- 访问控制策略(系统日志:ACPolicy)
-
监控连接的访问控制策略。
- 访问控制规则 (系统日志:AccessControlRuleName)
-
处理连接的访问控制规则或默认操作,以及最多 8 条该连接匹配的监控规则。
如果连接匹配一个监控规则,则 Cisco Secure Firewall Management Center会显示处理连接的规则的名称,后跟监控规则名称。如果连接匹配多个监控规则,则会显示匹配的监控规则数量,例如,默认操作 + 2 个监控规则。
要显示包含与连接匹配的前 8 个监控规则的列表的弹出窗口,请单击N 个监控规则。
- 操作(系统日志:AccessControlRuleAction)
-
与已记录连接的配置关联的操作。
对于受安全情报监控的连接,该项操作即为由连接触发的第一个非监控访问控制规则的操作,或者为默认操作。同样,由于与监控规则匹配的流量始终由后续规则或通过默认操作进行处理,因此与因监控规则而记录的连接相关联的操作绝不会是“监控”(Monitor)。不过,您仍然可以在与监控规则匹配的连接上触发关联策略违规。
操作
|
说明
|
允许
|
通过访问控制明确允许的或者由于用户绕过交互式阻止而允许的连接。
|
阻止、阻止并重置
|
受阻连接,包括:
-
按预过滤器策略阻止的隧道及其他连接
-
被安全情报阻止的连接。
-
被 SSL 策略阻止的加密连接。
-
漏洞按入侵策略阻止的连接。
-
文件(包括恶意软件)按文件策略阻止的连接。
对于系统阻止入侵或文件的连接,即使使用访问控制“允许”(Allow) 规则调用深度检查,系统也将显示 Block。
|
快速路径
|
按预过滤器策略使用快速路径的非加密隧道及其他连接
|
交互式阻止、交互式阻止并重置
|
在系统最初使用“交互式阻止”(Interactive Block) 规则阻止用户的 HTTP 请求时记录的连接。如果用户单击浏览系统显示的警告页面,则为会话记录的其他连接会执行操作“允许”(Allow)。
|
信任
|
访问控制信任的连接。系统根据设备型号以不同方式记录受信任的 TCP 连接。
|
默认操作
|
访问控制策略的默认操作处理的连接。
|
(空白/空)
|
在传递足够的数据包以匹配规则之前,连接已关闭。
只有在访问控制以外的其他设备(例如入侵防御)导致记录连接时,才会发生这种情况。
|
- 应用协议(系统日志:ApplicationProtocol)
-
在 Cisco Secure Firewall Management Center Web 界面中,此值限制摘要和图形。
连接中检测到的表示主机之间通信的应用协议。
- 应用协议类别和标记 (Application Protocol Category and Tag)
-
展示了应用特征的条件标准,协助您了解应用功能。
- 应用风险
-
与连接中检测到的应用流量关联的风险:“非常高”、“高”、“中”、“低”或“非常低”。连接中检测的各类应用都有一个相关风险;该字段显示最高风险。
- 业务相关性
-
与连接中检测到的应用流量关联的业务相关性:“非常高”、“高”、“中”、“低”或“非常低”。连接中检测的各类应用都有相关业务相关性;该字段显示级别最低的业务相关性。
- 客户端和客户端版本(系统日志:Client、ClientVersion)
-
在连接中检测到的客户端应用及版本。
如果系统无法识别连接中使用的特定客户端,则该字段会显示附加到应用协议名称的术语“client”,以提供通用名称,例如,FTP client。
- 客户端类别和标记 (Client Category and Tag)
-
展示了应用特征的标准,协助您了解应用功能。
- 连接计数器 (仅限系统日志)
-
区分一个连接与另一个同时连接的计数器。此字段本身没有意义。
以下字段共同唯一标识连接事件:DeviceUUID,第一个数据包时间,连接实例 ID 和连接计数器。
- 连接实例 ID (仅限系统日志)
-
处理连接事件的 Snort 实例。此字段本身没有意义。
以下字段共同唯一标识连接事件:DeviceUUID,第一个数据包时间,连接实例 ID 和连接计数器。
- ConnectionDuration(仅限系统日志)
-
