Cisco Cisco Firepower Management Center 4000 User Guide
36-16
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
提示
如果选择思科设置的
默认值
,系统将假设 SHA-512 为哈希函数。
步骤 4
在必填的
Length
字段中键入一个值。该值必须与要查找的原始非哈希字符串的长度 (例如,步骤
2 中的字符串
Sample1
的长度为
7
)一致。
有关详细信息,请参阅
。
步骤 5
在
Offset
或
Distance
字段中键入一个值。不能在单个关键字配置中同时使用
Offset
和
Distance
选项。
有关详细信息,请参阅
。
步骤 6
如有需要,可添加其他限制选项来修饰
protected_content
关键字。
有关详细信息,请参阅
步骤 7
如有需要,可添加其他关键字来修饰
protected_content
关键字。
有关详细信息,请参阅
步骤 8
继续创建或编辑规则。
有关详细信息,请参阅
或
限制内容匹配
许可证:保护
可以通过修饰
content 或 protected_content
关键字的参数来限制内容搜索的位置以及搜索是否
区分大小写。配置用于修饰
content
或
protected_content
关键字的选项可以指定要搜索的内容。
有关详细信息,请参阅以下各节:
•
•
•
•
•
•
•
Case Insensitive
许可证:保护
注
配置
protected_content
关键字时不支持此选项。有关详细信息,请参阅
可以指示规则引擎在搜索 ASCII 字符串内容匹配时忽略大小写。要使搜索不区分大小写,请在指
定内容搜索时选择
定内容搜索时选择
Case Insensitive
。