统一事件

以下主题介绍如何使用统一事件:

关于统一事件

统一事件为您提供多种类型(连接、入侵、文件、恶意软件和一些安全相关的连接事件)的单一屏幕视图。相互关联的事件在表中堆叠在一起,以提供有关安全事件的统一视图和更多上下文。如果“统一事件”表中有入侵事件,请点击入侵事件以突出显示关联的连接事件。现在,您可以将连接事件与入侵事件关联,以便更好地了解和解决网络问题,而无需在多个事件查看器之间切换。

统一事件表可高度自定义。您可以创建和应用自定义过滤器,以微调事件查看器上显示的信息。统一事件查看器还可以选择保存您经常用于特定需求的自定义过滤器,然后快速加载已保存的过滤器。此外,您还可以通过添加或删除列、固定列或拖动列并重新排序来创建定制的事件查看器表。

通过“统一事件”表中的 实时视图 选项,您可以实时查看防火墙事件并监控网络上的活动。例如,如果您是防火墙管理员,在进行策略更改后实时查看事件更新可以帮助您确保在网络上正确实施策略更改。

统一事件的要求和前提条件

型号支持

任意。

支持的域

任意。

用户角色

  • 管理员

  • 安全分析师

使用统一事件查看器操作

在单个表中查看和处理各种防火墙事件,而无需在多个事件查看器之间切换。

使用此视图:

  • 在统一视图中查找不同类型事件之间的关系。

  • 实时查看策略更改的影响。

开始之前

您必须具有 管理员安全分析师 权限才能执行此任务。

过程

步骤 1

选择 分析 > 统一事件

步骤 2

选择时间范围(固定或滑动)。有关详细信息,请参阅 统一事件查看器中的设置时间范围

步骤 3

如果要在 Secure Network Analytics 设备上远程存储事件,并且有充分的理由更改数据源,请选择数据源。请查看 在 Cisco Secure Network Analytics 设备上存储的连接事件中的 Cisco Secure Firewall Management Center 工作中的重要信息。

步骤 4

您可以过滤统一事件查看器最初显示的大量防火墙事件,以了解网络中事件的更精细情景。有关详细信息,请参阅 统一事件查看器中的过滤器

步骤 5

选择更多选项:

要执行此操作...

相应操作

自定义列

  • 添加或删除列:

    点击列选择器 () 并选择列。某些字段中的值取决于事件类型。每个字段旁边显示的以下图标表示事件类型对应关系:

    • 连接事件 (connection_event_icon)

    • 安全相关的连接事件 (安全相关的连接事件图标)

    • 入侵事件 (intrusion_event_icon)

    • 文件事件 (file_event_icon)

    • 恶意软件事件 (malware_event_icon)

    点击列集过滤选项旁边的事件图标,可根据所选事件类型过滤事件字段列表。

     

    包含许多列可能会降低性能。您可以通过展开事件行查看事件详细信息来查看隐藏列的数据。

  • 对列重新排序:

    拖放列标题。

  • 将列固定(冻结)到表的左侧或右侧,使它们不会滚动:

    将列拖至表的左侧或右侧。

    或者,将列标题拖放到固定区域。

    要取消固定列,请将该列拖出固定区域。

  • 调整列大小。

  • 将列恢复为默认设置。

  • 保存列集。有关详细信息,请参阅 统一事件查看器中的保存列集 主题。

数据始终按时间排序,最新事件排在最前面。

识别相关事件

点击一行可突出显示与此事件相关的其他事件。

如果需要,过滤事件以显示足够小的事件集。

 

连接的发起方不一定与恶意软件文件的发送方相同。通过使用 源或目标 IP 过滤器过滤统一事件查看器,搜索与连接事件关联的文件或恶意软件事件。

查看事件详情

点击行左端的 > (拓展)图标。事件详细信息不包括没有要显示的数据的字段。

提示

 

或者,双击事件行可查看 事件详细信息 窗格。当 事件详细信息 窗格打开时,点击表中的任何事件行以加载该事件的详细信息。

使用 Packet Tracer 对事件进行故障排除

  1. 点击要运行数据包跟踪的行旁边的省略号图标 (contextual_menu_icon)

  2. 选择 打开 Packet Tracer ,根据事件的源和目标寻址以及协议特征,在 Packet Tracer 工具中为数据包建模。跟踪模拟数据包并使用跟踪结果对安全事件进行故障排除。有关如何使用数据包跟踪器工具的详细信息,请参阅 使用数据包跟踪器

