Manualsbrain.com
  1. Manuals
  2. Brands
  3. Cisco
  4. Cisco Firepower Management Center 2000
  5. User Guide

Cisco Cisco Firepower Management Center 2000 User Guide

Download
Page of 1826
 
36-41
FireSIGHT 系统用户指南 
 
 36       了解和编写入侵规则 
  了解规则中的关键字和参数  
搜索带有元数据的规则
许可证:保护
要搜索使用 
metadata
 关键字的规则,请在规则搜索页面上选择 
metadata
 关键字,或者键入元数
据的任何部分。例如,可以键入:
  •
author
,以显示在其中对 
key
 使用了 
author
 的所有规则。
  •
author snortguru
,以显示在其中对 
key
 使用了 
author
 并对 
value
 使用了 
SnortGuru
 的所有规则。
  •
author s
,以显示在其中为 
key
 使用了 
author
关键字并对 
value
 使用了任何词条 (例如 
SnortGuru
SnortUser1
 或 
SnortUser2
)的所有规则。
提示
如果同时搜索 
key
 和 
value
,应在搜索中使用与规则的 
key value
 声明中使用的相同连接符(等号 
[=] 或空格字符);搜索将返回不同的结果,具体取决于 
key
 后面跟的是等号 (=) 还是空格字符。
请注意,无论使用何种格式添加元数据,系统都会将元数据搜索词解释为 
key value
 或 
key=value
 
语句的全部或一部分。例如,以下是没有遵循 
key value
 或 
key=value
 格式的有效元数据:
ab cd ef gh
但是,系统会将此示例中的每个空格解释为关键字和值之间的分隔符。因此,对于并列和单个术
语,可以使用以下任何搜索成功查找到包含示例元数据的规则:
cd ef
ef gh
ef
但是,使用以下搜索不能找到该规则 (在该搜索中,系统将会作为单个 
key value
 语句进行解释):
ab ef
有关详细信息,请参阅
设置影响级别 1
许可证:保护
可以在 
metadata
 关键字中使用以下保留的 
key value
 声明:
impact_flag red
此 
key value
 声明会将您导入的本地规则或您使用规则编辑器创建的自定义规则的影响标志设置
为红色 (级别 1)。
请注意,当 VRT 在思科提供的某个规则中包含 
impact_flag red
 语句时,VRT 已经确定触发该规
则的数据包指示源主机或目标主机可能已被病毒、特洛伊木马或其他恶意软件感染。有关详细信
息,请参阅
检查 IP 报头值
许可证:保护
可以使用关键字来识别数据包 IP 报头中可能存在的攻击或安全策略违规。有关详细信息,请参阅
以下各节:
  •
  •
  •
  •
  •
  •