Cisco Cisco Firepower Management Center 2000 User Guide
51-36
FireSIGHT 系统用户指南
第 51 章 配置关联策略和规则
创建关联策略规则
如果在非标准端口上检测到 SSH,前两个条件要求应用协议名称为 SSH 并且端口不是 22,则该
规则触发。规则进一步要求,涉及事件的主机的 IP 地址不属于 10.4.x.x 网络,便属于 192.168.x.x
网络。
规则触发。规则进一步要求,涉及事件的主机的 IP 地址不属于 10.4.x.x 网络,便属于 192.168.x.x
网络。
从逻辑上讲,该规则被评估如下:
(A and B and (C or D))
要添加一个条件,请执行以下操作:
访问:管理员/发现管理员
步骤 1
要添加一个条件,请点击当前条件上方的
Add condition
。
在与当前条件集相同的级别上,在当前条件集下,添加新的条件。默认情况下,使用
OR
运算符
将其与同一级别上的条件连接,尽管还可以将运算符改为
AND
。
例如,如果将简单条件添加至以下规则:
表
51-15
规则评估
其中...... 为陈述以下情况的条件......
A
Application Protocol 是 SSH
B
Application Port 不是 22
C
IP Address 为 10.4.0.0/8
D
IP Address 为 196.168.0.0/16