Cisco Cisco Firepower Management Center 2000 User Guide

Page of 1826
 
41-18
FireSIGHT 系统用户指南
  
 41       处理入侵事件       
  使用下钻式页面和表视图页面
提示
当您点击入侵事件工作流程页面底部的其中一个链接导航到其他页面时,时间范围会暂停,当您
在后续页面上点击以执行其他操作 (包括退出工作流程)时,时间范围将会继续;这样可降低发
生这样一种情况的可能性:导航到其他页面查看更多事件却仍看到原来的事件。有关详细信息,
请参阅
下表介绍如何使用下钻式页面。
下表介绍如何使用表视图。
表 
41-3
限制下钻式页面上的事件 
......
您可以......
向下钻取到下一个限制特
定值的工作流程页面
点击该值。
例如,在 Destination Port 工作流程中,要将事件限制为目标端口为 80 端口的事件,请点
击 
DST Port/ICMP Code
 列中的 
80/tcp
。屏幕上将会显示工作流程的下一页 (Events 页面),
其中仅包含 80/tcp 端口事件。
向下钻取到下一个限制选
定事件的工作流程页面
选择要在下一个工作流程页面上查看的事件旁边的复选框,然后点击
 View
例如,在 Destination Port 工作流程中,要将事件限制为目标端口为 20/tcp 和 21/tcp 端口
的事件,请选择这些端口对应行旁边的复选框,然后点击 
View
。屏幕上将会显示工作流
程的下一页 (Events 页面),其中仅包含 20/tcp 和 21/tcp 端口事件。
如果对多行施加限制,并且表不止包含一列 (Count 列不算在内),将会产生“复
合限制条件”。复合限制条件确保仅将计划内的事件纳入限制中。例如,如果使
用 Event and Destination 工作流程,在第一个向下钻取页面上选择的每一行都会创
建一个复合限制条件。如果选择目标 IP 地址为 10.10.10.100 的事件 1:100,并且选
择目标 IP 地址为 192.168.10.100 的事件 1:200,那么,复合限制条件确保您不会选
择事件类型为 1:100 且目标 IP 地址为 192.168.10.100 的事件或事件类型为 1:200 且
目标 IP 地址为 10.10.10.100 的事件。
向下钻取到下一个保留当
前限制的工作流程页面
点击 
View All
表 
41-4
限制事件表视图中的事件 
......
您可以......
将视图限制为仅显示具有
单个属性的事件
点击该属性。
例如,要将视图限制为仅显示目标端口为 80 端口的事件,请点击 
DST Port/ICMP Code
 列中
的 
80/tcp
从表中移除列
在要隐藏的列标题中点击关闭图标  (
)。在显示的弹出窗口中,点击 
Apply
提示
要隐藏或显示其他列,选择或清除相应的复选框,然后点击 
Apply
。要将已禁用的
列重新添加到视图中,点击展开箭头  (
)  展开搜索条件,然后点击 
Disabled 
Columns
 列下的列名。
查看与一个或多个事件相
关的数据包
执行以下其中一种操作:
  •
点击要查看的数据包的事件旁边的向下箭头图标  (
)。
  •
选择要查看的一个或多个数据包,然后点击页面底部的 
View
  •
在页面底部,点击 
View All
 查看与当前限制条件匹配的所有事件。