Cisco Cisco Firepower Management Center 2000 User Guide

Cisco

41-21

FireSIGHT 系统用户指南

第 41 章处理入侵事件

使用数据包视图

事件 ID 以

(GID:SID:Rev)

格式附加在消息后面。

GID

是生成事件的规则引擎、解码器或预处

理器的生成器 ID。

SID

是规则、解码器消息或预处理器消息的标识符。

Rev

是规则的修订

号。有关详细信息，请参阅

第 41-34 页上的解读预处理器生成器 ID

Timestamp

捕获数据包的时间。

Classification

事件分类。对于基于规则的事件，这相当于规则分类。对于其他事件，这取决于解码器或预
处理器。

Priority

事件优先级。对于基于规则的事件，这相当于

priority

关键字或

classtype

关键字的值。对

于其他事件，这取决于解码器或预处理器。

Ingress Security Zone

触发事件的数据包的入口安全区域。在被动部署中仅填充此安全区域字段。请参阅

上的使用安全区域

。

Egress Security Zone

对于内联部署，触发事件的数据包的出口安全区域。请参阅

第 3-34 页上的使用安全区域

。

设备

应用访问控制策略的受管设备。请参阅

第 4-1 页上的管理设备

。

安全情景

识别流量通过的虚拟防火墙组的元数据。请注意，系统仅对多情景模式下的 ASA FirePOWER
设备填充此字段。

Ingress Interface

触发事件的数据包的入口接口。对于被动接口，仅填充此接口列。请参阅

第 4-52 页上的配置

。

Egress Interface

对于内联部署，触发事件的数据包的出口接口。请参阅

第 4-52 页上的配置感应接口

。

Source/Destination IP

触发事件的数据包源自的（源）主机 IP 地址或域名，或触发事件的流量的目标主机。

请注意，要显示域名，必须启用 IP 地址解析；有关详细信息，请参阅

第 71-3 页上的配置事件

。

点击地址或域名查看上下文菜单，然后选择

Whois

可在主机上执行 whois 搜索，选择

View Host

Profile

可查看主机信息，选择

Blacklist Now

或

Whitelist Now

可将地址添加到全局黑名单或白名

单。请参阅

第 49-1 页上的使用主机配置文件

和

第 3-6 页上的使用全局白名单和黑名单

。

Source Port/ICMP Type

触发事件数据包的源端口。对 ICMP 流量，当没有端口号时，系统显示 ICMP 类型。

Destination Port/ICMP Code

接收流量的主机的端口号。对 ICMP 流量，当没有端口号时，系统显示 ICMP 代码。