Cisco Cisco Firepower Management Center 2000 用户指南
51-24
FireSIGHT 系统用户指南
第 51 章 配置关联策略和规则
创建关联策略规则
示例:来自外部主机的其他连接
考虑这样一个场景:您将敏感文件存档到网络 10.1.0.0/16 上,而且该网络外的主机通常不向网络
内的主机发起连接。网络外的主机偶尔会发起连接,但当您确定在两分钟内发起四次或更多次的
连接时,则说明有令人担心的问题。
内的主机发起连接。网络外的主机偶尔会发起连接,但当您确定在两分钟内发起四次或更多次的
连接时,则说明有令人担心的问题。
下图所示规则规定 10.1.0.0/16 网络外的主机向网络内的主机发起连接的时间,系统开始跟踪符合
该标准的连接。然后,即使系统在两分钟内检测到符合该特征的四次连接 (包括原始连接),防
御中心也生成关联事件。
该标准的连接。然后,即使系统在两分钟内检测到符合该特征的四次连接 (包括原始连接),防
御中心也生成关联事件。
Total Packets,
Initiator Packets 或
Responder Packets
Responder Packets
键入以下内容之一:
•
发送的数据包总数 (
Total Packets
)
•
发送的数据包数量 (
Initiator Packets
)
•
接收的数据包数量 (
Responder Packets
)
Unique Initiators 或
Unique Responders
键入以下内容之一:
•
检测到的发起会话的独立主机的数量 (
Unique Initiators
)
•
响应检测到的连接的独立主机的数量 (
Unique Responders
)
表
51-13
连接跟踪器事件的语法 (续)
如果指定......
选择一个运算符,然后......