Cisco Cisco Firepower Management Center 4000 User Guide
51-52
FireSIGHT 系统用户指南
第 51 章 配置关联策略和规则
使用关联事件
要搜索关联事件,请执行以下操作:
访问:管理员/任何安全分析师
步骤 1
选择
Analysis > Search
。
系统将显示 Search 页面。
步骤 2
从表下拉列表中选择
Correlation Events
。
页面根据相应限制进行更新。
步骤 3
•
所有字段都接受求反 (
!
)。
•
所有字段都接受逗号分隔的搜索值列表。包含指定字段中列出的任何值的记录与该搜索条件
匹配。
匹配。
•
所有字段都接受将用引号引起来的逗号分隔列表作为搜索值。
–
对于只能包含一个值的字段,将包含指定精确字符串的指定字段放在引号内的记录与搜
索条件匹配。例如,搜索
索条件匹配。例如,搜索
A, B, "C, D, E"
时,匹配记录为包含
"A"
或
"B"
或
"C, D, E"
的指定字段。这允许与可能的值中包含逗号的字段匹配。
–
对于可能同时包含多个值的字段,指定字段包含所有引号引号引起来的逗号分隔列表中
所有值的记录与该搜索条件匹配。
所有值的记录与该搜索条件匹配。
影响
指定分配给关联事件的影响。有效值 (不区分大小写)包括
Impact 0
、
Impact Level
0
、
Impact 1
、
Impact Level 1
、
Impact 2
、
Impact Level 2
、
Impact 3
、
Impact
Level 3
、
Impact 4
和
Impact Level 4
。请勿使用影响图标颜色或部分字符串 (例如,
请勿使用
blue
、
level 1
或
0
)。有关详细信息,请参阅
Inline Result
对于入侵事件触发的策略违规,键入:
•
dropped
,用来指定是否已经在内联、交换的或路由的部署中丢弃数据包
•
would have dropped
,用来指定如果已经设置入侵策略以在内联、交换的或路由的
部署中丢弃数据包,则是否将丢弃该数据包
请注意,不管规则状态或入侵策略的丢弃行为如何 (包括当内联集处于分路模式
下),系统都无法在被动部署情况下丢失数据包。
下),系统都无法在被动部署情况下丢失数据包。
Source Host Criticality 或
Destination Host Criticality
Destination Host Criticality
指定涉及策略违规的源主机或目标主机的的主机重要性:
None
、
Low
、
Medium
或
High
。请注意,只有基于发现事件、主机输入事件或连接事件按规则生成的关联事件
才包含源主机重要性。有关主机重要性的详细信息,请参阅
Ingress Security Zone、
Egress Security Zone 或
Egress Security Zone 或
Ingress/Egress Security Zone
指定触发策略违规的入侵事件或连接事件中的入口、出口或者入口或出口安全区域。
设备
键入设备名称或 IP 地址或设备组、堆栈或集群名称,将搜索限制于已生成触发策略违
规的事件的特定设备。有关 FireSIGHT 系统如何处理搜索中的设备字段的详细信息,
请参阅
规的事件的特定设备。有关 FireSIGHT 系统如何处理搜索中的设备字段的详细信息,
请参阅
Ingress Interface 或
Egress Interface
Egress Interface
指定触发策略违规的入侵或连接事件的入口或出口界面。
表
51-18
关联事件搜索条件 (续)
字段
搜索条件规则