Cisco Cisco Firepower Management Center 2000 User Guide
32-22
FireSIGHT 系统用户指南
第 32 章 使用规则调整入侵策略
按策略过滤入侵事件通知
有关查看和删除阈值配置的详细信息,请参阅
。
您还可以修改默认应用到所有规则和预处理器生成的事件的全局阈值。有关详细信息,请参阅
请注意,当键入的值无效时,字段中会显示恢复图标 (
);点击该图标可恢复为该字段的上一个
有效值,如果没有上一个值,则会清空该字段的值。
提示
在有多个 CPU 的受管设备上,全局阈值或单独的阈值可能会导致事件数量高于预期。
要添加或修改事件阈值,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
选择
Policies > Intrusion > Intrusion Policy
。
系统将显示 Intrusion Policy 页面。
步骤 2
点击要编辑的策略旁边的编辑图标 (
)。
如果在另一策略中的更改尚未保存,请点击
OK
放弃这些更改并继续操作。有关保存其他策略中
尚未保存的更改的详细信息,请参阅
。
系统将显示 Policy Information 页面。
步骤 3
点击
Rules
。
系统将显示 Rules 页面。默认情况下,页面按消息的字母顺序列出规则。
步骤 4
查找要在其中设置阈值的一条或多条规则。您有以下选项:
•
要对当前显示排序,请点击列标题或图标。要反向排序,请再次点击。
•
。
页面将刷新,显示所有匹配的规则。
步骤 5
选择要在其中设置阈值的一条或多条规则。您有以下选项:
•
要选择具体规则,请选择该规则旁边的复选框。
•
要选择当前列表中的所有规则,请选择列顶部的复选框。
步骤 6
选择
Event Filtering > Threshold
。
系统将显示阈值弹出窗口。
步骤 7
从
Type
下拉列表,选择要查看的阈值的类型。
•
选择
Limit
则在每个时间段内只为指定数量的事件实例提供通知。
•
选择
Threshold
则在每个时间段内每次事件实例数达到指定数量时提供通知。
•
选择
Both
则在每个时间段内事件实例数达到指定数量后提供一次通知。
步骤 8
从
Track By
下拉列表中选择要按
Source
或
Destination
IP 地址跟踪事件实例。
步骤 9
在
Count
字段中,指定要用作阈值的事件实例数。
步骤 10
在
Seconds
字段中指定时间段的秒数,系统将跟踪该时间段内的事件实例。
步骤 11
点击
OK
。
系统将添加阈值并在 Event Filtering 列中该规则旁显示事件过滤器图标 (
)。如果将多个事件过
滤器添加到规则,图标上的数字表示事件过滤器的数量。