Cisco Cisco Firepower Management Center 4000 User Guide
36-9
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
指定方向
许可证:保护
在规则报头中,可以指定数据包接受规则检查必须流经的方向。下表介绍了这些选项。
有关使用规则编辑器构建规则报头的步骤的详细信息,请参阅
。
了解规则中的关键字和参数
许可证:保护
借助规则语言,可以通过组合关键字来指定规则行为。关键字及其相关值 (亦称为
参数)规定系
统如何评估规则引擎测试的数据包和数据包相关值。 FireSIGHT 系统目前支持允许执行检查功能
的关键字,例如内容匹配、协议特定模式匹配和状态特定匹配。在每个关键字中最多可以定义
100 个参数,还可以组合任意数量的兼容关键字来创建非常具体的规则。这有助于降低出现误报
和漏报的可能性,使您可以重点关注接收到的入侵信息。
的关键字,例如内容匹配、协议特定模式匹配和状态特定匹配。在每个关键字中最多可以定义
100 个参数,还可以组合任意数量的兼容关键字来创建非常具体的规则。这有助于降低出现误报
和漏报的可能性,使您可以重点关注接收到的入侵信息。
请注意,也可以使用自适应配置文件,以根据规则元数据和主机信息动态调整规则对特定数据包
的当前处理方式。有关详细信息,请参阅
的当前处理方式。有关详细信息,请参阅
。
有关详细信息,请参阅以下各节:
•
介绍可用于定义事件消息、优先级信息以及关于规则
检测的漏洞的外部信息参考的关键字的语法及使用。
•
content
或
protected_content
关键字测试数据包
负载的内容。
•
介绍如何对
content
或
protected_content
关键字使用修饰关
键字。
•
介绍如何在内联部署中使用
replace
关键字替换同等长
度的指定内容。
•
byte_jump
和
byte_test
关键字计
算规则引擎应在数据包中的哪个位置开始测试内容匹配以及应评估哪些字节。
•
pcre
关键字在规则中使用兼容 Perl 的正则
表达式。
•
metadata
关键字向规则添加信息。
•
介绍用于测试数据包 IP 报头中值的关键字的语法及使用。
•
介绍用于测试数据包 ICMP 报头中值的关键字的语法及使用。
•
介绍用于测试数据包 TCP 报头中值的关键字的
语法及使用。
•
况下,如何启用和禁用数据流重组。
表
36-4
规则报头中的方向选项
使用......
以测试......
Directional
仅测试从指定源 IP 地址流向指定目标 IP 地址的流量
双向
测试指定的源 IP 地址和目标 IP 地址之间的所有流量