Cisco Cisco Firepower Management Center 4000 User Guide
第
章
33-1
FireSIGHT 系统用户指南
33
为您的网络资产定制入侵防御
您可以使用 FireSIGHT 建议规则功能将网络中检测到的操作系统、服务器和客户端应用协议 (请
参阅
参阅
)按照入侵策略与为保护这些资产而专门编写的规则相关联。这
样,您就可根据自己的受监控网络的特定需求定制您的入侵策略。 FireSIGHT 建议规则功能要求
使用 FireSIGHT 和保护许可证。
使用 FireSIGHT 和保护许可证。
在配置 FireSIGHT 建议规则功能时,系统会搜索基本策略,查找防范网络资产相关漏洞的规则,
并确定基本策略中的规则的当前状态。然后,系统会建议规则状态,并使用下表中的条件将规则
设置为建议的状态 (此项可选)。
并确定基本策略中的规则的当前状态。然后,系统会建议规则状态,并使用下表中的条件将规则
设置为建议的状态 (此项可选)。
思科漏洞研究团队 (VRT) 为思科提供的默认策略中的每条规则确定了适当的状态。因此,当基本
策略是思科提供的默认策略时,允许系统将规则设置为 FireSIGHT 建议的规则状态的有效作用就
在于,入侵策略中的规则与思科对网络资产建议的设置相符。有关详情,请参见
策略是思科提供的默认策略时,允许系统将规则设置为 FireSIGHT 建议的规则状态的有效作用就
在于,入侵策略中的规则与思科对网络资产建议的设置相符。有关详情,请参见
。
生成规则状态建议非常简单,只需在生成建议时或在其之后选择是否使用建议的规则状态即可。
高级建议选项可供您进一步定制配置。请注意,选择使用建议的规则状态会在入侵策略中添加只
读的 FireSIGHT Recommendations 层,在此后选择不使用建议的规则状态可删除该层。有关使用
策略层更有效地管理多个入侵策略的详细信息,请参阅
高级建议选项可供您进一步定制配置。请注意,选择使用建议的规则状态会在入侵策略中添加只
读的 FireSIGHT Recommendations 层,在此后选择不使用建议的规则状态可删除该层。有关使用
策略层更有效地管理多个入侵策略的详细信息,请参阅
请注意,虽然系统通常建议更改的是标准文本规则和共享对象规则的规则状态,但也可能会建议
更改预处理器规则和解码器规则的状态。
更改预处理器规则和解码器规则的状态。
您可以安排任务来根据入侵策略中最近保存的配置设置自动生成建议。有关安排任务来生成建议
的规则状态的详细信息,请参阅
的规则状态的详细信息,请参阅
。
有关详细信息,请参阅以下各节:
•
•
•
表
33-1
基于漏洞的
FireSIGHT
规则状态建议
基本策略规则状态
规则是否保护发现的资产?
建议的规则状态
Generate Events 或关闭
是
Generate Events
Drop and Generate Events
是
Drop and Generate Events
any
no
关闭