访问控制策略(系统日志:ACPolicy)
与启用了生成事件的入侵规则、预处理器规则或解码器规则的入侵策略相关联的访问控制策略。
访问控制规则 (系统日志: AccessControlRuleName)
调用生成事件的入侵策略的访问控制规则。Default Action
指示启用了规则的入侵政策未与特定访问控制规则相关联,而是配置为访问控制策略的默认操作。
如果存在以下情况,则此字段为空 (对于系统日志消息,则为省略) :
应用协议(系统日志:ApplicationProtocol)
表示在触发入侵事件的流量中检测到的主机之间的通信的应用协议(如果可用)。
应用协议类别和标记 (Application Protocol Category and Tag)
展示了应用特征的条件标准,协助您了解应用功能。
应用风险
与在触发入侵事件的流量中检测到的应用相关联的风险:“非常高”(Very High)、“高”(High)、“中”(Medium)、“低”(Low) 或“非常低”(Very Low)。在连接中检测的各种类型的应用都有相关的风险;此字段显示当中的最高风险。
业务相关性
与在触发入侵事件的流量中检测到的应用相关联的业务关联性:“非常高”(Very High)、“高”(High)、“中”(Medium)、“低”(Low) 或“非常低”(Very Low)。连接中检测的各类应用都有相关业务;此字段显示当中最低(相关性最小)的业务相关性。
分类 (系统日志:Classification)
生成事件的规则所属的分类。
请参阅 入侵事件详细信息中的可能分类值列表。
当搜索此字段时,请为生成要查看的事件的规则输入分类编号,或者全部或部分分类名称或说明。也可以输入编号、名称或描述的以逗号分隔列表。最后,如果添加自定义分类,还可以使用其完整或部分名称或描述进行搜索。
客户端(系统日志:Client)
客户端应用(如果有),代表在触发入侵事件的流量中检测到的受监控主机上运行的软件。
客户端类别和标记 (Client Category and Tag)
展示了应用特征的标准,协助您了解应用功能。
连接计数器 (仅限系统日志)
区分一个连接与另一个同时连接的计数器。此字段本身没有意义。
以下字段共同唯一地标识与特定入侵件事件相关的连接事件:DeviceUUID,第一个数据包时间,连接实例 ID 和连接计数器。
连接实例 ID (仅限系统日志)
处理连接事件的 Snort 实例。此字段本身没有意义。
以下字段共同唯一地标识与特定入侵件事件相关的连接事件:DeviceUUID,第一个数据包时间,连接实例 ID 和连接计数器。
计数
与每行中所显示的信息匹配的事件数。请注意,“计数”(Count) 字段仅在应用了创建两个或多个相同行的约束后才显示。此字段不可搜索。
目的地所在的大洲
入侵事件中涉及的接收主机所在的大洲。
目的地国家/地区
入侵事件中涉及的接收主机所在的国家/地区。
目标主机重要性
生成事件时的目标主机重要性(相应主机的“主机重要性”属性的值)。
请记住,当主机的重要性发生变化时,此字段不会更新。但是,新事件将具有新的重要性值。
目标端口/ICMP 代码(系统日志:DstPort、ICMPCode)
接收流量的主机的端口号。对于 ICMP 流量,在没有端口号的情况下,此字段显示 ICMP 代码。
DeviceUUID (仅限系统日志)
生成事件的 Firepower 设备的唯一标识符。
以下字段共同唯一地标识与特定入侵件事件相关的连接事件:DeviceUUID,第一个数据包时间,连接实例 ID 和连接计数器。
域
检测到入侵的设备的域。 仅当曾经配置 Cisco Secure Firewall Management Center以实现多租户时,此字段才存在。
出口接口(系统日志:EgressInterface)
触发事件的数据包的出口接口。对于被动接口,不填充此接口列。
出口安全区域(系统日志:EgressZone)
触发事件的数据包的出口安全区域。在被动部署中不填充此安全区域字段。
出口虚拟路由器
在使用虚拟路由的网络中,用于流量离开网络的虚拟路由器的名称。
电子邮件附件
提取自“MIME 内容性质”报头的 MIME 附件文件名。要显示附件文件名,必须启用 SMTP 预处理器的记录 MIME 附件名称 (Log MIME Attachment Names) 选项。支持多个附件文件名。
邮件报头
此字段仅为搜索字段。
提取自邮件报头的数据。
要将邮件报头与 SMTP 流量的入侵事件相关联,必须启用 SMTP 预处理器 Log Headers 选项。
