（图3.10）图3.10攻击事件路径图点击红色缓 。

16、解标记之后 ， MARS就会提出针对这个攻击的相应缓解建议 。
（图3.11）图3.11攻击缓解建议第二层的缓解建议可以通过点击 Push键应用到设备上 。
3.4 常用报表查看MARS在SUMMARY中提供接近实时的事件信息（图3.12） ， 也提供一些预先定义好的常用的报表 。
图3.12 Summary界面系统默认提供的SUMMARY REPORTS可以在主页面激活成“my report” 。
当激活这些report后 ， 在my report的页面就可以看到所有的激活了的报表 。
图13显示所有被激活的my report 。
图3.13 My Report界面点其中一个report以后 ， 可看到以下相对应的图表 。
（图14） 。

17、图3.14 My Report中的一个报表在报表中的每一行后 ， 都有一个图标 ， 点击这个图标就可以进入相关参数的自定义报告 ， 第二章已描述如何制作自定义报表 。
（图3.15）图3.15通过 My Report制作自定义报表4 MARS的报表功能MARS具有强大的报表功能 ， 能够帮助用户监视和分析网络、主机以及数据库的运行情况 ，用户可以根据这些信息作出安全事件响应和系统调整 。
4.1 MARS实用报表示例以下是在测试过程中生成的一些报表示例 。
4.1.1 自定报告清单图4.1是自定义报告的清单 ， 用户可以选中之后作各种操作 ， 如：重新提交 ， 查看结果 ， 删除 ， 编辑等等 。
图4.1自定义报表清单4.1.2 最多报告事件 。

18、设备统计图4.2是按照报告事件数量的多少对所有的被管理设备进行排序 。
管理员通过这个报表可以了解在网络中的哪里产生最多的事件 ， 那些设备报告的事件最多 。
图4.2最多报告事件设备统计4.1.3 最大命中规则统计图4.3是按命中的安全规则数进行排序的统计 。
管理员通过这个报表可以知道系统中发生最多的问题在哪里 。
图4.3最大命中规则统计4.1.4 DoS事件报告图4.4显示DoS攻击的统计 。
通过这个报表 ， 可以了解过去一段时间里 ， 发生了何种DoS攻击 ， 数量分别是多少 。
图4.4 DoS事件报告4.1.5 过去1天最大访问目的IP端口报告图4.5显示了过去一天内 ， 对目的IP端口访问的排序 。
从图中可以发现 ， 对44 。

19、5端口的访问在某个时段有突发性的增长 ， 而且占了所有端口的70%以上 ， 说明在这个时段肯定发生了蠕虫爆发 ， 管理员通过这个报表就可以循序渐进地找到问题点 ， 进行系统优化 。
图4.5过去1天访问目的IP端口排序4.1.6 过去7天最大被拒绝源IP报告图4.6对过去7天被拒绝的源IP（主要是被防火墙拒绝方案）进行排序 。
通过这个报表 ， 管理员可以清楚了解那些设备对网络资源的滥用最厉害 。
图4.6过去7天最大被拒绝源IP4.1.7 过去7天DoS攻击报告图4.7统计过去7天的DoS攻击 。
图4.7过去7天DoS攻击统计4.1.8 过去7天最大连接数网络报告图4.8统计过去7天发生最多连接数的网络 ， 并排序 。
这个报表通常 。

20、由Netflow信息得出 ， 管理员通过这个报表可以了解网络中哪个部分最繁忙 ， 根据实际情况可以判断究竟是业务确实繁忙 ， 还是发生了病毒或者蠕虫事件而导致繁忙 。
图4.8过去7天最大连接数网络报告4.1.9 过去7天最多病毒源报告图4.9对过去7天爆发病毒的源IP进行排序 。
管理员可以根据这个报告进行有针对性的查杀 。
图4.9过去7天最多病毒源报告4.1.10 过去30天最多P2P主机报告图4.10统计过去30天内产生点对点（P2P）流量最多的主机 。
这个报告帮助管理员进行有针对性的网络资源实用限制 。
图4.10过去30天最多P2P主机报告4.1.11 过去60天入侵报告图4.11统计过去60天发生的入侵 ， 主要 。

21、是由IPS模块的报告产生 。
图4.11过去60天入侵报告4.2 MARS对富士康部分园区的安全分析4.2.1 防火墙相关分析从对已被纳入管理的PIX防火墙的报告信息进行分析后得出的报表可以看出：99%以上的事情 ， 是由PIX的访问列表拒绝掉所产生的事件记录汇总 ， 还有1%就是ICMP包不可达 ， 和巨大的ICMP包 。
因此大部分的网络拒绝访问都不是人为故意的 ， 通常是由于终端配置的问题 ， 或者防火墙没有为此类访问配置NAT或者路由造成的 。
从网络访问角度去分析 ， 并没有出现设备被攻击和危及安全的现象 。
（图4.12）图4.12网络访问分析4.2.2 IPS相关分析从MARS查看IPS的汇总记录来看 ， 发生最多的是TC 。

22、P Sync Sweep ， 而这通常是一些应用发生多次重连的情况 ， 大部分并不是有效的恶意攻击 ， 属于可接受范围；一些ICMP的扫描也来自于正常的网络测试 ， 属于正常范围；而SMTP的header overflow也是由于IPS对双字节邮件标题分析的误判造成 ， 属于正常连接；同时 ， MARS也能输出IPS送出的 ， 关于各种P2P软件的使用报告 。

稿源：(未知)

【傻大方】网址：/a/2021/0711/0022846277.html

标题：CISCO|CISCO安全监控分析和响应系统测试报告( 三 )