Cisco Cisco Firepower Management Center 4000 ユーザーガイド
36-73
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
dnp3_obj
可以使用
dnp3_obj
关键字来匹配请求或响应中的 DNP3 对象报头。
DNP3 数据由一系列不同类型的 DNP3 对象组成,例如模拟输入、二进制输入,等等。每种类型
均以
均以
组进行识别,例如模拟输入组、二进制输入组等,每个组均可由一个十进制值进行识别。每
个组中的对象均以
对象变体进一步识别,例如 16 位整数、 32 位整数、短浮点等,每个这些变体
均指定对象的数据格式。每种类型的对象变体也可以十进制值进行识别。
可以通过为对象报头组和类型和对象变体类型分别指定一个十进制数值来识别对象报头。这两种
类型的组合可定义特定类型的 DNP3 对象。
类型的组合可定义特定类型的 DNP3 对象。
要指定 DNP3 对象的指定,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
在 Create Rule 页面上,从下拉列表中选择
dnp3_obj
并点击
Add Option
。
系统将显示
dnp3_obj
关键字。
步骤 2
指定一个 0 到 255 之间的十进制值来识别已知对象组,并指定另一个 0 到 255 之间的十进制值来
识别已知对象变体类型。
识别已知对象变体类型。
检查数据包特征
许可证:保护
可以编写只针对具有特定特征的数据包生成事件的规则。 FireSIGHT 系统提供以下关键字来评估
数据包特征:
数据包特征:
•
•
•
•
•
dsize
许可证:保护
dsize
关键字测试数据包负载的大小。使用此关键字时,可以用大于号和小于号 (
<
和
>
)指定值
的范围。可以使用以下语法来指定范围:
>number_of_bytes
<number_of_bytes
number_of_bytes<>number_of_bytes
例如,要表示大于 400 字节的数据包大小,请使用
>400
作为
dtype
值。要表示小于 500 字节的数
据包大小,请使用
<500
。要规定规则应对介于 400 到 500 字节 (包含 400 和 500 字节)的任何数
据包触发,请使用
400<>500
。
注意事项
dsize
关键字测试未经任何预处理器解码的数据包。