Cisco Cisco Firepower Management Center 2000 User Guide
40-36
FireSIGHT 系统用户指南
第 40 章 分析恶意软件和文件活动
使用网络文件轨迹
如果点击任何事件概要信息链接,则在新窗口中显示文件事件默认工作流程首页以及基于文件类
型的所有其他受限事件。在新窗口中打开文件概要事件视图,显示符合所点击标准值的所有文件
事件。
型的所有其他受限事件。在新窗口中打开文件概要事件视图,显示符合所点击标准值的所有文件
事件。
要定位涉及 IP 地址的第一例文件事件,请点击该地址。突出显示连至该数据点的轨迹,以及与第
一个文件事件相关的任何介于其间的文件事件和 IP 地址。同时突出显示事件表中相应事件。如当
前不可见,映射会滚动至该数据点。下图显示点击 IP 地址后突出显示的轨迹:
一个文件事件相关的任何介于其间的文件事件和 IP 地址。同时突出显示事件表中相应事件。如当
前不可见,映射会滚动至该数据点。下图显示点击 IP 地址后突出显示的轨迹:
要跟踪文件在网络中的历程,可以点击任意数据点突出显示一个轨迹,其中包括与选定数据点相
关的所有数据点。这包括与下列类型的事件相关的数据点:
关的所有数据点。这包括与下列类型的事件相关的数据点:
•
无论关联 IP 地址作为发送方还是接收方的任何文件传送
•
涉及关联 IP 地址的任何基于终端的恶意软件事件
•
如果涉及另一个 IP 地址,无论该关联 IP 地址作为发送方还是接收方的所有文件传送
•
如果涉及另一个 IP 地址,涉及该 IP 地址的基于终端的任何恶意软件事件
下图显示点击一个事件图标后突出显示的轨迹:
同时突出显示与任何突出显示数据点相关的所有 IP 地址和时间戳。同时突出显示事件表中相应事
件。如果一条轨迹中包含截略事件,则用虚线突出显示轨迹本身。可能有截略事件与轨迹相交,
但并不在映射中进行显示。
件。如果一条轨迹中包含截略事件,则用虚线突出显示轨迹本身。可能有截略事件与轨迹相交,
但并不在映射中进行显示。