Cisco Cisco Firepower Management Center 2000 ユーザーガイド
39-7
FireSIGHT 系统用户指南
第 39 章 使用连接与安全情报数据
了解连接和安全情报数据
Network Analysis Policy
与事件生成相关的网络分析策略 (NAP) (如果有)。
Reason
在以下几种情况,连接被记录的原因:
–
User Bypass
表示系统最初阻止了用户的 HTTP 请求,但用户选择通过点击警告页面继续
访问原先请求的站点。
User Bypass
原因始终与
Allow
操作匹配。
–
IP Block
表示系统根据安全情报数据未经检查就拒绝连接。
IP Block
原因始终与
Block
操
作匹配。
–
IP Monitor
表示系统根据安全情报数据本可拒绝连接,但您将系统配置为监控连接,而
不是拒绝连接。
–
File Monitor
表示系统在连接中检测到特定类型的文件。
–
File Block
表示连接中包含系统禁止传输的文件或恶意软件文件。
File Block
原因始终
与
Block
操作匹配。
–
File Custom Detection
表示连接中包含自定义检测列表上的系统禁止传输的文件。
–
File Resume Allow
表示文件传输最初被 Block Files 或 Block Malware 文件规则阻止。应
用允许文件的新访问控制策略后,会自动恢复 HTTP 会话。请注意,此原因只出现在内
联部署中。
联部署中。
–
File Resume Block
表示件传输最初被 Detect Files 或 Malware Cloud Lookup 文件规则允
许。应用阻止文件的新访问控制策略后,会自动停止 HTTP 会话。请注意,此原因只出
现在内联部署中。
现在内联部署中。
–
SSL Block
表示系统基于 SSL 检查配置阻止了加密连接。
SSL Block
原因始终与
Block
操
作匹配。
–
Intrusion Block
表示系统阻止或本可阻止在连接中检测到的攻击程序 (违反入侵策
略)。
Intrusion Block
原因与用于阻止攻击程序的
Block
操作和用于本可阻止的攻击程
序的
Allow
操作相匹配。
–
Intrusion Monitor
表示系统检测到但并未阻止连接中检测到的攻击程序。当触发的入侵
规则状态设置为
Generate Events
时,会发生这种情况。
Referenced Host
如果连接的协议是 DNS、 HTTP 或 HTTPS,此字段显示各自协议使用的主机名。
Security Context
识别流量通过的虚拟防火墙组的元数据。请注意,系统仅对多情景模式下的 ASA FirePOWER
设备填充此字段。
设备填充此字段。
Security Intelligence Category
表示或包含连接中被列为黑名单的 IP 地址的黑名单对象名称。安全情报类别可以是网络对象
或网络组、全局黑名单、自定义安全情报列表或源、或者情报源中一个类别的名称。请注
意,只有在
或网络组、全局黑名单、自定义安全情报列表或源、或者情报源中一个类别的名称。请注
意,只有在
Reason
是
IP Block
或
IP Monitor
时才填充该字段;安全情报事件视图中的条目始
。
另请注意,无论是 DC500 防御中心还是 2 系列设备都不支持此功能。
Source Device
导出连接数据的 NetFlow 启用设备的 IP 地址。如果受管设备检测到连接,则此字段包含
FireSIGHT
值。