Cisco Cisco Firepower Management Center 4000 User Guide

51-52

FireSIGHT 系统用户指南

第 51 章      配置关联策略和规则       

  使用关联事件

要搜索关联事件，请执行以下操作：

访问：管理员/任何安全分析师 

步骤 1

选择 

。

系统将显示 Search 页面。

步骤 2

从表下拉列表中选择 

。

页面根据相应限制进行更新。

步骤 3

所有字段都接受求反 (

!

)。

所有字段都接受逗号分隔的搜索值列表。包含指定字段中列出的任何值的记录与该搜索条件
匹配。

所有字段都接受将用引号引起来的逗号分隔列表作为搜索值。

  –

对于只能包含一个值的字段，将包含指定精确字符串的指定字段放在引号内的记录与搜
索条件匹配。例如，搜索 

A, B, "C, D, E"

 时，匹配记录为包含 

"A"

 或 

"B"

 或 

"C, D, E"

 

的指定字段。这允许与可能的值中包含逗号的字段匹配。

  –

对于可能同时包含多个值的字段，指定字段包含所有引号引号引起来的逗号分隔列表中
所有值的记录与该搜索条件匹配。

影响

指定分配给关联事件的影响。有效值 （不区分大小写）包括 

Impact 0

、

Impact Level 

0

、

Impact 1

、

Impact Level 1

、

Impact 2

、

Impact Level 2

、

Impact 3

、

Impact 

Level 3

、

Impact 4

 和 

Impact Level 4

。请勿使用影响图标颜色或部分字符串 （例如，

请勿使用 

blue

、

level 1

 或 

0

）。有关详细信息，请参阅

Inline Result

对于入侵事件触发的策略违规，键入：

dropped

，用来指定是否已经在内联、交换的或路由的部署中丢弃数据包

would have dropped

，用来指定如果已经设置入侵策略以在内联、交换的或路由的

部署中丢弃数据包，则是否将丢弃该数据包

请注意，不管规则状态或入侵策略的丢弃行为如何 （包括当内联集处于分路模式
下），系统都无法在被动部署情况下丢失数据包。

Source Host Criticality 或 
Destination Host Criticality

指定涉及策略违规的源主机或目标主机的的主机重要性：

None

、

Low

、

Medium

 或 

High

。请注意，只有基于发现事件、主机输入事件或连接事件按规则生成的关联事件

才包含源主机重要性。有关主机重要性的详细信息，请参阅

Ingress Security Zone、 
Egress Security Zone 或 

 

Ingress/Egress Security Zone

指定触发策略违规的入侵事件或连接事件中的入口、出口或者入口或出口安全区域。

设备

键入设备名称或 IP 地址或设备组、堆栈或集群名称，将搜索限制于已生成触发策略违
规的事件的特定设备。有关 FireSIGHT 系统如何处理搜索中的设备字段的详细信息，
请参阅

Ingress Interface 或 
Egress Interface

指定触发策略违规的入侵或连接事件的入口或出口界面。

表 

关联事件搜索条件 （续）

字段

搜索条件规则