Cisco Cisco Firepower Management Center 2000 User Guide

32-24

FireSIGHT 系统用户指南

第 32 章      使用规则调整入侵策略       

  按策略过滤入侵事件通知

按入侵策略配置抑制

许可证：保护

您可以在特定 IP 地址或 IP 地址范围触发特定规则或预处理器时抑制入侵事件通知。这对杜绝误
报十分有用。例如，如果邮件服务器传输的数据包看起来像某种特定的漏洞，可以在邮件服务器
触发该事件时抑制对其发出的事件通知。所有数据包都会触发该规则，但您只会看到真正的攻击
事件。

请注意，入侵事件抑制可单独使用，也可与基于速率的攻击防御、

detection_filter

 关键字和入

侵事件阈值的任意组合配合使用。有关详细信息，请参阅

。

有关详细信息，请参阅以下各节：

提示

也可以在入侵事件的数据包视图中添加抑制。有关详情，请参见

。

在 Rule Editor 页面和任何入侵事件页面 （如果该事件由入侵规则触发）上，也可以使用右键单击
上下文菜单访问抑制设置。

抑制入侵事件

许可证：保护

您可以抑制一条或多条规则的入侵事件通知。当某条规则的通知被抑制时，规则会触发，但不会
生成事件。您可以为规则设置一个或多个抑制。列出的第一个抑制的优先级最高。请注意，当两
个抑制相冲突时，将执行第一个抑制的操作。

请注意，当键入的值无效时，字段中会显示恢复图标  (

)；点击该图标可恢复为该字段的上一个

有效值，如果没有上一个值，则会清空该字段的值。

要抑制事件显示，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

选择 

。

系统将显示 Intrusion Policy 页面。

步骤 2

点击要编辑的策略旁边的编辑图标  (

)。

如果在另一策略中的更改尚未保存，请点击 

 放弃这些更改并继续操作。有关保存其他策略中

尚未保存的更改的详细信息，请参阅

。

系统将显示 Policy Information 页面。

步骤 3

点击 

。

系统将显示 Rules 页面。默认情况下，页面按消息的字母顺序列出规则。

步骤 4

查找要在其中设置抑制的一条或多条规则。您有以下选项：

要对当前显示排序，请点击列标题或图标。要反向排序，请再次点击。

页面将刷新，显示所有匹配的规则。