Cisco Cisco Firepower Management Center 4000 User Guide

32-21

FireSIGHT 系统用户指南 

第 32 章      使用规则调整入侵策略 

  按策略过滤入侵事件通知  

接下来，必须指定跟踪，确定事件阈值是按源 IP 地址计算还是按目标 IP 地址计算。从下表中选
择一个选项来指定系统如何跟踪事件实例。

最后，必须指定用于定义阈值的实例数和时间段。

请注意，入侵事件阈值可单独使用，也可与基于速率的攻击防御、

detection_filter

 关键字和入

侵事件抑制的任意组合配合使用。有关详细信息，请参阅

和

有关详细信息，请参阅以下各节：

提示

。

添加和修改入侵事件阈值

许可证：保护

您可以为一条或多条特定规则设置阈值。也可以单独或同时修改现有阈值设置。可以为每条规则
设置一个阈值。添加阈值将覆盖该规则的任何现有阈值。

Both

每个指定时间段在指定数量 （计数）的数据包触发规则后记录并显示一次事件。例如，如果
将类型设置为 

，将 

 设置为 2，并将 

 设置为 

10

，则事件计数结果如下：

如果 10 秒内触发规则一次，系统不会生成任何事件 （未达到阈值）

如果 10 秒内触发规则两次，系统将生成一个事件 （第二次触发规则时达到阈值）

如果 10 秒内触发规则四次，系统将生成一个事件 （第二次触发规则时达到阈值，忽略其
后的事件）

表 

阈值选项 （续）

选项

说明

表 

阈值

选项 

选项

说明

Source

按源 IP 地址计算事件实例计数。

Destination

按目标 IP 地址计算事件实例计数。

表 

阈值实例

时间选项 

选项

说明

Count

每个跟踪 IP 地址在每个指定时间段内达到阈值所需的事件实例数量。

Seconds

计数重置之前经过的秒数。如果将阈值类型设置为 

，将跟踪设置为 

，将 

 设置

为 

10

，并将 

 设置为 

10

，则系统将记录并显示 10 秒钟内发生的来自指定源端口的前 10 

个事件。如果前 10 秒内只发生了 7 个事件，系统将记录并显示这些事件，而如果前 10 秒内发
生了 40 个事件，系统将记录并显示 10 个事件，然后在 10 秒过后重新开始计数。