Khi bạn xây dựng một custom intrusion policy, ngoài việc chọn base policy để kế thừa từ Talos, bạn có thể tinh chỉnh (tuning) chính sách phát hiện bằng cách bật/tắt các rule sẵn có hoặc thậm chí tự viết rule của riêng mình.

Một thành phần quan trọng trong đó chính là Intrusion Rule States – trạng thái của rule trong intrusion policy. Nó cho phép bạn quyết định rule sẽ được xử lý như thế nào khi lưu lượng khớp điều kiện (trigger).

Trong thực tế triển khai, bạn có ba trạng thái chính cần nắm rõ: 1. Generate Events

• Khi một gói tin độc hại khớp với rule, thiết bị không chặn mà để gói tin tiếp tục đến đích.
• Hệ thống sẽ ghi log và sinh sự kiện intrusion.
• Kịch bản phù hợp: môi trường giám sát (monitoring/passive), khi mục tiêu của bạn là theo dõi, thu thập và phân tích, chưa can thiệp trực tiếp vào lưu lượng.

2. Drop and Generate Events

• Khi gói tin khớp rule, thiết bị sẽ chặn (drop) ngay gói tin độc hại và ghi log sự kiện intrusion.
• Gói tin không bao giờ đến được mục tiêu.
• Lưu ý:
  • Nếu thiết bị ở passive mode hoặc tap mode, dù bạn chọn trạng thái này thì nó chỉ sinh sự kiện, không drop.
  • Muốn rule thực sự chặn lưu lượng, bạn phải:
    • Deploy thiết bị inline
    • Bật tùy chọn Drop When Inline trong chính sách.

3. Disable

• Rule sẽ bị vô hiệu hóa và thiết bị sẽ không đánh giá lưu lượng khớp rule này.
• Thích hợp khi bạn biết rõ rule có thể gây ra false positive hoặc không phù hợp với môi trường (ví dụ: rule quá nhạy cho ứng dụng custom).

---

Tóm lại


Việc hiểu và sử dụng đúng Intrusion Policy Rule States là yếu tố sống còn trong vận hành Cisco Secure Firewall:

• Generate Events → Theo dõi.
• Drop and Generate Events → Phòng thủ chủ động.
• Disable → Tinh chỉnh, loại bỏ nhiễu.

Trong triển khai thực tế, nhiều SOC thường bắt đầu với Generate Events để quan sát, sau đó chuyển sang Drop and Generate Events cho các rule quan trọng nhằm giảm false positive và ngăn chặn hiệu quả.
​