Cisco Cisco Firepower Management Center 2000 User Guide

Page of 1826
 
36-13
FireSIGHT 系统用户指南 
 
 36       了解和编写入侵规则 
  了解规则中的关键字和参数  
步骤 4
在 
Classification Name
 字段中键入分类的名称。
最多可以使用 255 个字母数字字符,但如果使用的字符超过 40 个,页面将难以阅读。不支持以下
字符:
<>()\'"&$;
 以及空格字符。
步骤 5
在 
Classification Description
 字段中键入对分类的描述。
最多可以使用 255 个字母数字字符和空格。不支持以下字符:
<>()\'"&$;
步骤 6
从 
Priority
 列表中选择优先级。
可以选择 
high
medium
 或 
low
步骤 7
点击
添加
新类别将被添加到列表并可在规则编辑器中使用。
步骤 8
点击
完成 (Done)
定义事件参考
许可证:保护
可以使用 
reference 
关键字添加对外部网站以及对关于事件的其他信息的参考。添加参考使分析
师可以随时获得所需的资源,从而帮助他们确定数据包触发规则的原因。下表列出了一些可提供
关于已知漏洞和攻击的数据的外部系统。
要使用规则编辑器指定参考,请从 
Detection Options
 列表中选择 
reference
,并在相应字段中输入一
个值,如下所示:
id_system,id
其中,
id_system
 是用作前缀的系统,
id
 是 Bugtraq ID、 CVE 编号、 Arachnids ID 或 URL (不包
含 
http://
)。
例如,要指定 Microsoft Commerce Server 2002 服务器存在的、Bugtraq ID 为 17134 的身份验证绕
过漏洞,请在 
reference
 字段中输入以下内容:
bugtraq,17134
向规则添加参考时应注意以下几点:
  •
逗号后不能有空格。
  •
系统 ID 不能是大写字母。
有关使用规则编辑器构建规则的详细信息,请参阅
表 
36-6
外部攻击识别系统 
系统 ID
说明
示例 ID
bugtraq
Bugtraq 页面
8550
cve
通用漏洞与风险页面
CAN-2003-0702
mcafee
McAfee 页面
98574
url
网站参考
www.example.com?exploit=14
msb
Microsoft 安全公告
MS11-082
nessus
Nessus 页面
10039
secure-url
安全网站参考 (https://...)
intranet/exploits/exploit=14
请注意,可以对任何安全网站使用 
secure-url