Cisco Cisco Firepower Management Center 4000 用户指南
32-11
FireSIGHT 系统用户指南
第 32 章 使用规则调整入侵策略
过滤入侵策略中的规则
了解规则配置过滤器
许可证:保护
您可以按多个规则配置设置来过滤 Rules 页面中列出的规则。例如,如果要查看规则状态与建议
的规则状态不匹配的一组规则,可以选择
的规则状态不匹配的一组规则,可以选择
Does not match recommendation
来根据规则状态进行过滤。
点击条件列表中的节点选择关键字时将显示一个弹出窗口,供您提供要作为过滤条件的参数。
如果过滤器中已在使用该关键字,则提供的参数将替换该关键字的现有参数。
例如,如果点击过滤器面板中
Rule Configuration > Recommendation
下的
Drop and Generate Events
,
Recommendation:"Drop and Generate Events"
会被添加到过滤器文本框中。如果随后点击
Rule
Configuration > Recommendation
下的
Generate Events
,过滤器将更改为
Recommendation:"Generate
Events"
。
有关可用于过滤的规则配置设置的详细信息,请参阅以下操作步骤。
Category
根据规则编辑器使用的规则类别来查找规则。请注
意,本地规则显示于本地子组中。请参阅
意,本地规则显示于本地子组中。请参阅
是
关键字
参数
Classifications
根据规则生成的事件的数据包显示中所显示的攻击
分类来查找规则。请参阅
分类来查找规则。请参阅
否
关键字
参数
Microsoft
Vulnerabilities
Vulnerabilities
根据 Microsoft 公告号查找规则。
是
关键字
参数
Microsoft
Worms
Worms
根据影响 Microsoft Windows 主机的特定蠕虫查找
规则。
规则。
是
关键字
参数
Platform
Specific
Specific
根据规则与特定操作系统版本的相关性来查找规则。
请注意,规则可能会影响多个操作系统或某个操作
系统的多个版本。例如,启用 SID 2260 会影响多个
版本的 Mac OS X、 IBM AIX 以及其他操作系统。
系统的多个版本。例如,启用 SID 2260 会影响多个
版本的 Mac OS X、 IBM AIX 以及其他操作系统。
是
关键字
参数
请注意,如果从子列
表中选择一个项目,
则会将一个修饰符添
加到参数。
表中选择一个项目,
则会将一个修饰符添
加到参数。
Preprocessors
查找各个预处理器的规则。
请注意,在启用预处理器时,必须启用与预处理器
选项相关联的预处理器规则才能生成该选项的事
件,请参阅
选项相关联的预处理器规则才能生成该选项的事
件,请参阅
。
是
组
子组
Priority
根据高、中和低优先级查找规则。
分配给规则的分类将确定该规则的优先级。这些组
进一步分为不同的规则类别。请注意,本地规则
进一步分为不同的规则类别。请注意,本地规则
(即您创建的规则)不会显示于优先级组中。
是
关键字
参数
请注意,如果从子列
表中选择一个项目,
则会将一个修饰符添
加到参数。
表中选择一个项目,
则会将一个修饰符添
加到参数。
Rule Update
查找通过特定规则更新添加或修改的规则。对于每个
规则更新,可以查看该更新中的所有规则、仅查看更
新中导入的新规则或仅查看更新所更改的现有规则。
规则更新,可以查看该更新中的所有规则、仅查看更
新中导入的新规则或仅查看更新所更改的现有规则。
否
关键字
参数
表
32-4
规则过滤器组 (续)
过滤器组
说明
是否支持多
个参数?
个参数?
标题为…… 列表中的项目为……