Руководство Пользователя для Cisco Cisco Firepower Management Center 4000
58-32
FireSIGHT 系统用户指南
第 58 章 了解和使用工作流程
使用工作流程
此功能可增强您调查可疑活动的能力。例如,如果查看的是连接数据并发现内部主机在向外部站
点传送异常大量的数据,则可以选择响应方 IP 地址和端口作为限制,然后跳至
点传送异常大量的数据,则可以选择响应方 IP 地址和端口作为限制,然后跳至
Applications
工作
流程。应用工作流程将使用响应方 IP 地址和端口作为 IP Address 和 Port 限制,并显示有关应用的
其他信息,如应用的种类。也可以点击页面顶部的
其他信息,如应用的种类。也可以点击页面顶部的
Hosts
以查看远程主机的主机配置文件。
在找到有关应用的详细信息后,可以选择
Correlation Events
以返回到连接数据工作流程,从限制中
移除 Responder IP,向限制中添加 Initiator IP,然后选择
Application Details
以了解发起主机上的用
户在将数据传输到远程主机时使用了哪个客户端。请注意,Port 限制未转移到 Application Details
页面。保持本地主机作为限制时,也可以使用其他导航按钮查找其他信息。
页面。保持本地主机作为限制时,也可以使用其他导航按钮查找其他信息。
•
要发现本地主机是否已违反任何策略,请保持 IP 地址作为限制并从
Jump to
下拉列表中选择
Correlation Events
。
•
要了解是否对主机触发了指示危害的入侵规则,请从
Jump to
下拉列表中选择
Intrusion Events
。
•
要查看本地主机的主机配置文件并确定主机是否易受可能已被利用的任何漏洞的攻击,请从
Jump to
下拉列表中选择
Hosts
。
使用书签
许可证:任何环境
如果要在事件分析中快速返回到特定位置和时间,请创建书签。书签保留以下有关信息:
•
使用的工作流程
•
查看的工作流程部分
•
工作流程中的页码
•
任何搜索限制
•
任何已禁用列
•
使用的时间范围
创建的书签可供具有书签访问权限的所有用户帐户使用。这意味着,如果发现需要深入分析的事
件集,则可以轻松创建书签并将调查移交给具有相应特权的其他用户。
件集,则可以轻松创建书签并将调查移交给具有相应特权的其他用户。
注
如果删除书签中显示的事件 (直接由用户删除或通过自动数据库清除),则书签不再显示原始事
件集。
件集。
有关使用书签的详细信息,请参阅:
•
•
•