Cisco Cisco Firepower Management Center 2000 User Guide
51-9
FireSIGHT 系统用户指南
第 51 章 配置关联策略和规则
创建关联策略规则
发现事件的语法
许可证:FireSIGHT
如果将关联规则以发现事件为基础,则首先必须从下拉列表中选择要使用的事件的类型。下表列
出可从下拉列表中选定为触发标准的事件,与其相应的事件类型相互参照。有关发现事件类型的
详细说明,请参阅
出可从下拉列表中选定为触发标准的事件,与其相应的事件类型相互参照。有关发现事件类型的
详细说明,请参阅
文件类型
选择文件的类型,例如
PDF
或
MSEXE
。
File Type Category
选择一个或多个文件类型类别,例如
Office Documents
或
Executables
。
IOC Tag
选择将 IOC 标记
is
还是
is not
设置为恶意软件事件的结果。
SHA-256
键入或粘贴文件的 SHA-256 哈希值。
SSL Actual Action
选择指示系统如何处理加密连接的 SSL 规则操作。
SSL Certificate Fingerprint 键入用来加密流量的证书的指纹或选择与指纹相关的对象通用名称。
SSL Certificate Subject
Common Name (CN)
Common Name (CN)
键入用于加密会话的证书的全部或部分对象通用名称。
SSL Certificate Subject
Country (C)
Country (C)
选择一个或多个用于加密会话的证书的对象国家/地区代码。
SSL Certificate Subject
Organization (O)
Organization (O)
键入用于加密会话的证书的全部或部分对象组织名称。
SSL Certificate Subject
Organizational Unit (OU)
Organizational Unit (OU)
键入用于加密会话的证书的全部或部分对象组织的单位名称。
SSL Flow Status
基于系统尝试解密流量的结果选择一种或多种状态。
Source Port/ICMP Type
键入源流量的端口号或 ICMP 类型。
Web 应用程序
选择与恶意软件事件相关的一个或多个网络应用。
Web Application Category 选择一种或多种网络应用类别。
表
51-3
恶意软件事件的语法 (续)
如果指定......
选择一个运算符,然后......
表
51-4
关联规则触发标准与
发现事件类型
选择此选项…
要在该事件类型上触发规则......
a client has changed
Client Update
a client timed out
Client Timeout
a host IP address is reused
DHCP: IP Address Reassigned
a host is deleted because the host limit was reached
Host Deleted: Host Limit Reached
a host is identified as a network device
Host Type Changed to Network Device
a host timed out
Host Timeout
a host’s IP address has changed
DHCP: IP Address Changed
a NETBIOS name change is detected
NETBIOS Name Change
a new client is detected
New Client
a new IP host is detected
New Host
a new MAC address is detected
Additional MAC Detected for Host