“主机”选项卡上的网络映射将显示主机计数以及主机 IP 地址和主 MAC 地址的列表。每个地址或部分地址都是一条指向下一级的链接。此网络映射视图提供系统检测到的所有唯一主机的计数，无论主机有一个 IP 地址还是多个 IP 地址。

使用主机网络映射查看网络上按分层树中子网排列的主机，以及向下钻取到特定主机的主机配置文件。

系统可以将主机从导出的 NetFlow 记录中添加到网络映射中，但是这些主机的可用信息是有限的；请参阅NetFlow 和受管设备数据之间的差异。

通过为网络创建自定义拓扑，可向主机网络映射中显示的子网分配有意义的标签，例如，部门名称。也可根据在自定义拓扑中指定的公司查看主机网络映射。

可从主机网络映射中删除整个网络、子网或个别主机。例如，如果知道主机不再连接到网络，则可将其删除以简化分析。如果系统此后检测到与已删除主机关联的活动，则会将该主机重新添加至网络映射。如果要从网络映射永久排除主机或子网，请修改网络发现策略。

小心	请勿从网络映射删除网络设备。系统会使用它们来确定网络拓扑。

在主机网络映射页面上，只能搜索主 MAC 地址，而主机 [MAC] 计数器仅包括主 MAC 地址。有关主 MAC 地址和辅助 MAC 地址的说明，请参阅 主机配置文件中的基本主机信息。

“网络设备”(Network Devices) 选项卡上的网络映射显示将一个网段连接到另一个网段的网络设备（网桥、路由器、NAT 设备和负载平衡器）。该映射包含两个部分，分别列出按 IP 地址识别的设备和按 MAC 地址识别的设备。

该映射还提供系统检测到的所有唯一网络设备的计数，无论设备具有一个 IP 地址还是多个 IP 地址。

如为网络创建自定义拓扑，则网络设备网络映射中会显示分配给子网的标签。

系统用于区分网络设备的方法包括：

• 分析思科发现协议 (CDP) 消息，可识别网络设备及其类型（仅限思科设备）

• 检测生成树协议 (STP)，可将设备识别为交换机或网桥

• 检测多个使用相同 MAC 地址的主机，可识别属于路由器的 MAC 地址

• 检测客户端 TTL 值变化，或检测比典型启动时间变化更频繁的 TTL 值，可识别 NAT 设备和负载均衡器

如果网络设备使用 CDP 进行通信，则其可能有一个或多个 IP 地址。如果它使用 STP 进行通信，则可能仅有 MAC 地址。

由于系统使用其位置来确定网络拓扑，因此不能从网络映射中删除网络设备。

网络设备的主机配置文件具有“系统”(System) 部分而不是“操作系统”(Operating Systems) 部分，其中包括反映网络设备后检测到的任何移动设备的硬件平台的“硬件”(Hardware) 列。如果“系统”下列出了硬件平台值，则该系统代表在网络设备后检测到的一个或多个移动设备。请注意，移动设备可能有，也可能没有硬件平台信息，但不会检测到非移动设备系统的硬件平台信息。

“移动设备”(Mobile Devices) 选项卡上的网络映射显示连接到网络的移动设备。此网络映射视还提供系统检测到的所有唯一移动设备的计数，无论设备有一个 IP 地址还是多个 IP 地址。

每个地址或部分地址都是一条指向下一级的链接。您也可以删除子网或 IP 地址；如果系统重新发现设备，则会将该设备重新添加到网络映射。

您还可以向下展开以查看移动设备的主机配置文件。

要识别移动设备，系统应执行以下操作：

• 分析来自移动设备的移动浏览器的 HTTP 流量中的用户代理字符串

• 监控特定移动应用的 HTTP 流量

如为网络创建自定义拓扑，则移动设备网络映射中会显示分配给子网的标签。

“危害表现”(Indications of Compromise) 选项卡上的网络映射显示网络上按 IOC 类别组织的受损主机。受影响主机列在每个类别下方。每个地址或部分地址都是一条指向下一级的链接。

从危害表现网络映射中，可查看通过特定方式确定为已受损的每个主机的主机配置文件。也可删除（标记为已解析）任何 IOC 类别或任何特定主机，这会从相关主机中移除 IOC 标记。例如，如已确定问题得到解决且不可能复发，即可从网络映射中删除 IOC 类别。

标记从网络映射解析的主机或 IOC 类别不会将其从网络中移除。如果系统最近检测到触发该 IOC 的信息，则网络映射中会重新显示已解析的主机或 IOC 类别。

有关系统如何确定感染指标的详细信息，请参阅危害表现数据和子主题。

“应用协议”(Application Protocols) 选项卡上的网络映射显示您的网络上运行的应用，按应用名称、供应商、版本并最终按运行每个应用的主机在分层树中排列。

