Cisco Cisco Firepower Management Center 2000 User Guide

51-11

FireSIGHT 系统用户指南

第 51 章配置关联策略和规则

创建关联策略规则

用户活动事件的语法

许可证：FireSIGHT

如果将关联规则以用户活动为基础，则首先必须要从下拉列表中选择要使用的用户活动的类型，
两者中的任何一个即可：

•

登录主机的用户或

•

检测到的新用户标识

IP Address 或
New IP Address

键入单个 IP 地址或地址块。有关在 FireSIGHT 系统中使用 IP 地址表示法的详细信息，请
参阅

第 1-16 页上的 IP 地址约定

。

Jailbroken

选择

Yes

表示事件中的的主机属于越狱移动设备，选择

表示事件中的主机不是越狱移

动设备。

MAC 地址

键入主机的全部或部分 MAC 地址。

例如，如果知道特定硬件制造商的设备拥有的 MAC Addresses 以 0A:12:34 开始，则可选
择

begins with

作为运算符，然后键入

0A:12:34

作为值。

MAC Type

选择 MAC 地址是否是

ARP/DHCP Detected

。

例如，选择系统是否将 MAC 地址明确识别为属于主机 (

is ARP/DHCP Detected

)，或者因为，

打个比方，受管设备和主机之间有路由器，所以系统是否可以看见具有该 MAC 地址的许
多主机 (

is not ARP/DHCP Detected

)。

MAC Vendor

键入触发发现事件的网络流量使用的 NIC 的 MAC 硬件供应商的全部或部分名称。

移动

选择

Yes

表示事件中的的主机属于移动设备，选择

表示事件中的主机不是移动设备。

NETBIOS Name

键入主机的 NetBIOS 名称。

网络协议

键入

http://www.iana.org/assignments/ethernet-numbers

列出的网络协议号。

OS Name

选择一个或多个操作系统名称。

OS Vendor

选择一个或多个操作系统供应商。

操作系统版本

选择一个或多个操作系统版本。

Protocol 或
Transport Protocol

键入下列网址所列的传输协议的名称或编号：

http://www.iana.org/assignments/protocol-numbers

。

信息来源

选择主机输入数据的来源（用于操作系统和服务器标识更改和超时）。

Source Type

选择主机输入数据的来源的类型（用于操作系统和服务器标识更改和超时）。

VLAN ID

键入涉及事件的主机的 VLAN ID。

Web Application

选择一个网络应用。

表

51-5

发现事件的语法（续）

如果指定......

选择一个运算符，然后......