Cisco Cisco Firepower Management Center 2000 User Guide

41-12

FireSIGHT 系统用户指南

第 41 章      处理入侵事件       

  查看入侵事件

访问控制策略

包含启用了生成事件的入侵规则、预处理器规则或解码器规则的入侵策略的访问控制策略；
请参阅

。

调用生成事件的入侵策略的访问控制规则；请参阅

Default Action

 指出启用了规则的入侵政策未与特定访问控制规则关联，但被配置

为访问控制策略的默认操作；请参阅

如果入侵检查既未与访问控制规则关联，也未与默认操作关联，例如数据包由默认入侵策略检
查，则该字段留空。有关详细信息，请参阅

网络分析策略

与事件生成相关的网络分析策略 (NAP) （如有）；请参阅

提取自 HTTP 请求主机报头的主机名 （如果有）。请注意，请求数据包并非总是包含主机名。

要显示主机名，必须启用 HTTP 检查预处理器 

 选项。有关详细信息，请参阅

。

此列显示提取的主机名的前五十个字符。将光标悬停在缩写主机名的显示部分上可显示完整
名称 （最多包含 256 个字节）。还可以在数据包视图中显示完整主机名 （最多包含 256 个字
节）。有关详细信息，请参阅

默认情况下，此字段处于禁用状态。

与触发入侵事件的 HTTP 请求数据包相关的原始 URI （如果有）。请注意，请求数据包并非
总是包含 URI。

要显示提取的 URI，必须启用 HTTP 检查预处理器 

 选项。有关详细信息，请参阅

。

要查看与 HTTP 响应触发的入侵事件相关的 HTTP URI，应配置 

 选项中的 HTTP 服务器端口；但请注意，这样会增加流量重组的资源需求。请参阅

此列显示提取的 URI 的前五十个字符。将光标悬停在缩略 URI 的显示部分上可显示完整 URI

（最多包含 2048 个字节）。还可以在数据包视图中显示完整 URI （最多包含 2048 个字节）。

有关详细信息，请参阅

默认情况下，此字段处于禁用状态。

提取自 SMTP MAIL FROM 命令的邮件发件人的地址。要显示此字段的值，必须启用 SMTP 
预处理器 

 选项。支持多个发件人地址。有关详细信息，请参阅

默认情况下，此字段处于禁用状态。

提取自 SMTP RCPT TO 命令的邮件收件人的地址。要显示此字段的值，必须启用 SMTP 预处
理器 

 选项。支持多个收件人地址。有关详细信息，请参阅

。

默认情况下，此字段处于禁用状态。