Cisco Cisco Firepower Management Center 2000 User Guide
40-23
FireSIGHT 系统用户指南
第 40 章 分析恶意软件和文件活动
使用恶意软件事件
恶意软件事件的专用搜索语法
为补充上文所列通用搜索语法,以下列表介绍恶意软件事件的一些专用搜索语法。
Sending/Receiving IP
系统返回
Sending IP
或
Receiving IP
符合您指定 IP 地址的所有事件。
事件类型
当使用特定恶意软件事件类型 (参阅
)搜索事件时,请用
引号将事件类型引起,例如:
"Scan Completed With Detection"
。否则,系统执行部分匹配。
即是,如果使用相同字符串但不使用引号进行搜索,系统返回以下几种类型事件:
–
扫描完成,未检出
–
扫描完成,检出
Initiator/Responder Continent
系统返回
Initiator Continent
或
Responder Continent
符合所指定洲的所有事件。
Initiator/Responder Country
系统返回
Initiator Country
或
Responder Country
符合所指定国家/地区的所有事件。
URI 或 Message
系统执行部分匹配,即您可以搜索全部或部分字段内容而无需使用星号。
采取的 SSL 实际操作
键入以下任何关键字,查看系统将指定操作应用到的加密流量的恶意软件事件:
–
Do not Decrypt
代表系统未解密的连接。
–
Block
和
Block with reset
代表被阻止的加密连接。
–
Decrypt (Known Key)
代表使用已知私有密钥解密的传入连接。
–
Decrypt (Replace Key)
代表使用带替代公共密钥的自签服务器证书解密的传出连接。
–
Decrypt (Resign)
代表使用重签服务器证书解密的传出连接。
此列在恶意软件事件表视图中不显示。
SSL 失败的原因
键入以下任何关键字,查看系统由于指定原因无法解密的加密流量的恶意软件事件:
–
Unknown
–
No Match
–
Success
–
Uncached Session
–
Unknown Cipher Suite
–
Unsupported Cipher Suite
–
Unsupported SSL Version
–
SSL Compression Used
–
Session Undecryptable in Passive Mode
–
Handshake Error
–
Decryption Error
–
Pending Server Name Category Lookup
–
Pending Common Name Category Lookup
–
Internal Error