Cisco Secure Workload 中的 AI 策略统计信息

思科Cisco Secure Workload的 AI 策略统计信息功能借助 AI 引擎,持续跟踪并分析策略性能趋势。该功能能帮助用户洞悉策略的有效性,同时助力高效开展审计工作。借助详细的统计数据和 AI 生成的触发条件,用户可识别、配置并处理需要重点关注的策略 - 无流量(设置超过 30 天未对任何流量产生影响的策略触发条件)、被覆盖(设置某一策略被其他策略覆盖的触发条件)以及范围过宽(设置策略源过滤器或目的过滤器未被充分利用的触发条件)。

如需快速了解 AI 策略统计信息功能与 AI 引擎的协同工作原理,请观看此视频:Cisco Secure Workload AI 引擎的策略统计信息


注意

由于最近的 GUI 更新,用户指南中使用的某些图像或屏幕截图可能无法完全反映产品的当前设计。建议将本指南与最新版本的软件结合使用,以获得最准确的直观参考。

Cisco Secure Workload 中的 AI 策略统计信息

Cisco Secure Workload 中的 AI 策略统计信息功能具备以下核心特性:

  • 策略趋势分析:用户可查看特定时间段内策略的运行趋势,同时对比策略的预期流量数与实际运行情况。

  • 策略条件:AI 引擎会识别并标记出满足特定条件、需要用户关注的策略。

    请注意,一条策略条件规则同一时间只能归属于一种策略条件。例如,某条规则可处于范围过宽被覆盖的状态,但无法同时处于两种状态。

    • 无流量:指在配置的时间段内,未对任何流量产生影响的策略。

      Figure 1. 策略条件 - 无流量

    • 被覆盖:指被其他策略覆盖的策略。

      Figure 2. 策略条件 - 被覆盖

    • 范围过宽 - 指策略的源筛选器或目的筛选器存在未充分利用的情况。例如,某筛选器包含 10 个资产,而其中仅有 2 个资产参与了受该策略影响的流量传输,那么该筛选器的利用率仅为 20%。

      Figure 3. 策略条件 - 范围过宽

流量的 AI 策略统计信息

流量的策略统计信息或命中次数,基于受每条策略影响的流量数量计算。命中次数仅统计已部署的策略,不包含草稿状态或未发布的策略版本。


Note

首次扫描日期上次使用日期列,分别表示 AI 引擎首次扫描某条策略和最后一次扫描该策略的时间戳。

Figure 4. AI 策略统计信息

计算策略统计信息

策略统计信息或命中次数,根据匹配策略条件的流量数量计算。策略统计信息在一周周期内每 6 小时更新一次。AI 模块通过机器学习算法识别命中次数的模式与趋势,相比防火墙的简单命中计数,能更细致地分析策略运行效果。

AI 策略统计信息的前提条件

在使用 AI 策略统计信息功能前,请确保满足以下前提条件:

  • 发布策略:必须在思科 Cisco Cisco Secure Workload 中主动发布策略,AI 引擎才能对其进行扫描并计算统计数据。未发布的策略不会纳入分析范围。

  • AI 引擎激活:AI 引擎必须在 Cisco Secure Workload 环境中正常运行且完成配置。确保 AI 相关设置为最优配置。检查 AI 相关设置,若分析结果未达预期,可恢复为默认设置。

  • 用户访问权限:确保用户拥有查看策略统计信息和数据趋势所需的基于角色的访问控制权限。

配置 AI 策略设置

通过 AI 引擎,可在工作空间中查看策略统计信息和已应用的策略规则。可借助 AI 引擎的高级功能,了解以下内容:

  • 使用 AI 策略发现功能的持续策略发现。

  • 分析策略条件趋势,评估策略有效性

  • 基于转义流进行策略实时更新。

  • 策略性能的长期深度统计。

  • AI 辅助的策略优化建议。

策略发布后,方可查看策略统计信息。

过程

步骤 1

登录 Cisco Cisco Secure Workload 应用,在导航窗格中选择防御 > 分段

  1. 要查看策略分析过程,请选择工作空间。

  2. 要查看哪些策略附加到此工作空间,以及 AI 引擎正在考虑分析哪些策略,请点击管理策略

    有关如何创建策略的说明,请参阅手动创建策略

  3. 要检查已分析的策略,请点击策略分析选项卡,然后点击分析最新策略

    请注意,需完成全面分析后再发布策略。

步骤 2

要验证工作负载上的已分析策略,请在导航窗格中选择防御 > 分段,然后点击策略 AI 设置

AI 引擎分析策略后,每 6 小时计算一次策略统计信息。默认情况下,策略统计信息展示一周内收集和分析的数据。但是,要更新所需的间隔,您还可以在策略 AI 设置页面中更改时间范围。

图 6. 策略 AI 设置
高级自动策略发现配置

下一步做什么

为策略创建警报,以便在流量到达策略时触发通知。根据通知,您可以分析和修复问题,并恢复流向易受攻击工作负载的流量。有关详细信息,请参阅配置告警

常见问题解答

本部分列出了使用 AI 引擎时可能遇到的一些潜在情况:

  • 问:为何无法查看某工作空间的策略?

    答:请检查该策略是否已发布。AI 引擎要扫描策略,必须以策略已发布为前提。

  • 问:策略统计信息的更新频率是多少?

    答:策略统计信息每六小时更新一次。请注意,该更新频率不支持用户自定义配置。

  • 问:是否可以在收到策略建议后立即执行?

    答:策略条件仅为建议内容,在对建议执行任何操作前,必须先完成验证。

  • 问:若策略建议结果不符合预期,该如何处理?

    答:请检查 AI 策略设置,若结果未达预期,可恢复为默认设置以实现最优使用效果。

  • 问:是否有面向客户的、关于此处所用模型的说明文档?是否有介绍 AI 相关服务使用场景的详细资料?

    答:本产品未使用任何大语言模型 (LLM)。所有分析结果均由决策树和数据处理生成。AI 相关服务是运行在虚拟机内 Cisco Secure Workload 集群中的服务器进程,并非 YARN 作业。