Cisco Cisco Firepower Management Center 4000 User Guide
51-14
FireSIGHT 系统用户指南
第 51 章 配置关联策略和规则
创建关联策略规则
Egress Interface 或
Ingress Interface
Ingress Interface
选择一个或多个接口。
Egress Security Zone 或
Ingress Security Zone
Ingress Security Zone
选择一个或多个安全区域。
Initiator Bytes、
Responder Bytes 或
Total Bytes
Total Bytes
键入以下内容之一:
•
发送的字节数 (
Initiator Bytes)
。
•
接收的字节数 (
Responder Bytes)
。
•
发送和接收的字节数 (
Total Bytes
)。
Initiator IP、
Responder IP 或
Initiator/Responder IP
Responder IP 或
Initiator/Responder IP
指定单个 IP 地址或地址块。有关在 FireSIGHT 系统中使用 IP 地址表示法和前缀长度
的详细信息,请参阅
的详细信息,请参阅
Initiator Packets、
Responder Packets 或
Total Packets
Total Packets
键入以下内容之一:
•
发送的数据包数量 (
Initiator Packets)
。
•
接收的数据包数量 (
Responder Packets)
。
•
发送和接收的数据包数量 (
Total Packets
)。
Initiator Port/ICMP Type 或
Responder Port/ICMP Code
Responder Port/ICMP Code
键入发起方流量的端口号或 ICMP 类型或者接收方流量的端口号或 ICMP 类型。
IOC Tag
选择将 IOC 标记
is
还是
is not
设置为连接事件的结果。
NETBIOS Name
键入连接中受监控主机的 NetBIOS 名称。
NetFlow Device
选择导出可用来触发关联规则的连接数据的已启用 NetFlow 的设备的 IP 地址。如果没
有将任何已启用 NetFlow 的设备添加至部署,则 NetFlow Device 下拉列表为空。
有将任何已启用 NetFlow 的设备添加至部署,则 NetFlow Device 下拉列表为空。
原因
选择与连接事件相关的一个或多个原因。
Security Intelligence Category
选择与连接事件相关的一个或多个安全情报类别。
注
要将安全情报类别用作连接结束事件的条件,必须在访问控制策略的安全情报
部分将该条件设置到
部分将该条件设置到
Monitor
而非
Block
中。有关详细信息,请参阅
SSL Actual Action
选择指示系统如何处理加密连接的 SSL 规则操作。
SSL Certificate Fingerprint
键入用来加密流量的证书的指纹或选择与指纹相关的对象通用名称。
SSL 证书状态
选择与用来加密会话的证书相关的一个或多个状态。
SSL Certificate Subject
Common Name (CN)
Common Name (CN)
键入用于加密会话的证书的全部或部分对象通用名称。
SSL Certificate Subject
Country (C)
Country (C)
选择一个或多个用于加密会话的证书的对象国家/地区代码。
SSL Certificate Subject
Organization (O)
Organization (O)
键入用于加密会话的证书的全部或部分对象组织名称。
SSL Certificate Subject
Organizational Unit (OU)
Organizational Unit (OU)
键入用于加密会话的证书的全部或部分对象组织的单位名称。
SSL Cipher Suite
选择用于加密会话的一个或多个加密套件。
SSL Encrypted Session
选择
Successfully Decrypted
。
表
51-9
连接事件的语法 (续)
如果指定......
选择一个运算符,然后......