Cisco Cisco Firepower Management Center 2000 User Guide
51-3
FireSIGHT 系统用户指南
第 51 章 配置关联策略和规则
创建关联策略规则
下表对构建有效的关联规则必须拥有的许可证进行说明。如果没有适当的许可证,则不会触发使
用 FireSIGHT 系统未经许可的许可证的关联规则。有关特定许可证的详细信息,请参阅
用 FireSIGHT 系统未经许可的许可证的关联规则。有关特定许可证的详细信息,请参阅
当创建关联规则触发标准、主机配置文件限定条件、用户资格或连接跟踪器时,语法发生变化但
结构保持不变。有关详细信息,请参阅
结构保持不变。有关详细信息,请参阅
要创建关联规则,请执行以下操作:
访问:管理员/发现管理员
步骤 1
选择
Policies > Correlation,
然后选择
Rule Management
选项卡。
系统将显示 Rule Management 页面。
步骤 2
点击
Create Rule
。
系统将显示 Create Rule 页面。
步骤 3
提供基本规则信息,例如规则名称、说明和组。
请参阅
步骤 4
指定要据此触发规则的基本标准。
请参阅
。
步骤 5
或者,将主机配置文件限定条件添加至规则。
请参阅
步骤 6
或者,将连接跟踪器添加至规则。
请参阅
。
步骤 7
或者,将用户资格添加至规则。
请参阅
。
步骤 8
或者,将非活动周期或暂停周期 (或两者)添加至规则。
请参阅
表
51-1
构建关联规则的许可证要求
要......
您需要该许可证......
在入侵事件或安全情报事件上触发关联规则
保护
在发现事件、主机输入事件、地理定位数据或用户活动上触发关联规
则,或将主机配置文件或用户资格添加至关联规则
则,或将主机配置文件或用户资格添加至关联规则
FireSIGHT
在连接事件或基于终端的恶意软件事件上触发关联规则,或将连接跟踪
器添加至规则
器添加至规则
任何环境
在具有 URL 数据的连接事件上触发关联规则,或利用 URL 数据建立连
接跟踪器
接跟踪器
请注意, 2 系列设备和 DC500 防御中心都不会按类别或信誉支持 URL
过滤,而且 2 系列设备不会按照文字 URL 或 URL 组支持 URL 过滤。
过滤,而且 2 系列设备不会按照文字 URL 或 URL 组支持 URL 过滤。
URL 过滤
根据基于网络的恶意软件数据或回顾性的基于网络的恶意软件数据在恶
意软件事件上触发关联规则
意软件事件上触发关联规则
请注意, 2 系列和用于 Blue Coat X-系列的思科 NGIPS设备以及 DC500
防御中心均不支持基于网络的恶意软件防护。
防御中心均不支持基于网络的恶意软件防护。
恶意软件