一段时间内穿过网络的方式。使用文件识
别数据,您可以触发关联规则并创建报告,报告将采用预定义文件报告模板或自定义报告模板。
有关详情,请参阅:
•
•
•
•
查看文件事件
许可证:保护
FireSIGHT 系统事件查看器使您可以在表中查看文件事件,并根据您的分析相关信息操作事件视
图。请注意,可用于任何个别文件事件的信息取决于多种因素,包括许可证。有关详细信息,请
参阅
图。请注意,可用于任何个别文件事件的信息取决于多种因素,包括许可证。有关详细信息,请
参阅
。
在访问文件事件时看到的页面因工作流程有所不同。工作流程只是一系列页面,您可以从广泛视图
移动至更加突出重点的视图,使用这些页面评估事件。系统配备以下预定义文件事件工作流程:
移动至更加突出重点的视图,使用这些页面评估事件。系统配备以下预定义文件事件工作流程:
•
文件摘要默认快速提供不同文件事件类别和类型明细以及相关恶意软件文件性质。
•
接收文件的主机和发送文件的主机提供已经接收或发送文件的主机列表,该列表已按照这些
文件的相关恶意软件性质进行分组。
文件的相关恶意软件性质进行分组。
注
只有系统已经完成恶意软件云查找的文件才会显示文件性质。有关信息,请参阅
。
您也可以创建自定义工作流程,仅显示符合您具体要求的信息。有关指定不同默认工作流程 (包
括自定义工作流程)的信息,请参阅
括自定义工作流程)的信息,请参阅
FireSIGHT 系统支持在所有网络界面区域显示和输入使用 Unicode (UTF-8) 字符的文件名,这些区域
包括事件查看器、事件搜索、控制面板、情景管理器等等。但是请注意,您以 PDF 格式生成的报
告不支持 Unicode;Unicode 文件名将在 PDF 报告中以转译形式显示。有关详细信息,请参阅
包括事件查看器、事件搜索、控制面板、情景管理器等等。但是请注意,您以 PDF 格式生成的报
告不支持 Unicode;Unicode 文件名将在 PDF 报告中以转译形式显示。有关详细信息,请参阅
。另请注意, SMB 协议会将 Unicode 文件名转换为可打印字符;您在
SMB 上检测到的使用 Unicode 文件名的文件在显示时会用句点 (
.
) 代替任何不可打印的字符。
使用事件查看器,您可以:
•
搜索、分类和限制事件,以及变更已显示事件的时间范围
•
指定显示的列 (仅适用于表视图)
•
查看 IP 地址相关主机配置文件,或者与用户标识相关的用户详细信息和主机历史
•
查看检测到具体文件的连接
•
查看同一工作流程内使用不同工作流程页面的事件
•
集中查看使用不同工作流程的事件
•
展开工作流程内应用具体值限制的各个页面
•
给当前页加书签并进行限制,以便您在此后返回至相同数据 (假设该数据仍然存在)
•
查看文件相关可路由 IP 地址的发送和接收国家/地区及洲