Cisco Cisco Firepower Management Center 2000 User Guide
41-17
FireSIGHT 系统用户指南
第 41 章 处理入侵事件
使用下钻式页面和表视图页面
事件视图中显示的入侵事件数可能很大,具体取决于:
•
选择的时间范围
•
网络流量
•
应用的入侵策略
为了便于分析入侵事件,可以对事件页面施加限制。对于下钻式视图和表视图,限制过程略有不同。
将事件添加到剪贴板,以便以后将
其传输到事故
其传输到事故
可使用以下其中一种方法:
•
要将工作流程页面上的多个入侵事件复制到剪贴板,请选择要复制的事件旁
边的复选框,然后点击
边的复选框,然后点击
Copy
。
•
要将当前受限制视图中的所有入侵事件复制剪贴板,请点击
Copy All
。
剪贴板可为每个用户存储最多 25000 个事件。有关详细信息,请参阅
从事件数据库删除事件
可使用以下其中一种方法:
•
要删除选定的入侵事件,请选择要删除的事件旁边的复选框,然后点击
Delete
。
•
要删除当前受限制视图中的所有入侵事件,请点击
Delete All
,然后确认要删
除所有事件。
将事件标记为“已审核”以其从入
侵事件页面上移除,但不将其从事
件数据库中移除
侵事件页面上移除,但不将其从事
件数据库中移除
可使用以下其中一种方法:
•
要审核选定的入侵事件,请选择要审核的事件旁边的复选框,然后点击
Review
。
•
要审核当前受限制视图中的所有入侵事件,请点击
Review All
。
有关详细信息,请参阅
下载触发每个选定事件的数据包
(数据包以 libpcap 格式捕获文件)
的本地副本
可使用以下其中一种方法:
•
要下载触发选定入侵事件的数据包,请选择要下载的数据包所触发的事件旁
边的复选框,然后点击
边的复选框,然后点击
Download Packets
。
•
要下载触发当前受限制视图中的入侵事件的所有数据包,请点击
Download All
Packets
。
捕获的数据包以 libpcap 格式保存。多个常用的协议分析器均使用此格式。
导航至其他事件视图查看相关事件 在
中获得详细信息。
暂时使用不同的工作流程
点击
(switch workflow)
。有关详细信息,请参阅
。
为当前页面添加书签以便快速返回
到该页面
到该页面
点击
Bookmark This Page
。有关详细信息,请参阅
查看 Summary 控制面板的
Intrusion Events 部分
Intrusion Events 部分
点击
Dashboards
。有关详细信息,请参阅
导航到书签管理页面
点击
View Bookmarks
。有关详细信息,请参阅
根据当前视图中的数据生成报告
点击
Report Designer
。有关详细信息,请参阅
。
表
41-2
入侵事件常见功能 (续)
要......
您可以......