邮件收件人 (Email Recipient)
提取自 SMTP RCPT TO 命令的邮件收件人的地址。要显示此字段的值,必须启用 SMTP 预处理器的记录收件人地址 (Log To Addresses) 选项。支持多个收件人地址。
邮件发件人 (Email Sender)
提取自 SMTP MAIL FROM 命令的邮件发件人的地址。要显示此字段的值,必须启用 SMTP 预处理器的记录发件人地址 (Log From Addresses) 选项。支持多个发件人地址。
第一个数据包时间 (仅限系统日志)
系统遇到第一个数据包的时间。
以下字段共同唯一地标识与特定入侵件事件相关的连接事件:DeviceUUID,第一个数据包时间,连接实例 ID 和连接计数器。
发电机
生成事件的组件。
另请参阅有关以下入侵事件字段的信息:GID、消息和 Snort ID。
GID(仅限系统日志)
生成器 ID;生成事件的组件 ID。
另请参阅有关以下入侵事件字段的信息:生成器、消息和 Snort ID。
HTTP 主机名 (HTTP Hostname)
提取自 HTTP 请求主机报头的主机名(如果有)。请注意,请求数据包并非总是包含主机名。
要将主机名与 HTTP 客户端流量的入侵事件相关联,必须启用 HTTP 检查预处理器 Log Hostname 选项。
在表视图中,此列显示提取的主机名的前 50 个字符。将光标悬停在缩写主机名的显示部分上可显示完整名称(最多包含 256 个字节)。还可以在数据包视图中显示完整主机名(最多包含 256 个字节)。
HTTP 响应代码(系统日志:HTTPResponse)
在对客户端的 HTTP 请求的响应中通过触发事件的连接发送的 HTTP 状态代码。
HTTP URI
与触发入侵事件的 HTTP 请求数据包相关的原始 URI(如果有)。请注意,请求数据包并非总是包含 URI。
要将 URI 与 HTTP 客户端流量的入侵事件相关联,必须启用 HTTP 检查预处理器 Log URI 选项。
要查看与 HTTP 响应触发的入侵事件相关的 HTTP URI,应配置 Perform Stream Reassembly on Both Ports 选项中的 HTTP 服务器端口;但请注意,这样会增加流量重组的资源需求。
此列显示提取的 URI 的前五十个字符。将光标悬停在缩写 URI 的显示部分上可显示完整 URI(最多包含 2048 个字节)。还可以在数据包视图中显示完整 URI(最多包含 2048 个字节)。
影响
此字段中的影响级别指示入侵数据、网络发现数据和漏洞信息之间的相关性。
当搜索此字段时,请勿指定影响图标颜色或部分字符串。例如,请勿使用 blue、level 1 或 0。不区分大小写的有效值为:
-
影响 0,影响级别 0
-
影响 1,影响级别 1
-
影响 2,影响级别 2
-
影响 3,影响级别 3
-
影响 4,影响级别 4
对于从 NetFlow 数据添加到网络映射的主机,没有任何操作系统信息可用,因此,系统无法为涉及这些主机的入侵事件分配“易受攻击”(影响级别 1:红色)影响级别。在此情况下,请使用主机输入功能手动设置主机的操作系统身份。
入口接口(系统日志:IngressInterface)
触发事件的数据包的入口接口。对于被动接口,仅填充此接口列。
入口安全区域(系统日志:IngressZone)
触发事件的数据包的入口安全区域或隧道区域。在被动部署中仅填充此安全区域字段。
入口虚拟路由器
在使用虚拟路由的网络中,用于流量进入网络的虚拟路由器的名称。
内联结果(系统日志:InlineResult)
在工作流程和表视图中,此字段显示以下其中一项:
表 1. 工作流程和表视图中的内联结果字段内容
此图标
|
表明
|
|
系统已丢弃触发规则的数据包。
|
|
如果已启用入侵策略选项 内联时丢弃 (在内联部署中),或在系统进行修建时“丢弃并生成”规则生成了该事件,那么 IPS 应该已丢弃该数据包。
|
|
IPS 可能已将数据包传输或传送到目的地,但包含此数据包的连接现在已被阻止。
|
无图标(空)
|
触发的规则未设置为“丢弃并生成事件”
|
下表列出了内联结果的可能原因 - 已丢弃和部分丢弃。
内联结果
|
原因
|
详细原因
|
会丢弃
|
被动或分流模式下的接口
|
您已将接口配置为内联分流或被动模式。
|
“检测”检测模式下的入侵策略
|
您已将入侵策略中的检测模式设置为检测。
|
连接超时
|
由于 TCP/IP 连接超时,Snort 检测引擎已暂停检测。
|
部分丢弃
|
