Cisco Cisco Firepower Management Center 2000 用户指南
51-16
FireSIGHT 系统用户指南
第 51 章 配置关联策略和规则
创建关联策略规则
可以选择
use velocity data
复选框(请参阅
),以基于数据点之间的变
化率触发关联规则。如果要使用上例中的速度数据,则可以指定在出现下列任何一种情况时触发
规则:
规则:
•
通过网络的字节数量变化幅度非常大,高于或低于一定数量的高于平均变化率的标准偏差
•
通过网络的字节数激增,高于一定数量的字节
下表介绍在将流量量变曲线变更选定为基础事件时如何构建关联规则中的条件。如果流量量变曲线
使用由已启用 NetFlow 的设备导出的连接数据,则请参阅
使用由已启用 NetFlow 的设备导出的连接数据,则请参阅
了解检测方法如何影响用于创建流量量变曲线的数据。
表
51-10
流量量变曲线更改的语法
如果指定......
选择一个运算符,然后键入......
然后选择以下任一选项......
连接数
检测到的连接总数
或
高于或低于平均值的标准偏差的数量,检测到的连接数量必须
在此范围内以触发该规则
在此范围内以触发该规则
connections
standard deviation(s)
Total Bytes、
Initiator Bytes 或
Responder Bytes
Initiator Bytes 或
Responder Bytes
以下任一选项:
•
发送的总字节数 (
Total Bytes
)
•
发送的字节数 (
Initiator Bytes
)
•
接收的字节数 (
Responder Bytes
)
或
高于或低于平均值的标准偏差的数量,上述标准之一必须在此
范围内以触发该规则
范围内以触发该规则
字节
standard deviation(s)
Total Packets,
Initiator Packets 或
Responder Packets
Responder Packets
以下任一选项:
•
发送的数据包总数 (
Total Packets
)
•
发送的数据包数量 (
Initiator Packets
)
•
接收的数据包数量 (
Responder Packets
)
或
高于或低于为平均值的标准偏差的数量,上述标准之一必须在
此范围内以触发该规则
此范围内以触发该规则
数据包
standard deviation(s)
Unique Initiators
发起会话的独立主机的数量
或
高于或低于平均值的标准偏差的数量,检测到的独立发起方的
数量必须为该平均值以触发该规则
数量必须为该平均值以触发该规则
initiators
standard deviation(s)
Unique Responders
响应会话的独立主机的数量
或
高于或低于平均值的标准偏差的数量,检测到的独立响应方的
数量必须为该平均值以触发该规则
数量必须为该平均值以触发该规则
responders
standard deviation(s)