Cisco Cisco Firepower Management Center 4000 User Guide
33-3
FireSIGHT 系统用户指南
第 33 章 为您的网络资产定制入侵防御
使用 FireSIGHT 建议
了解规则开销
许可证:保护
思科根据规则对系统性能的潜在影响以及规则产生误报的可能性,将每条入侵规则的开销评为
无、低、中、或高。在 Rules 页面的规则详细信息视图中,可以查看规则的开销级别。有关详
情,请参见
无、低、中、或高。在 Rules 页面的规则详细信息视图中,可以查看规则的开销级别。有关详
情,请参见
。
您可以将系统设置为根据最高包括指定开销级别 (
极高级别除外
)。例如,为开销为中的规则生成
建议时,系统会根据开销级别为无、低或中的所有规则来给出建议,而不会为开销为高的规则给
出任何建议。
出任何建议。
请注意,系统在给出是生成事件还是丢弃并生成事件的建议时,会将规则开销作为一项考虑因
素。但是系统在给出禁用规则的建议时,不会将规则开销作为一项考虑因素。另请注意,本地规
则没有开销,除非被映射到第三方漏洞。有关详细信息,请参阅
素。但是系统在给出禁用规则的建议时,不会将规则开销作为一项考虑因素。另请注意,本地规
则没有开销,除非被映射到第三方漏洞。有关详细信息,请参阅
和
为开销级别为特定设置的规则生成建议并不会妨碍您使用不同的开销生成建议后再重新为原来的
开销设置生成建议。每次为同一规则集生成建议时,无论生成多少次建议或者生成多少不同的开
销设置,为每个开销设置获得的规则状态建议都相同。例如,您可以将开销依次设置为中、高,
并最终设置为中来生成建议,如果网络中的主机和应用尚未更改,对于该规则集给出的开销设置
为中的两组建议均相同。
开销设置生成建议。每次为同一规则集生成建议时,无论生成多少次建议或者生成多少不同的开
销设置,为每个开销设置获得的规则状态建议都相同。例如,您可以将开销依次设置为中、高,
并最终设置为中来生成建议,如果网络中的主机和应用尚未更改,对于该规则集给出的开销设置
为中的两组建议均相同。
使用 FireSIGHT 建议
许可证:FireSIGHT + 保护
无论是否使用建议的规则状态或是否修改用于生成建议的高级设置,都可以生成建议。有关详细
信息,请参阅
信息,请参阅
。
生成建议之后,可以使用建议的规则状态;还可以查看建议的状态和使用 Rules 页面中可用的任
何功能。
何功能。
要使用 FireSIGHT 规则状态建议,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
选择
Policies > Intrusion > Intrusion Policy
。
系统将显示 Intrusion Policy 页面。
步骤 2
点击要编辑的策略旁边的编辑图标 (
)。
如果在另一策略中的更改尚未保存,请点击
OK
放弃这些更改并继续操作。有关保存其他策略中
系统将显示 Policy Information 页面。
步骤 3
此时您有两种选择:
•
如果尚未生成建议,请选择
No recommendations have been generated.Click here to set up
FireSIGHT
recommendations
。
•
如果已生成建议,请选择
Click to change recommendations
。
系统将显示 FireSIGHT Recommended Rules Configuration 页面。