Cisco Cisco Firepower Management Center 4000 User Guide
36-26
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
•
不能将此选项与
Not
结合使用。
•
不能将此选项与
Fast Pattern Matcher Offset and Length
结合使用。
•
指定的内容将被视为不区分大小写,因为所有模式均以不区分大小写的方式插入到快速模式
匹配程序中;系统会自动处理这种情况,因此您无需在选择此选项时选择
匹配程序中;系统会自动处理这种情况,因此您无需在选择此选项时选择
Case Insensitive
。
•
不可在使用
Fast Pattern Matcher Only
选项的
content
关键字后紧接着使用以下关键字 (这些关
键字设置相对于当前搜索位置的搜索位置):
•
isdataat
•
pcre
•
content
(在选择了
Distance
或
Within
的情况下)
•
content
(在选择了
HTTP URI
的情况下)
•
asn1
•
byte_jump
•
byte_test
•
byte_extract
•
base64_decode
指定快速模式匹配程序偏移量和长度
使用
Fast Pattern Matcher Offset and Length
选项可指定要搜索的部分内容。如果模式很长,且只需模
式的一部分即足以识别出可能是匹配的规则,使用此选项可减少内存消耗。如果快速模式匹配程
序选择了某个规则,将会根据该规则评估整个模式。
序选择了某个规则,将会根据该规则评估整个模式。
可以确定快速模式匹配程序要使用的部分,方法是,使用以下语法以字节为单位指定搜索的开始
位置 (偏移量)以及搜索内容的深入度 (长度):
位置 (偏移量)以及搜索内容的深入度 (长度):
offset,length
例如,对于以下内容:
1234567
如果如下指定偏移量和长度字节数:
1.5
快速模式匹配器将仅搜索内容
23456
。
请注意,不能将此选项与
Fast Pattern Matcher Only
结合使用。
要指定快速模式匹配程序要搜索的内容,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
为添加的
content
关键字选择
Use Fast Pattern Matcher
。
步骤 2
或者,选择
Fast Pattern Matcher Only
,以确定在无规则引擎评估的情况下数据包中是否存在指定模式。
仅在快速模式匹配程序检测到指定内容的情况下,评估才会继续进行。
步骤 3
或者,使用以下语法在
Fast Pattern Matcher Offset and Length
选项中指定要在其中搜索内容的部分模式:
offset,length
其中,
offset
指定从内容开头到搜索开始位置之间的字节数,
length
指定继续搜索的字节数。
步骤 4
继续创建或编辑规则。有关详细信息,请参阅
。