Cisco Cisco Firepower Management Center 4000 User Guide

51-23

FireSIGHT 系统用户指南 

第 51 章      配置关联策略和规则 

  创建关联策略规则  

请注意，当构建连接跟踪器时，可以经常使用事件数据。例如，假设当系统在一个受控主机上检
测到新的客户端时触发关联规则；即，当生成其基础事件类型是 

 的系统事件

时触发规则。

进一步假设，当检测到该新客户端时，要跟踪涉及主机上的新客户端的连接。因为系统知道主机
的 IP 地址和客户端名称，所以可以构建跟踪那些连接的简单的连接跟踪器。

实际上，当将连接跟踪器添加至该类型的关联规则时，连接跟踪器用那些默认约束条件进行填充；
即，将 

 设置为 

 并将 

 设置为 

。

提示

要指定连接跟踪器跟踪具体 IP 地址或 IP 地址块的连接，请点击 

 手动指定 IP。

点击 

 返回以使用事件中的 IP 地址。

连接跟踪器事件的语法

许可证：任何环境

下表介绍如何构建指定何时基于正在跟踪的连接生成关联事件的连接跟踪器条件。

TCP Flags

选择为了跟踪连接在连接中必须包含的 TCP 标记。

注

只有已启用 NetFlow 的设备导出的连接才包含 TCP 标记数据。

Transport Protocol

键入连接使用的传输协议：

TCP

 或 

UDP

。

URL

键入要跟踪的连接中受访的全部或部分 URL。

URL 类别

选择要跟踪的连接中受访的 URL 的一个或多个 URL 类别。

URL Reputation

选择要跟踪的连接中受访的 URL 的一个或多个 URL 信誉值。

用户名

键入登录要跟踪的连接中的一个主机的用户的用户名。

Web Application

选择一个或多个网络应用。

Web Application Category

选择一个或多个网络应用类别。

表 

连接跟踪器的语法 （续）

如果指定......

选择一个运算符，然后......

表 

连接跟踪器事件的语法 

如果指定......

选择一个运算符，然后......

连接数

键入检测到的连接总数。

Number of SSL Encrypted 
Sessions

键入检测到的 SSL 或 TLS 加密的会话的总数。

Total Bytes、 
Initiator Bytes 或 
Responder Bytes

键入以下内容之一：

发送的总字节数 (

)

发送的字节数 (

)

接收的字节数 (

)