Cisco Cisco Firepower Management Center 4000 Guida Utente
27-54
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
解码 SMTP 流量
可指定 1 到 65535 字节,或者指定 0 以解码数据包中的所有 QP 编码数据。指定 -1 将会忽略
QP 编码数据。如果选择了
QP 编码数据。如果选择了
Ignore Data
,预处理器将不会对数据进行解码。
当启用可打印字符引用编码时,您可以启用规则 124:11,在解码失败时生成事件;解码可能
会由于不正确的编码或损坏的数据而失败。有关详情,请参见
会由于不正确的编码或损坏的数据而失败。有关详情,请参见
Unix-to-Unix Decoding Depth
在
Ignore Data
已禁用的情况下,指定要从每个 Unix-to-Unix 编码(UuEncode 编码)的 MIME
邮件附件中提取和解码的最大字节数。可指定 1 到 65535 字节,或者指定 0 以解码数据包中
的所有 UuEncode 编码数据。指定 -1 将会忽略 UuEncode 编码数据。如果选择了
的所有 UuEncode 编码数据。指定 -1 将会忽略 UuEncode 编码数据。如果选择了
Ignore Data
,
预处理器将不会对数据进行解码。
当启用 Unix-to-Unix 解码时,您可以启用规则 124:13,在解码失败时生成事件;解码可能
会由于不正确的编码或损坏的数据而失败。有关详情,请参见
会由于不正确的编码或损坏的数据而失败。有关详情,请参见
。
Log MIME Attachment Names
允许从 MIME Content-Disposition 报头提取 MIME 附件文件名,并将提取的文件名与为会话
生成的所有入侵事件相关联。支持多个文件名。
生成的所有入侵事件相关联。支持多个文件名。
启用此选项后,可以在入侵事件表视图的 Email Attachment 列中查看与事件相关的文件名。
有关详情,请参见
有关详情,请参见
Log To Addresses
允许从 SMTP RCPT TO 命令提取收件人邮件地址,并将提取的收件人地址与为会话生成的所
有入侵事件相关联。支持多个收件人。
有入侵事件相关联。支持多个收件人。
启用此选项后,可以在入侵事件表视图的 Email Recipient 列中查看与事件相关的收件人。有
关详情,请参见
关详情,请参见
。
Log From Addresses
允许从 SMTP MAIL FROM 命令提取发件人邮件地址,并将提取的发件人地址与为会话生成
的所有入侵事件相关联。支持多个发件人地址。
的所有入侵事件相关联。支持多个发件人地址。
启用此选项后,可以在入侵事件表视图的 Email Sender 列中查看与事件相关的收件人。有关
详情,请参见
详情,请参见
Log Headers
允许提取邮件报头。要提取的字节数取决于
Header Log Depth
中指定的值。
可以使用
content
或
protected_content
关键字来编写将邮件报头数据用作模式的入侵规则。
还可以在入侵事件数据包视图中查看提取的邮件报头。有关详细信息,请参阅
和
。
Header Log Depth
指定在
Log Headers
已启用的情况下要提取的邮件报头的字节数。可指定 0 到 20480 字节。值 0
将会禁用
Log Headers
。
配置 SMTP 解码
许可证:保护
可以使用入侵策略的 SMTP Configuration 页面来配置 SMTP 规范化。有关 SMTP 预处理器配置选
项的详细信息,请参阅
项的详细信息,请参阅