Cisco Cisco Firepower Management Center 2000 User Guide

第

章

41-1

FireSIGHT 系统用户指南 

41

处理入侵事件

FireSIGHT 系统可帮助监控网络中可能影响主机及其数据的可用性、完整性和机密性的流量。通
过将受管设备放在关键网段，可以检查流经网络的数据包是否包含恶意活动。系统通过使用多个
机制查找攻击者开发的众多漏洞。

如果系统识别出潜在的入侵，会生成

入侵事件；入侵事件是包含攻击的日期、时间、漏洞类型以

及有关攻击的来源和目标的情境信息的记录。对于基于数据包的事件，还会记录触发事件的一个
或多个数据包的副本。受管设备将其事件传输到防御中心，在其中可以查看聚合数据并更好地了
解针对网络资产的攻击。

还可以将受管设备部署为内联式、交换式或路由式入侵系统，以便将设备配置为会丢弃或替换已
知有害的数据包。

FireSIGHT 系统还提供必要的工具，可以用来审查入侵事件并评估它们在网络环境中以及对于安
全策略是否重要。这些工具包括：

事件摘要页面，提供受管设备上当前活动的概览

基于文本和图表的报告，可以针对所选的任何时间段生成此类报告；还可以自行设计报告并
将其配置为按预定的时间间隔运行

可用来收集与攻击相关的事件数据的事故处理工具；还可以添加注释以便跟踪调查和响应

可以为 SNMP、邮件和系统日志配置的自动警报

可用于响应和处理特定入侵事件的自动关联策略

预定义和自定义工作流程，可用于向下钻取以识别要进一步调查的事件

有关详细信息，请参阅以下各节：

介绍 Intrusion Event Statistics 页面，该页面提供设备运

行状况概览和网络重大威胁的摘要。

介绍如何生成入侵事件性能统计信息图表。

介绍如何生成显示事件趋势随时间推移变化情况的图表。

介绍如何使用网络界面查看和调查入侵事件。

面，并说明如何使用它们来分析入侵事件。

介绍如何使用入侵事件的数据包视图。

说明如何使用影响级别评估入侵事件。