Cisco Cisco Firepower Management Center 4000 User Guide

51-2

FireSIGHT 系统用户指南

第 51 章      配置关联策略和规则       

  创建关联策略规则

本章重点介绍如何创建关联规则、如何使用策略中的那些规则、如何将那些规则与响应和响应组
关联起来，以及如何分析关联事件。有关详情，请参阅：

有关创建合规性白名单和关联响应 （警报和修复）的详细信息，请参阅：

 

.

.

创建关联策略规则

许可证：FireSIGHT、保护、 URL 过滤或者 恶意软件

受支持的设备：因功能而异

受支持的防御中心：因功能而异

在创建关联策略之前，应先创建填充关联策略的关联规则或合规性白名单 （或两者兼有）。

注

本节介绍如何创建关联规则。有关创建合规性白名单的详细信息，请参阅

当网络流量达到指定标准时，会触发关联规则 （并生成关联事件）。当创建关联规则时，可使用
简单的条件或通过合并和嵌套条件和限制条件创建较复杂的结构。

可以下列方式进一步增加关联规则：

添加

主机配置文件限定条件以使用涉及触发事件的主机的主机配置文件中的信息限制该规则。

将

连接跟踪器添加至关联规则，以便在满足规则的初始条件后，系统开始跟踪某些连接。然

后，只有在跟踪的连接满足其他标准时，才可生成关联事件。

将

用户资格添加至关联规则以跟踪某些用户或用户群。例如，可限制关联规则，以便只有在源

用户或或目标用户的标识是特定用户时，抑或是营销部门的特定用户时才会触发关联规则。

添加

暂停周期和非活动周期。当触发一次关联规则时，在暂停周期，在一定时段内，规则不

会再次触发，即使是在该时段内，再次出现违反规则的情况。在暂停时间过后，规则会再次
触发 （并开始进入新的暂停周期）。在非活动周期，关联规则不会触发。

注意事项

评估触发常见事件的复杂关联规则可降低防御中心的性能。例如，防御中心必须根据系统记录的
每个连接评估的多条件规则可能会导致资源超载。