Cisco Cisco Firepower Management Center 2000 User Guide
51-17
FireSIGHT 系统用户指南
第 51 章 配置关联策略和规则
创建关联策略规则
添加主机配置文件限定条件
许可证:FireSIGHT
如果使用连接事件、入侵事件、发现事件、用户活动或主机输入事件触发关联规则,则可以基于
涉及事件的主机的主机配置文件限制该规则。此类限制被称为
涉及事件的主机的主机配置文件限制该规则。此类限制被称为
主机配置文件限定条件。
注
您无法将主机配置文件限定条件添加至在恶意软件事件、流量量变曲线更改或新的 IP 主机的检测
上触发的关联规则。
上触发的关联规则。
例如,您可以限制关联规则,以便仅当 Microsoft Windows 主机为冲突流量的目标时触发该规则,
因为只有 Microsoft Windows 计算机易受写入该规则的漏洞的影响。再比如,您还可限制关联规
则,以便仅当主机违反白名单时触发该规则。
因为只有 Microsoft Windows 计算机易受写入该规则的漏洞的影响。再比如,您还可限制关联规
则,以便仅当主机违反白名单时触发该规则。
要匹配
隐含或一般客户端,请根据响应客户端的服务器所用的应用协议创建主机配置文件限定条
件。当作为连接发起方或源的主机上的客户端列表包含
客户端
遵循的应用协议名称时,该客户端
可能实际上就是一种隐含客户端。换句话说,系统会根据使用该客户端的应用协议的服务器响应
流量,而非检测到的客户端流量来报告该客户端。
流量,而非检测到的客户端流量来报告该客户端。
例如,如果系统将
HTTPS client
作为主机上的一个客户端进行报告,请为
Responder Host
或
Destination Host
创建主机配置文件限定条件,其中
Application Protocol
被设置为
HTTPS
,因为
HTTPS
client
会根据响应方或目标主机发送的 HTTPS 服务器响应流量被报告为一种一般客户端。
请注意,要使用主机配置文件限定条件,主机必须存在于网络映射上,且要用作限定条件文件的主机
配置文件属性必须已经包含在主机配置文件中。例如,如果配置关联规则以触发何时为运行 Windows
的主机生成入侵事件,则该规则仅会在生成入侵事件时主机已经被识别为 Windows 时触发。
配置文件属性必须已经包含在主机配置文件中。例如,如果配置关联规则以触发何时为运行 Windows
的主机生成入侵事件,则该规则仅会在生成入侵事件时主机已经被识别为 Windows 时触发。
要添加主机配置文件限定条件,请执行以下操作:
访问:管理员/发现管理员
步骤 1
选择
Policies > Correlation
,然后选择
Rule Management
选项卡。
系统将显示 Rule Management 页面。
步骤 2
点击
Create Rule
。
系统将显示 Create Rule 页面。
步骤 3
在 Create Rule 页面上,点击
Add Host Profile Qualification
。
系统将显示 Host Profile Qualification 部分。
提示
要移除主机配置文件限定条件,请点击
Remove Host Profile Qualification
。
步骤 4
构建主机配置文件限定条件的条件。
可以创建一个简单的条件,或者通过结合和嵌套条件来创建较复杂的结构。有关如何使用网络界
面构建条件的信息,请参阅
面构建条件的信息,请参阅
步骤 5
或者,继续执行以下各节中的操作步骤:
•
•
•
如果已构建完关联规则,继续执行
步以保存规则。