Cisco Cisco Firepower Management Center 4000 User Guide
36-89
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
有关详细信息,请参阅以下各节:
•
•
file_type
使用
file_type
关键字可指定在流量中检测到的文件的类型和版本。文件类型参数 (例如
JPEG
和
PDF
)用于识别要在流量中查找的文件格式。
注
不能在同一个入侵规则中将
file_type
关键字与其他
file_type
或
file_group
关键字结合使用。
系统默认选择
Any Version
,但某些文件类型允许选择版本选项 (例如 PDF 版本
1.7
)来确定要在流
量中查找的特定文件类型版本。
要查看和配置最新的文件类型和版本,请更新 VDB。有关详细信息,请参阅
要在入侵规则中选择文件类型和版本,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
在 Create Rule 页面上,从下拉列表中选择
file_type
并点击
Add Option
。
系统将显示
file_type
关键字。
步骤 2
从下拉列表中选择一个或多个文件类型。选择文件类型会自动将相应的参数添加到规则。
要从规则中移除文件类型参数,请点击要移除的文件类型旁边的删除 (
) 图标。
步骤 3
或者,可以为每种文件类型自定义目标版本。系统默认选择
Any Version
,但某些文件类型允许选
择单个目标版本。
注
更新 VDB 可以使规则编辑器获得最新的文件类型和版本。如果选择
Any Version
,系统将会配置规
则,以包含在以后的 VDB 更新中添加的新版本。
file_group
使用
file_group
关键字可选择思科定义的、包含在流量中找到的类似文件类型 (例如
多媒体
或
音
频
)的组。文件组还包含思科为组中的每种文件类型定义的版本。
SMTP
SMTP 预处理器;请参阅
。
IMAP
IMAP 预处理器;请参阅
。
POP3
POP 预处理器;请参阅
。
NetBIOS-ssn (SMB)
SMB File Inspection
DCE/RPC 预处理器选项;请参阅
。
表
36-59
file_type
和
file_group
入侵事件生成
传输协议
需要的预处理器或预处理器选项