Cisco Cisco Firepower Management Center 2000 User Guide
第
章
44-1
FireSIGHT 系统用户指南
44
配置入侵规则的外部警报
虽然 FireSIGHT 系统在网络界面内提供各种入侵事件视图,但一些企业更喜欢通过定义外部入侵
事件通知对关键系统实施持续监控。如果想要立即通知关键事件的特定联系人,可以设置邮件警
报进行操作。也可以记录日志到系统日志设施或将事件数据发送到 SNMP 陷阱服务器。
事件通知对关键系统实施持续监控。如果想要立即通知关键事件的特定联系人,可以设置邮件警
报进行操作。也可以记录日志到系统日志设施或将事件数据发送到 SNMP 陷阱服务器。
您可以为每个入侵策略指定入侵事件通知限制、设置发送到外部日志记录设施的入侵事件通知,
也可以配置入侵事件的外部响应。
也可以配置入侵事件的外部响应。
提示
一些分析师并不希望收到同一入侵事件的多个警报,但却希望控制收到特定入侵事件通知的频
率。有关详情,请参见
率。有关详情,请参见
。
除了入侵策略, FireSIGHT 系统还可以执行另外一种警报。对于其他类型事件,可以配置邮件、
SNMP 和系统日志警报响应活动。这些事件包括带有特定影响标记的入侵事件或采用特定访问控
制规则记录的连接事件。有关详细信息,请参阅
SNMP 和系统日志警报响应活动。这些事件包括带有特定影响标记的入侵事件或采用特定访问控
制规则记录的连接事件。有关详细信息,请参阅
。
有关外部入侵事件通知的详细信息,请参阅以下章节。
•
介绍用于将事件数据发送到指定 SNMP 陷阱服务器的配置选
项,并提供指定 SNMP 警报选项的程序。
•
介绍用于将事件数据发送到外部系统日志的配置选项,并提
供指定系统日志警报选项的程序。
•
介绍通过邮件发送入侵事件通知的配置选项。
使用 SNMP 响应
许可证:保护
SNMP 陷阱是一种网络管理通知。将设备配置为以 SNMP 陷阱 (又称为 SNMP 警报)的形式发送
入侵事件通知。每个 SNMP 警报都包括以下内容:
入侵事件通知。每个 SNMP 警报都包括以下内容:
•
生成陷阱的服务器的名称
•
检测到入侵事件的设备的 IP 地址
•
检测到入侵事件的设备的名称
•
事件数据
可以设置 SNMP 警报的多种参数。可设定的参数因所用的 SNMP 版本而有所不同。有关启用和禁
用 SNMP 警报的详细信息,请参阅
用 SNMP 警报的详细信息,请参阅