Cisco Cisco Firepower Management Center 2000 User Guide
51-44
FireSIGHT 系统用户指南
第 51 章 配置关联策略和规则
创建关联策略
将规则和白名单添加至关联策略
许可证:任何环境
关联策略包含一个或多个规则或白名单。如果违反策略中的任何规则或白名单,则系统将事件记
录到数据库中。如果将一个或多个响应分配给规则或白名单,则发起这些响应。
录到数据库中。如果将一个或多个响应分配给规则或白名单,则发起这些响应。
下图显示由合规性白名单和一组配置有各种响应的关联规则所组成的关联策略。
要将规则或白名单添加至关联策略中,请执行以下操作:
访问:管理员/发现管理员
步骤 1
在 Create Policy 页面上,点击
Add Rules
。
系统将显示一个 Available Rules 弹出窗口。
步骤 2
点击适当的文件夹名称将其展开。
步骤 3
选择策略中要使用的规则和白名单,然后点击
Add
。
系统再次显示 Create Policy 页面。所选规则和白名单填充该策略。
步骤 4
继续执行下一节
设置规则和白名单优先级
许可证:任何环境
您可以将用户定义的优先级分配给关联策略中的每个关联规则或合规性白名单。如果触发规则或
白名单,则产生的事件显示分配给规则或白名单的优先级。另一方面,如果没有分配优先级值且
触发规则或白名单,产生的事件显示策略的优先级值。
白名单,则产生的事件显示分配给规则或白名单的优先级。另一方面,如果没有分配优先级值且
触发规则或白名单,产生的事件显示策略的优先级值。
例如,可以考虑这样一个策略:策略本身的优先级为 1,其规则或白名单设置有默认的优先级,
但异常情况是一个规则的优先级设为 3。如果触发优先级为 3 的规则,则产生的关联事件显示 3
作为其优先级值。如果触发策略中的其他规则或白名单,则产生的事件显示 1 作为其从策略优先
级中保留的优先级值。
但异常情况是一个规则的优先级设为 3。如果触发优先级为 3 的规则,则产生的关联事件显示 3
作为其优先级值。如果触发策略中的其他规则或白名单,则产生的事件显示 1 作为其从策略优先
级中保留的优先级值。