Cisco Cisco Firepower Management Center 4000 User Guide

44-6

FireSIGHT 系统用户指南

第 44 章      配置入侵规则的外部警报       

  了解邮件警报

步骤 5

或者，在 

 字段中输入想要指定为日志记录主机的远程访问 IP 地址。用逗号分隔多个

主机。

步骤 6

从下拉列表中选择设施和优先级。

有关设施和优先级选项的详细信息，请参阅

。

步骤 7

保存策略、继续编辑、放弃更改、恢复基本策略中的默认配置设置，或在系统缓存中保留变更后
退出。有关详情，请参见

。

了解邮件警报

许可证：保护

邮件警报是通过邮件发送的入侵事件通知。邮件警报包括以下信息：

数据库中的警报总数

上一邮件时间 （系统生成上一次邮件报告的时间）

当前时间 （系统生成当前邮件报告的时间）

新警报总数

与指定邮件过滤器相匹配的事件数量 （根据指定规则配置事件的情况下）

（Summary Output 关闭时）每个事件的时间戳、协议、事件消息和会话信息 （源和目标 IP 地

址及端口，显示流量方向）

注

如果多个入侵事件源自同一源 IP，事件下方会出现一则通知，显示其他事件的总数。

每个目标端口的事件总数 

每个源 IP 的事件总数

可以为每个规则或规则组启用或禁用入侵事件邮件警报。不论设备应用了访问控制策略中的哪项
入侵策略，都可以使用邮件警报设置。

下表介绍了邮件警报可供设置的参数。

启用或禁用邮件通知。

指定系统发送入侵事件的一个或多个邮件地址。

指定系统接收入侵事件的邮件地址。要发送邮件给多个收件人，请使用逗号分隔邮件地址。
例如：

user1@example.com, user2@example.com

指定系统在按 Frequency (seconds) 计算的指定时间段内通过邮件发送的入侵事件最大数量。