系统检测到的应用可能随系统软件和 VDB 更新而变化，并且在导入任何附加探测器的情况下也会变化。每个系统或 VDB 更新的版本说明或咨询文本均包含有关任何新的和已更新的探测器的信息。有关探测器的全面最新列表，请参阅思科支持网站 (http://www.cisco.com/cisco/web/support/index.html)。

在此网络映射中，您可查看运行特定应用的每台主机的主机配置文件。

还可以删除任何应用类别、在所有主机上运行的任何应用或在特定主机上运行的任何应用。例如，如果知道应用在主机上已禁用并要确保系统不使用它进行影响级别限定，即可从网络映射中删除该应用。

从网络映射中删除应用不会将其从网络中移除。如果系统检测到应用发生变化（例如，如果 Apache 网络服务器升级到新版本），或者如果重新启动系统的发现功能，则网络映射中会重新显示已删除的应用。

视乎删除的内容，行为有所不同：

• 应用类别 - 删除应用类别会将其从网络映射中移除。驻留在该类别下的所有应用都会从包含应用的任何主机配置文件中移除。

  例如，如果删除 http，则会从所有主机配置文件中移除标识为 http 的所有应用，并且网络映射的应用视图中不再显示 http。

• 特定应用、供应商或版本 - 删除特定应用、供应商或版本会从网络映射中以及从包含该网络映射的任何主机配置文件中移除受影响的应用。

  例如，如果展开 http 类别并删除 Apache，则会从包含列为 Apache 的所有应用（具有 Apache 下列出的任何版本）的任何主机配置文件中移除这些应用。同样，如果删除特定版本（例如 1.3.17）而不是删除 Apache，则仅会将所选版本从受影响主机配置文件中删除。

• 特定 IP 地址 - 删除 IP 地址会将其从应用列表中移除，并从所选 IP 地址的主机配置文件中移除应用本身。

  例如，如果展开 http、Apache、1.3.17 (Win32)，然后删除 172.16.1.50:80/tcp，则会从 IP 地址 172.16.1.50 的主机配置文件中删除 Apache 1.3.17 (Win32) 应用。

“漏洞”选项卡上的网络映射显示系统在网络中检测到的漏洞，按旧版漏洞 ID (SVID)、 CVE ID 或 Snort ID排列。

从此网络映射中，可查看特定漏洞的详细信息；还可查看受特定漏洞影响的任何主机的主机配置文件。此信息有助于评估该漏洞对特定受影响主机造成的威胁。

如果确定特定漏洞不适用于网络上的主机（例如，已应用补丁），则可停用漏洞。已停用的漏洞仍显示在网络映射中，但是其先前受影响主机的 IP 地址以灰色斜体显示。那些主机的主机配置文件将已停用的漏洞显示为无效，不过可以手动将其标记为对于个别主机有效。

如果主机上的应用或操作系统存在身份冲突，则系统会列出两种潜在身份的漏洞。解决身份冲突后，漏洞保持与当前身份关联。

默认情况下，仅当数据包包含应用的供应商和版本时，网络映射才会显示检测到的应用的漏洞。但是，可将系统配置为列出缺少供应商和版本数据的应用的漏洞，只需在 管理中心配置中为应用启用漏洞映射设置。

漏洞 ID（或漏洞 ID 的范围）旁边的数字表示两个计数：

受影响的主机

第一个数字是受漏洞影响的非唯一主机的计数。如果主机受多个漏洞影响，则会多次对其进行计数。因此，计数可能高于网络上的主机数。停用漏洞会按可能受该漏洞影响的主机数减小此计数。如果尚未面向漏洞或漏洞范围停用任何潜在受影响主机的任何漏洞，则不显示此计数。

可能受影响的主机

第二个数字是系统已确定为潜在受漏洞影响的非唯一主机的总数的计数。

停用漏洞致使其仅对指定的主机处于非活动状态。可停用已判定为易受攻击的所有主机或指定的个别易受攻击主机的漏洞。漏洞停用之后，适用的主机 IP 地址以灰色斜体显示在网络映射中。此外，这些主机的主机配置文件将已停用的漏洞显示为无效。

如果系统随后在主机上检测到未尚未停用的漏洞（例如，在网络映射中的新主机上），则系统会激活该主机的漏洞。必须明确停用最近发现的漏洞。此外，如果系统检测到主机的操作系统或应用变化，则可能重新激活关联的已停用漏洞。

“主机属性”选项卡上的网络映射显示按用户定义的主机属性或合规 allow 名单主机属性组织的主机。您不能使用此显示中的预定义主机属性组织主机。

选择要用于组织主机的主机属性时，管理中心列出该属性在网络映射中的可能值并根据其分配值将主机分组。例如，如果选择按 allow 名单主机属性组织主机，则系统会在类别“合规”、“不合规”和“未评估”中显示这些主机。

还可查看为其分配了特定主机属性值的任何主机的主机配置文件。