Cisco Cisco Firepower Management Center 2000 用户指南

41-14

FireSIGHT 系统用户指南

第 41 章处理入侵事件

查看入侵事件

审核入侵事件

许可证：保护

如果检查了某个入侵事件并确信其不对网络安全构成威胁（或许是因为您知道网络中的所有主机
均不易受检测到的漏洞攻击），那么可以将事件标记为“已审核”。您的姓名将显示为审核员，
已审核的事件不再列出在默认入侵事件视图中。被标记为“已审核”的事件将保留在事件数据库
中，但不会再显示在入侵事件视图中。

要将入侵事件标记为“已审核”，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

在显示入侵事件的页面上，您有两个选择：

•

要标记事件列表中的一个或多个入侵事件，请选择事件旁边的复选框并点击

Review

。

•

要标记事件列表中的所有入侵事件，请点击

Review All

。

系统显示成功消息，并且更新已审核事件的列表。

有关入侵事件视图中显示的事件的详细信息，请参阅

第 41-8 页上的了解入侵事件

。请参阅

第

41-15 页上的了解入侵事件的工作流程页面

，以了解有关如何将视图缩小至对分析非常重要的入

侵事件的详细信息。

注

已审核事件会包括在事件摘要统计信息中，但不显示在与入侵事件相关的工作流程页面上。

要查看以前标记为“已审核”的事件，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

选择

Analysis > Intrusions > Reviewed Events

。

系统显示默认已审核入侵事件工作流程的第一个页面。有关指定不同默认工作流程的信息，请参
阅

第 71-3 页上的配置事件查看设置

。如果未显示任何事件，可能需要调整时间范围；请参阅

第

58-19 页上的设置事件时间限制

。

提示

如果使用不包括入侵事件表视图的自定义工作流程，请点击工作流程标题旁边的

(switch workflow)

以选择随设备提供的任意预定义工作流程。

请参阅

第 41-8 页上的了解入侵事件

，以了解有关已审核入侵事件视图中显示的事件的详细信息。

请参阅

第 41-15 页上的了解入侵事件的工作流程页面

，以了解有关如何将视图缩小至对分析非常

重要的入侵事件的详细信息。