Cisco Cisco Firepower Management Center 2000 User Guide

Page of 1826
 
51-26
FireSIGHT 系统用户指南
  
 51       配置关联策略和规则       
  创建关联策略规则
下图显示网络流量如何触发上述关联规则。
在本示例中,系统检测到满足关联规则的基本条件的连接,即,系统检测到从 10.1.0.0/16 网络外
的主机向该网络内的主机及进行的连接。这样创建连接跟踪器。
处理连接跟踪器的阶段如下:
步骤 1
当系统检测到从网络外的 Host A 向网络内的 Host 1 进行的连接时,系统开始跟踪连接。
步骤 2
系统检测到符合连接跟踪器特征的两次以上的连接:Host B 至 Host 2 和 Host C 至 Host 1。
步骤 3
当在两分钟的时间限制内 Host A 连接到 Host 3 时,系统检测到第四次符合特征的连接。满足规则
条件。
步骤 4
防御中心生成关联事件,系统停止跟踪连接。
示例:其他 BitTorrent 数据传输
考虑这样一个场景:要生成关联事件,即使系统检测到在初始连接后其他 BitTorrent 数据传输到
受控网络上的任何一台主机。
下图显示当系统检测到受控网络上的 BitTorrent 应用协议时触发的关联规则。该规则具有限制规
则的连接跟踪器,以便仅当受控网络 (在本例中,受控网络为 10.1.0.0/16)上的主机在出现初始
策略违规后的五分钟内通过 BitTorrent 传输的数据共超过 7 MB  (7340032 字节)时触发该规则。
downloadlike
ArtboardArtboardArtboard