已关闭连接 (0x01)
|
在创建新流时,如果分配的流数超过允许的流数,Snort 检测引擎会删除最近最少使用的流。
|
已关闭连接 (0x02)
|
当重新加载 Snort 检测引擎导致内存调整时,引擎会删除最近最少使用的数据流。
|
连接已关闭 (0x04)
|
当 Snort 检测引擎正常关闭时,引擎会清除所有活动数据流。
|
无论入侵策略的规则状态或内联丢弃行为如何(包括当内联接口处于分流模式的情况),系统在被动部署中都不会丢弃数据包。
当搜索此字段时,请输入以下任一项:
入侵策略 (系统日志: IntrusionPolicy)
启用了生成事件的入侵规则、预处理器规则或解码器规则的入侵策略。可以选择入侵策略作为访问控制策略的默认操作,也可以将入侵策略与访问控制规则相关联。
IOC(系统日志:NumIOC)
触发入侵事件的流量是否也触发了危害表现 (IOC)。
当搜索此字段时,请指定 triggered 或 n/a。
消息(系统日志:Message)
事件的说明文本。对于基于规则的入侵事件,事件消息提取自规则。对于基于解码器和预处理器的事件,事件消息采用硬编码。
生成器和 Snort ID(GID 和 SID)与 SID 版本(修订版本)以冒号分隔的数字格式括于括号中(GID:SID:版本)附于其后。例如,(1:36330:2)。
MITRE ATT&CK
您可以点击以显示战术和技术的完整列表的模式计数。
MPLS 标签(系统日志:MPLS_Label)
与触发入侵事件的数据包相关联的多协议标签交换标签。
网络分析策略(系统日志:NAPPolicy)
与事件生成相关联的网络分析策略(如果有)。
此字段显示提取的 URI 的前五十个字符。将光标悬停在缩写 URI 的显示部分上可显示完整 URI(最多包含 2048 个字节)。还可以在数据包视图中显示完整 URI(最多包含 2048 个字节)。
原始客户端 IP
提取自 X-Forwarded-For (XFF)、True-Client-IP 或自定义的 HTTP 报头的原始客户端 IP 地址。
要显示此字段的值,必须在网络分析策略中启用 HTTP 预处理器的提取原始客户端 IP 地址 (Extract Original Client IP Address) 选项。或者,在网络分析策略的同一区域,还可以指定最多六个自定义客户端 IP 报头,并设置系统选择“原始客户端 IP 事件”(Original Client IP event) 字段值的优先顺序。
优先级(系统日志:Priority)
事件优先级由Talos 情报小组 确定。优先级对应于 priority
关键字的值或 classtype
关键字的值。对于其他入侵事件,优先级由解码器或预处理器决定。有效值为“高”(high)、“中”(medium) 和“低”(low)。
审核者 (Reviewed By)
审核事件的用户的名称。当搜索此字段时,可以输入 unreviewed 以搜索尚未审核的事件。
修订版本(仅限系统日志)
用于生成事件的签名的版本。
另请参阅有关以下入侵事件字段的信息:生成器、GID、消息、SID 和 Snort ID。
规则组
非 MITRE 规则组的计数,您可以点击该计数以调出模式,其中显示规则组的完整列表。
安全情景(系统日志:Context)
识别流量通过的虚拟防火墙组的元数据。系统仅对多情景模式下的 ASA FirePOWER 填充此字段。
SID(仅限系统日志)
生成事件的规则的签名 ID(亦称 Snort ID)。
另请参阅有关以下入侵事件字段的信息:生成器、GID、消息、修订版本和 Snort ID。
Snort ID
此字段仅为搜索字段。
(对于系统日志字段,请参阅 SID。)
在执行搜索时:指定生成事件的规则的 Snort ID (SID),或者指定规则的生成器 ID (GID) 和 SID 组合,其中 GID 和 SID 使用冒号 (:) 隔开,格式为 GID:SID。可指定下表中的任何值:
表 2. Snort ID 搜索值
值
|
示例
|
单个 SID
|
10000
|
SID 范围
|
10000-11000
|
大于某个 SID
|
>10000
|
大于或等于某个 SID
|
>=10000
|
小于某个 SID
|
<10000
|
小于或等于某个 SID
|
<=10000
|
以逗号分隔的 SID 值列表
|
10000,11000,12000
|
单个 GID:SID 组合
|
1:10000
|
以逗号分隔的 GID:SID 组合列表
|
1:10000,1:11000,1:12000
