Cisco Cisco Firepower Management Center 2000 User Guide
41-9
FireSIGHT 系统用户指南
第 41 章 处理入侵事件
查看入侵事件
以下列表说明入侵事件中包含的信息。请注意,默认情况下,入侵事件表视图中的某些字段已禁
用。要在会话期间启用一个字段,请点击展开箭头 (
用。要在会话期间启用一个字段,请点击展开箭头 (
) 展开搜索限制,然后点击
Disabled Columns
下的列名。
时间
事件的日期和时间。
优先级
事件优先级由思科 VRT 确定。
影响
此字段中的影响级别指示入侵数据、网络发现数据和漏洞信息之间的相关性。有关详细信
息,请参阅
息,请参阅
请注意,对于基于 NetFlow 数据添加到网络映射的主机,没有任何操作系统信息可用,因
此,防御中心无法为涉及这些主机的入侵事件分配 Vulnerable (影响级别 1:红色)影响级
别,除非您使用主机输入功能手动设置主机操作系统身份。
此,防御中心无法为涉及这些主机的入侵事件分配 Vulnerable (影响级别 1:红色)影响级
别,除非您使用主机输入功能手动设置主机操作系统身份。
Inline Result
以下之一:
•
一个黑色向下箭头,表明系统已丢弃触发规则的数据包
•
一个灰色向下箭头,表明如果已启用
Drop when Inline
入侵策略选项 (在内联部署中),或者
在系统进行修剪时一个 Drop and Generate 规则生成了该事件,那么 IPS 应该已丢弃数据包
•
空白,表明触发规则未设置为 Drop and Generate Events
请注意,无论入侵策略的规则状态或内联丢弃行为如何,系统都不会丢弃被动部署中的数据
包,当内联接口处于分路模式时也是如此。
包,当内联接口处于分路模式时也是如此。
源 IP:
发送主机使用的 IP 地址。
Source Country
发送主机的国家/地区。
目标 IP:
接收主机使用的 IP 地址。
Destination Country
接收主机的国家/地区。
Original Client IP
提取自 X-Forwarded-For (XFF)、True-Client-IP 或自定义的 HTTP 报头的原始客户端 IP 地址。
要显示此字段的值,必须在网络分析策略中启用 HTTP 预处理器
要显示此字段的值,必须在网络分析策略中启用 HTTP 预处理器
Extract Original Client IP Address
选项。或者,在网络分析策略的同一区域,还可以指定最多六个自定义客户端 IP 报头,并设
置系统选择原始客户端 IP 事件字段值的优先顺序。有关详细信息,请参阅
置系统选择原始客户端 IP 事件字段值的优先顺序。有关详细信息,请参阅
默认情况下会启用此字段。
Source Port/ICMP Type
发送主机上的端口号。对 ICMP 流量,当没有端口号时,系统显示 ICMP 类型。