Cisco Cisco Firepower Management Center 4000 User Guide
51-50
FireSIGHT 系统用户指南
第 51 章 配置关联策略和规则
使用关联事件
了解关联事件表
许可证:任何环境
当关联规则触发时,防御中心生成关联事件。下表介绍关联事件表中的字段。
表
51-17
关联事件字段
字段
说明
时间
生成关联事件的日期和时间。
影响
基于入侵数据、发现数据和漏洞信息之间的关联分配给关联事件的影响级别。有关详
细信息,请参阅
细信息,请参阅
。
Inline Result
以下任一选项:
•
一个黑色向下箭头,表示系统丢弃触发入侵规则的数据包
•
一个灰色向下箭头,表示如果启用
Drop when Inline
入侵策略选项,则系统已经丢
弃内联中的数据包、交换或路由部署
•
空白,表示触发的入侵规则未设置为 Drop and Generate Events
请注意,不管规则状态或入侵策略的丢弃行为如何 (包括当内联集处于分路模式
下),系统都无法在被动部署情况下丢失数据包。
下),系统都无法在被动部署情况下丢失数据包。
Source IP 或
目标 IP:
目标 IP:
触发策略违规的事件中的源主机或目标主机的 IP 地址。
Source Country 或 Destination
Country
Country
与触发策略违规的事件中的 源 IP 地址或目标 IP 地址相关的国家/地区。
Security Intelligence Category
代表或包含触发策略违规的事件中的列入黑名单的 IP 地址的被列入黑名单的对象的
名称。
名称。
Source User 或
Destination User
Destination User
登录触发策略违规的事件中的源主机或目标主机的用户的姓名。
Source Port/ICMP Type 或
Destination Port/ICMP Code
Destination Port/ICMP Code
与触发策略违规的事件有关的源流量的源端口或 ICMP 类型或者目标流量的目标端口
或 ICMP 代码。
或 ICMP 代码。
说明
关联事件的说明。说明中的信息取决于规则触发方式。
例如,如果操作系统的信息更新事件触发规则,则系统显示新的操作系统名称和可信度。
策略
违反的策略的名称。
Rule
触发策略违规的规则的名称。
优先级
触发策略违规的策略或规则指定的优先级。
Source Host Criticality 或
Destination Host Criticality
Destination Host Criticality
涉及关联事件的源主机或目标主机的用户分配的主机重要性:
None
、
Low
、
Medium
或
High
。
请注意,只有基于发现事件、主机输入事件或连接事件按规则生成的关联事件才包含
源主机重要性。有关主机重要性的详细信息,请参阅
源主机重要性。有关主机重要性的详细信息,请参阅
。
Ingress Security Zone 或
Egress Security Zone
Egress Security Zone
触发策略违规的入侵或连接事件的入口或出口安全区域。
设备
生成触发策略违规的事件的设备的名称。