Cisco Cisco Firepower Management Center 2000 User Guide
第
章
53-1
FireSIGHT 系统用户指南
53
创建流量量变曲线
流量量变曲线仅指根据您指定的一段时间跨度内所收集的连接数据确定的网络流量的量变曲线。
您可以使用设备所收集的连接数据、任何或所有启用了 NetFlow 的设备导出的连接数据,或同时
包含这两项数据。
您可以使用设备所收集的连接数据、任何或所有启用了 NetFlow 的设备导出的连接数据,或同时
包含这两项数据。
创建流量量变曲线后,可通过对照配置文件评估新流量的方式检测异常网络流量,新流量应代表
正常网络流量。
正常网络流量。
请记住, FireSIGHT 系统根据流量量变曲线更改使用连接数据来创建流量量变曲线并触发关联性
规则。您不能包含未记录到流量量变曲线中防御中心数据库的连接。系统仅使用连接结束数据来
填入连接摘要 (请参阅
规则。您不能包含未记录到流量量变曲线中防御中心数据库的连接。系统仅使用连接结束数据来
填入连接摘要 (请参阅
),然后系统会使用它来创建连接图和流量量
变曲线。因此,如果您要创建和使用流量量变曲线,请确保在连接结束时记录连接事件。
用于收集数据以构建流量量变曲线的时间跨度被称为量变曲线时间段 (PTW)。PTW 是一个滑动窗
口;也就是说,如果 PTW 是一周 (默认值),流量量变曲线将包括上一周内收集的连接数据。
您可以将 PTW 更改为短至 1 小时或长至几周。
口;也就是说,如果 PTW 是一周 (默认值),流量量变曲线将包括上一周内收集的连接数据。
您可以将 PTW 更改为短至 1 小时或长至几周。
当您首次激活流量量变曲线时,它会根据您设置的条件收集并评估在一段等同于 PTW 的学习期
内的连接数据。直至学习期结束,防御中心不会评估您已经针对流量量变曲线写入的规则。
内的连接数据。直至学习期结束,防御中心不会评估您已经针对流量量变曲线写入的规则。
您可以使用监控网段的所有流量来创建量变曲线,或者使用基于连接事件中的数据的标准来创建
更有针对性的量变曲线。例如,您可以设置量变曲线条件,使得流量量变曲线仅收集所检测的会
话使用特定端口、协议或应用的数据。或者,您也可以将主机量变曲线限定条件添加到流量量变
曲线中,以仅为显示出
更有针对性的量变曲线。例如,您可以设置量变曲线条件,使得流量量变曲线仅收集所检测的会
话使用特定端口、协议或应用的数据。或者,您也可以将主机量变曲线限定条件添加到流量量变
曲线中,以仅为显示出
高
主机重要性的主机收集数据。
最后,当您创建流量量变曲线时,可以指定不活跃周期,其中连接数据应不影响量变曲线统计数
据并且不会触发为量变曲线写入的规则。您也可以更改流量量变曲线聚合的频率,并根据所收集
的连接数据计算统计数据。
据并且不会触发为量变曲线写入的规则。您也可以更改流量量变曲线聚合的频率,并根据所收集
的连接数据计算统计数据。