Cisco Cisco Firepower Management Center 2000 User Guide
41-2
FireSIGHT 系统用户指南
第 41 章 处理入侵事件
查看入侵事件统计信息
•
说明如何将入侵事件添加到一个称为剪贴板的保留区域,以便日
后将这些事件添加到事故。本节还介绍如何根据剪贴板内容生成事件报告。
另请参阅:
•
,以了解有关事故处理以及如何使用事故来跟踪事件分析进度的信息。
•
,以了解有关自动警报的详细信息。
•
,以了解有关入侵事件报告的详细信息。
•
,以了解有关入侵事件中的地理定位信息的详细信息。
查看入侵事件统计信息
许可证:保护
Intrusion Event Statistics 页面提供设备当前状态和网络生成的所有入侵事件的简要摘要。
Intrusion Event Statistics 页面有三个主要区域:
•
介绍 Host Statistics 章节,提供有关设备 (对于 防御中心,还包
括其受管设备)的信息。
•
介绍 Event Overview,提供事件数据库中信息的概述。
•
介绍 Event Statistics ,提供有关事件数据库中信息的更具体信
息,例如,前 10 大事件类型。
页面上的每个 IP 地址、端口、协议和事件消息等均为链接。点击任意链接可查看相关的事件信
息。例如,如果前 10 大目标端口之一是
息。例如,如果前 10 大目标端口之一是
80 (http)/tcp
,点击该链接会显示默认入侵事件工作流
程的第一个页面,并列出以该端口为目标的事件。请注意,只会显示当前时间范围内的事件 (以
及生成事件的受管设备)。此外,标记为“已审核”的入侵事件会继续显示在统计信息中。例
如,如果当前时间范围是过去一小时,但第一个事件是在五小时前生成的,当点击
及生成事件的受管设备)。此外,标记为“已审核”的入侵事件会继续显示在统计信息中。例
如,如果当前时间范围是过去一小时,但第一个事件是在五小时前生成的,当点击
First Event
链接
时,打开的事件页面将不会显示事件,直至时间范围被更改。
要查看入侵事件统计信息,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
选择
Overview > Summary > Intrusion Event Statistics
。
系统将显示 Intrusion Event Statistics 页面。
步骤 2
从页面顶部的两个选择框选择要查看其统计信息的区域和设备,或者选择
All Security Zones
和
All
Devices
以查看收集入侵事件的所有设备的统计信息。
步骤 3
点击
Get Statistics
。
Intrusion Event Statistics 页面刷新,以显示来自所选设备的数据。
提示
要查看自定义时间范围内的数据,请点击页面右上角区域的链接并按照
中的指示操作。
步骤 4
有关显示在 Intrusion Event Statistics 页面上的统计信息的详细信息,请参阅以下各节:
•
•
•