Cisco Cisco Firepower Management Center 2000 User Guide
36-90
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
注
不能在同一个入侵规则中将
file_group
关键字与另一个
file_group
或
file_type
关键字结合使用。
要查看和配置最新的文件组,请更新 VDB。有关详细信息,请参阅
要在入侵规则中选择文件组,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
在 Create Rule 页面上,从下拉列表中选择
file_group
并点击
Add Option
。
系统将显示
file_group
关键字。
步骤 2
或者,如果要查看某个组中文件类型的版本信息,请将指针悬停在该组上并点击
(Show Version Info)
。
文件组信息将展开以显示版本。
步骤 3
选择要添加到规则的文件组。
指向特定负载类型
许可证:保护
file_data
关键字提供一个指针,该指针作为可用于其他关键字 (例如
content
、
byte_jump
、
byte_test
和
pcre
)的位置参数参考。检测到的流量确定
file_data
关键字指向的数据类型。您
可以使用
file_data
关键字指向以下负载类型的开头:
•
HTTP 响应正文
要检查 HTTP 响应数据包,必须启用 HTTP 检查预处理器,还必须将该预处理器配置为会检
查 HTTP 响应。有关详细信息,请参阅
查 HTTP 响应。有关详细信息,请参阅
和
Inspect HTTP Responses
。如果 HTTP 检查预处理器检测到
HTTP 响应正文数据,
file_data
关键字将会进行匹配。
•
未压缩的 gzip 文件数据
要检查 HTTP 响应正文中未压缩的 gzip 文件,必须启用 HTTP 检查预处理器,还必须将该预
处理器配置为会检查 HTTP 响应以及会解压缩 HTTP 响应正文中的 gzip 压缩文件。有关详细
信息,请参阅
处理器配置为会检查 HTTP 响应以及会解压缩 HTTP 响应正文中的 gzip 压缩文件。有关详细
信息,请参阅
以及
Inspect HTTP Responses
和
Inspect Compressed Data
选项。如果 HTTP 检查预处理器在
HTTP 响应正文中检测到未压缩的 gzip 数据,
file_data
关键字将会进行匹配。
•
规范化的 JavaScript
要检查规范化的 JavaScript 数据,必须启用 HTTP 检查预处理器,还必须将该预处理器配置
为检查 HTTP 响应。有关详细信息,请参阅
为检查 HTTP 响应。有关详细信息,请参阅
Inspect HTTP Responses
。如果 HTTP 检查预处理器在响
应主体数据中检测到 JavaScript,
file_data
关键字将会进行匹配。
•
SMTP 负载
要检查 SMTP 负载,必须启用 SMTP 预处理器。有关详情,请参见
。如果 SMTP 预处理器检测到 SMTP 数据,
file_data
关键字将会进行匹配。