Cisco Cisco Firepower Management Center 4000 User Guide
51-18
FireSIGHT 系统用户指南
第 51 章 配置关联策略和规则
创建关联策略规则
用于主机配置文件限定条件的语法
许可证:FireSIGHT
当构建主机配置文件限定条件时,必须首先选择要用于限制关联规则的主机。可选择的主机取决
于要用来触发规则的事件的类型,如下说述:
于要用来触发规则的事件的类型,如下说述:
•
如果您正在使用连接事件,则选择
Responder Host
或
Initiator Host
。
•
如果您正在使用入侵事件,则选择
Destination Host
或
Source Host
。
•
如果您正在使用发现事件、主机输入事件或用户活动,则选择
Host
。
在选择主机类型之后,请继续构建主机配置文件限定条件,如下表所述。
请注意,虽然您可以根据已启用 NetFlow 的设备导出的数据配置网络发现策略以将主机添加到网
络映射中,但有关这些主机的可用信息是有限的。例如,这些主机没有可用的操作系统数据,除
非您使用主机输入功能提供这些数据。此外,如果使用由已启用 NetFlow 的设备导出的连接数
据,请记住, NetFlow 记录中不包含哪个主机是发起方以及哪个主机是响应方的信息。当系统处
理 NetFlow 记录时,它会根据各主机正在使用的端口以及此类端口是否为公认端口来使用一种算
法确定该信息。有关详细信息,请参阅
络映射中,但有关这些主机的可用信息是有限的。例如,这些主机没有可用的操作系统数据,除
非您使用主机输入功能提供这些数据。此外,如果使用由已启用 NetFlow 的设备导出的连接数
据,请记住, NetFlow 记录中不包含哪个主机是发起方以及哪个主机是响应方的信息。当系统处
理 NetFlow 记录时,它会根据各主机正在使用的端口以及此类端口是否为公认端口来使用一种算
法确定该信息。有关详细信息,请参阅
表
51-11
主机配置文件限定条件的语法
如果指定......
选择一个运算符,然后......
Host Type
选择一个或多个主机类型。可以在一个主机或多种网络设备中的一种之间选择。
NETBIOS Name
键入主机的 NetBIOS 名称。
Operating System > OS Name 选择一个或多个操作系统名称。
Operating System > OS
Vendor
Vendor
选择一个或多个操作系统供应商名称。
Operating System > OS
Version
Version
选择一个或多个操作系统版本。
硬件
键入移动设备的硬件型号。例如,要与所有 Apple iPhone 匹配,键入
iPhone
。
IOC Tag
选择一个或多个 IOC 标记。有关 IOC 标记类型的详细信息,请参阅
Jailbroken
选择
Yes
表示事件中的的主机属于越狱移动设备,选择
No
表示事件中的主机不是越狱
移动设备。
移动
选择
Yes
表示事件中的的主机属于移动设备,选择
No
表示事件中的主机不是移动设备。
网络协议
键入
列出的网络协议号。
Transport Protocol
键入
列出的传输协议的名称或编号。
Host Criticality
选择主机重要性:
None
、
Low
、
Medium
或
High
。有关主机重要性的详细信息,请参阅
。
VLAN ID
键入与主机相关的 VLAN ID 。
Application Protocol >
Application Protocol
选择一个或多个应用协议。
Application Protocol >
Application Port
键入应用协议端口号。
如果您正在使用入侵事件触发关联规则,则根据您为主机配置文件限定条件选定的主
机,本字段中预填充事件中的端口:
机,本字段中预填充事件中的端口:
dst_port
(适用于
Destination Host
)或
src_port
(适用于
Source Host
)。