Cisco Cisco Firepower Management Center 2000 User Guide
51-51
FireSIGHT 系统用户指南
第 51 章 配置关联策略和规则
使用关联事件
有关显示关联事件表的详细信息,请参阅:
•
•
搜索关联事件
许可证:任何环境
您可以搜索特定的关联事件。您可能想要创建为自己的网络环境订制的搜索,然后保存这些搜索
以便以后再用。下表列出了可以使用的搜索条件。
以便以后再用。下表列出了可以使用的搜索条件。
Ingress Interface 或
Egress Interface
Egress Interface
触发策略违规的入侵或连接事件的入口或出口界面。
计数
与每行中所显示的信息匹配的事件数。注意,
Count
字段仅在应用了创建两个或多个相
同行的约束后才显示。
表
51-17
关联事件字段 (续)
字段
说明
表
51-18
关联事件搜索条件
字段
搜索条件规则
策略
键入要搜索的关联策略的名称。
Rule
键入要搜索的关联规则的名称。
说明
键入全部或部分关联事件说明。说明中的信息取决于触发规则的事件。
优先级
指定关联事件的优先级,其根据触发的规则或违反的关联策略的优先级确定。输入
none
,表示没有优先级。有关设置关联规则和策略优先级的详细信息,请参阅
和
Source Country
Destination Country 或
Source/Destination Country
Source/Destination Country
指定与触发策略违规的事件中的源、目标、或者源或目标主机 IP 地址相关的国家/地区。
Source Continent、
Destination Continent 或
Source/Destination Continent
Destination Continent 或
Source/Destination Continent
指定与触发策略违规的事件中的源、目标、或者源或目标主机 IP 地址相关的洲。
Security Intelligence Category 指定与触发策略违规的关联事件相关的安全情报类别。安全情报类别可能是安全情报
对象的名称、全局黑名单、自定义安全情报列表或源,或者情报源中的其中一个类
别。有关详细信息,请参阅
别。有关详细信息,请参阅
。
Source IP、
Destination IP 或
Source/Destination IP
Destination IP 或
Source/Destination IP
指定触发策略违规的事件中的源、目标或者源或目标主机的 IP 地址。可以指定单个 IP
地址或地址块,或者单个 IP 地址和/或地址块的逗号分隔列表。也可使用求反。有关
详情,请参见
地址或地址块,或者单个 IP 地址和/或地址块的逗号分隔列表。也可使用求反。有关
详情,请参见
Source User 或
Destination User
Destination User
指定登录触发策略违规的事件中的源主机或目标主机的用户。
Source Port/ICMP Type 或
Destination Port/ICMP Code
指定与触发策略违规的事件有关的源流量的源端口或 ICMP 类型或者目标流量的目标
端口或 ICMP 代码。
端口或 ICMP 代码。