此字段仅作为系统日志字段存在;不会出现在 Cisco Secure Firewall Management Center Web 界面中。(Web 界面使用“第一个数据包”列和“最后一个数据包”列来传达此信息。)
仅当在连接结束后发生日志记录时,此字段才具有值。对于 start-of-connection 系统日志消息,由于此字段在当时未知,因此不是输出。
对于 end-of-connection 系统日志消息,此字段指示第一个数据包到最后一个数据包之间经过的秒数,短连接的秒数可为零。例如,如果系统日志的时间戳为 12:34:56,ConnectionDuration 为 5,则第一个数据包出现于
12:34:51。
- 连接
-
连接摘要中的连接数。对于长期运行连接,即跨越多个连接摘要间隔的连接,只有第一个连接摘要间隔可递增。要使用连接 (Connections) 条件查看有意义的搜索结果,请使用具有连接摘要页面的自定义工作流程。
- 计数
-
与每行显示的信息相匹配的连接数。请注意,计数 (Count) 字段仅在应用了创建两个或多个相同行的约束后才显示。如果创建了自定义工作流程,但未在向下钻取页面中添加计数 (Count) 列,则每个连接都将单独列出,且数据包和字节并不汇总。
- 目标端口/ICMP 代码(系统日志:单独字段 - DstPort、ICMPCode)
-
在 Cisco Secure Firewall Management Center Web 界面中,这些值限制摘要和图形。
会话 响应方使用的端口或 ICMP 代码。
- DestinationSecurityGroup (仅限系统日志)
-
此字段包含与 DestinationSecurityGroupTag中的数字值关联的文本值(如果可用)。如果组名不可用作文本值,则此字段包含与 DestinationSecurityGroupTag 字段相同的整数值。
- DestinationSecurityGroupType (仅限系统日志)
-
此字段显示从中获取安全组标记的源。
值
|
说明
|
内联
|
目标 SGT 值来自数据包
|
会话目录
|
目标 SGT 值通过会话目录主题来自 ISE
|
SXP
|
目标 SGT 值来自 ISE 通过 SXP 主题
|
- 目标 SGT(系统日志: DestinationSecurityGroupTag)
-
连接中涉及的目标的数值安全组标记 (SGT) 属性。
目标 SGT 值从 DestinationSecurityGroupType 字段中指定的 源获取。
- 检测类型
-
此字段显示客户端的检测来源。
- 设备
-
在 Cisco Secure Firewall Management Center Web 界面中,此值限制摘要和图形。
检测到连接的受管设备,或者对于从 NetFlow 数据生成的连接,是指处理数据的受管设备。
- DeviceUUID (仅限系统日志)
-
生成事件的 Firepower 设备的唯一标识符。
以下字段共同唯一标识连接事件:DeviceUUID,第一个数据包时间,连接实例 ID 和连接计数器。
- DNS 查询(系统日志:DNSQuery)
-
在与名称服务器的连接中提交的用于查找域名的 DNS 查询。
当启用 DNS 过滤时,此字段还可以保存 URL 过滤匹配的域名。在这种情况下,URL 字段将为空,URL 类别和 URL 信誉字段包含与域关联的值。
有关 DNS 过滤的详细信息,请参阅 DNS 过滤:在 DNS 查找期间识别 URL 信誉和类别。
- DNS 记录类型(系统日志:DNSRecordType)
-
用于解析连接中提交的 DNS 查询的 DNS 资源记录的类型。
- DNS 响应(系统日志:DNSResponseType)
-
查询时在与名称服务器的连接中返回的 DNS 响应。
- DNS Sinkhole 名称(系统日志:DNS_Sinkhole)
-
系统将连接重定向的 Sinkhole 服务器的名称。
- DNS TTL(系统日志:DNS_TTL)
-
DNS 服务器缓存 DNS 资源记录的秒数。
- 域
-
检测到连接的受管设备的域,或者对于从 NetFlow 数据生成的连接,是指处理数据的受管设备的域。 仅当曾经配置 Cisco Secure Firewall Management Center以实现多租户时,此字段才存在。
