Cisco Cisco Firepower Management Center 4000 User Guide
51-30
FireSIGHT 系统用户指南
第 51 章 配置关联策略和规则
创建关联策略规则
用户资格的语法
许可证:FireSIGHT
当构建用户资格条件时,必须首先选择要用来限制关联规则的标识。可选择的标识取决于要用来
触发规则的事件的类型,如下说述:
触发规则的事件的类型,如下说述:
•
如果您正在使用连接事件,则选择
Identity on Initiator
或
Identity on Responder
。
•
如果您正在使用入侵事件,则选择
Identity on Destination
或
Identity on Source
。
•
如果您正在使用发现事件,则选择
Identity on Host
。
•
如果您正在使用主机输入事件,则选择
Identity on Host
。
在选择用户类型之后,请继续构建用户资格条件,如下表所述。
防御中心从可选防御中心 LDAP 服务器连接获得某些用户信息,其中包括姓名、部门、电话号码
和邮件地址;请参阅
和邮件地址;请参阅
。该信息不能提
供给数据库中的所有用户。
添加暂停和非活动周期
许可证:任何环境
您可以在关联规则中配置
暂停周期。当关联规则触发时,即使是在指定的间隔周期内再次违反该
规则,暂停周期也指示防御中心在该时间间隔内停止触发该规则。在暂停周期过后,规则可以再
次触发 (并开始进入新的暂停周期)。
次触发 (并开始进入新的暂停周期)。
例如,可以将网络上的一个主机设置为永远不产生流量。取决于主机上的网络流量,每当系统检
测到涉及该主机的连接时都会触发的简单关联规则可在短时间内创建多个关联事件。要限制披露
策略违规的关联事件数量,可以添加暂停周期,以便防御中心仅为系统检测到的涉及主机的第一
个连接 (在指定的时间周期内)生成关联事件。
测到涉及该主机的连接时都会触发的简单关联规则可在短时间内创建多个关联事件。要限制披露
策略违规的关联事件数量,可以添加暂停周期,以便防御中心仅为系统检测到的涉及主机的第一
个连接 (在指定的时间周期内)生成关联事件。
此外,还可以在关联规则中设置非活动周期。在非活动周期,关联规则将不会触发。可以将非活
动周期设置为每日、每周或每月。例如,可以在内部网络中在夜间扫描 Nmap,以寻找主机操作
系统的变化情况。在这种情况下,可以在扫描周期在受影响的关联规则上设置每天的非活动周
期,以便那些规则不会错误地触发。
动周期设置为每日、每周或每月。例如,可以在内部网络中在夜间扫描 Nmap,以寻找主机操作
系统的变化情况。在这种情况下,可以在扫描周期在受影响的关联规则上设置每天的非活动周
期,以便那些规则不会错误地触发。
表
51-14
用户资格的语法
如果指定......
选择一个运算符,然后......
用户名
键入要用来限制关联规则的用户的用户名。
Authentication Protocol 选择验证协议 (或用户类型)协议。该协议用于检测用户。
名字
键入要用来限制关联规则的用户的名字。
姓氏
键入要用来限制关联规则的用户的姓氏。
部门
键入要用来限制关联规则的用户所在的部门。
电话
键入要用来限制关联规则的用户的电话号码。
电子邮件
键入要用来限制关联规则的用户的邮件地址。