Cisco Cisco Firepower Management Center 2000 Guía Del Usuario
39-25
FireSIGHT 系统用户指南
第 39 章 使用连接与安全情报数据
使用连接和安全情报数据表
•
说明如何更改默认工作流程,以便查看连接和安全情报事件
数据。
•
和
提供连接和安全情报事件中数据的详细信息。
•
•
意软件文件。
•
说明如何查看连接相关的入侵事件。
•
说明如何查看用于加密连接的证书相关详细信息。
使用监控规则相关的事件
许可证:任何环境
当您使用事件查看器查看已记录的连接时,防御中心显示用于处理每个连接的访问控制规则或者
默认操作,并显示匹配这些连接中每个连接的最多 8 个监控规则。
默认操作,并显示匹配这些连接中每个连接的最多 8 个监控规则。
如果连接匹配 1 条监控规则,则防御中心显示处理连接的规则名称,然后显示监控规则名称。如
果连接匹配多个监控规则,则事件查看器显示所匹配的监控规则数量,例如,
果连接匹配多个监控规则,则事件查看器显示所匹配的监控规则数量,例如,
Default Action + 2
Monitor Rules
。
您可以通过下面方式之一约束使用匹配的监控规则的连接事件视图:
•
处理该连接的访问控制规则或默认操作
•
连接匹配的单个监控规则
要使用监控规则匹配来约束连接事件,请执行以下操作:
访问:管理员/任何安全分析师
步骤 1
选择
Analysis > Connections > Events
。
系统将显示默认连接数据工作流程首页。
步骤 2
显示想要用于分析的工作流程。确保您正使用的向下深入了解页面或表视图显示
Access Control
Rule
字段。
步骤 3
您希望如何约束事件?
•
要对处理连接的访问控制规则或默认操作进行约束,请点击规则名称或
Default Action
。
•
要对匹配已记录连接的唯一监控规则进行约束,请点击监控规则名称。
•
要对匹配已记录连接的多个监控规则之一进行约束,请点击一个 N
Monitor Rules
数值。例如,
点击
2 Monitor Rules
。
系统将显示该连接事件的 Monitor Rules 弹出窗口,其中列出与该连接匹配的前 8 个监控规
则。点击想要用于约束连接事件的监控规则名称。
则。点击想要用于约束连接事件的监控规则名称。
事件受到约束。如果您正使用向下深入了解页面,事件视图转入工作流程中的下一页面。