Cisco Cisco Firepower Management Center 2000 User Guide

Page of 1826
 
51-20
FireSIGHT 系统用户指南
  
 51       配置关联策略和规则       
  创建关联策略规则
提示
通常,连接跟踪器监控非常具体的流量,而且当被触发时,仅运行指定的一段时间。将连接跟踪
器与流量量变曲线进行对比,发现后者一般监控的网络流量范围比较广并且持续运行;请参阅
取决于您如何构建连接跟踪器,该跟踪器生成事件的方式有两种:
满足条件时,立即触发的连接跟踪器
可以配置连接跟踪器,以便在网络流量满足跟踪器的条件时,立即触发关联规则。如果出现这种
情况,即使还没有超过超时周期,系统也为该连接跟踪器实例停止跟踪连接。如果此前触发关联
规则的相同类型的策略违规再次发生,则系统可创建新的连接跟踪器。
另一方面,如果在网络流量满足连接跟踪器的条件前时间过期,则防御中心不会生成关联事件,
而且还会停止跟踪该规则实例的连接。
例如,只有在特定类型的连接发生的次数超过一定时间周期内的具体次数时,连接跟踪器才可以
通过生成关联事件作为一种事件阈值。或者,只有在初始连接之后,系统检测到其他数据传输
时,才可以生成关联事件。
在超时期末触发的连接跟踪器
可以配置连接跟踪器,以便连接跟踪器可依靠在整个超时周期内搜集到的数据,因此在超时期末
前,您不能触发连接跟踪器。
例如,如果将连接跟踪器配置为在检测到的字节数少于在一定时间周期内传输的一定数量的字节数
时即触发,则系统在那段时间周期终止前处于等待状态,然后在网络流量满足该条件时生成事件。
有关详细信息,请参阅以下各节:
  •
  •
  •
  •
  •
添加连接跟踪器
许可证:FireSIGHT
连接跟踪器限制关联规则,以便在满足初始标准 (包括主机配置文件和用户资格)后,系统开始
跟踪某些连接。如果跟踪到的连接满足指定的时间内搜集到的其他标准,则防御中心会生成关联
事件。
在配置连接跟踪器时,必须指定:
  •
要跟踪哪些连接
  •
您正在跟踪的连接必须满足以使防御中心生成关联事件的条件
  •
连接跟踪器的最长持续时间,即,必须满足指定的条件以生成关联事件的时间
提示
可以将连接跟踪器添加至仅要求任何连接事件、入侵事件、发现事件、用户标识或主机输入事件
发生的简单的关联规则。
downloadlike
ArtboardArtboardArtboard
Report Bug