实时查看事件

点击 上线。有关详细信息,请参阅 统一事件查看器中的事件实时视图

如果事件流过快,请输入过滤条件。

交叉启动到外部资源

点击表格单元格中的省略号 (contextual_menu_icon) ,查看可用于该单元格值的选项(如果有)。

有关详细信息,请参阅使用基于 Web 的资源的事件调查

打开多个统一事件查看器选项卡/窗口

  • 您可以使用多个浏览器选项卡或窗口显示统一事件查看器的不同视图。

  • 每个新选项卡或窗口都具有最近修改的选项卡/窗口的特征。

  • 要将任何打开的选项卡/窗口设置为模板,请对其进行细微更改。

  • 多个选项卡中的查询按顺序处理。

  • 根据视图(例如,复杂查询或传入事件速率较高时在实时视图模式的查看),如果同时打开超过 4 个选项卡,性能可能会降低。

保存搜索

将自定义搜索保存为您的收藏,并在以后快速加载。有关详细信息,请参阅 统一事件查看器中保存搜索

为查询结果添加书签或共享

将 URL 加入书签或复制粘贴到浏览器窗口中。

  • 如果 URL 使用滑动时间范围,则稍后将检索不同的事件。

  • 列可视性、大小和顺序以及实时流设置不会在 URL 中捕获。

在统一事件查看器中设置时间范围

在统一事件查看器中配置时间范围,以查看特定时间段的防火墙事件。当您更改时间范围时,统一事件查看器会自动刷新以反映您的更改。

您选择的时间范围不适用于事件查看器中的其他表。例如,您在查看连接事件时选择的时间范围不适用于统一事件查看器,反之亦然。


重要

如果您的时间段延长到超出连接事件的保留期,请在 分析 > 连接 > 安全情报事件下的表中查找安全情报事件。

开始之前

您必须具有 管理员安全分析师 权限才能执行此任务。

过程

步骤 1

选择 分析 > 统一事件

默认情况下,统一事件查看器显示过去一小时的事件。

步骤 2

点击当前时间范围。

步骤 3

选择以下其中一个选项:

  • 如果要查看固定时间范围内的事件,请点击 固定时间范围 并选择 开始时间结束时间

    提示

     

    点击 现在 快速将当前时间设置为 结束时间

  • 如果您想配置指定长度的滑动式默认时间窗口,点击 滑动式时间范围

    设备显示在某个特定开始时间(例如,1 小时前)和当前时间期间生成的所有事件。刷新事件视图时,时间窗口会“滑动”,以便始终显示最后一小时的事件。

步骤 4

点击应用 (Apply)

统一事件查看器中的事件实时视图

将统一事件查看器配置为实时显示防火墙事件,而无需手动刷新事件查看器。在 实时视图 模式下,当网络中发生安全事件时,会实时显示事件日志,这有助于您更好地解决问题。

开始之前

您必须具有 管理员安全分析师 权限才能执行此任务。

过程

步骤 1

选择 分析 > 统一事件

默认情况下,统一事件查看器显示最近一小时的事件。

步骤 2

要查看实时事件更新,请点击 上线

新事件将填充在事件表的顶部。时间范围部分显示一个计时器,通知您统一事件查看器的运行时间。

下一步做什么

要退出实时视图模式,请点击 实时

统一事件查看器中的过滤器

统一事件查看器最初显示过去一小时内的多种类型的防火墙事件。您可以过滤统一事件的默认视图,以获取更精细的网络活动情景图片。过滤器支持排除和包含过滤条件。

过滤器可帮助您快速访问关键信息。例如,如果您是防火墙管理员,并且要允许或拒绝某些用户访问特定应用,则可以设置用户搜索条件以扫描防火墙日志。事件查看器显示与搜索条件匹配的事件日志。

开始之前

您必须具有 管理员安全分析师 权限才能执行以下任务。

过程

步骤 1

选择 分析 > 统一事件

步骤 2

输入过滤器条件:

  • 要手动输入过滤条件,请在搜索文本字段中键入确切的条件,或从下拉列表中选择条件。然后,提供过滤条件值。输入值时,系统会尽可能在下拉列表中提示您建议。

  • 点击表中事件的单元格中的点,然后选择一个选项以在过滤条件中包括或排除该值。

    提示

     

    • 使用 Ctrl+点击 (Windows) 或 Command-点击 (Mac) 键快速添加包含过滤条件。

    • 使用 Alt+点击 (Windows) 或 Option 点击 (Mac) 键快速添加排除过滤条件。

  • 请细化您的过滤条件。有关通配符和搜索行为的重要信息,请参阅 事件搜索

  • 在值字段中,在值前面添加运算符(例如 <、>、! 等)。例如,在 操作 字段中输入 !Allow 可查找操作不是“允许”的所有事件。

步骤 3

执行搜索。

提示

 

