Cisco Cisco Firepower Management Center 2000 User Guide
41-21
FireSIGHT 系统用户指南
第 41 章 处理入侵事件
使用数据包视图
事件 ID 以
(GID:SID:Rev)
格式附加在消息后面。
GID
是生成事件的规则引擎、解码器或预处
理器的生成器 ID。
SID
是规则、解码器消息或预处理器消息的标识符。
Rev
是规则的修订
号。有关详细信息,请参阅
Timestamp
捕获数据包的时间。
Classification
事件分类。对于基于规则的事件,这相当于规则分类。对于其他事件,这取决于解码器或预
处理器。
处理器。
Priority
事件优先级。对于基于规则的事件,这相当于
priority
关键字或
classtype
关键字的值。对
于其他事件,这取决于解码器或预处理器。
Ingress Security Zone
触发事件的数据包的入口安全区域。在被动部署中仅填充此安全区域字段。请参阅
。
Egress Security Zone
对于内联部署,触发事件的数据包的出口安全区域。请参阅
。
设备
应用访问控制策略的受管设备。请参阅
。
安全情景
识别流量通过的虚拟防火墙组的元数据。请注意,系统仅对多情景模式下的 ASA FirePOWER
设备填充此字段。
设备填充此字段。
Ingress Interface
触发事件的数据包的入口接口。对于被动接口,仅填充此接口列。请参阅
。
Egress Interface
对于内联部署,触发事件的数据包的出口接口。请参阅
。
Source/Destination IP
触发事件的数据包源自的 (源)主机 IP 地址或域名,或触发事件的流量的目标主机。
请注意,要显示域名,必须启用 IP 地址解析;有关详细信息,请参阅
。
点击地址或域名查看上下文菜单,然后选择
Whois
可在主机上执行 whois 搜索,选择
View Host
Profile
可查看主机信息,选择
Blacklist Now
或
Whitelist Now
可将地址添加到全局黑名单或白名
单。请参阅
和
。
Source Port/ICMP Type
触发事件数据包的源端口。对 ICMP 流量,当没有端口号时,系统显示 ICMP 类型。
Destination Port/ICMP Code
接收流量的主机的端口号。对 ICMP 流量,当没有端口号时,系统显示 ICMP 代码。