Cisco Cisco Firepower Management Center 4000 Mode D'Emploi
36-72
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
要指定 DNP3 函数代码,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
在 Create Rule 页面上,从下拉列表中选择
dnp3_func
并点击
Add Option
。
系统将显示
dnp3_func
关键字。
步骤 2
为函数代码指定一个已定义的十进制值 (0 到 255)或者一个已定义的字符串。有关系统识别出
的值和字符串,请参阅
的值和字符串,请参阅
dnp3_ind
可以使用
dnp3_ind
关键字来匹配 DNP3 应用层响应报头中 Internal Indications 字段中的标志。
可以为一个已知标志指定一个字符串,也可以指定以逗号分隔的标志列表,如以下示例所示:
class_1_events, class_2_events
如果指定多个标志,此关键字将会匹配列表中的任何标志。要检测标志组合,可在一个规则中多
次使用
次使用
dnp3_ind
关键字。
以下列表提供了系统识别出的用于已定义的 DNP3 内部指示标志的字符串语法。
class_1_events
class_2_events
class_3_events
need_time
local_control
device_trouble
device_restart
no_func_code_support
object_unknown
parameter_error
event_buffer_overflow
already_executing
config_corrupt
reserved_2
reserved_1
要指定 DNP3 内部指示标志,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
在 Create Rule 页面上,从下拉列表中选择
dnp3_ind
并点击
Add Option
。
系统将显示
dnp3_ind
关键字。
步骤 2
可以为一个已知标志指定一个字符串,也可以指定以逗号分隔的标志列表。
130
unsolicited_response
131
authenticate_resp
表
36-44
DNP3
函数代码 (续)
价值
字符串