Cisco Cisco Firepower Management Center 2000 User Guide

41-40

FireSIGHT 系统用户指南

第 41 章      处理入侵事件       

  搜索入侵事件

指定与触发入侵事件的 HTTP 请求数据包相关联的单个 URI。

要将 URI 与 HTTP 客户端流量的入侵事件相关联，必须启用 HTTP 检查预处理器 

选

项。有关详细信息，请参阅

。

指定提取自 SMTP MAIL FROM 命令的邮件发件人的地址。也可以输入逗号隔开列表，搜索
与任何指定的地址相关联的事件。有关详细信息，请参阅

指定提取自 SMTP RCPT TO 命令的邮件收件人的地址。也可以输入逗号隔开列表，搜索与任
何指定的地址相关联的事件。有关详细信息，请参阅

指定提取自 MIME Content-Disposition 报头的 MIME 附件文件名。输入逗号隔开列表，搜索与列表
中任何附件文件名相关联的事件。有关详细信息，请参阅

。

指定提取自邮件报头的数据。请注意，邮件报头不显示在入侵事件表视图中，但可以将邮件
报头数据作为搜索条件。

要将邮件报头与 SMTP 流量的入侵事件相关联，必须启用 SMTP 预处理器 

 选项。

有关详细信息，请参阅

指定审核事件的用户的名称。请参阅

。

提示

可以输入

 unreviewed

 搜索尚未审核的事件。

入侵事件的专用搜索语法

为补充上文所列通用搜索语法，以下列表介绍一些入侵事件专用搜索语法。

SSL 实际操作

键入以下任何关键字，查看系统向其应用指定操作的加密流量的入侵事件：

  –

Do not Decrypt

 代表系统未解密的连接。

  –

Block

 和 

Block with reset

 代表被阻止的加密连接。

  –

Decrypt (Known Key)

 代表使用已知私有密钥解密的传入连接。

  –

Decrypt (Replace Key)

 代表使用带替代公共密钥的自签服务器证书解密的传出连接。

  –

Decrypt (Resign)

 代表使用重签服务器证书解密的传出连接。

此列在入侵事件表视图中不显示。

SSL 失败的原因

键入以下任何关键字，查看系统由于指定原因无法解密的加密流量的入侵事件：

  –

未知

  –

无匹配

  –

成功