Cisco Cisco Firepower Management Center 2000 User Guide
27-8
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
解码 DCE/RPC 流量
请注意,默认策略中的
default
设置指定受监控网段上其他基于目标的策略未涵盖的所有 IP
地址。因此,不能且不需要为默认策略指定 IP 地址或 CIDR 块/前缀长度,并且不能在其他策
略中将此设置留空或使用地址记法来表示
略中将此设置留空或使用地址记法来表示
any
(例如, 0.0.0.0/0 或 ::/0)。
另请注意,为了让基于目标的策略处理流量,您标识的网络必须匹配您在其中配置该策略的
网络分析策略处理的网络、区域和 VLAN 或是其子集。有关详情,请参见
网络分析策略处理的网络、区域和 VLAN 或是其子集。有关详情,请参见
策略
目标主机或受监控网段上主机使用的 Windows 或 Samba DCE/RPC 实现。有关这些策略的详
细信息,请参阅
细信息,请参阅
请注意,可以启用
Auto-Detect Policy on SMB Session
全局选项,以便在 DCE/RPC 传输是 SMB 时
自动覆盖每个会话的此选项的设置。请参阅
。
SMB Invalid Shares
用于识别一个或多个 SMB 共享资源的字母数字文本字符串,不区分大小写;预处理器将会检
测是否有程序试图连接您指定的共享资源。您可以在逗号分隔列表中指定多个共享,或者可
以将共享用引号引起来 (旧版软件要求这样做,但现在不再有此要求),例如:
测是否有程序试图连接您指定的共享资源。您可以在逗号分隔列表中指定多个共享,或者可
以将共享用引号引起来 (旧版软件要求这样做,但现在不再有此要求),例如:
"C$", D$, "admin", private
当 SMB 端口和 SMB 流量检测功能都处于启用状态时,预处理器会检测 SMB 流量中的无效
共享。
共享。
请注意,大多数情况下,对于被识别为无效共享的 Windows 命名的驱动器,应该在其后面附
上一个美元符号。例如,将驱动器 C 标识为 C$ 或 "C$"。
上一个美元符号。例如,将驱动器 C 标识为 C$ 或 "C$"。
可以启用规则 133:26 为此选项生成事件。有关详情,请参见
。
SMB Maximum AndX Chain
允许的的链式 SMB AndX 命令最大数量,介于 0 到 255 之间。通常,超过若干链式 AndX 命
令即表示存在异常行为,可能代表有躲避行为。指定 1 表示不允许链式命令,指定 0 将会禁
止检测链式命令数量。
令即表示存在异常行为,可能代表有躲避行为。指定 1 表示不允许链式命令,指定 0 将会禁
止检测链式命令数量。
请注意,预处理器会首先计算链式命令数量,如果随附的 SMB 预处理器规则已启用,并且链
式命令数量等于或超过配置的值,预处理器将会生成事件。然后会继续进行处理。
式命令数量等于或超过配置的值,预处理器将会生成事件。然后会继续进行处理。
注
只有 SMB 协议专业人员才可以修改此选项的默认设置。
可以启用规则 133:20 为此选项生成事件。有关详情,请参见
。
RPC proxy traffic only
当
RPC over HTTP Proxy Ports
处于启用状态时,此选项指明检测到的客户端 RPC over HTTP 流量
是仅包含代理流量还是可能包含其他网络服务器流量。例如,端口 80 可能传输代理流量和其
他网络服务器流量。
他网络服务器流量。
此选项处于禁用状态时,将会同时传输代理流量和其他网络服务器流量。例如,如果服务器
是专用代理服务器,请启用此选项。启用此选项后,预处理器会测试流量以确定其是否传输
DCE/RPC,如果不是,预处理器将会忽略该流量,如果是,则继续进行处理。请注意,仅在
已选择
是专用代理服务器,请启用此选项。启用此选项后,预处理器会测试流量以确定其是否传输
DCE/RPC,如果不是,预处理器将会忽略该流量,如果是,则继续进行处理。请注意,仅在
已选择
RPC over HTTP Proxy Ports
复选框的情况下,此选项才有用。
RPC over HTTP Proxy Ports
如果受管设备位于 DCE/RPC 客户端与 MicroSoft IIS RPC 代理服务器之间,可以使用此选项
对 RPC over HTTP 通过每个指定端口传输的 DCE/RPC 流量启用检测。请参阅
对 RPC over HTTP 通过每个指定端口传输的 DCE/RPC 流量启用检测。请参阅
。