Cisco Cisco Firepower Management Center 4000 User Guide

41-6

FireSIGHT 系统用户指南

第 41 章处理入侵事件

查看入侵事件性能

要生成入侵事件性能图表，请执行以下操作：

访问：管理员/维护人员

步骤 1

选择

Overview > Summary > Intrusion Event Performance

。

系统将显示 Intrusion Event Performance 页面。

TCP NS 标记规范化

启用

Explicit Congestion

Notification

并选择

Packet

ECN Nonce Sum (NS) 选项规范化的数量。

是

TCP 选项规范化

启用

Allow These TCP Options

并

设置为

any

之外的任意选项

选项字段设置为 No Operation (TCP Option
1) 的选项的数量（MSS、 Window Scale、
Time Stamp 以及明确允许的选项除外）。

是

TCP 数据包阻止条件规
范化

启用

Normalize TCP Payload

（分

段重组必须失败）

因为 TCP 分段无法正确重组而被丢弃的数
据包的数量。

是

TCP 保留标记规范化

启用

Normalize/Clear Reserved

Bits

Reserved 位被清除的 TCP 数据包的数量。

是

TCP 分段重组规范化

启用

Normalize TCP Payload

（分

段重组必须成功）

TCP Data 字段已规范化以确保重传传输的
数据的一致性的数据包数量（无法正确重
组的所有片段都被丢失）。

是

TCP SYN 选项规范化

启用

Allow These TCP Options

并

设置为

any

之外的任意选项

由于未设置 SYN 控制位， Maximum
Segment Size 或 Window Scale 选项被设置为
No Operation (TCP Option 1) 的选项的数量。

是

TCP 时间戳 ECR 规范化

启用

Allow These TCP Options

并

设置为

any

之外的任意选项

Time Stamp Echo Reply (TSecr) 选项字段由
于未设置 Acknowledgment (ACK) 控制位而
被清除的数据包的数量。

是

TCP 紧急指针规范化

启用

Normalize Urgent Pointer

双字节 TCP 报头 Urgent Pointer 字段大于负
载长度，因而被设置成负载长度的数据包的
数量。

是

被阻止的地址块总数

配置

Inline Mode

或

Drop when

Inline

丢弃的数据包总数，包括规则、解码器和预
处理器丢弃。

否

总计注入的数据包

配置

Inline Mode

在重新传输前调整大小的数据包的数量。

否

总 TCP 过滤的数据包

配置 TCP Stream
Preprocessing

由于 TCP 端口过滤而被数据流跳过的数据
包的数量。

否

总 UDP 过滤的数据包

配置 UDP Stream
Preprocessing

由于 UDP 端口过滤而被数据流跳过的数据
包的数量。

否

紧急标记清除规范化

启用

Clear URG if Urgent Pointer is

Not Set

因为未设置紧急指针， TCP 报头 URG 控制
位被清除的数据包的数量。

是

紧急指针和紧急标记清
除规范化

启用

Clear Urgent Pointer/URG on

Empty Payload

TCP 报头 Urgent Pointer 字段和 URG 控制位
由于没有负载而被清除的数据包的数量。

是

紧急指针清除规范化

启用

Clear Urgent Pointer if URG=0

16 位 TCP 报头 Urgent Pointer 字段由于未设
置紧急 (URG) 控制位而被清除的数据包的
数量。

是

表

41-1

入侵事件性能图表类型（续）

要为以下项生成数据：

您必须......

代表含义......

是否受 Inline
Mode 影响？