Cisco Cisco Firepower Management Center 4000 User Guide
第
章
43-1
FireSIGHT 系统用户指南
43
配置外部警报
尽管 FireSIGHT 系统在络界面中提供了各种事件视图,但您仍可能想要配置外部事件通知,以简
化对关键系统的持续监控。可将 FireSIGHT 系统配置为生成警报,在发生以下某一事件时通过邮
件、 SNMP 陷阱或系统日志发送通知:
化对关键系统的持续监控。可将 FireSIGHT 系统配置为生成警报,在发生以下某一事件时通过邮
件、 SNMP 陷阱或系统日志发送通知:
•
带有特定影响标志的入侵事件
•
特定类型的发现事件
•
基于网络的恶意软件事件或回溯性恶意软件事件
•
由特定的关联策略违规触发的相关性事件
•
由特定的访问控制规则触发的连接事件
•
运行状况策略中某一模块的特定状态变化
要让系统发送这些警报,必须先创建一个
警报响应,这是一组配置,允许 FireSIGHT 系统与计划
发送警报的外部系统进行交互。例如,这些配置可以指定邮件中继主机、 SNMP 警报参数或系统
日志设备和优先级。
日志设备和优先级。
创建警报响应之后,可将其与要用于触发警报的事件关联起来。请注意,在将警报响应与事件进
行关联时,具体流程因事件类型而异:
行关联时,具体流程因事件类型而异:
•
可使用各类事件自己的配置页面,将警报响应与影响标记、发现事件和恶意软件事件关联起来。
•
在关联策略中,可将相关性事件与警报响应 (和补救响应;参阅
联起来。
•
通过使用访问控制规则和策略,可将 SNMP 和系统日志警报响应与已记录的连接关联起来。
对于已记录的连接,系统不支持邮件警报。
对于已记录的连接,系统不支持邮件警报。
•
通过使用运行状况监控程序,可将警报响应与运行状况模块状态变化关联起来。
还可在 FireSIGHT 系统中执行另外一种警报,即为单个的入侵事件配置邮件、 SNMP 和系统日志入
侵事件通知,不管影响标志如何。可在入侵策略中配置这些通知;请参阅
侵事件通知,不管影响标志如何。可在入侵策略中配置这些通知;请参阅
。下表介绍了生成警报时必须拥有的许可证。
表
43-1
生成警报时的许可证要求
要基于以下内容生成警报...
您需要该许可证......
带有特定影响标志的入侵事件
FireSIGHT + 保护
特定类型的发现事件
FireSIGHT
基于网络的恶意软件事件
恶意软件
关联策略违规
触发策略违规所需许可证