Cisco Cisco Firepower Management Center 4000 User Guide

32-6

FireSIGHT 系统用户指南

第 32 章      使用规则调整入侵策略       

  查看入侵策略中的规则

为规则设置阈值

许可证：保护

您可以在 Rule Detail 页面中为规则设置一个阈值。添加阈值将覆盖该规则的任何现有阈值。有关
阈值的详细信息，请参阅

。

请注意，当键入的值无效时，字段中会显示恢复图标  (

)；点击该图标可恢复为该字段的上一个

有效值，如果没有上一个值，则会清空该字段的值。

要在规则详细信息中设置阈值，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

点击 

 旁边的 

。

系统将显示 Set Threshold 对话框。

步骤 2

从 

 下拉列表中选择要设置的阈值的类型：

选择 

 则在每个时间段内只为指定数量的事件实例提供通知。

选择 

 则在每个时间段内每次事件实例数达到指定数量时提供通知。

选择 

 则在每个时间段内事件实例数达到指定数量后提供一次通知。

步骤 3

从 

 下拉列表中选择 

 或 

 以指示要按源还是目标 IP 地址跟踪事件实例。

步骤 4

在 

 字段中，键入要用作阈值的事件实例数。

步骤 5

在 

 字段中键入一个介于 0 和 2147483647 之间的数字来指定跟踪事件实例的时间段（以秒

为单位）。

步骤 6

点击 

。

系统将添加阈值并在 Event Filtering 列中该规则旁显示事件过滤器图标  (

)。如果将多个事件过

滤器添加到规则，系统将在图标上注明事件过滤器的数量。

为规则设置抑制

许可证：保护

您可以在 Rule Detail 页面中为规则设置一个或多个抑制。有关抑制的详细信息，请参阅

请注意，当键入的值无效时，字段中会显示恢复图标  (

)；点击该图标可恢复为该字段的上一个

有效值，如果没有上一个值，则会清空该字段的值。

要在规则详细信息中设置抑制，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

点击 

 旁边的 

。

系统将显示 Add Suppression 对话框。

步骤 2

从 

 下拉列表中选择以下选项之一：

选择 

 将完全抑制所选规则的事件。

选择 

 将抑制由指定源 IP 地址发出的数据包生成的事件。

选择 

 将抑制由发往指定目标 IP 地址的数据包生成的事件。