Cisco Cisco Firepower Management Center 4000 User Guide
36-100
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
过滤 Rule Editor 页面上的规则
•
•
在规则过滤器中使用关键字
许可证:保护
每个规则过滤器都可以包含一个或多个关键字,其格式如下:
keyword:argument
其中,
keyword
是
表中的其中一个关键字,
argument
是要在与该关键字相关的
一个或多个指定字段中搜索的一个字母数字字符串,不区分大小写。
除
gid
和
sid
之外的所有关键字的参数都会被视为部分字符串。例如,参数
123
将返回
"12345"
、
"41235"
、
"45123"
等结果。
gid
和
sid
的参数只会返回完全匹配项;例如,
sid:3080
只会返回结
果 SID 3080。
提示
使用一个或多个字符串来进行过滤可以搜索部分 SID。有关详情,请参见
。
下表介绍了可以用于过滤规则的特定过滤关键字和参数。
表
36-62
规则过滤器关键字
关键字
说明
示例
arachnids
根据规则引用中的完整或部分 Arachnids ID 返回一个或多个规则。
有关详情,请参见
有关详情,请参见
arachnids:181
bugtraq
根据规则引用中的完整或部分 Bugtraq ID 返回一个或多个规则。有
关详情,请参见
关详情,请参见
。
bugtraq:2120
cve
根据规则引用中的完整或部分 CVE 编号返回一个或多个规则。有关
详情,请参见
详情,请参见
cve:2003-0109
gid
参数
1
将返回标准文本规则。参数
3
将返回共享对象规则。有关详
细信息,请参阅
gid:3
mcafee
根据规则引用中的完整或部分 McAfee ID 返回一个或多个规则。有
关详情,请参见
关详情,请参见
。
mcafee:10566
msg
根据规则的完整或部分 Message 字段 (又称为事件消息)返回一个
或多个规则。有关详情,请参见
或多个规则。有关详情,请参见
。
msg:chat
nessus
根据规则引用中的完整或部分 Nessus ID 返回一个或多个规则。有关
详情,请参见
详情,请参见
nessus:10737
ref
根据规则引用或规则 Message 字段中一个完整的字母数字字符串或
其一部分返回一个或多个规则。有关详细信息,请参阅
其一部分返回一个或多个规则。有关详细信息,请参阅
。
ref:MS03-039
sid
返回带有完全匹配的 Signature ID 的规则。有关详情,请参见
sid:235
url
根据规则引用中的完整或部分 URL 返回一个或多个规则。有关详
情,请参见
情,请参见
。
url:faqs.org