Cisco Cisco Firepower Management Center 2000 User Guide

41-10

FireSIGHT 系统用户指南

第 41 章      处理入侵事件       

  查看入侵事件

接收流量的主机的端口号。对 ICMP 流量，当没有端口号时，系统显示 ICMP 代码。

SSL 规则相关操作、默认操作或记录加密连接的不可解密流量操作：

  –

Block

 和 

Block with reset

 代表被阻止的加密连接。

  –

Decrypt (Resign)

 代表使用重签服务器证书解密的传出连接。

  –

Decrypt (Replace Key)

 代表使用带替代公共密钥的自签服务器证书解密的传出连接。

  –

Decrypt (Known Key)

 代表使用已知私有密钥解密的传入连接。

  –

Do not Decrypt

 代表系统未解密的连接。

如果系统无法解密加密连接，则会显示所采取的不可解密流量操作和失败原因。例如，如果
系统检测到使用未知密码套件加密的流量并且未做进一步检查即允许了该流量，此字段显示 

Do Not Decrypt (Unknown Cipher Suite)

。

点击锁图标  (

)  可查看证书详细信息。有关详细信息，请参阅

。

与触发入侵事件的数据包相关的最内部的 VLAN ID。

与触发此入侵事件的数据包相关的多多协议标记交换标记。

默认情况下，此字段处于禁用状态。

通信

事件的说明文本。对于基于规则的入侵事件，事件消息提取自规则。对于基于解码器和预处
理器的事件，事件消息采用硬编码。

分类

生成事件的规则所属的分类。有关规则分类名称和编号，请参阅

发电机

生成事件的组件。有关入侵事件生成器 ID 的列表，请参阅

。

登录源主机的任何已知用户的用户 ID。

登录目标主机的任何已知用户的用户 ID。

应用协议 （如果有），代表在触发入侵事件的流量中检测到的主机之间的通信。有关系统 如
何识别在防御中心网络界面中检测到的应用程序协议的信息，请参阅

。

客户端

客户端应用 （如果有），代表在触发入侵事件的流量中检测到的受监控主机上运行的软件。