关于思科 建议的规则
可以遵从入侵规则建议,将您的网络中检测到的操作系统、服务器和客户端应用协议与为保护这些资产而特别编写的规则相关联。这样,您就可根据自己的受监控网络的特定需求定制您的入侵策略。
系统为每个入侵策略制定一组单独的建议。它通常会建议标准文本规则和共享对象规则的规则状态更改。但是,它也可建议预处理器和解码器规则的更改。
当生成规则状态建议时,可以使用默认设置或配置高级设置。通过高级设置,可以执行以下操作:
-
重新定义系统监控网络上的哪些主机以查找漏洞
-
影响系统根据规则开销建议哪些规则
-
指定是否生成建议以禁用规则
您还可以选择是要立即使用建议还是在接受之前审核建议(和受影响规则)。
选择使用建议规则状态会向入侵策略中添加只读思科 建议层,并且随后选择不使用建议规则状态会删除该层。
系统不会更改手动设置的规则状态:
-
在生成建议之前手动设置指定规则的状态可防止系统将来修改这些规则的状态。
-
在生成建议之后手动设置指定规则的状态可覆盖这些规则的建议状态。
提示
入侵策略报告可能包含具有与建议状态不同的规则状态的规则列表。
在显示对建议过滤后的 Rules 页面时,或者从导航面板或 Policy Information 页面直接访问 Rules 页面后,可以手动设置规则状态、对规则排序并执行 Rules 页面中的任何其他可用操作,例如抑制规则、设置规则阈值等。
注 |
Talos 情报小组 确定系统提供的策略中的各规则的相应状态。如果使用系统提供的策略作为基本策略,并且允许系统将规则设置为思科 建议规则状态,则入侵策略中的规则与思科为网络资产建议的设置相匹配。 |
建议规则和多租户
系统会为每个枝叶域构建单独的网络映射。在多域部署中,如果您在祖先域的入侵策略中启用此功能,则系统会使用来自所有后代枝叶域的数据生成建议。这可能使得入侵规则针对可能不存在于所有枝叶域的资产进行定制,从而影响性能。