9、则命名页面（图2.9） ， 规则命名完之后 ， 按NEXT到规则格式页面 ， 根据MARS提示 ， 到达某一参数时 ， 选择你需要的参数值填入参数框里（图2.10） ， 填完所有参数 ， 到达确认框 ， 按YES应用（图2.11） 。
图2.9增加新规则图2.10配置新规则参数图2.11确认新规则3. 激活规则和去激活规则 。
规则建立后无法删除 ， 当不需要使用某规则时 ， 可以通过去激活实现 。
只要把ACTIVE规则勾上 ， 按 change status 就可将规则处于非激活状态 。
（图2.12）图2.12规则的激活状态2.5 创建自定义报告MARS除了提供大量预定制报表以外 ， 还允许管理员自己定义报表 ， 以下做IPS十大类型事件报告为例 ， 介绍如 。

10、何创建自定义报告 。
1. 点QUERY/REPORTS页面 ， 在QUERY页面的SELECT REPORT 对话框中选择top event types 。
（图2.13）图2.13定制报表2. 单击DEVICE选项框 ， 选择此报表所包含的设备信息 ， 如IPS4240-TEST ， 按一下， 再选择ANY ， 按REMOVE ， 全部设备选择完毕后APPLY 。
（图2.14）图2.14输入报表条件：选择设备3. 选择收集汇总事件的时间段 ， 然后按APPLY 。
（图2.15）图2.15输入报表条件：选择时间段4. 回到主界面 ， 选择Submit 。
（图2.16） ， 此时会出现两个选项SUBMIT INLINE ， 即在线生成报表 ， 或者S 。

11、UBMIT BATCH ， 即生成报表 ， 并保存成一个记录 ， 方便查看 。
（图2.17）图2.16提交报表图2.17报表方式选择5. 报表生成后 ， 将出线在报表页面的user report中 ， MARS将按配置生成报告 。
用户可以看到每一个报告的完成状态和完成时间 ， 也可以随时指示MARS再次生成报告 。
当报告的STATUS到达100%时 ， 可以按VIEW RESULTS查看报告 。
（图2.18）图2.18报表状态3 MARS管理3.1 拓朴结构及设备查看MARS通过对所有被管理安全设备的分析 ， 可以生成完整的网络拓扑图 。
进入 Summary 页面 ， 在Hotspot Graph 面板按 full topo graph。

12、就可以看到整体的拓朴结构 。
（图3.1）图3.1整网拓扑图可以通过右键操作 ， 放大和缩少这个拓扑图 。
上图中所画的云是被管理安全设备接口直连的网段 。
每个图标代表一种安全设备 ， 以下是MARS的图标示例：Table16-1 Icons and States in Topology Healthy Attacker Compromised （已经危及安全）Compromised and Attacking Clouds Firewall Reporting Host Host IDS Network Router Switch 通过点击相应的图标 ， 可以查看对应设备的信息 。
（图3.2）图3.2设备信息设备信 。

13、息能够提供设备型号 ， 名称 ， 软件版本 ， 接口的MAC地址等信息 。
3.2 系统统计信息MARS可以实时地显示系统的统计信息 ， 如收到的安全事件数量 ， 分别属于什么等级（高、中、低） ， 收到的session数量 ， 收到的Netflow事件数量 ， 以及进行关联后 ， 信息的压缩比率等 。
（图3.3）图3.3系统统计信息3.3 安全事件操作MARS具有丰富详尽的安全事件查看功能 ， 管理员能够通过MARS的界面即使地获得网络当前发生的事件 。
3.3.1 查看Incident在summary页面中 ， 可以点击查看攻击事件的整个拓扑 。
（图3.4）图3.4攻击拓扑点击Incidents 页面 ， 该页面已列出近来发生incident 清单 。

14、 。
（图3.5）图3.5安全事件（Incident）清单选中相应的Incident ID 之后 ， 按view ， 就可以查看事件详细信息 ， 比如下图就是一个完整的蠕虫攻击的实例 ， 可以看到一个安全事件是由分析多个攻击session而得出来的 。
（图3.6）图3.6蠕虫攻击实例下图是一个ICMP Flood攻讦的部分内容示例 。
（图3.7）图3.7 ICMP Flood攻击事件信息片断3.3.2 攻击分析MARS可以实现具体攻击的分析 ， 通过对某个安全事件的查看 ， 就能得到攻击的类型 ， 源、目标和攻击跳板的信息 。
以下就是MARS生成的一个具体攻击的攻击拓扑图 。
（图3.8）图3.8攻击拓扑图及选中session信息上图 。

15、列出了一个安全事件的攻击拓扑图 ， 图中显示攻击源 ， 攻击目标 ， 攻击的session号 ， 当选择某个session号时 ， 会弹出小窗口 ， 显示此session的详细信息 。
而下图（图3.9）则单独列出了Nachi蠕虫攻击的细节 。
图3.9蠕虫攻击细节3.3.3 攻击缓解MARS有攻击缓解的功能 ， 即针对某个攻击 ， 它能够向管理员提出第三层的攻击缓解建议 ， 让管理员手动实施；或者向管理员提出第二层的攻击缓解建议 ， 并可以选择手动实施或自动实施 。
在详细攻击事件信息图中 ， 选择Collapse选项 ， 就可以看到攻击还击标志（红色） ， 点击白色拓扑标志之后 ， 就可查看到攻击事件路径图 。

稿源：(未知)

【傻大方】网址：/a/2021/0711/0022846277.html

标题：CISCO|CISCO安全监控分析和响应系统测试报告( 二 )