您可以使用 Ctrl+Enter (Windows) 或 Command-Enter (Mac) 键盘命令启动搜索。

当显示的列都具有相同的值时,统一事件查看器中的事件不会聚合。与过滤条件匹配的每个事件都单独列出。

下一步做什么

要保存自定义过滤器,请参阅 统一事件查看器中的保存搜索 主题。

在统一事件查看器中保存搜索

开始之前

您必须具有 管理员安全分析师 权限才能保存列集。

过程

步骤 1

选择 分析 > 统一事件

步骤 2

按照 统一事件查看器 主题的过滤器中的说明建立搜索条件。

步骤 3

点击搜索文本框中的 收藏夹搜索 () 图标。

步骤 4

执行以下操作之一:

  • 要保存新搜索,请指定搜索名称,然后点击 另存为

  • 要覆盖已保存的搜索,请在已保存的搜索上点击 编辑 ,然后点击 覆盖

下一步做什么

要加载已保存的搜索,请参阅 在统一事件查看器中加载已保存的搜索 主题。

在统一事件查看器中加载保存的搜索

开始之前

过程

步骤 1

选择 分析 > 统一事件

步骤 2

点击搜索文本框中的 收藏夹搜索 () 图标。

步骤 3

点击要加载的已保存搜索。

在统一事件查看器中保存列集

开始之前

您必须具有 管理员安全分析师 权限才能保存列集。

过程

步骤 1

选择 分析 > 统一事件

步骤 2

点击列选择器图标 (),然后选择要保存的列集。

步骤 3

点击 收藏的列集 () 图标。

步骤 4

执行以下操作之一:

  • 要保存新列集,请指定列集名称,然后点击 另存为

  • 要覆盖收藏夹列集,请在要覆盖的列集上点击 编辑 (contextual_menu_icon) ,然后点击 覆盖

下一步做什么

要加载已保存的列集,请参阅 在统一事件查看器中加载已保存的列集 主题。

在统一事件查看器中加载已保存的列集

开始之前

过程

步骤 1

选择 分析 > 统一事件

步骤 2

点击列选择器图标 ()。

步骤 3

点击 收藏的列集 () 。

步骤 4

点击要加载的列集。

统一事件查看器列说明

某些字段中的值取决于事件类型。默认情况下,字段对应关系如下:

统一事件查看器字段名称

连接或安全情报事件字段名称

入侵事件字段名称

文件事件字段名称

恶意软件事件字段名称

时间

首个数据包

参见下文注意事项。

时间

时间

时间

活动类型

--

--

--

--

操作

操作

内联结果

操作

操作

原因

原因

原因

(不适用)

(不适用)

源 IP

发起方 IP

源 IP

发送 IP

发送 IP

目标 IP

响应方 IP

目标 IP

接收 IP

接收 IP

源端口/ICMP 类型

源端口

源端口

发送端口

发送端口

目标地端口/ ICMP 代码

目的端口

目的端口

接收端口

接收端口

Web 应用程序

Web 应用程序

Web 应用程序

Web 应用程序

Web 应用程序

规则

访问控制规则

访问控制规则

(不适用)

(不适用)

策略

访问控制策略

入侵策略

文件策略

文件策略

设备

设备

设备

设备

设备

点击列选择器 () 图标可查看所有事件字段及其对应关系。

有关字段说明,请参阅以下主题:

另请参阅有关发起方/响应方,源/目标和发件人/接收方字段的说明

即使您在连接开始时未启用日志记录,系统也会将此值用作统一事件查看器中的时间字段。要确定是否在连接开始和结束时记录了连接事件,请展开事件的行以查看详细信息。如果连接的两端均已记录,您会看到 最后一个数据包 字段。

统一事件的历史记录

功能

最低 管理中心

最低 威胁防御

详情

用于统一事件查看器的数据包跟踪器

7.4.1

任意

现在,您可以从“统一事件查看器”页面打开数据包跟踪器,以对安全事件进行故障排除。

点击要运行数据包跟踪的事件旁边的省略号图标 (contextual_menu_icon)(展开),然后点击在数据包跟踪器中打开 (Open in Packet Tracer)

统一事件查看器改进

7.4

任意

改进了保存收藏列集和搜索功能。

保存常用搜索

7.3

任意

将列集和搜索保存为收藏项,稍后快速启动它们。

统一事件查看器

7.0

任意

查看和处理具有多种事件类型的单个表:连接(包括安全情报)、入侵、文件和恶意软件。

新增/修改的页面: 分析 > 统一事件下面的新页面。

支持的平台: 管理中心