Cisco Cisco Firepower Management Center 4000 User Guide
36-86
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
下图说明了上述规则分片中
flowbits
关键字的影响:
在第三个规则分片中,
flowbits:isset,http.jpeg
确定是否已设置现在不相关的
http.jpeg
状态,
content
和
pcre
则匹配在 JPEG 文件中是恶意的但在 GIF 文件中并非恶意的内容。第三个规则分
片会针对 JPEG 文件中不存在漏洞生成误报事件。
防止误报的 flowbits 示例
以下示例说明在一个组中包含多个状态名称并使用
setx
运算符如何能防止误报。
以下规则分片与上一个规则分片示例大致相同,不同之处是,以下示例的前两个规则将两个不同
的状态名称包含在同一个状态组中。
的状态名称包含在同一个状态组中。
(msg:"JPEG transfer"; content:"image/";pcre:"/^Content-
Type\x3a(\s*|\s*\r?\n\s+)image\x2fp?jpe?g/smi";
flowbits:setx,http.jpeg,image_downloads; flowbits:noalert;)
下图说明了上述规则分片中
flowbits
关键字的影响:
如果第一个规则分片检测到 JPEG 文件下载,
flowbits:setx,http.jpeg,image_downloads
关键字
会将
flowbits
状态设置为
http.jpeg
,并将该状态包含在
image_downloads
组中。
然后,下一个规则会后续 GIF 文件下载:
(msg:"GIF transfer"; content:"image/"; pcre:"/^Content-
Type\x3a(\s*|\s*\r?\n\s+)image\x2fgif/smi";
flowbits:setx,http.tif,image_downloads; flowbits:noalert;)
下图说明了上述规则分片中
flowbits
关键字的影响:
当第二个规则分片与 GIF 下载相匹配时,
flowbits:setx,http.gif,image_downloads
关键字将会
设置
http.gif
flowbits
状态,并取消设置组中的另一个状态
http.jpeg
。