Cisco Cisco Firepower Management Center 2000 User Guide
51-19
FireSIGHT 系统用户指南
第 51 章 配置关联策略和规则
创建关联策略规则
请注意,当构建主机配置文件限定条件时,可经常使用事件数据。例如,当系统检测到受控主机
之一使用 Internet Explorer 时,假设触发关联规则。进一步假设,当检测该用法时,如果浏览器
版本不是最新版本,则可以生成事件 (对于本示例,假设最新版本是 9.0)。
之一使用 Internet Explorer 时,假设触发关联规则。进一步假设,当检测该用法时,如果浏览器
版本不是最新版本,则可以生成事件 (对于本示例,假设最新版本是 9.0)。
可将主机配置文件资格添加至该关联规则,以便只有在
Client
是
Event Client
(例如, Internet
Explorer)的情况下才会触发规则,但是,
Client Version
版本不是
9.0
。
使用超时连接数据限制关联规则
许可证:FireSIGHT
连接跟踪器限制关联规则,以便在满足规则的初始标准后 (包括主机配置文件和用户资格),系
统开始跟踪某些连接。如果跟踪到的连接满足指定的时间内搜集到的其他标准,则防御中心会生
成关联事件。
统开始跟踪某些连接。如果跟踪到的连接满足指定的时间内搜集到的其他标准,则防御中心会生
成关联事件。
如果您正在使用连接事件、入侵事件、发现事件、用户活动或主机输入事件来触发关联规则,则
您可以将连接跟踪器添加至规则。不能将连接跟踪器添加至在恶意软件事件或流量量变曲线更改
上触发的规则。
您可以将连接跟踪器添加至规则。不能将连接跟踪器添加至在恶意软件事件或流量量变曲线更改
上触发的规则。
Application Protocol >
协议
选择一个或多个协议。
Application Protocol
Category
Category
选择一个类别。
Client > Client
选择一个或多个客户端。
Client > Client Version
键入客户端版本。
Client Category
选择一个类别。
Web 应用程序
选择一个网络应用。
Web Application Category
选择一个类别。
MAC Address > MAC
Address
Address
键入主机的全部或部分 MAC 地址。
例如,如果知道特定硬件的设备拥有的 MAC Addresses 以 0A:12:34 开始,则可选择
begins with
作为运算符,然后键入
0A:12:34
作为值。
MAC Address > MAC Type
选择 MAC 类型是否为
ARP/DHCP Detected
。
也就是说,选择系统是否将 MAC 地址明确识别为属于主机 (
is ARP/DHCP Detected
),系统
是否认为许多主机带有该 MAC 地址,例如,因为在受管设备和主机之间有一个路由器
(
(
is not ARP/DHCP Detected
),或者 MAC 类型是否无关 (
is any
)。
MAC Vendor >
MAC Vendor
键入主机的 MAC 硬件供应商的全部或部分名称。
任何可用的主机属性,包括
默认合规性白名单主机属性
默认合规性白名单主机属性
指定适当的值,这取决于选择的主机属性类型:
•
如果主机属性类型为
Integer
,请在针对该属性确定的范围中输入整数值。
•
如果主机属性类型为
Text
,请输入文本值。
•
如果主机属性类型为
List
,请选择有效的列表字符串。
•
如果主机属性类型为
URL
,请输入 URL 值。
有关主机属性的详细信息,请参阅
。
表
51-11
主机配置文件限定条件的语法 (续)
如果指定......
选择一个运算符,然后......