Cisco Cisco Firepower Management Center 2000 User Guide
41-33
FireSIGHT 系统用户指南
第 41 章 处理入侵事件
解读预处理器事件
要使用表视图上的影响级别评估事件,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
选择
Analysis > Intrusions > Events
。
。如果未显示任何事件,可能需要调整时间范围;请参阅
。
步骤 2
限制事件视图仅查看要评估的那些事件。
有关详细信息,请参阅
步骤 3
点击页面顶部的
Table View of Events
。
系统显示事件的表视图
Impact
可以是
步骤 4
要按影响级别对表格进行排序,请点击
Impact
。
事件将按影响级别排序。
提示
要反转排序顺序,请再次点击
Impact
。
解读预处理器事件
许可证:保护
预处理器提供两项功能:对数据包执行指定的操作 (例如,解码和规范化 HTTP 流量)以及报告
指定的预处理器选项的执行情况;其做法是,每当数据包触发该预处理器选项并且已启用相关预
处理器规则时就生成事件 (例如,可以启用
指定的预处理器选项的执行情况;其做法是,每当数据包触发该预处理器选项并且已启用相关预
处理器规则时就生成事件 (例如,可以启用
Double Encoding
HTTP 检查选项以及具有 HTTP 检
查生成器ID (GID) 为 119 且 Snort ID (SID) 未 2 的相关预处理器规则,以在预处理器遇到 IIS 双编
码流量时生成事件)。生成事件来报告预处理器的执行情况有助于检测异常协议漏洞攻击。例
如,攻击者可以制造重叠的 IP 片段来对主机进行 DoS 攻击。 IP 分片重组预处理器可以检测此类
攻击并为之生成入侵事件。
码流量时生成事件)。生成事件来报告预处理器的执行情况有助于检测异常协议漏洞攻击。例
如,攻击者可以制造重叠的 IP 片段来对主机进行 DoS 攻击。 IP 分片重组预处理器可以检测此类
攻击并为之生成入侵事件。
Potentially
Vulnerable
Vulnerable
橙色
源主机或目标主机在网络映射中,并且下列情
况之一属实:
况之一属实:
•
对于面向端口的流量,端口正在运行服务
器应用协议
器应用协议
•
对于非面向端口的流量,主机使用该协议
Currently Not
Vulnerable
Vulnerable
yellow
源主机或目标主机在网络映射中,并且下列情
况之一属实:
况之一属实:
•
对于面向端口的流量 (例如 TCP 或
UDP),端口不处于打开状态
UDP),端口不处于打开状态
•
对于非面向端口的流量 (例如 ICMP),主
机不使用该协议
机不使用该协议
Unknown Target
蓝色
源主机或目标主机在受监控网络上,但网络映
射中没有该主机的条目。
射中没有该主机的条目。
表
41-6
影响级别 (续)
影响级别
漏洞
颜色
说明