Cisco Cisco Firepower Management Center 2000 User Guide
36-12
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
要在规则编辑器中指定分类,请从
Classification
列表中选择分类。有关规则编辑器的详细信息,
请参阅
。
添加自定义分类
许可证:保护
如果想将更多自定义内容用于对所定义的规则生成的事件的数据包显示描述中,可创建自定义分类。
要向 Classification 列表添加分类,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
选择
Policies > Intrusion > Rule Editor
。
系统将显示 Rule Editor 页面。
步骤 2
点击
Create Rule
。
系统将显示 Create Rule 页面。
步骤 3
在
Classification
下拉列表中点击
Edit Classifications
。
系统将显示一个弹出窗口。
19
system-call-detect
检测到系统调用
20
tcp-connection
检测到 TCP 连接
21
trojan-activity
检测到网络木马
22
unusual-client-port-connection 客户端使用异常端口
23
network-scan
检测网络扫描
24
denial-of-service
检测拒绝服务攻击
25
non-standard-protocol
检测非标准协议或事件
26
protocol-command-decode
通用协议命令解码
27
web-application-activity
访问可能易受攻击的网络应用
28
web-application-attack
网络应用攻击
29
misc-activity
其他活动
30
misc-attack
其他攻击
31
icmp-event
一般 ICMP 事件
32
inappropriate-content
检测到不当内容
33
policy-violation
可能违反公司隐私策略
34
default-login-attempt
尝试使用默认用户名和密码登录
35
sdf
敏感数据
36
malware-cnc
已知恶意软件命令和控制流量
37
client-side-exploit
已知客户端攻击尝试
38
file-format
已知的恶意文件或基于文件的攻击
表
36-5
规则分类 (续)
编号
分类名称
说明