Cisco Cisco Firepower Management Center 2000 User Guide
40-35
FireSIGHT 系统用户指南
第 40 章 分析恶意软件和文件活动
使用网络文件轨迹
映射 y 轴包含与该文件交互的所有主机 IP 地址列表。 IP 地址按照系统在主机上首次检测到该文件
的时间降序排列。每行都包含与该 IP 地址相关的所有事件,无论是单一文件事件、文件传送还是
回溯事件。 x 轴包含系统检测到各个事件的日期和时间。时间戳按时间顺序排列。如果一分钟内发
生多个事件,在同一栏中列出所有事件。您可以水平或垂直滚动映射,以查看其他事件和 IP 地址。
的时间降序排列。每行都包含与该 IP 地址相关的所有事件,无论是单一文件事件、文件传送还是
回溯事件。 x 轴包含系统检测到各个事件的日期和时间。时间戳按时间顺序排列。如果一分钟内发
生多个事件,在同一栏中列出所有事件。您可以水平或垂直滚动映射,以查看其他事件和 IP 地址。
映射中显示多达 250 个与文件 SHA-256 哈希值有关的事件。如有超过 250 个事件,则映射上只显
示前十个,并用箭头图标 (
示前十个,并用箭头图标 (
) 截略其他事件。然后映射显示剩下 240 个事件。下图显示箭头图
标截略事件:
您可以通过点击箭头图标 (
) 查看文件概要事件视图中未显示的所有事件。将在新窗口中显示
文件事件默认工作流程的首页,同时显示所有基于文件类型受限的其他事件。如果未显示基于终
端的恶意软件事件,您必须切换到 Malware Events 表进行查看。
端的恶意软件事件,您必须切换到 Malware Events 表进行查看。
每个数据点代表一个事件及其文件性质,如在映射下方图例所述。例如, Malware Block 事件图
标结合了 Malicious Disposition 图标和 Block Event 图标。
标结合了 Malicious Disposition 图标和 Block Event 图标。
基于终端的恶意软件事件包含一个图标。回溯事件在栏中为各检测到文件的主机显示一个图标。
文件传送事件始终包括两个图标,一个文件发送图标和一个文件接收图标,两者之间用垂直线连
接。箭头表示从发送方到接收方的文件传送方向。
文件传送事件始终包括两个图标,一个文件发送图标和一个文件接收图标,两者之间用垂直线连
接。箭头表示从发送方到接收方的文件传送方向。
您可以通过将鼠标指针悬停在事件图标 (
) 上来查看概要信息。所显示概要信息与事件表中显
示信息相匹配。下图显示一个事件图标的概要信息: