Cisco Cisco Firepower Management Center 4000 User Guide
51-8
FireSIGHT 系统用户指南
第 51 章 配置关联策略和规则
创建关联策略规则
恶意软件事件的语法
许可证:任意或恶意软件
受支持的设备:因功能而异
受支持的防御中心:因功能而异
基于恶意软件事件的关联规则条件的语法取决于是否由基于终端的恶意软件代理报告事件、由受
管设备检测事件,或者由受管设备检测到并回顾性地识别为恶意软件的事件。
管设备检测事件,或者由受管设备检测到并回顾性地识别为恶意软件的事件。
请注意,因为 2 系列和用于 Blue Coat X-系列的思科 NGIPS设备以及 DC500 防御中心都不支持基
于网络的恶意软件防护,所以,这些设备不支持根据基于网络的恶意软件数据或基于网络的回顾
性恶意软件数据在恶意软件事件上触发关联规则。
于网络的恶意软件防护,所以,这些设备不支持根据基于网络的恶意软件数据或基于网络的回顾
性恶意软件数据在恶意软件事件上触发关联规则。
在构建规则条件时,应确保网络流量可触发规则。单个连接或连接摘要事件的可用信息取决于几
个因素,包括检测方法、日志记录方法和事件类型。有关详细信息,请参阅
个因素,包括检测方法、日志记录方法和事件类型。有关详细信息,请参阅
下表介绍将恶意软件事件选定为基础事件时如何构建关联规则条件。
SSL Certificate Subject
Organizational Unit (OU)
Organizational Unit (OU)
键入用于加密会话的证书的全部或部分对象组织的单位名称。
SSL Flow Status
基于系统尝试解密流量的结果选择一种或多种状态。
用户名
键入登录入侵事件中的源主机的用户的用户名。
VLAN ID
键入与触发入侵事件的数据包相关的最内部的 VLAN ID
Web 应用程序
选择与入侵事件相关的一个或多个网络应用。
Web Application Category
选择一种或多种网络应用类别。
表
51-2
入侵事件的语法 (续)
如果指定......
选择一个运算符,然后......
表
51-3
恶意软件事件的语法
如果指定......
选择一个运算符,然后......
Application Protocol
选择一个或多个与恶意软件事件相关的应用协议。
Application Protocol
Category
Category
选择一个或多个应用协议类别。
客户端
选择一个或多个与恶意软件事件相关的客户端。
Client Category
选择一个或多个客户端类别。
Destination Country 或
Source Country
Source Country
选择一个或多个与恶意软件事件中的源或目标 IP 地址相关的国家/地区。
Destination IP, Host IP, or
Source IP
Source IP
指定单个 IP 地址或地址块。有关在 FireSIGHT 系统中使用 IP 地址表示法的详细信息,请
参阅
参阅
Destination Port/ICMP
Code
Code
键入目标流量的端口号或 ICMP 代码。
布置
选择
Malware
或
Custom Detection
或选择两者。
事件类型
选择与恶意软件事件相关的一个或多个基于终端的事件类型。有关详细信息,请参阅
。
文件名
键入文件的名称。