Cisco Cisco Firepower Management Center 2000 User Guide

Page of 1826
 
53-4
FireSIGHT 系统用户指南
  
 53       创建流量量变曲线       
  指定流量量变曲线条件
流量量变曲线条件的语法
许可证:FireSIGHT
下表介绍了如何构建流量量变曲线条件。
请记住, NetFlow 记录不包含有关连接的主机是发起方、而其自身为响应方的信息。当系统处理 
NetFlow 记录时,它会根据各主机正在使用的端口以及此类端口是否为公认端口来使用一种算法
确定该信息。有关详细信息,请参阅
流量量变曲线的可用信息取决于多种因素,包括检测方法、日志记录方法和事件类型。有关详细
信息,请参阅
表 
53-1
量变曲线条件的语法 
如果指定......
选择一个运算符,然后......
应用协议
从可用协议下拉列表中选择一个应用协议名称。
Application Protocol 
Category
从可用类别下拉列表中选择一个应用协议类别名称。
Client
从可用客户端下拉列表中选择一个客户端名称。
Client Category
从可用类别下拉列表中选择一个客户端类别名称。
连接类型
在流量量变曲线中指定您是想要使用思科设备还是启用了 NetFlow 的设备收集的连接数
据。如果您不指定连接类型,则流量量变曲线会同时包括两者。
Destination Country 或 
Source Country
从可用国家/地区下拉列表中选择一个国家/地区。这表示与网络流量中识别的源或目标 IP 
地址相关联的国家/地区。
Initiator IP、 
Responder IP 或 
Initiator/Responder IP
使用特定 IP 地址或 CIDR 表示法指定 IP 地址范围。
有关 IP 地址允许的语法的说明,请参阅
。但请注意,
不能使用 
local
 或 
remote
 关键字来指定在或不在您正在监控的网络中的 IP 地址。
NetFlow Device
选择您想要创建流量量变曲线时用其数据的启用了 NetFlow 的设备。如果您没有将任何启
用了 NetFlow 的设备添加到部署中 (使用本地配置), NetFlow Device 下拉列表将为空。
Responder Port/ICMP 
Code
键入端口号或 ICMP 代码。
Security Intelligence 
Category
从可用类别下拉列表中选择一个 Security Intelligence 类别名称。要将 Security Intelligence 
类别用于流量量变曲线条件,该类别必须在访问控制策略的 Security Intelligence 部分被设
置为 
Monitor
 而不是 
Block
。有关详细信息,请参阅
SSL Encrypted Session
选择 
Successfully Decrypted
Transport Protocol
键入 
TCP
 或 
UDP
 作为传输协议。
Web Application
从可用的网络应用下拉列表中选择一个网络应用名称。
Web Application Category 从可用类别下拉列表中选择一个网络应用类别名称。