Cisco Cisco Firepower Management Center 2000 User Guide

Page of 1826
 
36-81
FireSIGHT 系统用户指南 
 
 36       了解和编写入侵规则 
  了解规则中的关键字和参数  
可使用以下语法延迟事件触发:
track by_src/by_dst, count count, seconds number_of_seconds
track
 参数指定在计算符合规则检测条件的数据包数量时,是否使用数据包的源或目标 IP 地址。
可选择下表中所述的参数值来指定系统如何跟踪事件实例。
count
 参数指定要使某个规则生成事件,在指定时间内必须有多少数据包为指定 IP 地址触发该规则。
seconds
 参数指定要使某个规则生成事件,必须在多少秒内有指定数量的数据包触发该规则。
假设某个规则在数据包中搜索内容 
foo
,并将以下参数与 
detection_filter
 关键字配合使用:
track by_src, count 10, seconds 20
在此示例中,规则在 20 秒内从来自给定 IP 地址的 10 个数据包中检测到 
foo
 后才会生成事件。如
果系统在头 20 秒内仅检测到有 7 个数据包包含 
foo
,将不会生成事件。但是,如果在头 20 秒内 
foo
 出现 40 次,规则将会生成 30 个事件,并在 20 秒后再次进行计数。
比较 threshold  detection_filter 关键字
detection_filter
 关键字取代已被弃用的 
threshold
 关键字。但是,为了获得向后兼容性,仍支
持使用 
threshold
 关键字,其作用与您在入侵策略中设置的阈值相同。
detection_filter
 关键字是一种检测功能,适合在数据包触发规则前使用。在达到指定的数据包
数量之前,规则不会针对触发检测到的数据包生成事件;在内联部署中,如果规则设置为丢弃数
据包,在达到指定的数据包数量之前,规则不会丢弃数据包。相反,规则会针对会触发规则且在
达到指定数据包数量后出现的数据包生成事件;在内联部署中,如果规则设置为丢弃数据包,规
则将会丢弃数据包。
阈值是一种事件通知功能,不会造成检测操作。此功能适合在数据包触发事件后使用。在内联部
署中,被设置为丢弃数据包的规则将会丢弃触发其本身的所有数据包,无论规则阈值如何。
请注意,可以在入侵策略中使用使用 
detection_filter
 关键字与入侵事件阈值、入侵事件抑制和
基于速率的攻击防御等功能的任意组合。另请注意,如果启用某个导入的本地规则,而该规则将
弃用的 
threshold
 关键字与某个入侵策略中的入侵事件阈值功能结合起来使用,策略验证将会失
败。有关详细信息,请参阅
评估攻击后流量
许可证:保护
使用 
tag
 关键字可指示系统记录主机或会话的其他流量。使用 
tag
 关键字指定要捕获的流量的类
型和数量时,可使用以下语法:
tagging_type, countmetricoptional_direction
以下三个表介绍了其他可用参数。
有两种标记类型可供选择。下表介绍了这两种标记类型。请注意,如果您在入侵规则中仅配置规
则报头选项,会话标记参数类型会使系统像记录来自不同会话的数据包一样来记录来自同一个会
话的数据包。要对自同一个会话的数据包进行分组,请在同一入侵规则中配置一个或多个规则选
项 (例如,
flag
 关键字或 
content
 关键字)。
表 
36-53
detection_filter 
跟踪参数 
参数
说明
by_src
按源 IP 地址计算检测条件。
by_dst
按目标 IP 地址计算检测条件。