Cisco Cisco Firepower Management Center 2000 User Guide

51-29

FireSIGHT 系统用户指南 

第 51 章      配置关联策略和规则 

  创建关联策略规则  

在 15 秒标记处时，从 Host 1 传输至 Host C 的 2 MB 的数据量 （总共 6 MB）

在 20 秒标记处时，从 Host 2 传输至 Host B 的 1 MB 的数据量 （总共 7 MB）

尽管 Host 1 和 Host 2 目前已经传输 7 MB 的 BitTorrent 综合数据，但因为传输字节总数必须超过 
7 MB，所以规则不会触发 (

)。

此时，如果系统在跟踪器超时期间余下的 280 秒内没有检测到其他 BitTorrent 数据传输，则跟踪
器过期、防御中心不会生成关联事件。

步骤 5

但是，在 30 秒钟时，系统检测到其他 BitTorrent 传输：

在 30 秒标记处时， 2 MB 数据从 Host 1 传输至 Host D （总共 9 MB）

满足规则条件。

步骤 6

防御中心生成关联事件。

此外，尽管 5 分钟的周期尚未过期，但是在该连接跟踪器示例中，防御中心也停止跟踪连接。如
果此时系统检测到使用 BitTorrent TCP 应用协议的新连接，则系统会创建新的连接跟踪器。

请注意，在 Host 1 向 Host D 传输总计 2 MB 的数据后，防御中心生成关联事件，因为其在会话终
止后才会计算连接数据。

添加用户资格

许可证：FireSIGHT

如果您使用连接事件、入侵事件、发现事件或主机输入事件触发关联规则，则您可以基于涉及事
件的用户的标识限制该规则。此限制称为

用户资格。您无法将用户资格添加至在流量量变曲线变

更或用户活动检测上触发的关联规则。

例如，您可以限制关联规则，以便仅当源用户或目标用户源自销售部门时才会触发关联规则。

要添加用户标识资格，请执行以下操作：

访问：管理员/发现管理员

步骤 1

在 Create Rule 页面上，点击 

。

系统将显示 User Identity Qualification 部分。

提示

要移除用户资格，请点击 

。

步骤 2

构建用户资格条件。

可以创建一个简单的条件，或者通过结合和嵌套条件来创建较复杂的结构。有关如何使用网络界
面构建条件的信息，请参阅

中介绍可以用来构建条件的语法。

步骤 3

或者，继续执行

中的步骤。

如果已构建完关联规则，继续执行

中操作步骤的第 

 步以保存规则。