Cisco Cisco Firepower Management Center 2000 User Guide

Page of 1826
 
36-98
FireSIGHT 系统用户指南
  
 36       了解和编写入侵规则       
  搜索规则
提示
系统还会将您连同修改后的报头信息一起保存的共享对象规则存储在本地规则类别中,并以 3 作为 
GID 将它们列出来。您可以删除您修改后的共享对象规则版本,但不能删除原始共享对象规则。
搜索规则
许可证:保护
FireSIGHT 系统提供成千上万个标准文本规则;而随着不断发现新的漏洞和攻击,思科漏洞研究
团队会继续添加规则。您可以轻松搜索您想要激活、禁用或编辑的特定规则。
下表介绍了可用的搜索选项:
表 
36-61
规则搜索条件 
选项
说明
Signature ID
要根据 Snort ID (又称为 Signature ID)搜索一个规则,请输入一个 Snort ID 
号。要搜索多个规则,请输入以逗号分隔的 Snort ID 号列表。此字段中最多可
输入 80 个字符。
Generator ID
要搜索标准文本规则,请选择 
1
。要搜索共享对象规则,请选择 
3
通信
要搜索带有特殊消息的规则,请在 
Message
 字段中输入规则消息中的一个字。
例如,要搜索 DNS 攻击,可输入 
DNS
;要搜索缓冲区溢出攻击,可输入 
overflow
协议
要搜索评估特定协议的流量的规则,请选择该协议。如果不选择协议,搜索结
果将包含适用于所有协议的规则。
源端口
要搜索检查来自指定端口的数据包的规则,请输入源端口号或端口相关变量。
目的端口
要搜索检查发往特定端口的数据包的规则,请输入目标端口号或端口相关变量。
源 IP:
要搜索检查来自指定 IP 地址的数据包的规则,请输入源 IP 地址或 IP 地址相关
变量。
目标 IP:
要搜索检查发往指定 IP 地址的数据包的规则,请输入目标 IP 地址或 IP 地址相
关变量。
关键字
要搜索特定关键字,可以使用关键字搜索选项。可以选择要搜索的关键字和关
键字值。也可以在关键字值前面加上感叹号 (
!
) 以匹配任何未指定的值。
类别
要搜索特定类别中的规则,请从 
Category
 列表中选择该类别。
分类
要搜索具有特定分类的规则,请从 
Classification
 列表中选择该分类名称。
Rule State
要在特定策略和特定规则状态中搜索规则,请从第一个 
Rule State
 列表中选择策
略,并从第二个列表中选择状态,以搜索状态设置为 
Generate Events
Drop and 
Generate Events
 或 
Disabled
 的规则。