Cisco Cisco Firepower Management Center 4000 Guía Del Usuario
41-25
FireSIGHT 系统用户指南
第 41 章 处理入侵事件
使用数据包视图
请注意,仅在能够编辑当前策略的情况下,当前策略选项才会显示;例如,可以编辑自定义策
略,但是,不能编辑思科提供的默认策略。
略,但是,不能编辑思科提供的默认策略。
系统显示阈值选项。
步骤 2
选择要设置的阈值的类型。
•
选择
limit
以将通知限制为每个时间段内仅为指定数目的事件实例提供通知。
•
选择
threshold
为每个时间段内每发生指定数目的事件实例提供通知。
•
选择
both
在每个时间段内发生指定数目的事件实例后提供一次通知。
步骤 3
选择适当的单选按钮,以指明是要按
源
还是
目标
IP 地址跟踪事件实例。
步骤 4
在
Count
字段中,键入要用作阈值的事件实例数。
步骤 5
在
Seconds
字段中,键入一个 1 和 86400 之间的数字来指定跟踪事件实例的时间段。
步骤 6
如果要覆盖现有入侵策略中的规则的所有当前阈值,请选择
Override any existing settings for this rule
。
步骤 7
点击
Save Thresholding
。
系统添加阈值并显示成功消息。如果选择不覆盖现有设置,屏幕上将会显示一条消息,通知您出
现冲突。
现冲突。
在数据包视图中设置抑制选项
许可证:保护
可以使用抑制选项抑制全部入侵事件或者基于源或目标 IP 地址抑制入侵事件。可在在能够在本地
编辑的所有策略中设置抑制选项。或者,如果能够在本地编辑当前策略,可以仅在当前策略
编辑的所有策略中设置抑制选项。或者,如果能够在本地编辑当前策略,可以仅在当前策略
(即,生成事件的策略)中设置抑制选项。
要在数据包视图中抑制入侵事件,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
在入侵规则生成的入侵事件的数据包视图中,展开 Event Information 部分的
Actions
;展开
Set
Suppression Options
并点击以下两个选项之一:
•
in the current policy
•
in all locally created policies
请注意,仅在能够编辑当前策略的情况下,当前策略选项才会显示;例如,可以编辑自定义策
略,但是,不能编辑思科提供的默认策略。
略,但是,不能编辑思科提供的默认策略。
系统显示抑制选项。
步骤 2
选择以下其中一个
Track By
选项:
•
要完全抑制触发此事件的规则的事件,请选择
Rule
。
•
要抑制由源自指定源 IP 地址的数据包生成的事件,请选择
Source
。
•
要抑制发送到指定目标 IP 地址的数据包生成的事件,请选择
Destination
。
步骤 3
在
IP address or CIDR block
字段中,输入要指定为源或目标 IP 地址的 IP 地址或 CIDR 块/前缀长度。
有关在 FireSIGHT 系统中使用 CIDR 表示法和前缀长度的信息,请参阅