Cisco Cisco Firepower Management Center 4000 Guía Del Usuario
32-21
FireSIGHT 系统用户指南
第 32 章 使用规则调整入侵策略
按策略过滤入侵事件通知
接下来,必须指定跟踪,确定事件阈值是按源 IP 地址计算还是按目标 IP 地址计算。从下表中选
择一个选项来指定系统如何跟踪事件实例。
择一个选项来指定系统如何跟踪事件实例。
最后,必须指定用于定义阈值的实例数和时间段。
请注意,入侵事件阈值可单独使用,也可与基于速率的攻击防御、
detection_filter
关键字和入
侵事件抑制的任意组合配合使用。有关详细信息,请参阅
和
有关详细信息,请参阅以下各节:
•
•
•
提示
。
添加和修改入侵事件阈值
许可证:保护
您可以为一条或多条特定规则设置阈值。也可以单独或同时修改现有阈值设置。可以为每条规则
设置一个阈值。添加阈值将覆盖该规则的任何现有阈值。
设置一个阈值。添加阈值将覆盖该规则的任何现有阈值。
Both
每个指定时间段在指定数量 (计数)的数据包触发规则后记录并显示一次事件。例如,如果
将类型设置为
将类型设置为
Both
,将
Count
设置为 2,并将
Seconds
设置为
10
,则事件计数结果如下:
•
如果 10 秒内触发规则一次,系统不会生成任何事件 (未达到阈值)
•
如果 10 秒内触发规则两次,系统将生成一个事件 (第二次触发规则时达到阈值)
•
如果 10 秒内触发规则四次,系统将生成一个事件 (第二次触发规则时达到阈值,忽略其
后的事件)
后的事件)
表
32-6
阈值选项 (续)
选项
说明
表
32-7
阈值
IP
选项
选项
说明
Source
按源 IP 地址计算事件实例计数。
Destination
按目标 IP 地址计算事件实例计数。
表
32-8
阈值实例
/
时间选项
选项
说明
Count
每个跟踪 IP 地址在每个指定时间段内达到阈值所需的事件实例数量。
Seconds
计数重置之前经过的秒数。如果将阈值类型设置为
limit
,将跟踪设置为
Source IP
,将
count
设置
为
10
,并将
seconds
设置为
10
,则系统将记录并显示 10 秒钟内发生的来自指定源端口的前 10
个事件。如果前 10 秒内只发生了 7 个事件,系统将记录并显示这些事件,而如果前 10 秒内发
生了 40 个事件,系统将记录并显示 10 个事件,然后在 10 秒过后重新开始计数。
生了 40 个事件,系统将记录并显示 10 个事件,然后在 10 秒过后重新开始计数。