Cisco Cisco Firepower Management Center 4000 사용자 가이드
32-6
FireSIGHT 系统用户指南
第 32 章 使用规则调整入侵策略
查看入侵策略中的规则
为规则设置阈值
许可证:保护
您可以在 Rule Detail 页面中为规则设置一个阈值。添加阈值将覆盖该规则的任何现有阈值。有关
阈值的详细信息,请参阅
阈值的详细信息,请参阅
。
请注意,当键入的值无效时,字段中会显示恢复图标 (
);点击该图标可恢复为该字段的上一个
有效值,如果没有上一个值,则会清空该字段的值。
要在规则详细信息中设置阈值,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
点击
Thresholds
旁边的
Add
。
系统将显示 Set Threshold 对话框。
步骤 2
从
Type
下拉列表中选择要设置的阈值的类型:
•
选择
Limit
则在每个时间段内只为指定数量的事件实例提供通知。
•
选择
Threshold
则在每个时间段内每次事件实例数达到指定数量时提供通知。
•
选择
Both
则在每个时间段内事件实例数达到指定数量后提供一次通知。
步骤 3
从
Track By
下拉列表中选择
Source
或
Destination
以指示要按源还是目标 IP 地址跟踪事件实例。
步骤 4
在
Count
字段中,键入要用作阈值的事件实例数。
步骤 5
在
Seconds
字段中键入一个介于 0 和 2147483647 之间的数字来指定跟踪事件实例的时间段(以秒
为单位)。
步骤 6
点击
OK
。
系统将添加阈值并在 Event Filtering 列中该规则旁显示事件过滤器图标 (
)。如果将多个事件过
滤器添加到规则,系统将在图标上注明事件过滤器的数量。
为规则设置抑制
许可证:保护
您可以在 Rule Detail 页面中为规则设置一个或多个抑制。有关抑制的详细信息,请参阅
请注意,当键入的值无效时,字段中会显示恢复图标 (
);点击该图标可恢复为该字段的上一个
有效值,如果没有上一个值,则会清空该字段的值。
要在规则详细信息中设置抑制,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
点击
Suppressions
旁边的
Add
。
系统将显示 Add Suppression 对话框。
步骤 2
从
Suppression Type
下拉列表中选择以下选项之一:
•
选择
Rule
将完全抑制所选规则的事件。
•
选择
Source
将抑制由指定源 IP 地址发出的数据包生成的事件。
•
选择
Destination
将抑制由发往指定目标 IP 地址的数据包生成的事件。