Cisco Cisco Firepower Management Center 2000 User Guide

Page of 1826
 
32-16
FireSIGHT 系统用户指南
  
 32       使用规则调整入侵策略       
  过滤入侵策略中的规则
您可以使用关键字和参数、字符串及带引号的原义字符串,以空格分隔多个过滤条件。过滤器不
能包含正则表达式、通配符或任何特殊运算符,例如取反字符 (!)、大于号 (>) 和小于号 (<) 等。
当键入的搜索条件没有关键字、关键字的首字母没有大写或者没有用引号将参数引起来时,该搜
索将被视为字符串搜索,并搜索类别、消息和 SID 字段中有无指定条件。
所有关键字、关键字参数和字符串都不区分大小写。除关键字 
gid
 和 
sid
 之外,所有参数和字符
串都被视为部分字符串。
gid
 和 
sid
 的参数只会返回完全匹配项。
每个规则过滤器都可以包含一个或多个关键字,其格式如下:
Keyword:”argument”
其中,
keyword
 是
argument
 则是要在与该关键字
相关的一个或多个指定字段中搜索的一个字母数字字符串,需用双引号引起来且不区分大小写。
请注意,键入的关键字应该首字母大写。
除 
gid
 和 
sid
 之外的所有关键字的参数都会被视为部分字符串。例如,参数 
123
 将返回 
"12345"
"41235"
"45123"
 等结果。
gid
 和 
sid
 的参数只会返回完全匹配项;例如,
sid:3080
 只会返回结
果 
SID 3080
每个规则过滤器还可以包含一个或多个字母数字字符串。字符串将搜索规则的 Message 字段、
Signature ID 和 Generator ID。例如,字符串 
123
 会返回规则消息中的 
"Lotus123"
"123mania"
 等
字符串,也会返回 
SID 6123
SID 12375
 等。有关规则的 Message 字段的详细信息,请参阅
有关规则的 SID 和 GID 的详细信息,请参阅
。使用一个或多个字符串来进行过滤可以搜索部分 SID。
所有字符串都不区分大小写并被视为部分字符串。例如,
ADMIN
admin
 或 
Admin
 等字符串中任意
一个字符串都会返回 
"admin"
"CFADMIN"
"Administrator"
 等结果。
用引号将字符串引起来可以返回完全匹配项。例如,用引号引起来的原义字符串 
"overflow 
attempt"
 只会返回完全匹配的该字符串,而由 
overflow
 和 
attempt
 这两个字符串组成的未加引号
的过滤器则会返回 
"overflow attempt"
"overflow multipacket attempt"
"overflow with 
evasion attempt"
 等结果。
输入关键字、文字字符串或这二者的任意组合并以空格分隔可以缩小过滤结果的范围。结果包括
符合所有过滤条件的任意规则。
可以按照任意顺序输入多个过滤条件。例如,以下每个过滤器返回的规则相同:
  •
url:at login attempt cve:200
  •
login attempt cve:200 url:at
  •
login cve:200 attempt url:at
在入侵策略中设置规则过滤器
许可证:保护
您可以对 Rules 页面中的规则进行过滤来显示其中一组规则。然后,您可以使用该页面的任何功
能,包括选择上下文菜单中可用的任何功能。例如,当您需要为某个特定类别的所有规则设置阈
值时,此功能会非常有用。您可以对已过滤或未过滤列表中的规则使用相同的功能。例如,您可
以将新的规则状态应用到已过滤或未过滤列表中的规则。
可以从入侵策略中 Rules 页面左侧的过滤器面板中选择预定义的过滤器关键字。选择过滤器时,
该页面会显示所有匹配的规则,或者指出没有匹配的规则。
有关可以使用的所有关键字和参数以及如何在过滤器面板中构造过滤器的详细信息,请参阅
您可以对过滤器添加关键字来进一步对其进行限制。输入的任何过滤器都会搜索整个规则数据库
并返回所有匹配的规则。当您在页面仍显示上一过滤器的结果时输入过滤条件,页面将清空,转
而返回新过滤器的结果。