Cisco Cisco Firepower Management Center 2000 User Guide
36-13
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
步骤 4
在
Classification Name
字段中键入分类的名称。
最多可以使用 255 个字母数字字符,但如果使用的字符超过 40 个,页面将难以阅读。不支持以下
字符:
字符:
<>()\'"&$;
以及空格字符。
步骤 5
在
Classification Description
字段中键入对分类的描述。
最多可以使用 255 个字母数字字符和空格。不支持以下字符:
<>()\'"&$;
步骤 6
从
Priority
列表中选择优先级。
可以选择
high
、
medium
或
low
。
步骤 7
点击
添加
。
新类别将被添加到列表并可在规则编辑器中使用。
步骤 8
点击
完成 (Done)
。
定义事件参考
许可证:保护
可以使用
reference
关键字添加对外部网站以及对关于事件的其他信息的参考。添加参考使分析
师可以随时获得所需的资源,从而帮助他们确定数据包触发规则的原因。下表列出了一些可提供
关于已知漏洞和攻击的数据的外部系统。
关于已知漏洞和攻击的数据的外部系统。
要使用规则编辑器指定参考,请从
Detection Options
列表中选择
reference
,并在相应字段中输入一
个值,如下所示:
id_system,id
其中,
id_system
是用作前缀的系统,
id
是 Bugtraq ID、 CVE 编号、 Arachnids ID 或 URL (不包
含
http://
)。
例如,要指定 Microsoft Commerce Server 2002 服务器存在的、Bugtraq ID 为 17134 的身份验证绕
过漏洞,请在
过漏洞,请在
reference
字段中输入以下内容:
bugtraq,17134
向规则添加参考时应注意以下几点:
•
逗号后不能有空格。
•
系统 ID 不能是大写字母。
有关使用规则编辑器构建规则的详细信息,请参阅
。
表
36-6
外部攻击识别系统
系统 ID
说明
示例 ID
bugtraq
Bugtraq 页面
8550
cve
通用漏洞与风险页面
CAN-2003-0702
mcafee
McAfee 页面
98574
url
网站参考
www.example.com?exploit=14
msb
Microsoft 安全公告
MS11-082
nessus
Nessus 页面
10039
secure-url
安全网站参考 (https://...)
intranet/exploits/exploit=14
请注意,可以对任何安全网站使用
secure-url
。