Cisco Cisco Firepower Management Center 2000 User Guide
41-24
FireSIGHT 系统用户指南
第 41 章 处理入侵事件
使用数据包视图
Set this rule to generate events
如果事件由标准文本规则生成,可以在能够在本地编辑的所有策略中设置此规则以生成事
件。或者,如果您能够在本地编辑当前策略,可以仅在当前策略 (即,生成事件的策略)中
设置此规则。
件。或者,如果您能够在本地编辑当前策略,可以仅在当前策略 (即,生成事件的策略)中
设置此规则。
有关详细信息,请参阅
请注意,仅在能够编辑当前策略的情况下,当前策略选项才会显示;例如,可以编辑自定义
策略,但是,不能编辑思科提供的默认策略。
策略,但是,不能编辑思科提供的默认策略。
注
不能从数据包视图设置共享对象规则以生成事件,也不能禁用默认策略中的规则。
Set this rule to drop
如果受管设备在网络中以内联方式部署,可以在能够在本地编辑的所有策略中将触发事件的
规则设置为丢弃触发该规则的数据包。或者,如果您能够在本地编辑当前策略,可以仅在当
前策略 (即,生成事件的策略)中设置此规则。
规则设置为丢弃触发该规则的数据包。或者,如果您能够在本地编辑当前策略,可以仅在当
前策略 (即,生成事件的策略)中设置此规则。
请注意,仅在能够编辑当前策略的情况下,当前策略选项才会显示;例如,可以编辑自定义策
略,但是,不能编辑思科提供的默认策略。请注意,仅在当前策略中启用了
略,但是,不能编辑思科提供的默认策略。请注意,仅在当前策略中启用了
Drop when Inline
的
情况下,才会显示此选项。有关详细信息,请参阅
Set Thresholding Options
可以使用此选项在能够在本地编辑的所有策略中为触发此事件的规则创建阈值。或者,如果
能够在本地编辑当前策略,可以仅为当前策略 (即,生成事件的策略)创建阈值。
能够在本地编辑当前策略,可以仅为当前策略 (即,生成事件的策略)创建阈值。
请注意,仅在能够编辑当前策略的情况下,当前策略选项才会显示;例如,可以编辑自定义
策略,但是,不能编辑思科提供的默认入侵策略。
策略,但是,不能编辑思科提供的默认入侵策略。
Set Suppression Options
可以使用此对象在能够在本地编辑的所有策略中抑制触发此事件的规则。或者,如果能够在
本地编辑当前策略,可以仅在当前策略 (即,生成事件的策略)中抑制此规则。
本地编辑当前策略,可以仅在当前策略 (即,生成事件的策略)中抑制此规则。
请注意,仅在能够编辑当前策略的情况下,当前策略选项才会显示;例如,可以编辑自定义
策略,但是,不能编辑思科提供的默认策略。
策略,但是,不能编辑思科提供的默认策略。
在数据包视图内设置阈值选项
许可证:保护
通过在入侵事件的数据包视图中设置阈值选项,可以控制每个规则随时间推移生成的事件数。可
以在能够在本地编辑的所有策略中设置阈值选项;或者,如果能够在本地编辑策略,可以仅在当
前策略 (即,导致事件生成的策略)中设置阈值选项。
以在能够在本地编辑的所有策略中设置阈值选项;或者,如果能够在本地编辑策略,可以仅在当
前策略 (即,导致事件生成的策略)中设置阈值选项。
要在数据包视图中设置阈值选项,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
在入侵规则生成的入侵事件的数据包视图中,展开 Event Information 部分的
Actions
;展开
Set
Thresholding Options
并选择以下两个选项之一:
•
in the current policy
•
in all locally created policies