Cisco Cisco Firepower Management Center 2000 ユーザーガイド
51-22
FireSIGHT 系统用户指南
第 51 章 配置关联策略和规则
创建关联策略规则
Access Control Rule Name
键入记录要跟踪的连接的访问控制规则的全部或部分名称。
注
要跟踪匹配监控规则的连接,请键入监控规则的名称。不管随后处理连接的
规则或默认操作如何,系统都对连接进行跟踪。
规则或默认操作如何,系统都对连接进行跟踪。
Application Protocol
选择一个或多个应用协议。
Application Protocol Category
选择一个或多个应用协议类别。
客户端
选择一个或多个客户端。
Client Category
选择一个或多个客户端类别。
Client Version
键入客户端的版本。
Connection Duration
键入连接持续时间,以秒为单位。
连接类型
选择是否要基于连接检测方式跟踪连接:由思科受管设备 (FireSIGHT) 检测或由已启
用 NetFlow 的设备 (
用 NetFlow 的设备 (
NetFlow
) 导出。
Destination Country 或 Source
Country
Country
选择一个或多个国家/地区。
设备
选择要跟踪其已检测连接的一个或多个设备。如果要跟踪 NetFlow 连接,选择处理由
已启用 NetFlow 的设备导出的连接数据的设备。
已启用 NetFlow 的设备导出的连接数据的设备。
Ingress Interface 或
Egress Interface
Egress Interface
选择一个或多个接口。
Ingress Security Zone 或
Egress Security Zone
Egress Security Zone
选择一个或多个安全区域。
Initiator IP、
Responder IP 或
Initiator/Responder IP
Responder IP 或
Initiator/Responder IP
键入单个 IP 地址或地址块。有关在 FireSIGHT 系统中使用 IP 地址表示法的详细信
息,请参阅
息,请参阅
。
Initiator Bytes、
Responder Bytes 或
Total Bytes
Responder Bytes 或
Total Bytes
键入以下内容之一:
•
发送的字节数 (
Initiator Bytes
)
•
接收的字节数 (
Responder Bytes
)
•
发送和接收的字节数 (
Total Bytes
)
Initiator Packets、
Responder Packets 或
Total Packets
Responder Packets 或
Total Packets
键入以下内容之一:
•
发送的数据包数量 (
Initiator Packets
)
•
接收的数据包数量 (
Responder Packets
)
•
发送和接收的数据包数量 (
Total Packets
)。
Initiator Port/ICMP Type 或
Responder Port/ICMP Code
Responder Port/ICMP Code
键入发起方流量的端口号或 ICMP 类型或者接收方流量的端口号或 ICMP 类型。
IOC Tag
选择 IOC 标记
is
或
is not
设置。
NETBIOS Name
键入连接中受监控主机的 NetBIOS 名称。
NetFlow Device
选择导出要跟踪的连接的已启用 NetFlow 的设备的 IP 地址。如果没有将任何已启用
NetFlow 的设备添加至部署,则 NetFlow Device 下拉列表为空。
NetFlow 的设备添加至部署,则 NetFlow Device 下拉列表为空。
原因
选择与要跟踪的连接有关的一个或多个原因。
Security Intelligence Category
选择与要跟踪的连接有关的一个或多个安全情报类别。
表
51-12
连接跟踪器的语法 (续)
如果指定......
选择一个运算符,然后......