Cisco Cisco Firepower Management Center 2000 User Guide

41-39

FireSIGHT 系统用户指南

第 41 章处理入侵事件

搜索入侵事件

Web Application

键入网络应用的名称（它表示在触发入侵事件的流量中检测到的 HTTP 流量的内容或请求
URL）。

Category, Tag (Application Protocol, Client, Web Application)

键入与在会话中检测到的应用相关的类别或标记。使用逗号隔开多个类别或标记。这些字段
不区分大小写。

Application Risk

键入与在会话中检测到的应用相关的最高风险。有效条件为：

Very High

、

High

、

Medium

、

Low

和

Very Low

。这些字段不区分大小写。

Business Relevance

键入与在会话中检测到的应用相关的最低的业务相关性。有效条件为：

Very High

、

High

、

Medium

、

Low

和

Very Low

。这些字段不区分大小写。

Security Zone (Ingress, Egress, Ingress/Egress)

键入与触发事件的数据包相关的安全区域的名称。这些字段不区分大小写。请参阅

第 3-34 页

上的使用安全区域

。

Device

键入设备名称或 IP 地址或设备组、堆栈或集群名称，将搜索限制于已应用访问控制规则的特
定设备。有关 FireSIGHT 系统如何处理搜索中的设备字段的详细信息，请参阅

第 60-6 页上的

在搜索中指定设备

。

请注意，堆叠配置中的主设备和辅助设备会单独报告入侵事件。有关详细信息，请参阅

第

4-37 页上的管理堆叠设备

。

Security Context

键入识别流量通过的虚拟防火墙组的安全上下文名称。请注意，系统仅对多情景模式下的
ASA FirePOWER 设备填充此字段。

Interface (Ingress, Egress)

键入与触发事件的数据包相关联的接口名称；请参阅

第 4-52 页上的配置感应接口

。

Intrusion Policy

键入与事件相关联的入侵策略的名称；请参阅

第 31-3 页上的管理入侵策略

。

访问控制策略

键入与事件相关联的访问控制策略的名称；请参阅

第 12-9 页上的管理访问控制策略

。

Access Control Rule

键入与事件相关联的访问控制规则的名称；请参阅

第 14-1 页上的使用访问控制规则调整流量

。

HTTP Hostname

指定从 HTTP 请求主机报头提取的单个主机名。

要将主机名与 HTTP 客户端流量的入侵事件相关联，必须启用 HTTP 检查预处理器

Log

Hostname

选项。有关详细信息，请参阅

第 27-28 页上的选择服务器级别 HTTP 规范化选项

。