Cisco Cisco Firepower Management Center 2000 User Guide
41-34
FireSIGHT 系统用户指南
第 41 章 处理入侵事件
解读预处理器事件
有关详细信息,请参阅以下各节:
•
•
了解预处理器事件数据包显示
许可证:保护
预处理器事件与规则事件的不同之处在于,数据包显示不包含对事件的详细规则说明。相反,数
据包显示的是事件消息、生成器 ID、 Snort ID、数据包报头数据和数据包负载。这让您可以分析
数据包的报头信息,确定数据包的报头选项是否正在使用以及它们是否会令系统出现漏洞,并检
查数据包负载。预处理器分析每个数据包后,规则引擎对其执行适当的规则 (如果预处理器能够
整理数据包并将其作为有效会话的一部分),进一步分析潜在内容级别的威胁并提供相关报告。
据包显示的是事件消息、生成器 ID、 Snort ID、数据包报头数据和数据包负载。这让您可以分析
数据包的报头信息,确定数据包的报头选项是否正在使用以及它们是否会令系统出现漏洞,并检
查数据包负载。预处理器分析每个数据包后,规则引擎对其执行适当的规则 (如果预处理器能够
整理数据包并将其作为有效会话的一部分),进一步分析潜在内容级别的威胁并提供相关报告。
解读预处理器生成器 ID
许可证:保护
每个预处理器都有自己的生成器 ID (即 GID),用以指明数据包触发的是哪个预处理器。某些预
处理器还具有相关 SID,这是用于对潜在攻击进行分类的 ID 编号。这有助于通过对事件类型进行
分类从而更有效地分析事件,就像规则的 Snort ID (SID) 能提供数据包触发规则的上下文一样。
可以在入侵策略“规则”页面的“预处理器”筛选组中按预处理器列出预处理器规则;还可以在
“类别”筛选组的预处理器和数据包解码器子组中列出预处理器规则。有关详细信息,请参阅
处理器还具有相关 SID,这是用于对潜在攻击进行分类的 ID 编号。这有助于通过对事件类型进行
分类从而更有效地分析事件,就像规则的 Snort ID (SID) 能提供数据包触发规则的上下文一样。
可以在入侵策略“规则”页面的“预处理器”筛选组中按预处理器列出预处理器规则;还可以在
“类别”筛选组的预处理器和数据包解码器子组中列出预处理器规则。有关详细信息,请参阅
和
。
注
由标准文本规则生成的事件带有生成器 ID 1。事件的 SID 指明触发的是哪条具体规则。对于共享
对象规则,事件带有一个生成器 ID 3 和一个用以指明触发了哪条具体规则的 SID。
对象规则,事件带有一个生成器 ID 3 和一个用以指明触发了哪条具体规则的 SID。
下表介绍了生成每个 GID 的事件的类型。
表
41-7
生成器
ID
ID
组件
说明
有关详细信息,请参阅......
1
标准文本规则
数据包触发标准文本规则时生成此事件。
2
带标记数据包
事件由标记生成器生成 (标记生成器会根据带标记
会话生成数据包)。使用
会话生成数据包)。使用
tag
规则选项时会出现这
种情况。
3
共享对象规则
数据包触发共享对象规则时生成此事件。
102
HTTP 解码器
解码器引擎解码数据包中的 HTTP 数据。
105
Back Orifice 检测器
Back Orifice 检测器检测到与数据包关联的一个
Back Orifice 攻击。
Back Orifice 攻击。
106
RPC 解码器
RPC 解码器解码数据包。
116
数据包解码器
事件由数据包解码器生成。