Cisco Cisco Firepower Management Center 4000 Guida Utente
41-20
FireSIGHT 系统用户指南
第 41 章 处理入侵事件
使用数据包视图
要显示数据包视图,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
在入侵事件的表视图中,选择要查看的数据包。有关详细信息,请参阅
表。
系统显示数据包视图。如果选择多个事件,可以使用页面底部的页码来浏览多个页面上的数据包。
查看事件信息
许可证:保护
在数据包视图上,可以查看有关 Event Information 部分中数据包的信息。
Event
事件消息。对于基于规则的事件,这相当于规则消息。对于其他事件,这取决于解码器或预
处理器。
处理器。
将事件添加到剪贴板,以
便以后将其传输到事故
便以后将其传输到事故
执行以下其中一种操作:
•
点击
Copy
以复制正在查看其数据包的事件
•
点击
Copy All
以复制之前选择了其数据包的所有事件
剪贴板可为每个用户存储最多 25000 个事件。有关剪贴板的详细信息,请参阅
。
从事件数据库删除事件
执行以下其中一种操作:
•
点击
Delete
以删除正在查看其事件的数据包
•
点击
Delete All
以删除之前选择了其数据包的所有事件
将事件标记为“已审核”
会将其从事件视图中移
除,但不会将其从事件数
据库中移除
会将其从事件视图中移
除,但不会将其从事件数
据库中移除
执行以下其中一种操作:
•
点击
Review
以审核正在查看其事件的数据包
•
点击
Review All
以审核之前选择了其数据包的所有事件
有关详细信息,请参阅
。请注意,已审核事件将继续包括在
Intrusion Event Statistics 页面的事件统计信息中。
下载触发事件的数据包
(数据包以 libpcap 格式捕
获文件)的本地副本
执行以下其中一种操作:
•
点击
Download Packet
以保存为正在查看的事件捕获的数据包的副本。
•
点击
Download All Packets
以保存为之前选择了其数据包的所有事件捕获的数据包的副本
捕获的数据包以 libpcap 格式保存。多个常用的协议分析器均使用此格式。
请注意,无法下载端口扫描数据包,因为单个端口扫描事件基于多个数据包;但端口扫
描视图提供所有可用的数据包信息。有关详细信息,请参阅
描视图提供所有可用的数据包信息。有关详细信息,请参阅
。
请注意,要下载,必须至少有 15% 的可用磁盘空间。
展开或折叠页面部分
点击要展开或折叠的部分旁边的箭头。
表
41-5
数据包视图操作 (续)
要......
您可以......