ASA 的威胁检测功能主要有三个组件:

    1. 基本威胁扫描
    2. 先进的威胁检测
    3. 扫描的威胁检测

    基本的威胁检测
    默认情况下基本的威胁检测在8.0(2)以后默认启用。

    Basic Threat Trigger(s) / ASP Drop Reason(s)
    acl-drop acl-drop
    bad-packet-drop invalid-tcp-hdr-length
    invalid-ip-header
    inspect-dns-pak-too-long
    inspect-dns-id-not-matched
    conn-limit-drop conn-limit
    dos-drop sp-security-failed
    fw-drop inspect-icmp-seq-num-not-matched
    inspect-dns-pak-too-long
    inspect-dns-id-not-matched
    sp-security-failed
    acl-drop
    icmp-drop inspect-icmp-seq-num-not-matched
    inspect-drop Frame drops triggered by an inspection engine
    interface-drop sp-security-failed
    no-route
    scanning-threat tcp-3whs-failed
    tcp-not-syn
    sp-security-failed
    acl-drop
    inspect-icmp-seq-num-not-matched
    inspect-dns-pak-too-long
    inspect-dns-id-not-matched
    syn-attack %ASA-6-302014 syslog with teardown reason of “SYN Timeout”

    基本的威胁检测只检测在一个周期内的速率,如果在周期(600秒-30天)内超过配置的速率阈值,则ASA认为这些事件存在威胁,这称为平均速率。对应的也可以检测突发速率。
    当ASA识别出一个基本的威胁检测时,ASA产生Syslog %ASA-4-733100的日志并警告管理员。
    基本的威胁检测只是纯信息的,可以作为监听或报告机制。

    先进的威胁检测
    先进的危险检测可以用于追踪更加细颗粒的对象的统计信息,ASA支持主机IP、端口、协议、TCP拦截保护的ACL、服务器的跟踪统计信息。默认情况下先进的危险检测只为ACL统计信息启用。由先进的威胁检测生成的唯一的Syslog是%ASA-4-733104和%ASA-4-733105,被触发,当平均值和突发速率(分别)时为TCP拦截统计信息被超出。
    请使用statistics命令的威胁检测为了启动先进的威胁检测。如果没有提供特定功能关键字,命令启用所有统计信息的跟踪。
    ciscoasa(config)# threat-detection statistics ?
    configure mode commands/options:
    access-list Keyword to specify access-list statistics
    host Keyword to specify IP statistics
    port Keyword to specify port statistics
    protocol Keyword to specify protocol statistics
    tcp-intercept Trace tcp intercept statistics

    扫描的威胁检测
    默认情况下禁用。扫描的威胁检测维护可帮助确定攻击者和目标IP地址。扫描威胁检测能发现攻击者并避开攻击者的IP。当扫描的威胁检测检测攻击时, %ASA-4-733101为攻击者和目标IP被记录。如果功能配置避开攻击者, %ASA-4-733102被记录,当扫描的威胁检测生成避开时。当避开删除时, %ASA-4-733103被记录。show threat-detection scanning-threat 命令可以用于为了查看整个扫描威胁数据库。

    为了启动扫描威胁检测,请使用威胁检测扫描威胁命令。
    ciscoasa(config)# threat-detection scanning-threat
    为了调节扫描威胁的速率,请使用基本威胁检测使用的同样威胁检测rate命令
    ciscoasa(config)# threat-detection rate scanning-threat rate-interval 1200 average-rate 250 burst-rate 550
    为了允许ASA避开扫描攻击者IP,请添加避开关键字到威胁检测扫描威胁命令。
    ciscoasa(config)# threat-detection scanning-threat shun
    这允许扫描威胁检测创建一个一个小时为攻击者避开。为了调整避开的持续时间,请使用威胁检测扫描威胁避开持续时间命令。
    ciscoasa(config)# threat-detection scanning-threat shun duration 1000
    有时,您可以仍然要防止ASA避开的某些IP。为了执行此,请创建与威胁检测扫描威胁的一例外避开except命令
    ciscoasa(config)# threat-detection scanning-threat shun except ip-address 10.1.1.1 255.255.255.255
    ciscoasa(config)# threat-detection scanning-threat shun except object-group no-shun

    Cisco 文档**
    https://www.cisco.com/c/zh_cn/support/docs/security/asa-5500-x-series-next-generation-firewalls/113685-asa-threat-detection.html