Cisco Cisco Firepower Management Center 4000 User Guide
36-10
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
•
介绍用于从加密流量中提取版本和状态信息的关键字的
使用及语法。
•
介绍如何将数据包中的值读入到某个变量,
以便日后在同一规则中使用该变量来指定某些其他关键字中参数的值。
•
介绍用于测试应用层协议属性的关键字的使用及语法。
•
介绍
dsize
、
sameIP
、
isdataat
、
fragoffset
和
cvs
关键字的
使用及语法。
•
解释如何使用
resp
关键字主动关闭 TCP 连接或
UDP 会话,如何使用
react
关键字发送 HTML 页面并主动关闭 TCP 连接,以及如何使用
config response
命令指定活动响应接口和被动部署中的 TCP 重置尝试次数。
•
介绍如何防止规则触发事件 (除非指定数量的数据包在规定时间内
满足规则检测条件)。
•
介绍如何记录主机或会话的额外流量。
•
介绍如何向来自在一个会话中涉及多个数据包的
攻击的数据包分配状态名称,然后根据其状态对数据包进行分析和发出警报。
•
介绍如何在规范化之前生成有关 HTTP
请求或响应 URI、报头或 cookie (包括 set-cookie)中编码类型的事件。
•
file_type
或
file_group
关键字指向特定
文件类型或文件版本。
•
介绍如何指向 HTTP 响应实体正文、SMTP 负载或编码邮件
附件的开头。
•
介绍如何指向数据包负载的开头。
•
base64_decode
和
base64_data
关键字
解码和检查 Base64 数据 (尤其是在 HTTP 请求中)。
定义入侵事件详细信息
许可证:保护
构建标准文本规则,可以在其中纳入描述规则检测到且容易被利用的漏洞的上下文信息。也可以
在其中纳入对漏洞数据库的外部参考,以及定义入侵事件在贵公司中具有的优先级。这样,如果
分析师发现入侵事件,他们可随时获取有关优先级、漏洞和已知缓解措施的信息。
在其中纳入对漏洞数据库的外部参考,以及定义入侵事件在贵公司中具有的优先级。这样,如果
分析师发现入侵事件,他们可随时获取有关优先级、漏洞和已知缓解措施的信息。
有关事件相关关键字的详细信息,请参阅以下各节:
•
•
•
•
定义事件消息
许可证:保护
可以指定规则触发时以消息形式显示的有意义的文本。这类消息使您可以即时了解规则检测的漏
洞的性质。可以使用除花括号 (
洞的性质。可以使用除花括号 (
{}
) 以外的所有可打印标准 ASCII 字符。系统将移除将消息完全引
起来的引号。