Cisco Cisco Firepower Management Center 2000 User Guide

Cisco

41-35

FireSIGHT 系统用户指南

第 41 章处理入侵事件

解读预处理器事件

119、
120

HTTP 检查预处理器

事件由 HTTP 检查预处理器生成。 GID 120 规则与
服务器特定 HTTP 流量相关。

第 27-26 页上的解码
HTTP 流量

122

端口扫描检测器

事件由端口扫描流量检测器生成。有关详细信息，
请参阅

第 34-2 页上的检测端口
扫描

123

IP 分片重组器

分片的 IP 数据报不能正确重组时生成事件。

第 29-10 页上的对 IP 数据
包进行分片重组

124

SMTP 解码器

SMTP 预处理器检测到针对 SMTP 谓词的漏洞时生
成事件。

第 27-51 页上的了解
SMTP 解码

125

FTP 解码器

FTP/Telnet 解码器检测到 FTP 流量中有漏洞时生成
事件。

第 27-19 页上的了解服务
器级别 FTP 选项

第 27-24 页上的了解客户
端级别 FTP 选项

126

Telnet 解码器

FTP/Telnet 解码器检测到 Telnet 流量中有漏洞时生
成事件。

第 27-16 页上的解码 FTP
和 Telnet 流量

128

SSH 预处理器

SSH 预处理器检测到 SSH 流量中的漏洞时生成事件。

第 27-57 页上的使用 SSH
预处理器检测攻击

129

数据流预处理器

在数据流预处理器对数据流进行预处理期间生成
事件。

第 29-18 页上的使用 TCP
数据流预处理

131

DNS 预处理器

事件由 DNS 预处理器生成。

第 27-13 页上的检测 DNS
域称服务器响应中的漏洞

133

DCE/RPC 预处理器

事件由 DCE/RPC 预处理器生成。

第 27-2 页上的解码
DCE/RPC 流量

134

规则延迟

数据包延迟

规则延迟暂停 (134:1) 或重新启用 (134:2) 一组入侵
规则时，或者由于超出数据包延迟阈值而使系统停
止检查数据包 (134:3) 时，生成事件。

第 18-10 页上的配置数据
包和入侵规则延迟阈值

135

基于速率的攻击检测器

基于速率的攻击检测器识别到网络上的主机存在过
多连接时生成事件。

第 34-8 页上的防御基于速
率的攻击

138、
139

敏感数据预处理器

事件由敏感数据预处理器生成。

第 34-17 页上的检测敏感
数据

140

SIP 预处理器

事件由 SIP 预处理器生成。

第 27-40 页上的解码会话
发起协议

141

IMAP 预处理器

事件由 IMAP 预处理器生成。

第 27-45 页上的解码
IMAP 流量

142

POP 预处理器

事件由 POP 预处理器生成。

第 27-48 页上的解码 POP
流量

143

GTP 预处理器

事件由 GTP 预处理器生成。

第 27-44 页上的配置 GTP
命令通道

144

Modbus 预处理器

事件由 Modbus SCADA 预处理器生成。

第 28-1 页上的配置
Modbus 预处理器

145

DNP3 预处理器

事件由 DNP3 SCADA 预处理器生成。

第 28-3 页上的配置 DNP3
预处理器

表

41-7

生成器

ID

（续）

ID

组件

说明

有关详细信息，请参阅......