|
以逗号分隔的 SID 和 GID:SID 组合列表
|
10000,1:11000,12000
|
您查看的事件的 SID 在“消息”(Message) 列中列出。有关详细信息,请参阅此部分中有关“消息”字段的说明。
源国家/地区
入侵事件中涉及的发送主机所在的国家/地区。
源主机重要性
生成事件时的源主机重要性(相应主机的“主机重要性”属性的值)。
请记住,当主机的重要性发生变化时,此字段不会更新。但是,新事件将具有新的重要性值。
源端口/ICMP 类型(系统日志:SrcPort、ICMPType)
发送主机上的端口号。对于 ICMP 流量,在没有端口号的情况下,此字段显示 ICMP 类型。
源用户(系统日志:User)
与发起连接的主机(可能是也可能不是漏洞攻击的源主机)的 IP 地址相关联的用户名。此用户值通常只有您的网络上的用户知道。
如果适用,用户名前面会附加 <区域>\。
SSL 实际操作(系统日志:SSLActualAction)
在 Cisco Secure Firewall Management Center Web 界面中,此字段仅为搜索字段。
系统应用于已加密流量的操作:
- 阻止/阻止并重置
-
表示阻止的加密连接。
- 解密(重新签名)
-
表示使用重新签名的服务器证书解密的传出连接。
- 解密(替换密钥)
-
表示使用具有替代公钥的自签名服务器证书解密的传出连接。
- 解密(已知密钥)
-
表示使用已知私钥解密的传入连接。
- 默认操作
-
表示连接采用默认操作处理。
- 不解密
-
表示系统未解密的连接。
字段值显示在搜索工作流程页面上的 SSL 状态 (SSL Status) 字段中。
SSL 证书信息
此字段仅为搜索字段。
用于加密流量的公钥证书上存储的信息,包括:
-
使用者/颁发者公用名称
-
使用者/颁发者组织
-
使用者/颁发者单位
-
无效时间
-
序列号
-
证书指纹
-
公钥指纹
SSL 失败原因 (SSL Failure Reason)
此字段仅为搜索字段。
系统无法解密已加密流量的原因:
-
未知
-
不匹配
-
成功
-
未缓存的会话
-
未知加密套件
-
不受支持的加密套件
-
不支持的 SSL 版本
-
使用了 SSL 压缩
-
会话在被动模式下无法解密
-
握手错误
-
解密错误
-
挂起的服务器名称类别查找
-
挂起的公用名类别查找
-
内部错误 (Internal Error)
-
网络参数不可用
-
服务器证书处理无效
-
服务器证书指纹不可用
-
无法缓存使用者 DN
-
无法缓存颁发者 DN
-
未知的 SSL 版本
-
外部证书列表不可用
-
外部证书指纹不可用
-
内部证书列表无效
-
内部证书列表不可用
-
内部证书不可用
-
内部证书指纹不可用
-
服务器证书验证不可用
-
服务器证书验证失败
-
无效操作
字段值显示在搜索工作流程页面上的 SSL 状态 (SSL Status) 字段中。
SSL 状态
与记录加密连接的 SSL 实际操作 (SSL 规则、默认操作或无法解密的流量操作)关联的操作。
如果系统无法解密已加密连接,则其会显示所采取的 SSL 实际操作 (SSL Actual Action)(无法解密的流量操作)以及 SSL 失败原因 (SSL Failure Reason)。例如,如果系统检测到使用未知密码套件加密的流量并且未做进一步检查即允许了该流量,则此字段显示 Do Not Decrypt (Unknown Cipher Suite)
。
点击 锁图标 可查看证书详细信息。
当搜索该字段时,请输入一个或多个 SSL 实际操作 (SSL Actual Action) 和 SSL 失败原因 (SSL Failure Reason) 值以查看系统处理或无法解密的已加密流量。
SSL 使用者/颁发者所在国家/地区
此字段仅为搜索字段。
与加密证书关联的使用者或颁发者所在国家/地区的双字符 ISO 3166-1 alpha-2 国家/地区代码。
VLAN ID(系统日志:VLAN_ID)
与触发入侵事件的数据包相关的最内部的 VLAN ID。
Web 应用(系统日志:WebApplication)
Web 应用,代表在触发入侵事件流量中检测到的 HTTP 流量的内容或请求的 URL。
如果系统检测到 HTTP 应用协议,但无法检测特定 Web 应用,则系统会另行提供通用 Web 浏览名称。
Web 应用类别和标记 (Web Application Category and Tag)
展示了应用特征的标准,以帮助您了解应用功能。