Cisco Cisco Firepower Management Center 2000 Guía Del Usuario
33-4
FireSIGHT 系统用户指南
第 33 章 为您的网络资产定制入侵防御
使用 FireSIGHT 建议
步骤 4
有以下选项可供选择:
•
要让相应的入侵策略报告为实际状态与建议状态不同的所有规则列出规则消息、建议状态和
实际状态,请选择
实际状态,请选择
Include all differences between recommendations and rule states in policy reports
。有
。
•
要使用默认设置生成建议,请转到第
•
要修改高级建议选项,请转到第
步。
步骤 5
点击加号图标 (
) 展开
Advanced Settings
部分。
系统将显示高级 FireSIGHT 建议选项。
步骤 6
在
Networks to Examine
下方的
Networks
字段,指定要为建议检查的网络。
有关在 FireSIGHT 系统中使用 IP 地址表示法的详细信息,请参阅
请注意,地址列表与一个逻辑或运算关联,但逻辑非除外,逻辑非在所有逻辑或运算计算完之后
与一个逻辑与运算关联。有关详情,请参见
与一个逻辑与运算关联。有关详情,请参见
。
步骤 7
或者,在
FireSIGHT Recommended Rules Configuration
下方,拖动
Recommended Rules Configuration
滑动
条,指定规则必须达到多大开销才能纳入生成的建议中。
向右拖动滑动条时,包含的规则开销更高,得到的建议可能也更多,但是对系统性能的影响也越
来越大。有关详情,请参见
来越大。有关详情,请参见
。
步骤 8
您有以下选项:
•
要生成禁用规则的建议,请选择
Accept Recommendations to Disable Rules
复选框。
请注意,接受禁用规则的建议会限制规则的覆盖范围。
•
要防止生成禁用规则的建议,请清除
Accept Recommendations to Disable Rules
复选框。
请注意,忽略禁用规则的建议会扩大规则的覆盖范围。
步骤 9
此时有多个选择:
•
如果尚未生成建议而且希望系统在生成建议的同时将规则状态自动更改为建议的状态,请点
击
击
Generate and Use Recommendations
。
系统将生成建议的规则状态更改并自动将规则设置为建议的状态。
•
如果希望系统生成建议但不将规则状态自动更改为建议的状态,请点击
Generate
Recommendations
。
系统将生成建议的规则状态更改。
•
如果以前曾经生成过建议,请点击
Update Recommendations
以更新现有建议。
系统将生成建议的规则状态更改,如果建议正在使用,还会将规则自动设置为建议的状态。
建议数、建议的规则状态发生更改的主机数以及对生成事件规则、丢弃并生成事件规则或禁
用规则给出的建议数均会更新其状态。
建议数、建议的规则状态发生更改的主机数以及对生成事件规则、丢弃并生成事件规则或禁
用规则给出的建议数均会更新其状态。
•
如果以前曾经生成过建议,请点击
Use Recommendations
以使用已经生成但尚未使用的建议。
系统会将规则自动设置为建议的状态。
•
如已生成且在使用建议,请点击
Do Not Use Recommendations
以停止使用当前正在使用的建议。
系统会将规则自动重置为默认规则状态,除非在使用建议前将特定的规则状态应用到该规则;
在此情况下,规则将恢复为该特定规则状态。
在此情况下,规则将恢复为该特定规则状态。
请注意,系统不会为基于使用 Impact Qualification 功能禁用的漏洞的入侵规则建议规则状态。有
关详细信息,请参阅
关详细信息,请参阅
。
另请注意,将策略更新为使用或不使用建议可能需要几分钟时间,具体取决于网络规模和规则集。