Cisco Cisco Firepower Management Center 2000 User Guide

41-8

FireSIGHT 系统用户指南

第 41 章      处理入侵事件       

  查看入侵事件

可以查看入侵事件来确定其是否会对网络安全构成威胁。如果确信入侵事件不是恶意的，可以将
其标记为“已审核”。您的姓名将显示为审核员，已审核的事件不再列出在默认入侵事件视图
中。可以将已审核的事件返回到默认入侵事件视图，方法是将该事件标记为“未审核”。

可以查看标记为“已审核”的入侵事件。已审核事件存储在数据库中并包括在事件摘要统计信息
中，但不再显示在默认事件页面中。有关详细信息，请参阅

。

如果执行备份然后删除已审核的入侵事件，恢复备份会恢复已删除的入侵事件，但不能恢复其“已审
核”状态。可在 Intrusion Events （而不是 Reviewed Events）下查看这些恢复的入侵事件。

要快速查看与一个或多个入侵事件相关的连接事件，请使用事件查看器中的复选框选择入侵事
件，然后从 

 下拉列表选择 

。在事件的表视图之间导航时，此方法最有用。还可

以使用类似方法查看与特定连接相关的入侵。

有关详细信息，请参阅以下各节：

要查看入侵事件，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

选择 

。

系统显示默认入侵事件工作流程的第一个页面。有关指定不同默认工作流程的信息，请参阅

。如果未显示任何事件，可能需要调整时间范围；请参阅

。

提示

如果使用不包括入侵事件表视图的自定义工作流程，请点击工作流程标题旁边的 

 

以选择随设备提供的任意预定义工作流程。

有关入侵事件视图中显示的事件的详细信息，请参阅

侵事件的详细信息。

了解入侵事件

许可证：保护

系统检查网络上传输的数据包是否存在可能影响主机及其数据的可用性、完整性和机密性的恶意
活动。如果系统识别出潜在的入侵，会生成

入侵事件；入侵事件是包含攻击的日期、时间、漏洞

类型以及有关攻击的来源和目标的情境信息的记录。对于基于数据包的事件，还会记录触发事件
的一个或多个数据包的副本。请注意，对于任何单个入侵事件可提供的信息取决于许可证等多种
因素。有关详细信息，请参阅