Cisco Cisco Firepower Management Center 4000 Betriebsanweisung

36-101

FireSIGHT 系统用户指南 

第 36 章      了解和编写入侵规则 

  过滤 Rule Editor 页面上的规则     

在规则过滤器中使用字符串

许可证：保护

每个规则过滤器可以包含一个或多个字母数字字符串。字符串将搜索规则的 

 字段、

Signature ID 和 Generator ID。例如，字符串 

123

 会返回规则消息中的 

"Lotus123"

、

"123mania"

 等

字符串，也会返回 SID 6123、 SID 12375 等。有关规则的 

 字段的详细信息，请参阅

。有关规则的 SID 和 GID 的详细信息，请参阅

。

所有字符串都不区分大小写并被视为部分字符串。例如，

ADMIN

、

admin

 或 

Admin

 等字符串中任意

一个字符串都会返回 

"admin"

、

"CFADMIN"

、

"Administrator"

 等结果。

用引号将字符串引起来可以返回完全匹配项。例如，用引号引起来的原义字符串 

"overflow 

attempt"

 只会返回完全匹配的该字符串，而由 

overflow

 和 

attempt

 这两个字符串组成的未加引号

的过滤器则会返回 

"overflow attempt"

、

"overflow multipacket attempt"

、

"overflow with 

evasion attempt"

 等结果。

在规则过滤器中结合使用关键字和字符串

许可证：保护

输入关键字、文字字符串或这二者的任意组合并以空格分隔可以缩小过滤结果的范围。结果包括
符合所有过滤条件的任意规则。

可以按照任意顺序输入多个过滤条件。例如，以下每个过滤器返回的规则相同：

url:at login attempt cve:200

login attempt cve:200 url:at

login cve:200 attempt url:at

过滤规则

许可证：保护

可以对 Rule Editor 页面上的规则进行过滤以显示规则子集，以便更容易找到特定规则。然后，您
可以使用该页面的任何功能，包括选择上下文菜单中可用的任何功能。

要过滤特定规则，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

选择 

。

系统将显示 Rule Editor 页面。

如果要查找要进行编辑的规则， Rule Editor 页面上的规则过滤功能可能特别有用。有关详情，请
参见

步骤 2

或者，从 Group Rules By 列表中选择其他分组方法。

提示

如果所有子组中的总规则数量很大，过滤所需的时间可能大大增加，因为规则显示在多个类别
中，即使唯一规则的总数少很多也是如此。