Cisco Cisco Firepower Management Center 4000 Guía Del Usuario
39-26
FireSIGHT 系统用户指南
第 39 章 使用连接与安全情报数据
使用连接和安全情报数据表
查看连接中检测到的文件
许可证:保护或恶意软件
受支持的设备:因功能而异
受支持的防御中心:因功能而异
如果将一个文件策略与一个或多个访问控制规则相关联,系统可以在匹配的流量中检测文件 (包括
恶意软件)。通过使用事件查看器,您可以查看与这些规则所记录连接相关的文件事件 (如有)。
恶意软件)。通过使用事件查看器,您可以查看与这些规则所记录连接相关的文件事件 (如有)。
防御中心不显示文件列表,而是在
Files
列中显示视图文件图标 (
)。图标上的数字表示连接中
检测到或阻止的文件数量 (包括恶意软件文件)。点击该图标将不会展开到下一工作流程页面或
者约束连接事件, 而是显示一个弹出窗口。窗口显示连接中检测到的文件列表及其类型、恶意软
件查询处置情况 (如适用)。
者约束连接事件, 而是显示一个弹出窗口。窗口显示连接中检测到的文件列表及其类型、恶意软
件查询处置情况 (如适用)。
在弹出窗口中,您可以点击:
•
文件视图图标 (
),以便查看文件事件表视图中的详细信息。
•
恶意软件文件视图图标 (
),以便查看恶意软件事件表视图中的详细信息。
•
文件轨迹图标 (
),以便跟踪文件在网络中的传输情况。
•
View File Events
或
View Malware Events
,以便查看连接中已检测到的文件或基于网络的所有恶意
软件事件详细信息。
提示
要快速查看与一个或多个连接相关联的文件或恶意软件事件,请在事件查看器中使用复选框选择
连接,然后从
连接,然后从
Jump to
下拉列表中选择
Malware Events
或
File Events
。您可以使用类似方式查看用于
传输文件的连接。有关详细信息,请参阅
。
当您查看相关事件时,防御中心使用适用于该事件类型的默认工作流程。有关文件和恶意软件事
件的详细信息,请参阅
件的详细信息,请参阅
和
用网络文件轨迹功能的详细信息,请参阅
请注意,并非所有文件和恶意软件事件都与连接有关,如下说述:
•
基于终端的恶意软件事件与连接不相关。这些事件由 FireAMP 连接器生成,而并不是由检查
网络流量的系统生成。
网络流量的系统生成。
•
许多启用 IMAP 的邮件客户端使用单个 IMAP 会话,仅当用户退出应用时才结束。尽管长期
运行的连接由系统进行记录 (请参阅
运行的连接由系统进行记录 (请参阅
),但是直至会话结束,会
话中下载的文件都不会与连接相关联。
还请注意, 2 系列、用于 Blue Coat X-系列的思科 NGIPS设备和 DC500 防御中心不支持基于网络
的高级恶意软件防护。
的高级恶意软件防护。
查看与连接有关的入侵事件
许可证:保护
如果您将入侵策略与访问控制规则或默认操作相关联,系统可以检测匹配流量中的漏洞。通过使
用事件查看器,您可以查看与已记录连接相关的入侵事件 (如有)。
用事件查看器,您可以查看与已记录连接相关的入侵事件 (如有)。
防御中心不显示一份事件列表,而是将入侵事件查看图标 (
) 显示在
Intrusion Events
列中。点击
该图标将不会展开到下一工作流程页面或者约束连接事件, 相反,将显示一个弹出窗口。窗口中
显示与连接相关的入侵事件列表,以及事件的优先级和影响力。
显示与连接相关的入侵事件列表,以及事件的优先级和影响力。