Cisco Cisco Firepower Management Center 2000 User Guide

Page of 1826
 
53-11
FireSIGHT 系统用户指南 
 
 53       创建流量量变曲线 
  了解条件构建机制  
以下步骤说明了如何构建该主机配置文件限定条件。
要构建该主机配置文件限定条件,请执行以下操作:
访问:管理员/发现管理员 
步骤 1
选择 
Policies > Correlation
,然后点击 
Traffic Profiles
系统将显示 Traffic Profiles 页面。
步骤 2
点击 
New Profile
系统将显示 Create Profile 页面。
步骤 3
点击 
Add Host Profile Qualification
步骤 4
在第一个条件的 
Host Profile Qualification
 下,指定您想要收集其信息的主机。
在本示例中,选择 
Responder Host
,因为我们只想了解有关连接中应答主机的信息。
步骤 5
通过选择 
Operating System
 类别,开始指定主机的操作系统的详细信息。
系统显示三个子类别:
OS Vendor
OS Name
 和 
OS Version
步骤 6
要指定主机可运行任何版本的 Microsoft Windows,请对所有这三个子类别使用相同的运算符:
is
步骤 7
最后,指定子类别的值。
将 
Microsoft
 选定为 
OS Vendor
 的值、
Windows
 选定为 
OS Name
 的值,将 
any
 保留为 
OS Version
 的值。
请注意,您能从中选择的类别取决于您是构建流量量变曲线条件还是主机配置文件限定条件。此
外,条件的可用运算符取决于选择的类别。最后,可用于指定条件值的语法取决于类别和运算
符。有时侯,必须在文本字段中键入值。有时候,可以从下拉列表中选择值。
如果条件语法允许您从下拉列表中选择值,通常可使用多个列表中的值。有关详细信息,请参阅
有关构建流量量变曲线条件和主机配置文件限定条件的语法的详细信息,请参阅:
  •
  •
添加和连接条件
许可证:FireSIGHT
您可以创建简单的流量量变曲线条件和主机配置文件限定条件,也可以通过结合和嵌套条件创建
较复杂的结构。
当构建的结构不止一个条件时,必须将这些条件用 
AND
 与 
OR
 运算符结合起来。相同级别的条件
会被放在一起评估:
 
AND
 操作符要求必须满足其控制的级别上的所有条件。
 
OR
 运算符要求必须满足其控制的级别上的至少一个条件。
例如,以下流量量变曲线包含以 
AND
 连接的两个条件。这意味着流量量变曲线仅会在两种条件均为
真时收集连接数据。在本示例中,它会收集所有 IP 地址在 10.4.x.x 子网中的主机的 HTTP 连接。