Cisco Cisco Firepower Management Center 4000 User Guide
36-27
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
替换内联部署中的内容
许可证:保护
可以在内嵌部署中使用
replace
关键字替换指定内容。
注
不能使用
replace
关键字替换思科 SSL 设备检测到的 SSL 流量中的内容。将会传输原始加密数据
而非替代数据。有关详细信息,请参阅 《
思科 SSL 设备管理和部署指南》。
要使用
replace
关键字,请构建一个使用
content
关键字来查找特定字符串的自定义标准文本规
则。然后使用
replace
关键字指定一个字符串,以替换该内容。替代值和内容值必须是相同长度
的字符串。
注
不能使用
replace
关键字替换
protected_content
关键字中的哈希内容。有关详细信息,请参阅
或者,可以用引号将替代字符串引起来,以便向后兼容旧版的 FireSIGHT 系统软件。如果不加引
号,替代字符串将被自动添加到规则,以使规则在语法上正确。要将前引号或后引号纳入为替代
文本的一部分,必须使用反斜杠对引号进行转义,如以下示例所示:
号,替代字符串将被自动添加到规则,以使规则在语法上正确。要将前引号或后引号纳入为替代
文本的一部分,必须使用反斜杠对引号进行转义,如以下示例所示:
"replacement text plus \"quotation\" marks""
每个规则可包含多个
replace
关键字,但只能包含一个
content
关键字。只会替换规则找到的内
容中的第一个实例。
下面介绍
replace
关键字的使用示例:
•
如果系统检测到传入数据包包含漏洞,您可以使用一个无害字符串来替换该恶意字符串。有
时,这种方法比单纯地丢弃违规数据包更有效。在某些攻击场景中,攻击者只需重新发送被
丢弃的数据包,直至该数据包绕过网络防御或对网络造成泛洪攻击。通过将一个字符串替换
为另一个字符串 (而非丢弃数据包),可以令攻击者相信其攻击的目标并非易受攻击。
时,这种方法比单纯地丢弃违规数据包更有效。在某些攻击场景中,攻击者只需重新发送被
丢弃的数据包,直至该数据包绕过网络防御或对网络造成泛洪攻击。通过将一个字符串替换
为另一个字符串 (而非丢弃数据包),可以令攻击者相信其攻击的目标并非易受攻击。
•
如果您担心侦察攻击,这类攻击试图了解是您否正在运行易受攻击版本的设备 (例如,网络
服务器),则您可以检测传出数据包,并将横幅替换为自己的文本。
服务器),则您可以检测传出数据包,并将横幅替换为自己的文本。
注
请确保在要其中使用替换规则的内联入侵规则中将规则状态设置为 Generate Events;如果将规则
设置为 Drop and Generate events,将会导致数据包被丢弃,进而造成无法替换内容。
设置为 Drop and Generate events,将会导致数据包被丢弃,进而造成无法替换内容。
在字符串替换过程中,该系统会自动更新数据包校验和,以使目标主机可以毫无差错地接收数据包。
请注意,不能将
replace
关键字与 HTTP 请求消息的
content
关键字选项结合使用。有关详细信
息,请参阅
要在内联部署中替换内容,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
在 Create Rule 页面上,从下拉列表中选择
content
并点击
Add Option
。
系统将显示
content
关键字。
步骤 2
在
content
字段中指定要检测的内容,如有需要,还可以选择任何适用参数。请注意,不能将
HTTP 请求消息的
content
关键字选项与
replace
关键字结合使用。