Cisco Cisco Firepower Management Center 2000 User Guide
51-7
FireSIGHT 系统用户指南
第 51 章 配置关联策略和规则
创建关联策略规则
Impact Flag
选择分配给入侵事件的影响级别。与指定
is
、
is not
、
is greater than
等运算符一
起,选择以下任何一项:
•
0 - 灰色 (Unknown)
•
1 - 红色 (Vulnerable)
•
2 - 橙色 (Potentially Vulnerable)
•
3 - 黄色 (Currently Not Vulnerable)
•
4 - 蓝色 (Unknown Target)
注
因为没有可用于基于 NetFlow 数据添加至网络映射的主机的操作系统信息,所
以防御中心无法为涉及那些主机的入侵事件分配 Vulnerable (级别:1,红
色)影响级别,除非您使用主机输入功能手动设置主机的操作系统标识。
以防御中心无法为涉及那些主机的入侵事件分配 Vulnerable (级别:1,红
色)影响级别,除非您使用主机输入功能手动设置主机的操作系统标识。
有关详细信息,请参阅
Inline Result
选择以下选项中的一种:
•
dropped
,用来指定是否已经在内联、交换的或路由的部署中丢弃数据包
•
would have dropped
,用来指定如果已经设置入侵策略以在内联、交换的或路由的部
署中丢弃数据包,则是否将丢弃该数据包
请注意,不管规则状态或入侵策略的丢弃行为如何 (包括当内联集处于分路模式
下),系统都无法在被动部署情况下丢失数据包。
下),系统都无法在被动部署情况下丢失数据包。
Intrusion Policy
选择一个或多个生成入侵事件的入侵策略。
IOC Tag
选择将 IOC 标记
is
还是
is not
设置为入侵事件的结果。
优先级
选择规则优先级:
low
、
medium
或
high
。
对于基于规则的入侵事件,优先级对应于
priority
关键字的值或
classtype
关键字的
值。对于其他入侵事件,优先级由解码器或预处理器决定。
协议
键入下列网址所列的传输协议的名称或编号:
。
Rule Message
键入全部或部分规则消息。
Rule SID
键入由逗号分隔的单个 Snort ID 号 (SID) 或多个 SID。
注
如果将
is in
或
is not in
选定为运算符,则无法使用具有多项选择的弹出窗口。必
须键入由逗号分隔的 SID 列表。
规则类型
指定规则是否是或不是本地的。本地规则包括自定义的标准文本入侵规则、已经修改
的标准文本规则和在保存具有已修改的报头信息时创建的任何共享对象规则的新实
例。有关详细信息,请参阅
的标准文本规则和在保存具有已修改的报头信息时创建的任何共享对象规则的新实
例。有关详细信息,请参阅
SSL Actual Action
选择指示系统如何处理加密连接的 SSL 规则操作。
SSL Certificate Fingerprint
键入用来加密流量的证书的指纹或选择与指纹相关的对象通用名称。
SSL Certificate Subject
Common Name (CN)
Common Name (CN)
键入用于加密会话的证书的全部或部分对象通用名称。
SSL Certificate Subject
Country (C)
Country (C)
选择一个或多个用于加密会话的证书的对象国家/地区代码。
SSL Certificate Subject
Organization (O)
Organization (O)
键入用于加密会话的证书的全部或部分对象组织名称。
表
51-2
入侵事件的语法 (续)
如果指定......
选择一个运算符,然后......