Cisco Cisco Firepower Management Center 2000 User Guide
51-5
FireSIGHT 系统用户指南
第 51 章 配置关联策略和规则
创建关联策略规则
注
当根据事件构建条件时,只有在设备可收集条件所需信息而且防御中心可以管理该信息时,才可
以添加关联规则触发标准。例如,由于 2 系列设备和 DC500 防御中心都不支持 SSL 检查、按类
别或信誉的 URL 过滤或安全情报,因此,您无法根据这些功能在这些设备上配置事件条件。有
关详细信息,请参阅
以添加关联规则触发标准。例如,由于 2 系列设备和 DC500 防御中心都不支持 SSL 检查、按类
别或信誉的 URL 过滤或安全情报,因此,您无法根据这些功能在这些设备上配置事件条件。有
关详细信息,请参阅
。
要指定关联规则触发标准,请执行以下操作:
访问:管理员/发现管理员
步骤 1
选择规则以之为基础的事件类型。
在构建关联规则时,首先必须选择规则以之为基础的事件类型。
Select the type of event for this rule
下
有几个选项:
•
在出现特定入侵事件时选择
an intrusion event occurs
。
•
在特定恶意软件事件出现时请选择
a Malware event occurs
触发该规则。
•
在特定发现事件出现时请选择
a discovery event occurs
触发该规则。在发现事件上触发关联规则
时,还必须选择要使用的事件类型。可从
介绍的发现事件 子
集中选择;例如,无法在跃点变更上触发关联规则。然而,当任何类型的发现事件发生时,
可选择
可选择
there is any type of event
来触发该规则。
•
当检测到新用户或用户登录到主机时选择
user activity is detected
以触发该规则。
•
当特定主机输入事件发生时,选择
a host input event occurs
以触发该规则。在主机输入事件上触
发关联规则时,还必须选择要使用的事件类型。可从
介绍的事件的子集中选择。
•
当连接数据满足特定标准时,选择
a connection event occurs
以触发该规则。在连接事件上触发
关联规则时,还必须选择是否使用代表连接开始或结束的连接事件,或二者中的任何一种。
•
当网络流量偏离在现有流量量变曲线中展示特征的正常网络通讯模式时,选择
a traffic profile
changes
以触发该关联规则。
步骤 2
指定规则条件。
在关联规则中使用以触发标准条件的语法会根据您在第
相同。有关详细信息,请参阅
。
以下各节介绍可用来构建条件的语法:
•
•
•
•
•
•
•
提示
步中指定的基础事件类型的规则。例如,如果您基于开放的 TCP 端口的检测创
建新规则,则新规则的触发标准可包括
rule “MyDoom Worm” is true
和
rule “Kazaa (TCP) P2P” is true
。