Cisco Cisco Firepower Management Center 4000 User Guide
36-15
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
配置内容匹配
大多数情况下,应始终在
content
或
protected_content
关键字后面加上修饰符,指示对内容进
行搜索的位置、搜索是否区分大小写及其他选项。有关
content
和
protected_content
关键字的
修饰符的详细信息,请参阅
。
请注意,要使规则触发事件,所有内容匹配必须为真,也就是说,每项内容匹配与其他匹配之间
都存在 AND 关系。
都存在 AND 关系。
另请注意,在内联部署中,可以将规则设置为匹配恶意内容并将其更换为您自定义的等长文本字
符串。有关详情,请参见
符串。有关详情,请参见
。
要输入待匹配的内容,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
在
content
字段中输入要查找的内容 (例如,
|90C8 C0FF FFFF|/bin/sh
)。
如果要搜索不是指定内容的任何内容,请选择
Not
复选框。
注意事项
如果创建的规则只包含一个
content
关键字,但没有为该关键字选择
Not
选项,可能会使入侵策
略无效。有关详细信息,请参阅
步骤 2
如有需要,可以添加用于修饰
content
关键字的其他关键字,或者为该关键字添加限制条件。有
关其他关键字的详细信息,请参阅
。
有关限制
content
关键字的详细信息,请参阅
。
步骤 3
继续创建或编辑规则。
有关详细信息,请参阅
要输入待匹配的受保护内容,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
可使用 SHA-512、SHA-256 或 MD5 哈希生成器对要查找的内容进行编码(例如,通过 SHA-512
哈希生成器运行字符串
哈希生成器运行字符串
Sample1
)。
生成器将为该字符串生成哈希。
步骤 2
在
protected_content
字段中,键入在第
B20AABAF59605118593404BD42FE69BD8D6506EE7F1A71CE6BB470B1DF848C814BC5DBEC2081999F15691A7
1FAECA5FBA4A3F8B8AB56B7F04585DA6D73E5DD15
)。
如果要搜索不是指定内容的任何内容,请选择
Not
复选框。
注意事项
如果创建的规则只包含一个
protected_content
关键字,但没有为该关键字选择
Not
选项,可能
会使入侵策略无效。有关详细信息,请参阅
步骤 3
从
Hash Type
下拉列表中选择在第
步中使用的哈希函数 (例如
SHA-512
)。请注意,在第
步中输
入的哈希的位数必须与散列类型匹配,否则系统不会保存规则。有关详细信息,请参阅
。