Cisco Cisco Firepower Management Center 4000 User Guide
41-6
FireSIGHT 系统用户指南
第 41 章 处理入侵事件
查看入侵事件性能
要生成入侵事件性能图表,请执行以下操作:
访问:管理员/维护人员
步骤 1
选择
Overview > Summary > Intrusion Event Performance
。
系统将显示 Intrusion Event Performance 页面。
TCP NS 标记规范化
启用
Explicit Congestion
Notification
并选择
Packet
ECN Nonce Sum (NS) 选项规范化的数量。
是
TCP 选项规范化
启用
Allow These TCP Options
并
设置为
any
之外的任意选项
选项字段设置为 No Operation (TCP Option
1) 的选项的数量 (MSS、 Window Scale、
Time Stamp 以及明确允许的选项除外)。
1) 的选项的数量 (MSS、 Window Scale、
Time Stamp 以及明确允许的选项除外)。
是
TCP 数据包阻止条件规
范化
范化
启用
Normalize TCP Payload
(分
段重组必须失败)
因为 TCP 分段无法正确重组而被丢弃的数
据包的数量。
据包的数量。
是
TCP 保留标记规范化
启用
Normalize/Clear Reserved
Bits
Reserved 位被清除的 TCP 数据包的数量。
是
TCP 分段重组规范化
启用
Normalize TCP Payload
(分
段重组必须成功)
TCP Data 字段已规范化以确保重传传输的
数据的一致性的数据包数量 (无法正确重
组的所有片段都被丢失)。
数据的一致性的数据包数量 (无法正确重
组的所有片段都被丢失)。
是
TCP SYN 选项规范化
启用
Allow These TCP Options
并
设置为
any
之外的任意选项
由于未设置 SYN 控制位, Maximum
Segment Size 或 Window Scale 选项被设置为
No Operation (TCP Option 1) 的选项的数量。
Segment Size 或 Window Scale 选项被设置为
No Operation (TCP Option 1) 的选项的数量。
是
TCP 时间戳 ECR 规范化
启用
Allow These TCP Options
并
设置为
any
之外的任意选项
Time Stamp Echo Reply (TSecr) 选项字段由
于未设置 Acknowledgment (ACK) 控制位而
被清除的数据包的数量。
于未设置 Acknowledgment (ACK) 控制位而
被清除的数据包的数量。
是
TCP 紧急指针规范化
启用
Normalize Urgent Pointer
双字节 TCP 报头 Urgent Pointer 字段大于负
载长度,因而被设置成负载长度的数据包的
数量。
载长度,因而被设置成负载长度的数据包的
数量。
是
被阻止的地址块总数
配置
Inline Mode
或
Drop when
Inline
丢弃的数据包总数,包括规则、解码器和预
处理器丢弃。
处理器丢弃。
否
总计注入的数据包
配置
Inline Mode
在重新传输前调整大小的数据包的数量。
否
总 TCP 过滤的数据包
配置 TCP Stream
Preprocessing
Preprocessing
由于 TCP 端口过滤而被数据流跳过的数据
包的数量。
包的数量。
否
总 UDP 过滤的数据包
配置 UDP Stream
Preprocessing
Preprocessing
由于 UDP 端口过滤而被数据流跳过的数据
包的数量。
包的数量。
否
紧急标记清除规范化
启用
Clear URG if Urgent Pointer is
Not Set
因为未设置紧急指针, TCP 报头 URG 控制
位被清除的数据包的数量。
位被清除的数据包的数量。
是
紧急指针和紧急标记清
除规范化
除规范化
启用
Clear Urgent Pointer/URG on
Empty Payload
TCP 报头 Urgent Pointer 字段和 URG 控制位
由于没有负载而被清除的数据包的数量。
由于没有负载而被清除的数据包的数量。
是
紧急指针清除规范化
启用
Clear Urgent Pointer if URG=0
16 位 TCP 报头 Urgent Pointer 字段由于未设
置紧急 (URG) 控制位而被清除的数据包的
数量。
置紧急 (URG) 控制位而被清除的数据包的
数量。
是
表
41-1
入侵事件性能图表类型 (续)
要为以下项生成数据:
您必须......
代表含义......
是否受 Inline
Mode 影响?
Mode 影响?