Cisco Cisco Firepower Management Center 2000 User Guide

51-34

FireSIGHT 系统用户指南

第 51 章配置关联策略和规则

创建关联策略规则

要在以上示例中构建主机配置文件限定条件，请执行以下操作：

访问：管理员/发现管理员

步骤 1

构建在发现事件上触发的关联规则。

有关详细信息，请参阅

第 51-2 页上的创建关联策略规则

。

步骤 2

在 Create Rule 页面上，点击

Add Host Profile Qualification

。

系统将显示 Host Profile Qualification 部分。

步骤 3

在

Host Profile Qualification

下，在第一个条件中，指定要用其主机配置文件限制关联规则的主机。

因为该主机配置文件限定条件是基于发现事件的关联规则的一部分，所以唯一可用的类别是

Host

。

步骤 4

通过选择

Operating System

类别，开始指定主机的操作系统的详细信息。

系统显示三个子类别：

OS Vendor

、

OS Name

和

OS Version

。

步骤 5

要指定主机可运行任何版本的 Microsoft Windows，请对所有这三个子类别使用相同的运算符：

。

步骤 6

最后，指定子类别的值。

将

Microsoft

选定为

OS Vendor

的值、

Windows

选定为

OS Name

的值，将

any

保留为

OS Version

的值。

请注意，可选择的类别取决于您是在构建关联规则触发器、主机配置文件限定条件、连接跟踪器
还是用户资格。在关联规则触发器中，类别的划分进一步取决于关联规则的基础事件类型。

此外，条件的可用运算符取决于选择的类别。最后，可用于指定条件值的语法取决于类别和运算
符。有时侯，必须在文本字段中键入值。有时候，可以从下拉列表中选择值。

注

如果条件语法允许您从下拉列表中选择值，通常可使用多个列表中的值。有关详细信息，请参阅

第 51-38 页上的在一个条件中使用多个值

。

有关构建关联规则触发标准的语法的详细信息，请参阅：

•

第 51-6 页上的入侵事件语法

•

第 51-8 页上的恶意软件事件的语法

•

第 51-9 页上的发现事件的语法