使用应用程序

建议完成的调查

  • 确认您的系统阻止了系统发现的威胁:

    在“威胁”>“威胁摘要”页面上,过滤未被阻止的威胁(无论方向)。

    在“威胁”>“入侵事件”页面上,过滤未被阻止的 1 级影响力威胁。

  • 查找被攻击的内部主机:

    内部主机发起的攻击始终会指示攻击。

    • 在“Threats”(威胁)>“Intrusion Events”(入侵事件)页面上,过滤 3 级影响力威胁(无论是否被阻止),然后在时间表下方的饼图中点击相关的 内部主机选项。调查页面底部 表格中的内部 IP 地址。

    • 然后对 2 级影响力事件执行相同的操作。

    • 在“Threats”(威胁)>“Threat Summary”(威胁摘要)页面上,过滤源自内部主机的方向(无论是否被阻止)并调查牵涉到的 内部主机(无论威胁是否被阻止)。

  • 识别受到恶意软件影响的主机,这些恶意软件在被称为威胁之前进入您的网络:

    使用“威胁”>“威胁摘要”页面上的回顾性恶意软件事件图识别受影响的主机。

  • 查找网络上的异常状况,例如未经核准的应用程序或使用中的非标准端口:

    • 检查“网络”页面上的图表。

    • 按照“网络”页面“Top Server Applications In Use with Least Seen TCP Ports”(使用最少见 TCP 端口的最常用服务器应用)图 上突出显示的信息,查找非常见端口上的活动。

  • 查看异常的数据 — 出乎意料经常或不经常看到的活动或参数。

  • 调查网络上的任何意外主机:

    网络上没有关联主机发现的 0 级入侵事件可能表示存在幽灵网络。

    (0 级入侵事件也可能表示您的网络发现策略未正确实施。)

  • 查找随时间推移或针对密钥主机(例如服务器)的高优先级攻击的峰值或趋势:

    这些最容易在“威胁”菜单下每个页面的时间线图中看到。

    选择多个时间范围以查看实际意义。

  • 消除大量无关紧要的数据,使重要数据更醒目。

  • 仔细审查独特的事件,这可能表示针对性极强的攻击。

  • 向下钻取感兴趣的事项。

    当发现引发警示标记的模式、主机、用户、应用、端口等时,可以向下钻取并过滤以查看 涉及相关实体的其他事务。此外,右键单击项目可查看是否有其他信息可用。

  • 在深入分析时,留意可能可疑的任何其他行为。例如:

    • 一段时间内,一个 URL 意外地与多个 IP 地址和 MAC 地址相关联。

    • 过去一小时内,主机使用 SSH 意外连接到 30 个不同的终端。

  • 查找与特定 IP 地址关联的事件和数据:

    使用“威胁”>“上下文资源管理器”页面。


    备注

    如果您的过滤器包含多个 IP 地址,应用程序的响应可能会变得非常慢,具体取决于您的数据设置方式。


  • 另请参阅入侵事件影响级别

小工具说明:

此应用程序中的大多数小工具与 Firepower 管理中心中的等效小工具相同。有关 这些构件的信息,请参阅适用于您的版本的 Firepower 管理中心配置指南,其网址为 https://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html

入侵事件影响级别

表 1.

影响力级别

说明和建议的操作

0

网络上出现意外主机

源和目标主机 IP 地址均不在 Firepower 管理中心发现策略定义的网络内。

如果您的发现策略配置正确,则 0 级影响力事件可能表示网络上有未经授权的设备(幽灵 网络)。

点击此影响力级别,查看页面底部的表格以确定哪个传感器看到此流量 ,并让您的网络小组查找并隔离这些设备。

1

高优先级入侵事件

目标主机容易受到攻击。

这些事件可能是操作系统、服务器或客户端漏洞,也可能是思科 Talos 定义的攻击迹象。

要按类型查看这些事件的细目,请参阅下方的“1 级影响力 – 高优先级事件”构件,或者查看页面底部的表格 以了解有风险的主机列表。

2

较小可能受到攻击的主机

如果攻击源自您的网络,表示主机受到攻击,您应调查源 IP 地址。

Firepower 尚未发现目标主机上遭攻击的已知漏洞。

但是,无论源 IP 为何,您都应确认目标主机没有受到攻击。

3

较大可能受到攻击的主机

只有在内部主机是攻击源时,才会发生 3 级影响力事件。

如果事件源自内部,始终表示主机受到攻击。

点击下方的相关构件以在页面底部的表格中显示源自内部的事件,然后调查该 表格中的源 IP 地址。

4

主机未完全集成到网络中

主机位于 Firepower 管理中心发现策略中配置的预期 IP 地址范围内, 但没有主机配置文件。

主机可能是新近增加到您的网络中的,例如,作为尚未正确配置的收购或网络扩建 的一部分。