Cisco Cisco Firepower Management Center 4000 User Guide
54-15
FireSIGHT 系统用户指南
第 54 章 配置补救
处理补救状态事件
步骤 2
在要向其添加补救的扫描实例旁,点击
View
。
系统将显示 Edit Instance 页面。
步骤 3
从
Add a new remediation of type
下拉列表,选择
Set Attribute Value
。
系统将显示 Edit Remediation 页面。
步骤 4
在
Remediation Name
字段中,键入补救名称,其中包含 1 到 63 个字母数字字符,没有空格以及除
下划线 (_) 和连接号 (-) 以外的特殊字符。
步骤 5
在
Description
字段中,键入补救说明,其中包含 0 到 255 个字母数字字符,包括空格和特殊字符。
步骤 6
如果计划使用此补救响应在发生入侵事件、用户事件或连接事件时触发的关联规则,请配置
Update Which Host(s) From Event
选项。
•
选择
Update Source and Destination Hosts
,可更新由事件中源 IP 地址和目标 IP 地址代表的主机上
的属性值。
•
选择
Update Source Host Only
,可更新由事件中源 IP 地址代表的主机上的属性值。
•
选择
Update Destination Host Only
,可更新由事件中目标 IP 地址代表的主机上的属性值。
如果计划使用此补救响应在发生发现事件或主机输入事件时触发的关联规则,默认情况下,补救
将扫描事件涉及到的主机的 IP 地址;无需配置此选项。
将扫描事件涉及到的主机的 IP 地址;无需配置此选项。
步骤 7
配置
Use Description From Event For Attribute Value (text attributes only)
选项:
•
要使用事件说明作为属性值,请选择
On
。
•
要使用补救的 Attribute Value 设置作为属性值,请选择
Off
。
步骤 8
如不计划使用事件说明,请在
Attribute Value
字段中键入要设置的属性值。
步骤 9
依次点击
Save
和
Done
。
补救创建成功。
处理补救状态事件
许可证:FireSIGHT
触发补救之后,将生成补救状态事件。这些事件记录在数据库中,可在 Remediation Status 页面中
查看。可搜索、查看和删除补救状态事件。
查看。可搜索、查看和删除补救状态事件。
有关详情,请参阅:
•
•
查看补救状态事件
许可证:FireSIGHT
视乎在使用的工作流程,访问补救状态事件时看到的页面有所不同。可使用预定义工作流程,包
括补救的表视图。在表视图中,每个补救状态事件占一行。您也可以创建自定义工作流程,仅显
示符合您具体要求的信息。有关创建自定义工作流程的信息,请参阅
括补救的表视图。在表视图中,每个补救状态事件占一行。您也可以创建自定义工作流程,仅显
示符合您具体要求的信息。有关创建自定义工作流程的信息,请参阅
。