查看关联事件
当活动的关联策略中的关联规则触发时,系统生成关联事件并将其记录至数据库。
注 |
当活动的关联策略中的合规 allow 名单触发时,系统生成 an allow 名单事件。 |
您可以查看关联事件表,然后根据查找的信息操作事件视图。
在多域部署中,可以查看当前域和任何后代域的数据。不能从更高级别的域或同级域查看数据。
您在访问关联事件时看到的页面将随您所使用的工作流程而变化。您可以使用预定义的工作流程,其中包括关联事件的表视图。还可创建自定义工作流程,仅显示匹配特定需求的信息。
开始之前
您必须是 管理员 或 安全分析师 用户才能执行此任务。
过程
步骤 1 |
选择。 或者,要使用不同的工作流程,包括自定义工作流程,请按工作流程标题点击(切换工作流程)([switch workflow])。
|
||
步骤 2 |
或者,调整时间范围,如更改时间窗口中所述。 |
||
步骤 3 |
执行下列操作之一:
|
关联事件字段
当关联规则触发时,系统会生成关联事件。下表介绍关联事件表中可以查看和搜索的字段。
字段 |
说明 |
---|---|
说明 |
关联事件的说明。说明中的信息取决于规则触发方式。 例如,如果操作系统的信息更新事件触发规则,则系统显示新的操作系统名称和可信度。 |
设备 |
生成触发策略违规的事件的设备的名称。 |
域 |
其受监控流量触发了策略违规的设备的域。 仅当曾经配置 管理中心以实现多租户时,此字段才存在。 |
影响 |
基于入侵数据、发现数据和漏洞信息之间的关联分配给关联事件的影响级别。 搜索此字段时,有效值(不区分大小写)包括 |
“入口接口”(Ingress Interface) 或“出口接口”(Egress Interface) |
触发策略违规的入侵或连接事件的入口或出口界面。 |
“入口安全区域”(Ingress Security Zone) 或“出口安全区域”(Egress Security Zone) |
触发策略违规的入侵或连接事件的入口或出口安全区域。 |
内联结果 |
以下任一项:
使用此字段搜索入侵事件触发的策略违规时,请输入:
请注意,不管规则状态或入侵策略的丢弃行为如何(包括当内联集处于分流模式下),系统都无法在被动部署情况下丢失数据包。 |
策略 |
违反的策略的名称。 |
优先级 |
关联事件的优先级,由触发的规则或违规的关联策略的优先级确定。搜索此字段时,请输入 |
规则 |
触发策略违规的规则的名称。 |
安全情报类别 (Security Intelligence Category) |
代表或包含触发策略违规的事件中的被受阻的 IP 地址的对象的名称。 搜索此字段时,请指定与触发策略违规的关联事件相关联的安全情报类别。安全情报类别可能是安全情报对象的名称、全局阻止列表、自定义安全情报列表或源,或者情报源中的其中一个类别。 |
“源大洲”(Source Continent) 或“目标大洲”(Destination Continent) |
与触发策略违规的事件中的源或目标主机 IP 地址相关联的大洲。 |
“源国家/地区”(Source Country) 或“目标国家/地区”(Destination Country) |
与触发策略违规的事件中的源或目标主机 IP 地址相关的国家/地区。 |
“源主机重要性”(Source Host Criticality) 或“目标主机重要性”(Destination Host Criticality) |
涉及关联事件的源主机或目标主机的用户分配的主机重要性: 请注意,只有基于发现事件、主机输入事件或连接事件按规则生成的关联事件才包含源主机重要性。 |
“源 IP”(Source IP) 或“目标 IP”(Destination IP) |
触发策略违规的事件中的源主机或目标主机的 IP 地址。 |
“源端口/ICMP 类型”(Source Port/ICMP Type) 或“目标端口/ICMP 代码”(Destination Port/ICMP Code) |
与触发策略违规的事件有关的源流量的源端口或 ICMP 类型或者目标流量的目标端口或 ICMP 代码。 |
“源用户”(Source User) 或“目标用户”(Destination User) |
登录触发策略违规的事件中的源主机或目标主机的用户的姓名。 |
时间 |
生成关联事件的日期和时间。此字段不可搜索。 |
计数 |
与每行中所显示的信息匹配的事件数。请注意,计数 (Count) 字段仅在应用了创建两个或多个相同行的约束后才显示。此字段不可搜索 |