Cisco Cisco Firepower Management Center 4000 User Guide

36-72

FireSIGHT 系统用户指南

第 36 章      了解和编写入侵规则       

  了解规则中的关键字和参数

要指定 DNP3 函数代码，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

在 Create Rule 页面上，从下拉列表中选择 

 并点击 

。

系统将显示 

dnp3_func

 关键字。

步骤 2

为函数代码指定一个已定义的十进制值 （0 到 255）或者一个已定义的字符串。有关系统识别出
的值和字符串，请参阅 

可以使用 

dnp3_ind

 关键字来匹配 DNP3 应用层响应报头中 Internal Indications 字段中的标志。

可以为一个已知标志指定一个字符串，也可以指定以逗号分隔的标志列表，如以下示例所示：

class_1_events, class_2_events

如果指定多个标志，此关键字将会匹配列表中的任何标志。要检测标志组合，可在一个规则中多
次使用 

dnp3_ind

 关键字。

以下列表提供了系统识别出的用于已定义的 DNP3 内部指示标志的字符串语法。

class_1_events

class_2_events

class_3_events

need_time

local_control

device_trouble

device_restart

no_func_code_support

object_unknown

parameter_error

event_buffer_overflow

already_executing

config_corrupt

reserved_2

reserved_1

要指定 DNP3 内部指示标志，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

在 Create Rule 页面上，从下拉列表中选择 

 并点击 

。

系统将显示 

dnp3_ind

 关键字。

步骤 2

可以为一个已知标志指定一个字符串，也可以指定以逗号分隔的标志列表。

130

unsolicited_response

131

authenticate_resp

表 

函数代码 （续）

价值

字符串