Cisco Cisco Firepower Management Center 2000 User Guide
41-19
FireSIGHT 系统用户指南
第 41 章 处理入侵事件
使用数据包视图
提示
在操作过程中,可以随时将限制条件保存为一组搜索条件。例如,如果您发现几天内您的网络被
来自某个 IP 地址的攻击者探测,您可以在调查期间保存限制条件,以供日后再次使用。但是,不
能将复合限制条件保存为一组搜索条件。有关详细信息,请参阅
来自某个 IP 地址的攻击者探测,您可以在调查期间保存限制条件,以供日后再次使用。但是,不
能将复合限制条件保存为一组搜索条件。有关详细信息,请参阅
提示
如果入侵事件未显示在事件视图中,调整选定时间范围可能会返回结果。建议不要选择旧的时间
范围,因为旧时间范围内的事件可能已被删除。调整规则阈值配置可能生成事件。
范围,因为旧时间范围内的事件可能已被删除。调整规则阈值配置可能生成事件。
使用数据包视图
许可证:保护
数据包视图提供有关触发生成入侵事件的规则的数据包的信息。
提示
如果检测事件的设备的
Transfer Packet
选项处于禁用状态,防御中心 上的数据包视图不包含数据包
信息。
数据包视图通过提供有关数据包触发的入侵事件的信息指示捕获特定数据包的原因,这些信息包
括事件的时间戳、消息、分类和优先级 (如果事件由标准文本规则生成,还包括生成事件的规
则)。数据包视图还提供有关数据包的一般信息 (例如大小)。
括事件的时间戳、消息、分类和优先级 (如果事件由标准文本规则生成,还包括生成事件的规
则)。数据包视图还提供有关数据包的一般信息 (例如大小)。
此外,数据包视图还有一个介绍数据包中每一层 (数据链路层、网络层和传输层)的部分,以及
一个介绍组成数据包的字节的部分。如果系统已解密数据包,可以查看解密的字节。可以展开折
叠的部分以显示详细信息。
一个介绍组成数据包的字节的部分。如果系统已解密数据包,可以查看解密的字节。可以展开折
叠的部分以显示详细信息。
注
由于每个端口扫描事件均由多个数据包触发,因此,端口扫描事件使用特殊版本的数据包视图。
有关详细信息,请参阅
有关详细信息,请参阅
下表介绍在数据包视图中可以执行的操作。
表
41-5
数据包视图操作
要......
您可以......
修改数据包视图中的日期
和时间范围
和时间范围
在
了解有关数据包视图中所
显示信息的详细信息
显示信息的详细信息
在以下表中查找详细信息:
•
•
•
•
•
•