Cisco Cisco Firepower Management Center 4000 User Guide
31-7
FireSIGHT 系统用户指南
第 31 章 入侵策略入门
应用入侵策略
外部响应
除了网络界面中的各种入侵事件视图之外,您还可以启用记录到系统日志 (syslog) 工具或者将事
件数据发送到 SNMP 陷阱服务器。根据策略,您可以指定入侵事件通知限制,设置发送到外部日
志记录工具的入侵事件通知,以及配置对入侵事件的外部响应。有关详情,请参阅:
件数据发送到 SNMP 陷阱服务器。根据策略,您可以指定入侵事件通知限制,设置发送到外部日
志记录工具的入侵事件通知,以及配置对入侵事件的外部响应。有关详情,请参阅:
•
•
请注意,除了基于策略的这些警报配置,对于每个规则或规则组,您还可以在入侵事件上全局启
用或禁用邮件警报。无论哪个入侵规则处理数据包,都会使用您的邮件警报设置。有关详细信
息,请参阅
用或禁用邮件警报。无论哪个入侵规则处理数据包,都会使用您的邮件警报设置。有关详细信
息,请参阅
应用入侵策略
许可证:保护
向使用访问控制 (请参阅
)的受管设备应用入侵策略后,可以
随时重新应用此入侵策略。这样就可以在监控下的网络上实施入侵策略更改,而无需重新应用访
问控制策略。重新应用时,还可以查看比较报告,检查自从最后一次应用此入侵策略之后所做的
更改。
问控制策略。重新应用时,还可以查看比较报告,检查自从最后一次应用此入侵策略之后所做的
更改。
重新应用入侵策略时,请注意以下事项:
•
可以安排定期重复执行入侵策略重新应用任务;请参阅
。
•
在无效目标设备上无法重新应用入侵策略。例如,应用从设备上删除之前已应用入侵策略的
访问控制策略,然后在解决访问控制策略应用任务之前尝试重新应用此入侵策略,就无法重
新应用此入侵策略。
访问控制策略,然后在解决访问控制策略应用任务之前尝试重新应用此入侵策略,就无法重
新应用此入侵策略。
•
对于运行不同版本 FireSIGHT 系统的堆栈设备无法应用入侵策略 (例如,在其中一个设备上
升级失败)。可以向设备堆栈重新应用入侵策略,但是,无法向堆栈内的各个设备单独应用
入侵策略。
升级失败)。可以向设备堆栈重新应用入侵策略,但是,无法向堆栈内的各个设备单独应用
入侵策略。
•
导入规则更新时,可以在导入完成后自动应用入侵策略。如果不启用此选项,就必须手动重
新应用被规则更新更改的策略。有关详情,请参见
新应用被规则更新更改的策略。有关详情,请参见
•
如果防御中心上 Snort 的版本与受管设备上的不同,不应用访问控制策略就无法向此设备应
用入侵策略。如果入侵策略应用因此失败,请改为重新应用整个访问控制策略。
用入侵策略。如果入侵策略应用因此失败,请改为重新应用整个访问控制策略。
要重新应用入侵策略,请执行以下操作:
访问:管理员/安全审批者
步骤 1
选择
Policies > Intrusion > Intrusion Policy
。
系统将显示 Intrusion Policy 页面。
步骤 2
点击要编辑的策略旁边的应用图标 (
)。
系统将显示 Reapply Intrusion Policy 窗口,其中列出了当前应用该策略的设备。
步骤 3
指定要重新应用该策略的设备。
提示
如果设备列为
Out-of-date
,请点击比较图标 (
),查看比较当前应用入侵策略和更新入侵策略的
报告。