Cisco Cisco Firepower Management Center 4000 User Guide
35-3
FireSIGHT 系统用户指南
第 35 章 从全局限制入侵事件记录
配置全局阈值
配置全局阈值
许可证:保护
可以设置全局阈值来管理每个规则在一段时间内生成的事件数。设置全局阈值后,该阈值将应用于没
有特定阈值可覆盖该阈值的每条规则。有关配置阈值的详细信息,请参阅
有特定阈值可覆盖该阈值的每条规则。有关配置阈值的详细信息,请参阅
。
默认情况下,在系统上配置全局阈值。默认值如下所示:
•
Type
- Limit
•
Track By
- Destination
•
Count
- 1
•
Seconds
- 60
要配置全局阈值,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
选择
Policies > Intrusion > Intrusion Policy
。
系统将显示 Intrusion Policy 页面。
步骤 2
点击要编辑的策略旁边的编辑图标 (
)。
如果在另一策略中的更改尚未保存,请点击
OK
放弃这些更改并继续操作。有关保存其他策略中
系统将显示 Policy Information 页面。
步骤 3
点击左侧导航面板中的
Advanced
Settings
。
系统将显示 Advanced Settings 页面。
步骤 4
此时有两种选择,取决于
Intrusion Rule Thresholds
下的
Global Rule Thresholding
是否启用:
•
如果该配置已启用,请点击
Edit
。
•
如果该配置已禁用,请点击
Enabled
,然后点击
Edit
。
系统将显示 Global Rule Thresholding 页面。页面底部消息会识别包含配置的入侵策略层。有关详
情,请参见
情,请参见
步骤 5
从
Type
单选按钮,选择在由 seconds 参数指定的时间内要应用的阈值类型。有关详细信息,请参
阅
•
选择
Limit
则记录并显示触发规则的每个数据包的事件,直到超过计数参数指定的限值为止。
•
选择
Threshold
则为触发该规则并且代表与计数参数设置的阈值相匹配的实例或者是阈值倍数
的每个数据包记录并显示一个事件。
•
选择
Both
则在触发规则的数据包达到计数参数指定的数量之后记录并显示一个事件。
步骤 6
从
Track By
单选按钮选择跟踪方法:
•
选择
Source
则在来自一个或多个特定源 IP 地址的流量中查找规则匹配项。
•
选择
Destination
则在发往特定目标 IP 地址的流量中查找规则匹配项。
步骤 7
在
Count
字段:
•
若为
Limit
阈值,在 Count 字段中指定每个跟踪 IP 地址在每个指定时间段内达到阈值所需的事
件实例数。
•
若为
Threshold
阈值,在 Count 字段中指定要用作阈值的规则匹配项数量。