- 加密可视性进程名称
-
由加密可视性引擎(EVE)分析的 TLS 客户端呼叫数据包中的进程或客户端。
- 加密可视性置信度分数
-
加密可视性引擎检测到正确进程的置信度值范围为 0-100%。例如,如果进程名称为 Firefox,并且置信度分数为 80%,则意味着引擎 80% 的置信度表示其检测到的进程是 Firefox。
- 加密可视性威胁置信度
-
加密可视性引擎(EVE)检测到的进程包含威胁的概率级别。此字段根据威胁置信度分数中的值指示频段(非常高,高,中,低或非常低)。
- 加密可视性威胁置信度分数
-
加密可视性引擎检测到的进程包含威胁的置信度值范围为 0-100%。如果威胁置信度分数非常高,例如 90%,则加密可视性进程名称字段显示“恶意软件”。
- 终端位置 (Endpoint Location)
-
使用 ISE 对用户进行身份验证的网络设备的 IP 地址,如 ISE 所识别。
- 终端配置文件(系统日志:Endpoint Profile)
-
用户的终端设备类型,如 ISE 所识别。
- 事件优先级 (仅限系统日志)
-
连接事件是否为高优先级事件。高
优先级事件是与入侵、安全情报、文件或恶意软件事件关联的连接事件。所有其他事件均为 低
优先级。
- 文件(系统日志:FileCount)
-
在与一个或多个文件事件关联的连接中检测到或阻止的文件(包括恶意软件文件)数量。
在 Cisco Secure Firewall Management Center Web 界面中, 查看文件图标 指向文件列表。图标上的数字表示连接中检测到或阻止的文件数量(包括恶意软件文件)。
- 第一个数据包或最后一个数据包(系统日志:ConnectionDuration 字段)
-
查看了会话的第一个或最后一个数据包的日期和时间。
- 第一个数据包时间 (仅限系统日志)
-
系统遇到第一个数据包的时间。
以下字段共同唯一标识连接事件:DeviceUUID,第一个数据包时间,连接实例 ID 和连接计数器。
- HTTP 引用站点(系统日志:HTTPReferer)
-
HTTP 来源地址,表示在连接中检测到的 HTTP 流量的请求 URL 来源地址(例如提供到另一个 URL 的链接或从其导入链接的网站)。
- HTTP 响应代码(系统日志:HTTPResponse)
-
发送的 HTTP 状态代码用于响应客户端通过连接的 HTTP 请求。
- 入口/出口接口(系统日志:IngressInterface、EgressInterface)
-
与连接相关的入口或出口接口。如果部署包括异步路由配置,则入口和出口接口可能属于同一内联集。
- 入口/出口安全区域(系统日志:IngressZone、EgressZone)
-
与连接相关的入口或出口安全区。
对于重新分区的封装连接,“入口”(Ingress) 字段显示您分配的隧道区域,而不是原始入口安全区域。“出口”(Engress) 字段为空。
- 入口虚拟路由器/出口虚拟路由器(系统日志: IngressVRF、 EgressVRF)
- 在使用虚拟路由的网络中,用于流量进出网络的虚拟路由器的名称。
- 发起方/响应方字节数(系统日志:InitiatorBytes、ResponderBytes)
-
会话发起方传输的总字节数或会话响应方接收的总字节数。
- Initiator/Responder Continent
-
当检测到可路由 IP 时,与会话发起方或响应方的 IP 地址关联的大洲。
- Initiator/Responder Country
-
当检测到可路由 IP 时,与会话发起方或响应方的 IP 地址关联的国家/地区。系统显示国家/地区的旗帜图标和国家/地区的 ISO 3166-1 alpha-3 国家/地区代码。将鼠标指针悬停在旗帜图标上可以查看该国家/地区的全名。
- 发起方/响应方 IP(系统日志:SrcIP、DstIP)
-
在 Cisco Secure Firewall Management Center Web 界面中,这些值限制摘要和图形。
会话发起方或响应方的 IP 地址(如果启用 DNS 解析,则还包括主机名)。
