Cisco Cisco Firepower Management Center 2000 User Guide
51-10
FireSIGHT 系统用户指南
第 51 章 配置关联策略和规则
创建关联策略规则
请注意,在跃点变更上或由于达到许可主机限制而使系统丢弃新的主机时,不能触发关联规则。
然而,当任何类型的发现事件发生时,可选择
然而,当任何类型的发现事件发生时,可选择
there is any type of event
来触发该规则。
在选择发现事件类型后,可以构建关联规则条件,如下表所述。根据选择的事件类型,可以使用
下表中的标准子集构建条件。例如,如果在检测到新的客户端时触发关联规则,则可基于主机的
IP 地址或 MAC 地址、客户端名称、类型或版本,以及检测到事件的设备来构建条件。
下表中的标准子集构建条件。例如,如果在检测到新的客户端时触发关联规则,则可基于主机的
IP 地址或 MAC 地址、客户端名称、类型或版本,以及检测到事件的设备来构建条件。
a new MAC host is detected
New Host
a new network protocol is detected
New Network Protocol
a new transport protocol is detected
New Transport Protocol
a TCP port closed
TCP Port Closed
a TCP port timed out
TCP Port Timeout
a UDP port closed
UDP Port Closed
a UDP port timed out
UDP Port Timeout
a VLAN tag was updated
VLAN Tag Information Update
an IOC was set
Indication of Compromise
an open TCP port is detected
New TCP Port
an open UDP port is detected
New UDP Port
the OS information for a host has changed
New OS
the OS or server identity for a host has a conflict
Identity Conflict
the OS or server identity for a host has timed out
Identity Timeout
there is any kind of event
任何事件类型
there is new information about a MAC address
MAC Information Change
there is new information about a TCP server
TCP Server Information Update
there is new information about a UDP server
UDP Server Information Update
表
51-4
关联规则触发标准与
发现事件类型 (续)
选择此选项…
要在该事件类型上触发规则......
表
51-5
发现事件的语法
如果指定......
选择一个运算符,然后......
Application Protocol
选择一个或多个应用协议。
Application Protocol
Category
Category
选择一个或多个应用协议类别。
Application Port
键入应用协议端口号。
Client
选择一个或多个客户端。
Client Category
选择一个或多个客户端类别。
Client Version
键入客户端的版本号。
设备
选择一个或多个可能生成发现事件的设备。
硬件
键入移动设备的硬件型号。例如,要与所有 Apple iPhone 匹配,键入
iPhone
。
Host Type
从下拉列表中选择一个或多个主机类型。可以在一个主机或多种网络设备中的一种之间
选择。
选择。