Cisco Cisco Firepower Management Center 2000 User Guide

Page of 1826
 
51-15
FireSIGHT 系统用户指南 
 
 51       配置关联策略和规则 
  创建关联策略规则  
流量量变曲线更改的语法
许可证:任何环境
如果将关联规则以流量量变曲线更改为基础,则当网络流量偏离在现有流量量变曲线中展示特征
的正常网络通讯模式时,规则会触发。有关如何构建流量量变曲线的详细信息,请参阅
可以基于原始数据或从计算数据得出的统计结果触发该规则。例如,您可以编写如果通过网络的
数据量 (单位:字节)突然达到高峰时触发的规则,该高峰可能是由于攻击或其他安全策略违规
造成的。如果出现下列两种情况中的一种,可以指定规则触发:
  •
通过网络的字节数激增,超过流量平均值上下的一定数量的标准偏差
请注意,要创建在通过网络的字节数超出一定数量的标准偏差 (高于或低于)时触发的规
则,必须指定上下限,如下图所示。
要创建在通过网络的字节数超过一定数量的高于平均值的标准偏差时触发的规则,请仅使用
图中所示的第一个条件。
要创建在通过网络的字节数超过一定数量的低于平均值的标准偏差时触发的规则,请仅使用
第二个条件。
  •
通过网络的字节数量激增,超过一定数量的字节 
SSL Flow Status
基于系统尝试解密流量的结果选择一种或多种状态。
SSL Policy
选择记录加密连接的一个或多个 SSL 策略。
SSL Rule Name
键入记录加密连接的 SSL 规则的全部或部分名称。
SSL Server Name
键入客户端用来建立加密连接的服务器的全部或部分名称。
SSL URL Category
选择在加密连接中受访的 URL 的一个或多个 URL 类别。
SSL Version
选择用来加密会话的一个或多个 SSL 或 TLS 版本。
TCP Flags
选择为了触发关联规则,连接事件必须包含的 TCP 标志。
仅由已启用 NetFlow 的设备导出的连接数据才含有 TCP 标志。
Transport Protocol
键入连接使用的传输协议:
TCP
 或 
UDP
URL
键入在连接中受访的全部或部分 URL。
URL 类别
选择在连接中受访的 URL 的一个或多个 URL 类别。
URL Reputation
选择在连接中受访的 URL 的一个或多个 URL 信誉值。
用户名
键入登录连接中的一个主机的用户的用户名。
Web Application
选择与连接相关的一个或多个网络应用。
Web Application Category
选择一种或多种网络应用类别。
表 
51-9
连接事件的语法 (续)
如果指定......
选择一个运算符,然后......