Cisco Cisco Firepower Management Center 2000 Guia Do Utilizador

51-6

FireSIGHT 系统用户指南

第 51 章配置关联策略和规则

创建关联策略规则

步骤 3

或者，继续执行以下各节中的操作步骤：

•

第 51-17 页上的添加主机配置文件限定条件

•

第 51-19 页上的使用超时连接数据限制关联规则

•

第 51-29 页上的添加用户资格

•

第 51-30 页上的添加暂停和非活动周期

如果已构建完关联规则，继续执行

第 51-2 页上的创建关联策略规则

中操作步骤的第

步以保存规则。

入侵事件语法

许可证：保护

下表介绍将入侵事件选定为基础事件时如何构建关联规则条件。

在构建规则条件时，应确保网络流量可触发规则。任何单个入侵事件的可用信息取决于多种因
素，包括检测方法和记录方法。有关详细信息，请参阅

第 41-8 页上的了解入侵事件

。

表

51-2

入侵事件的语法

如果指定......

选择一个运算符，然后......

访问控制策略

选择使用生成入侵事件的入侵策略的一个或多个访问控制策略。

Access Control Rule Name

键入使用生成入侵事件的入侵策略的访问控制规则的全部或部分名称。

Application Protocol

选择一个或多个与入侵事件相关的应用协议。

Application Protocol Category 选择一个或多个应用协议类别。

分类

选择一个或多个分类。

客户端

选择一个或多个与入侵事件相关的客户端。

Client Category

选择一个或多个客户端类别。

Destination Country 或 Source
Country

选择一个或多个与入侵事件中的源或目标 IP 地址相关的国家/地区。

Destination IP、 Source IP 或
Source/Destination IP

指定单个 IP 地址或地址块。有关在 FireSIGHT 系统中使用 IP 地址表示法和前缀长度
的详细信息，请参阅

第 1-16 页上的 IP 地址约定

。

Destination Port/ICMP Code
或 Source Port/ICMP Type

键入源流量的端口号或 ICMP 类型或目标流量的端口号或 ICMP 类型。

设备

选择一个或多个可能生成事件的设备。

Egress Interface 或
Ingress Interface

选择一个或多个接口。

Egress Security Zone 或
Ingress Security Zone

选择一个或多个安全区域。

Generator ID

选择一个或多个预处理器。有关可用的预处理器的详细信息，请参阅

第 26-5 页上的在

网络分析策略中配置预处理器

。