另请参阅有关发起方/响应方,源/目标和发件人/接收方字段的说明。
在 Cisco Secure Firewall Management Center Web 界面中,主机图标标识导致连接被阻止的 IP 地址。
对于被预过滤器策略阻止或使用快速路径的明文、传递隧道,启动器和响应器 IP 地址不表示隧道终端(隧道任一端的网络设备的路由接口)。
- 发起方/响应方数据包数 (系统日志: InitiatorPackets、ResponderPackets)
-
会话发起方传输的总数据包数或会话响应方接收的总数据包数。
- 发起方用户(系统日志:User)
-
在 Cisco Secure Firewall Management Center Web 界面中,此值限制摘要和图形。
登录到会话发起方的用户。如果使用无身份验证填充此字段,则用户流量:
-
匹配没有关联身份策略的访问控制策略
-
与身份策略中的任何规则都不匹配
如果适用,用户名前面会附加 <区域>\。
另请参阅有关发起方/响应方,源/目标和发件人/接收方字段的说明。
- 入侵事件(系统日志:IPSCount)
-
与连接相关的入侵事件数量(如有)。
在 Cisco Secure Firewall Management Center Web 界面中, 查看入侵事件图标 指向事件列表。
- IOC
-
事件是否针对连接中涉及的主机触发了危害表现 (IOC)。
- NAT 源/目标 IP (系统日志: NAT_InitiatorIP,NAT_ResponderIP)
-
会话发起方或响应方的 NAT 转换 IP 地址。
- NAT 源/目标端口(系统日志: NAT_InitiatorPort,NAT_ResponderPort)
-
会话发起方或响应方的 NAT 转换端口。
- NetBIOS 域(系统日志:NetBIOSDomain)
-
会话中使用的 NetBIOS 域。
- NetFlow SNMP Input/Output
-
对于从 NetFlow 数据生成的连接,是指连接流量进入或退出 NetFlow 导出器时接口的接口索引。
- NetFlow 源/目标自治系统 (NetFlow Source/Destination Autonomous System)
-
对于从 NetFlow 数据生成的连接,是指连接中的流量源或目标的边界网关协议自治系统编号。
- NetFlow 源/目标前缀 (NetFlow Source/Destination Prefix)
-
对于从 NetFlow 数据生成的连接,是指与源或目标前缀掩码用 AND 连接的源或目标 IP 地址。
- NetFlow 源/目标 TOS (NetFlow Source/Destination TOS)
-
对于从 NetFlow 数据生成的连接,是指连接流量进入或退出 NetFlow 导出器时服务类型 (TOS) 字节的设置。
- 网络分析策略(系统日志:NAPPolicy)
-
与事件生成相关的网络分析策略 (NAP)(如果有)。
- 原始客户端国家/地区 (Original Client Country)
-
原始客户端 IP 地址所属的国家/地区。为获取该值,系统从 X-Forwarded-For (XFF)、True-Client-IP 或自定义的 HTTP 报头提取原始客户端 IP 地址,然后使用地理位置数据库 (GeoDB) 将其映射到国家/地区。要填充此字段,必须启用根据原始客户端处理代理流量的访问控制规则。
- 原始客户端 IP(系统日志:originalClientSrcIP)
-
来自 X-Forwarded-For (XFF)、True-Client-IP 或自定义的 HTTP 报头的原始客户端 IP 地址。要填充此字段,必须启用根据原始客户端处理代理流量的访问控制规则。
- 预过滤器策略(系统日志:Prefilter Policy)
-
处理连接的预过滤器策略。
- 协议(系统日志:Protocol)
-
在 Cisco Secure Firewall Management Center Web 界面中:
连接中使用的传输协议。要搜索特定协议,请使用 http://www.iana.org/assignments/protocol-numbers 中所列的名称或编号协议。