Cisco Cisco Firepower Management Center 2000 User Guide
41-32
FireSIGHT 系统用户指南
第 41 章 处理入侵事件
使用影响级别评估事件
–
14 - 时间戳应答
–
15 - 信息请求 (过时)
–
16 - 信息应答 (过时)
–
17 - 地址掩码请求
–
18 - 地址掩码应答
代码
ICMP 消息类型随附的代码。 ICMP 消息类型 3、 5、 11 和 12 都有一个相应的代码,如 RFC
792 中所述。
792 中所述。
Checksum
指名 ICMP 校验和是否有效。如果校验和无效,表示数据报在传输期间可能已损坏。
查看信息包字节信息
许可证:保护
在数据包视图中,点击
Packet Bytes
旁边的箭头可查看构成数据包的字节的十六进制和 ASCII 版
本。如果系统已解密流量,可以查看解密的数据包字节。
使用影响级别评估事件
许可证:保护
为了帮助评估事件对网络的影响,防御中心在入侵事件的表视图中显示影响级别。对于每一个事
件,防御中心都会添加影响级别图标,其颜色表示入侵数据、网络发现数据和漏洞信息之间的相
关性。
件,防御中心都会添加影响级别图标,其颜色表示入侵数据、网络发现数据和漏洞信息之间的相
关性。
注
对于基于 NetFlow 数据添加到网络映射的主机,没有任何操作系统信息可用,因此,防御中心无
法为涉及这些主机的入侵事件分配 Vulnerable (影响级别 1:红色)影响级别,除非您使用主机
输入功能手动设置主机操作系统身份。
法为涉及这些主机的入侵事件分配 Vulnerable (影响级别 1:红色)影响级别,除非您使用主机
输入功能手动设置主机操作系统身份。
下表介绍了影响级别的可能值。
表
41-6
影响级别
影响级别
漏洞
颜色
说明
未知
灰色
源主机和目标主机都不在由网络发现监控的网
络上。
络上。
较弱
红色
存在以下其中一种情况:
•
源主机或目标主机在网络映射中,并且漏
洞已映射到主机
洞已映射到主机
•