Cisco Cisco Firepower Management Center 2000 User Guide
53-2
FireSIGHT 系统用户指南
第 53 章 创建流量量变曲线
下图显示了 PTW 为一天及采样率为五分钟的流量量变曲线。
在创建并激活流量量变曲线且其学习期结束后,您可以创建在您检测到异常流量时触发的关联规
则。例如,您可写入当通过网络的数据量 (单位为数据包、 KB 或连接数)突然达到平均流量以
上三个标准差的峰值时触发的规则,这可能表示出现攻击或其他安全策略违规。然后,您可以包
括关联策略中的规则以警告您流量达到峰值或执行补救措施作为响应措施。有关使用流量量变曲
线检测网络异常流量的信息,请参阅
则。例如,您可写入当通过网络的数据量 (单位为数据包、 KB 或连接数)突然达到平均流量以
上三个标准差的峰值时触发的规则,这可能表示出现攻击或其他安全策略违规。然后,您可以包
括关联策略中的规则以警告您流量达到峰值或执行补救措施作为响应措施。有关使用流量量变曲
线检测网络异常流量的信息,请参阅
您可以在 Traffic Profiles 页面上创建流量量变曲线。每个量变曲线旁边的滑动图标表示量变曲线是否
处于活动状态。如果您想要在关联规则的基础上实现流量量变曲线更改,则必须激活量变曲线。如
果滑动图标显示为蓝色且带复选标记,则量变曲线处于活动状态。如果是灰色并带有一个 X 标记,
则量变曲线处于不活动状态。有关详细信息,请参阅
处于活动状态。如果您想要在关联规则的基础上实现流量量变曲线更改,则必须激活量变曲线。如
果滑动图标显示为蓝色且带复选标记,则量变曲线处于活动状态。如果是灰色并带有一个 X 标记,
则量变曲线处于不活动状态。有关详细信息,请参阅
进度条可显示流量量变曲线学习期的状态。当进度条达 100% 时,将触发为量变曲线写入的关联
规则。
规则。
提示
您可以使用
Sort by
下拉列表按状态 (活动还是不活动)或按字母顺序对流量量变曲线进行排序。
有关详情,请参阅:
•
•
•
•
•