Cisco Cisco Firepower Management Center 2000 User Guide
40-12
FireSIGHT 系统用户指南
第 40 章 分析恶意软件和文件活动
使用文件事件
Sending/Receiving Continent
系统返回所有
Sending Continent
或
Receiving Continent
符合所指定洲的事件。
Sending/Receiving Country
系统返回
Sending Country
或
Receiving Country
符合您指定的国家/地区的所有事件。
Sending/Receiving IP
系统返回
Sending IP
或
Receiving IP
符合您指定 IP 地址的所有事件。
URI 或 Message
系统执行部分匹配,即您可以搜索全部或部分字段内容而无需使用星号。
File Storage
键入以下一项或多项:
–
Stored
返回目前存储关联文件的所有事件。
–
Stored in connection
返回系统捕获并存储关联文件的所有事件,无论目前是否已存储关
联文件。
–
Failed
返回系统未能存储关联文件的所有事件。
采取的 SSL 实际操作
键入以下任何关键字,查看系统将指定操作应用到的加密流量的文件事件:
–
Do not Decrypt
代表系统未解密的连接。
–
Block
和
Block with reset
代表被阻止的加密连接。
–
Decrypt (Known Key)
代表使用已知私有密钥解密的传入连接。
–
Decrypt (Replace Key)
代表使用带替代公共密钥的自签服务器证书解密的传出连接。
–
Decrypt (Resign)
代表使用重签服务器证书解密的传出连接。
此列在文件事件表视图中不显示。
SSL 失败的原因
键入以下任何关键字,查看系统由于指定原因无法解密的加密流量的文件事件:
–
Unknown
–
No Match
–
Success
–
Uncached Session
–
Unknown Cipher Suite
–
Unsupported Cipher Suite
–
Unsupported SSL Version
–
SSL Compression Used
–
Session Undecryptable in Passive Mode
–
Handshake Error
–
Decryption Error
–
Pending Server Name Category Lookup
–
Pending Common Name Category Lookup
–
Internal Error
–
Network Parameters Unavailable