Cisco Cisco Firepower Management Center 4000 Mode D'Emploi
36-41
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
搜索带有元数据的规则
许可证:保护
要搜索使用
metadata
关键字的规则,请在规则搜索页面上选择
metadata
关键字,或者键入元数
据的任何部分。例如,可以键入:
•
author
,以显示在其中对
key
使用了
author
的所有规则。
•
author snortguru
,以显示在其中对
key
使用了
author
并对
value
使用了
SnortGuru
的所有规则。
•
author s
,以显示在其中为
key
使用了
author
关键字并对
value
使用了任何词条 (例如
SnortGuru
、
SnortUser1
或
SnortUser2
)的所有规则。
提示
如果同时搜索
key
和
value
,应在搜索中使用与规则的
key value
声明中使用的相同连接符(等号
[=] 或空格字符);搜索将返回不同的结果,具体取决于
key
后面跟的是等号 (=) 还是空格字符。
请注意,无论使用何种格式添加元数据,系统都会将元数据搜索词解释为
key value
或
key=value
语句的全部或一部分。例如,以下是没有遵循
key value
或
key=value
格式的有效元数据:
ab cd ef gh
但是,系统会将此示例中的每个空格解释为关键字和值之间的分隔符。因此,对于并列和单个术
语,可以使用以下任何搜索成功查找到包含示例元数据的规则:
语,可以使用以下任何搜索成功查找到包含示例元数据的规则:
cd ef
ef gh
ef
但是,使用以下搜索不能找到该规则 (在该搜索中,系统将会作为单个
key value
语句进行解释):
ab ef
有关详细信息,请参阅
。
设置影响级别 1
许可证:保护
可以在
metadata
关键字中使用以下保留的
key value
声明:
impact_flag red
此
key value
声明会将您导入的本地规则或您使用规则编辑器创建的自定义规则的影响标志设置
为红色 (级别 1)。
请注意,当 VRT 在思科提供的某个规则中包含
impact_flag red
语句时,VRT 已经确定触发该规
则的数据包指示源主机或目标主机可能已被病毒、特洛伊木马或其他恶意软件感染。有关详细信
息,请参阅
息,请参阅
检查 IP 报头值
许可证:保护
可以使用关键字来识别数据包 IP 报头中可能存在的攻击或安全策略违规。有关详细信息,请参阅
以下各节:
以下各节:
•
•
•
•
•
•