Cisco Cisco Firepower Management Center 4000 User Guide
51-12
FireSIGHT 系统用户指南
第 51 章 配置关联策略和规则
创建关联策略规则
在选择用户活动类型后,可以构建关联规则条件,如下表所述。根据所选用户活动类型,可以使
用下表中的标准子集构建条件;对于在新的用户标识上触发的关联规则,不能指定 IP 地址。
用下表中的标准子集构建条件;对于在新的用户标识上触发的关联规则,不能指定 IP 地址。
主机输入事件的语法
许可证:FireSIGHT
如果将关联规则以主机输入事件为基础,则首先必须要从下拉列表中选择要使用的主机输入事件
的类型。下表列出可从下拉列表中选定为触发标准的事件,与其相应的主机输入事件类型相互参
照。有关主机输入事件类型的详细说明,请参阅
的类型。下表列出可从下拉列表中选定为触发标准的事件,与其相应的主机输入事件类型相互参
照。有关主机输入事件类型的详细说明,请参阅
。
当添加、删除或更改用户定义的主机属性的定义,或设置漏洞影响限定条件时,不能触发关联
规则。
规则。
表
51-6
用户活动的语法
如果指定......
选择一个运算符,然后......
设备
选择已经检测到用户活动的一个或多个设备。
IP地址
键入单个 IP 地址或地址块。有关在 FireSIGHT 系统中使用 IP 地址表示法的详细信息,请
参阅
参阅
用户名
键入用户名。
表
51-7
关联规则触发标准与主机输入事件类型
选择此选项…
要在该事件类型上触发规则......
a client is added
Add Client
a client is deleted
Delete Client
a host is added
Add Host
a protocol is added
Add Protocol
a protocol is deleted
Delete Protocol
a scan result is added
Add Scan Result
a server definition is set
Set Server Definition
a server is added
Add Port
a server is deleted
Delete Port
a vulnerability is marked invalid
Vulnerability Set Invalid
a vulnerability is marked valid
Vulnerability Set Valid
an address is deleted
Delete Host/Network
an attribute value is deleted
Host Attribute Delete Value
an attribute value is set
Host Attribute Set Value
an OS definition is set
Set Operating System Definition
host criticality is set
Set Host Criticality