Cisco Cisco Firepower Management Center 4000 User Guide

36-100

FireSIGHT 系统用户指南

第 36 章      了解和编写入侵规则       

  过滤 Rule Editor 页面上的规则

在规则过滤器中使用关键字

许可证：保护

每个规则过滤器都可以包含一个或多个关键字，其格式如下：

keyword:argument

其中，

 是

表中的其中一个关键字，

 是要在与该关键字相关的

一个或多个指定字段中搜索的一个字母数字字符串，不区分大小写。

除 

gid

 和 

sid

 之外的所有关键字的参数都会被视为部分字符串。例如，参数 

123

 将返回 

"12345"

、

"41235"

、

"45123"

 等结果。

gid

 和 

sid

 的参数只会返回完全匹配项；例如，

sid:3080

 只会返回结

果 SID 3080。

提示

使用一个或多个字符串来进行过滤可以搜索部分 SID。有关详情，请参见

。

下表介绍了可以用于过滤规则的特定过滤关键字和参数。

表 

规则过滤器关键字 

关键字

说明

示例

arachnids

根据规则引用中的完整或部分 Arachnids ID 返回一个或多个规则。
有关详情，请参见

arachnids:181

bugtraq

根据规则引用中的完整或部分 Bugtraq ID 返回一个或多个规则。有
关详情，请参见

。

bugtraq:2120

cve

根据规则引用中的完整或部分 CVE 编号返回一个或多个规则。有关
详情，请参见

cve:2003-0109

gid

参数 

1

 将返回标准文本规则。参数 

3

 将返回共享对象规则。有关详

细信息，请参阅

 和

gid:3

mcafee

根据规则引用中的完整或部分 McAfee ID 返回一个或多个规则。有
关详情，请参见

。

mcafee:10566

msg

根据规则的完整或部分 Message 字段 （又称为事件消息）返回一个
或多个规则。有关详情，请参见

。

msg:chat

nessus

根据规则引用中的完整或部分 Nessus ID 返回一个或多个规则。有关
详情，请参见

nessus:10737

ref

根据规则引用或规则 Message 字段中一个完整的字母数字字符串或
其一部分返回一个或多个规则。有关详细信息，请参阅

。

ref:MS03-039

sid

返回带有完全匹配的 Signature ID 的规则。有关详情，请参见

sid:235

url

根据规则引用中的完整或部分 URL 返回一个或多个规则。有关详
情，请参见

。

url:faqs.org