Cisco Cisco Firepower Management Center 4000 User Guide
51-13
FireSIGHT 系统用户指南
第 51 章 配置关联策略和规则
创建关联策略规则
在选择主机输入事件后,可以构建关联规则条件,如下表说述。根据选择的主机输入事件类型,
您可以使用下表中的标准子集构建条件。例如,如果在客户端已删除时触发关联规则,则可以基
于事件涉及的主机的 IP 地址、删除源类型 (手动、第三方应用或扫描仪)以及源本身 (具体的
扫描仪类型或用户)来构建条件。
您可以使用下表中的标准子集构建条件。例如,如果在客户端已删除时触发关联规则,则可以基
于事件涉及的主机的 IP 地址、删除源类型 (手动、第三方应用或扫描仪)以及源本身 (具体的
扫描仪类型或用户)来构建条件。
连接事件的语法
许可证:任何环境
如果将关联规则以连接事件为基础,则首先必须选择是否要评估代表连接开始或结束的事件,或
者选择开始或者选择结束。在选择连接事件类型后,可以构建关联规则条件,如
者选择开始或者选择结束。在选择连接事件类型后,可以构建关联规则条件,如
表中所述。
在构建规则条件时,应确保网络流量可触发规则。单个连接或连接摘要事件的可用信息取决于几
个因素,包括检测方法、日志记录方法和事件类型。有关详细信息,请参阅
个因素,包括检测方法、日志记录方法和事件类型。有关详细信息,请参阅
表
51-8
主机输入事件的语法
如果指定......
选择一个运算符,然后......
IP地址
键入单个 IP 地址或地址块。有关在 FireSIGHT 系统中使用 IP 地址表示法的详细信息,请
参阅
参阅
信息来源
选择主机输入数据的来源。
Source Type
选择主机输入数据的来源的类型。
表
51-9
连接事件的语法
如果指定......
选择一个运算符,然后......
访问控制策略
选择记录连接的一个或多个访问控制策略。
Access Control Rule Action
选择与记录连接的访问控制规则相关的一个或多个操作。
注
当网络流量与任何监控规则的条件匹配时,不管随后处理连接的规则或默认操
作如何,都选择
作如何,都选择
Monitor
以触发关联事件。
Access Control Rule Name
键入记录连接的访问控制规则的全部或部分名称。
注
不管随后处理连接的规则或默认操作如何,您都可以键入其条件与连接匹配的
任何监控规则的名称。
任何监控规则的名称。
Application Protocol
选择一个或多个与连接相关的应用协议。
Application Protocol Category 选择一个或多个应用协议类别。
Client
选择一个或多个客户端。
Client Category
选择一个或多个客户端类别。
Client Version
键入客户端的版本号。
Connection Duration
键入连接事件的持续时间,单位为秒。
连接类型
选择是否要基于思科受管设备 (FireSIGHT) 检测到的连接或已启用 NetFlow 的设备
(
(
NetFlow
) 导出的连接来触发关联规则。
Destination Country 或 Source
Country
Country
选择一个或多个与连接事件中的源或目标 IP 地址相关的国家/地区。
设备
选择一个或多个检测到连接或处理连接 (对于已启用 NetFlow 的设备导出的连接数
据)的设备。
据)的设备。