使用应用程序
建议完成的调查
-
确认您的系统阻止了系统发现的威胁:
在“威胁”>“威胁摘要”页面上,过滤未被阻止的威胁(无论方向)。
在“威胁”>“入侵事件”页面上,过滤未被阻止的 1 级影响力威胁。
-
查找被攻击的内部主机:
内部主机发起的攻击始终会指示攻击。
-
在“Threats”(威胁)>“Intrusion Events”(入侵事件)页面上,过滤 3 级影响力威胁(无论是否被阻止),然后在时间表下方的饼图中点击相关的 内部主机选项。调查页面底部 表格中的内部 IP 地址。
-
然后对 2 级影响力事件执行相同的操作。
-
在“Threats”(威胁)>“Threat Summary”(威胁摘要)页面上,过滤源自内部主机的方向(无论是否被阻止)并调查牵涉到的 内部主机(无论威胁是否被阻止)。
-
-
识别受到恶意软件影响的主机,这些恶意软件在被称为威胁之前进入您的网络:
使用“威胁”>“威胁摘要”页面上的回顾性恶意软件事件图识别受影响的主机。
-
查找网络上的异常状况,例如未经核准的应用程序或使用中的非标准端口:
-
检查“网络”页面上的图表。
-
按照“网络”页面“Top Server Applications In Use with Least Seen TCP Ports”(使用最少见 TCP 端口的最常用服务器应用)图 上突出显示的信息,查找非常见端口上的活动。
-
-
查看异常的数据 — 出乎意料经常或不经常看到的活动或参数。
-
调查网络上的任何意外主机:
网络上没有关联主机发现的 0 级入侵事件可能表示存在幽灵网络。
(0 级入侵事件也可能表示您的网络发现策略未正确实施。)
-
查找随时间推移或针对密钥主机(例如服务器)的高优先级攻击的峰值或趋势:
这些最容易在“威胁”菜单下每个页面的时间线图中看到。
选择多个时间范围以查看实际意义。
-
消除大量无关紧要的数据,使重要数据更醒目。
-
仔细审查独特的事件,这可能表示针对性极强的攻击。
-
向下钻取感兴趣的事项。
当发现引发警示标记的模式、主机、用户、应用、端口等时,可以向下钻取并过滤以查看 涉及相关实体的其他事务。此外,右键单击项目可查看是否有其他信息可用。
-
在深入分析时,留意可能可疑的任何其他行为。例如:
-
一段时间内,一个 URL 意外地与多个 IP 地址和 MAC 地址相关联。
-
过去一小时内,主机使用 SSH 意外连接到 30 个不同的终端。
-
-
查找与特定 IP 地址关联的事件和数据:
使用“威胁”>“上下文资源管理器”页面。
备注
如果您的过滤器包含多个 IP 地址,应用程序的响应可能会变得非常慢,具体取决于您的数据设置方式。
-
另请参阅入侵事件影响级别。
小工具说明:
此应用程序中的大多数小工具与 Firepower 管理中心中的等效小工具相同。有关 这些构件的信息,请参阅适用于您的版本的 Firepower 管理中心配置指南,其网址为 https://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html。
入侵事件影响级别
影响力级别 |
说明和建议的操作 |
---|---|
0 |
网络上出现意外主机 源和目标主机 IP 地址均不在 Firepower 管理中心发现策略定义的网络内。 如果您的发现策略配置正确,则 0 级影响力事件可能表示网络上有未经授权的设备(幽灵 网络)。 点击此影响力级别,查看页面底部的表格以确定哪个传感器看到此流量 ,并让您的网络小组查找并隔离这些设备。 |
1 |
高优先级入侵事件 目标主机容易受到攻击。 这些事件可能是操作系统、服务器或客户端漏洞,也可能是思科 Talos 定义的攻击迹象。 要按类型查看这些事件的细目,请参阅下方的“1 级影响力 – 高优先级事件”构件,或者查看页面底部的表格 以了解有风险的主机列表。 |
2 |
较小可能受到攻击的主机 如果攻击源自您的网络,表示主机受到攻击,您应调查源 IP 地址。 Firepower 尚未发现目标主机上遭攻击的已知漏洞。 但是,无论源 IP 为何,您都应确认目标主机没有受到攻击。 |
3 |
较大可能受到攻击的主机 只有在内部主机是攻击源时,才会发生 3 级影响力事件。 如果事件源自内部,始终表示主机受到攻击。 点击下方的相关构件以在页面底部的表格中显示源自内部的事件,然后调查该 表格中的源 IP 地址。 |
4 |
主机未完全集成到网络中 主机位于 Firepower 管理中心发现策略中配置的预期 IP 地址范围内, 但没有主机配置文件。 主机可能是新近增加到您的网络中的,例如,作为尚未正确配置的收购或网络扩建 的一部分。 |