Cisco Cisco Firepower Management Center 2000 User Guide

32-10

FireSIGHT 系统用户指南

第 32 章      使用规则调整入侵策略       

  过滤入侵策略中的规则

如果过滤器中已在使用该关键字，则提供的参数将替换该关键字的现有参数。

例如，如果点击过滤器面板中 

 下的 

，

Recommendation:"Drop and Generate Events"

 会被添加到过滤器文本框中。如果随后点击 

 下的 

，过滤器将更改为 

Recommendation:"Generate Events"

。

当选择属于关键字的过滤器类型组标题 （Category、 Classifications、 Microsoft 
Vulnerabilities、 Microsoft Worms、 Priority 和 Rule Update）时，该标题会列出可用参数。

从这种类型的组中选择项目时，该参数及其应用到的关键字将立即添加到过滤器中。如果该
关键字已经在过滤器中，它将替换与该组对应的关键字的现有参数。

例如，如果点击过滤器面板上 

 下的 

，

Category:"os-linux"

 会被添加到过滤器

文本框中。如果随后点击 

 下的 

，过滤器将更改为 

Category:"os-windows"

。

Rule Content 下的 Reference 是关键字，其下方列出的具体引用 ID 类型同样如此。选择任何引
用关键字时，系统都会显示一个弹出窗口，供您运用参数并向现有过滤器添加关键字。如果
过滤器中已在使用该关键字，则提供的新参数将替换现有参数。

例如，如果点击过滤器面板中的 

，系统将显示弹出窗口，提示您

提供 CVE ID。如果输入 

2007

，则 

CVE:”2007”

 会被添加到过滤器文本框中。又如，如果点击

过滤器面板中的 

，系统将显示弹出窗口，提示您提供该引用。如果输入 

2007

，则 

Reference:”2007”

 会被添加到过滤器文本框中。

当从不同的组中选择规则过滤器关键字时，会将每个过滤器关键字都添加到过滤器中并保留
所有现有关键字 （除非被同一关键字的新值覆盖）。

例如，如果点击过滤器面板中 

 下的 

，

Category:"os-linux"

 会被添加到过滤器

文本框中。如果随后点击

 下的 

，过滤器将更改为 

Category:"os-linux" MicrosoftVulnerabilities:"MS00-006"

。

当选择多个关键字时，系统会使用 AND 逻辑将其合并，创建合成的搜索过滤器。例如，如果
选择 

 下的 

，然后选择 

 并输入 

116

，会得到过滤器 

Category: “preprocessor” GID:”116”

，检索属于预处理器规则而且 GID 为 116 的所有规则。

Category、Microsoft Vulnerabilities、Microsoft Worms、Platform Specific 和 Priority 过滤器组
可以为一个关键字提交多个参数，以逗号分隔。例如，按住 Shift，然后从 

 中选择 

 和 

 得到过滤器 

Category:"os-windows,os-linux"

，检索 

os-linux

 类别中或 

os-windows

 类别中的任意规则。

同一规则可以按多个过滤器关键字/参数对进行检索。例如，如果按 

 类别过滤规则，系统将显

示 DOS Cisco 尝试规则 (SID 1545)，按 

 优先级进行过滤亦如此。

注

思科 VRT 可能会使用规则更新机制来添加和删除规则过滤器。

请注意， Rules 页面中的规则可以是共享对象规则 （生成器 ID 为 3），也可以是标准文本规则

（生成器 ID 为 1）。下表介绍不同的规则过滤器。

表 

规则过滤器组 

过滤器组

说明

是否支持多
个参数？

标题为…… 列表中的项目为……

Rule 
Configuration

根据规则的配置查找规则。请参阅

否

组

关键词

Rule Content

根据规则的内容查找规则。请参阅

否

组

关键词