Cisco Cisco Firepower Management Center 4000 User Guide
第
章
35-1
FireSIGHT 系统用户指南
35
从全局限制入侵事件记录
阈值可用于限制系统记录和显示入侵事件的次数。您配置作为入侵策略一部分的阈值会导致系统
根据与规则匹配的流量在特定时间内从特定地址或地址范围传出或以其作为传入目标的次数,生
成事件。这可以防止事件数量过多。此功能需要保护许可证。
根据与规则匹配的流量在特定时间内从特定地址或地址范围传出或以其作为传入目标的次数,生
成事件。这可以防止事件数量过多。此功能需要保护许可证。
设置事件通知阈值有两种方式:
•
可以跨所有流量设置全局阈值,用于限制每个指定时间段记录和显示来自特定源地址或目标
地址的事件的频率。有关详细信息,请参阅
地址的事件的频率。有关详细信息,请参阅
•
可以按照入侵策略配置中的每条共享对象规则、标准文本规则或预处理器规则设置阈值,如
了解阈值
许可证:保护
默认情况下,每个入侵策略都包含全局规则阈值。默认阈值将每条规则的事件生成频率限制为对
发往同一个目标地址的流量每 60 秒生成一个事件。此全局阈值默认应用于所有入侵规则和预处
理器规则。请注意,可以在入侵策略的 Advanced Settings 页面中禁用此阈值。
发往同一个目标地址的流量每 60 秒生成一个事件。此全局阈值默认应用于所有入侵规则和预处
理器规则。请注意,可以在入侵策略的 Advanced Settings 页面中禁用此阈值。
也可以对特定的规则设置单独的阈值,从而覆盖此阈值。例如,可将全局限值阈值设置为每 60
秒生成五个事件,然后为 SID 1315 设置每 60 秒生成十个事件的特定阈值。所有其他规则每 60 秒
生成的事件不超过五个,但是系统每 60 秒可为 SID 1315 生成最多十个事件。
秒生成五个事件,然后为 SID 1315 设置每 60 秒生成十个事件的特定阈值。所有其他规则每 60 秒
生成的事件不超过五个,但是系统每 60 秒可为 SID 1315 生成最多十个事件。
有关设置基于规则的阈值的详细信息,请参阅
。
提示
在有多个 CPU 的受管设备上,全局阈值或单独的阈值可能会导致事件数量高于预期。
下图显示的例子中,系统正在受到违反特定规则的攻击。全局限值阈值将每条规则的事件生成频
率限制为每 20 秒生成两个事件。
率限制为每 20 秒生成两个事件。
请注意,该时间段在 1 秒时开始,在 21 秒时结束。该时间段结束后,请注意时间周期重新开始,
接下来两次规则匹配生成了事件,随后系统在这一时间段内不再生成事件。
接下来两次规则匹配生成了事件,随后系统在这一时间段内不再生成事件。