Cisco Cisco Firepower Management Center 4000 Mode D'Emploi
32-10
FireSIGHT 系统用户指南
第 32 章 使用规则调整入侵策略
过滤入侵策略中的规则
如果过滤器中已在使用该关键字,则提供的参数将替换该关键字的现有参数。
例如,如果点击过滤器面板中
Rule Configuration > Recommendation
下的
Drop and Generate Events
,
Recommendation:"Drop and Generate Events"
会被添加到过滤器文本框中。如果随后点击
Rule Configuration > Recommendation
下的
Generate Events
,过滤器将更改为
Recommendation:"Generate Events"
。
•
当选择属于关键字的过滤器类型组标题 (Category、 Classifications、 Microsoft
Vulnerabilities、 Microsoft Worms、 Priority 和 Rule Update)时,该标题会列出可用参数。
Vulnerabilities、 Microsoft Worms、 Priority 和 Rule Update)时,该标题会列出可用参数。
从这种类型的组中选择项目时,该参数及其应用到的关键字将立即添加到过滤器中。如果该
关键字已经在过滤器中,它将替换与该组对应的关键字的现有参数。
关键字已经在过滤器中,它将替换与该组对应的关键字的现有参数。
例如,如果点击过滤器面板上
Category
下的
os-linux
,
Category:"os-linux"
会被添加到过滤器
文本框中。如果随后点击
Category
下的
os-windows
,过滤器将更改为
Category:"os-windows"
。
•
Rule Content 下的 Reference 是关键字,其下方列出的具体引用 ID 类型同样如此。选择任何引
用关键字时,系统都会显示一个弹出窗口,供您运用参数并向现有过滤器添加关键字。如果
过滤器中已在使用该关键字,则提供的新参数将替换现有参数。
用关键字时,系统都会显示一个弹出窗口,供您运用参数并向现有过滤器添加关键字。如果
过滤器中已在使用该关键字,则提供的新参数将替换现有参数。
例如,如果点击过滤器面板中的
Rule Content > Reference > CVE ID
,系统将显示弹出窗口,提示您
提供 CVE ID。如果输入
2007
,则
CVE:”2007”
会被添加到过滤器文本框中。又如,如果点击
过滤器面板中的
Rule Content > Reference
,系统将显示弹出窗口,提示您提供该引用。如果输入
2007
,则
Reference:”2007”
会被添加到过滤器文本框中。
•
当从不同的组中选择规则过滤器关键字时,会将每个过滤器关键字都添加到过滤器中并保留
所有现有关键字 (除非被同一关键字的新值覆盖)。
所有现有关键字 (除非被同一关键字的新值覆盖)。
例如,如果点击过滤器面板中
Category
下的
os-linux
,
Category:"os-linux"
会被添加到过滤器
文本框中。如果随后点击
Microsoft Vulnerabilities
下的
MS00-006
,过滤器将更改为
Category:"os-linux" MicrosoftVulnerabilities:"MS00-006"
。
•
当选择多个关键字时,系统会使用 AND 逻辑将其合并,创建合成的搜索过滤器。例如,如果
选择
选择
Category
下的
preprocessor
,然后选择
Rule Content > GID
并输入
116
,会得到过滤器
Category: “preprocessor” GID:”116”
,检索属于预处理器规则而且 GID 为 116 的所有规则。
•
Category、Microsoft Vulnerabilities、Microsoft Worms、Platform Specific 和 Priority 过滤器组
可以为一个关键字提交多个参数,以逗号分隔。例如,按住 Shift,然后从
可以为一个关键字提交多个参数,以逗号分隔。例如,按住 Shift,然后从
Category
中选择
os-linux
和
os-windows
得到过滤器
Category:"os-windows,os-linux"
,检索
os-linux
类别中或
os-windows
类别中的任意规则。
同一规则可以按多个过滤器关键字/参数对进行检索。例如,如果按
dos
类别过滤规则,系统将显
示 DOS Cisco 尝试规则 (SID 1545),按
High
优先级进行过滤亦如此。
注
思科 VRT 可能会使用规则更新机制来添加和删除规则过滤器。
请注意, Rules 页面中的规则可以是共享对象规则 (生成器 ID 为 3),也可以是标准文本规则
(生成器 ID 为 1)。下表介绍不同的规则过滤器。
表
32-4
规则过滤器组
过滤器组
说明
是否支持多
个参数?
个参数?
标题为…… 列表中的项目为……
Rule
Configuration
Configuration
根据规则的配置查找规则。请参阅
否
组
关键词
Rule Content
根据规则的内容查找规则。请参阅
否
组
关键词