Cisco Cisco Firepower Management Center 2000 Guia Do Utilizador

35-2

FireSIGHT 系统用户指南

第 35 章      从全局限制入侵事件记录       

  了解阈值

了解阈值选项

许可证：保护

可以通过阈值来限制入侵事件的生成，只在某个时间段内生成特定数量的事件，或者只为一组事
件生成一个事件。配置全局阈值时，首先必须指定阈值类型，如下表所述。

接下来指定跟踪，确定事件实例计数是按源 IP 地址计算还是按目标 IP 地址计算。最后，指定用
于定义阈值的实例数和时间段。

表 

阈值选项 

选项

说明

限制

为指定时间段内触发规则的指定数量的数据包 （由计数参数指定）记录并显示事件。例如，如果将类型
设置为 

，将 

 设置为 

10

，并将 

 设置为 

60

，而同一分钟内有 14 个数据包触发规则，则系

统在显示发生的前 10 个违反该规则的事件后将停止记录违反该规则的事件。

阈值

在指定时间段内，当指定数量的数据包 （由计数参数指定）触发规则时，记录并显示一个事件。请注
意，达到事件阈值计数且系统记录该事件之后，时间计数器将重新开始计数。例如，将类型设置为 

，将 

 设置为 

10

，并将 

 设置为 

60

 时，如果到 33 秒时规则触发 10 次， 系统将生成一

个事件，然后将 Seconds 和 Count 计数器重置为 

0

。其后，该规则在接下来 25 秒内又触发 10 次。由于计

数器在第 33 秒时已重置为 

0

，因此系统会再记录一个事件。

共通活动

每个指定时间段在指定数量 （计数）的数据包触发规则后记录并显示一次事件。例如，将类型设置为 

，将 

 设置为 

2

，并将 

 设置为 

10

 时，事件计数结果如下：

如果 10 秒内触发规则一次，系统不会生成任何事件 （未达到阈值）

如果 10 秒内触发规则两次，系统将生成一个事件 （第二次触发规则时达到阈值）

如果 10 秒内触发规则四次，系统将生成一个事件 （第二次触发规则时达到阈值，忽略其后的事件）

表 

阈值实例

时间选项 

选项

说明

计数

每个跟踪 IP 地址或地址范围在每个指定时间段内达到阈值所需的事件实例数。

数秒

计数重置之前经过的秒数。如果将阈值类型设置为 

，将跟踪设置为 

，

将 

 设置为 10，并将 

 设置为 10，则系统将记录并显示 10 秒钟内发生

的来自指定源端口的前 10 个事件。如果前 10 秒内只发生了七个事件，系统将记
录并显示这些事件，而如果前 10 秒内发生了 40 个事件，系统将记录并显示 10 个
事件，然后在为期 10 秒的时间段过后重新开始计数。