Cisco Cisco Firepower Management Center 2000 User Guide
40-29
FireSIGHT 系统用户指南
第 40 章 分析恶意软件和文件活动
使用捕获的文件
•
在任一字段指定
n/a
以便识别信息不适用于该字段的事件;使用
!n/a
识别字段填充事件。
•
点击搜索字段旁边的添加对象图标 (
),使用对象作为搜索条件。
有关搜索语法的详细信息,包括在搜索中使用对象,请参阅
。
捕获文件的专用搜索语法
为补充上文所列通用搜索语法,下表介绍一些捕获文件的专用搜索语法。
要搜索捕获文件,请执行以下操作:
访问:管理员/任何安全分析师
步骤 1
选择
Analysis > Search
。
系统将显示 Search 页面。
步骤 2
从表下拉列表中选择
Captured Files
。
页面根据相应限制进行更新。
步骤 3
在相应字段输入搜索条件。
步骤 4
如果您计划保存搜索,也可以选择
Private
复选框,将搜索保存为私有,这样就只有您可以访问
它。否则,请清除此复选框,将搜索保存为适用于所有用户。
提示
如想要使用搜索作为对自定义用户角色的数据限制,必须将其另存为私有搜索。
表
40-5
捕获文件的专用搜索语法
搜索条件
专用语法
Storage Status
指定以下一项或多项内容:
•
File Stored
- 返回设备存储的所有捕获文件
•
Unable to Store File
- 返回设备未存储的所有捕获文件
Dynamic Analysis Status
指定以下一项或多项内容:
•
Sent for Analysis
- 返回排队等待进行动态分析的所有捕获文件
•
Not Sent for Analysis
- 返回未提交用于动态分析的所有捕获文件
•
Analysis Complete
- 返回提交用于动态分析且收到威胁评分和动态分析总结报告的所
有捕获文件
•
Previously Analyzed
- 返回用户尝试再次提交用于动态分析且含有缓存的威胁评分的
所有文件
•
Failure (Analysis Timeout)
- 返回提交用于动态分析,且云尚未返回结果的所有捕获
文件
•
Failure (Network Issue)
- 返回因网络连接故障未提交用于动态分析的所有文件
•
Failure (Cannot Run File)
- 返回在测试环境中云不能运行的已提交用于动态分析的
所有文件