Cisco Cisco Firepower Management Center 2000 User Guide

36-11

FireSIGHT 系统用户指南 

第 36 章      了解和编写入侵规则 

  了解规则中的关键字和参数  

提示

必须指定规则消息。此外，消息不能只包含空白字符、一个或多个引号、一个或多个撇号或者仅
由空白字符、引号或撇号组成的任意组合。

要在规则编辑器中定义事件消息，请在 

 字段中输入事件消息。有关使用规则编辑器构建

规则的详细信息，请参阅

定义事件优先级

许可证：保护

默认情况下，规则的优先级来源于其事件分类。但是，可以通过向规则添加 

priority

 关键字覆盖

分类优先级。

要使用规则编辑器指定优先级，请从 

 列表中选择 

，然后选择 

、

 

或 

。例如，要为检测网络应用攻击的规则分配 

 优先级，请向该规则添加 

priority

 关键

字，并选择 

 作为优先级。有关使用规则编辑器构建规则的详细信息，请参阅

。

定义入侵事件分类

许可证：保护

对于每个规则，可以指定事件数据包显示中出现的攻击分类。下表列出了每种分类的名称和编号。

表 

规则分类 

编号

分类名称

说明

1

not-suspicious

非可疑流量

2

unknown

未知流量

3

bad-unknown

潜在不良流量

4

attempted-recon

尝试信息泄露

5

successful-recon-limited

信息泄露

6

successful-recon-largescale

大规模信息泄露

7

attempted-dos

尝试拒绝服务

8

successful-dos

拒绝服务攻击

9

attempted-user

尝试获取用户权限

10

unsuccessful-user

未成功获取用户权限

11

successful-user

成功获取用户权限

12

attempted-admin

尝试获取管理员权限

13

successful-admin

成功获取管理员权限

14

rpc-portmap-decode

解码 RPC 查询

15

shellcode-detect

检测到可执行代码

16

string-detect

检测到可疑字符串

17

suspicious-filename-detect

检测到可疑文件名

18

suspicious-login

检测到尝试使用可疑用户名的登录