Cisco Cisco Firepower Management Center 4000 Guía Del Usuario

51-40

FireSIGHT 系统用户指南

第 51 章      配置关联策略和规则       

  对关联响应进行分组

当创建规则时，可以将该规则添加至现有规则组。此外，还可以修改现有规则以将其添加至规则
组。有关详细信息，请参阅：

 

提示

要删除规则组，请点击要删除的组旁边的删除图标  (

)。当删除规则组时，并未删除该规则组中

的规则。更确切地说，它们仅是未分组而已。

要创建规则组，请执行以下操作：

访问：管理员/发现管理员

步骤 1

选择 

Policies > Correlation，

然后选择 

 选项卡。

系统将显示 Rule Management 页面。

步骤 2

点击 

。

系统将显示 Create Group 页面。

步骤 3

在 

 字段中键入组的名称。

步骤 4

点击 

。

该组添加成功。

对关联响应进行分组

许可证：任何环境

在创建警报响应和修复后 （请参阅

），可

将它们进行分组以便策略违规触发组中所有的响应。在将响应组分配至关联规则前，必须在 
Groups 页面上创建组。

组旁边的滑动图标表示该组是否处于活动状态。要将响应组分配至关联策略中的规则，必须激活
该响应组。使用 

 下拉列表按状态 （活动和非活动）或按字母顺序排列的名称对响应组进行

分类。

有关详细信息，请参阅：

创建响应组

许可证：任何环境

可将单个警报和修复置于响应组中，然后可将响应组分配至关联策略中的规则，以便违反策略时
发起一组警报和修复。将组分配至活动策略中的规则后，系统自动将组的变化和组中的警报和修
复的变化应用到活动策略中。