Cisco Cisco Firepower Management Center 2000 Betriebsanweisung
32-20
FireSIGHT 系统用户指南
第 32 章 使用规则调整入侵策略
按策略过滤入侵事件通知
按策略过滤入侵事件通知
许可证:保护
入侵事件的重要性可根据发生的频率或者源或目标 IP 地址而定。在某些情况下,您可能并不在意
发生不到一定次数的事件。例如,如果有人企图登录服务器,在其失败达到一定次数之前,您可
能不会关心。但在其他情况下,也许只需要发生几次,就能让您知道存在普遍性问题。例如,如
果有人对网络服务器发动 DoS 攻击,可能只需要发生区区数次入侵事件,您就会明白需要解决这
种情况。发生数百次相同事件只会让系统不堪重负。
发生不到一定次数的事件。例如,如果有人企图登录服务器,在其失败达到一定次数之前,您可
能不会关心。但在其他情况下,也许只需要发生几次,就能让您知道存在普遍性问题。例如,如
果有人对网络服务器发动 DoS 攻击,可能只需要发生区区数次入侵事件,您就会明白需要解决这
种情况。发生数百次相同事件只会让系统不堪重负。
有关详细信息,请参阅以下各节:
•
按事件和按策略配置阈值。
•
说明如何按源或目标 IP 地址、按策略抑制指定事件的通知。
配置事件阈值
许可证:保护
您可以按入侵策略为每条规则设置阈值,以根据在指定时间段内生成事件的次数来限制系统记录
和显示入侵事件的次数。这可以防止因相同事件数量过多而使系统不堪重负。您可以按每条共享
对象规则、标准文本规则或预处理器规则设置阈值。
和显示入侵事件的次数。这可以防止因相同事件数量过多而使系统不堪重负。您可以按每条共享
对象规则、标准文本规则或预处理器规则设置阈值。
有关详细信息,请参阅以下各节:
•
•
•
•
了解事件阈值
许可证:保护
首先,必须指定阈值类型。可以选择的选项如下表所述。
表
32-6
阈值选项
选项
说明
Limit
为指定时间段内触发规则的指定数量的数据包 (由 Count 参数指定)记录并显示事件。例如,如
果将类型设置为
果将类型设置为
Limit
,将
Count
设置为
10
,并将
Seconds
设置为
60
,而同一分钟内有 14 个数据包
触发规则,则系统在显示发生的前 10 个违反该规则的事件后将停止记录违反该规则的事件。
Threshold
在指定时间段内,当指定数量的数据包 (由 Count 参数指定)触发规则时,记录并显示一个
事件。请注意,达到事件阈值计数且系统记录该事件之后,时间计数器将重新开始计数。例
如,将类型设置为
事件。请注意,达到事件阈值计数且系统记录该事件之后,时间计数器将重新开始计数。例
如,将类型设置为
Threshold
,将
Count
设置为
10
,并将
Seconds
设置为
60
时,如果到 33 秒时
规则触发 10 次, 则系统将生成一个事件,然后将 Seconds 和 Count 计数器重置为 0。其后,该
规则在接下来 25 秒内又触发 10 次。由于计数器在第 33 秒时已重置为 0,因此系统此时会再记
录一个事件。
规则在接下来 25 秒内又触发 10 次。由于计数器在第 33 秒时已重置为 0,因此系统此时会再记
录一个事件。