全局敏感数据选项是特定于策略的并适用于所有数据类型。

掩码

在触发数据包中用 X 替换信用卡号或社会保障号的最后四位数。掩码数字显示在 Web 界面中的入侵事件数据包视图中和下载的数据包中。

网络

指定监控敏感数据的目标主机。可以指定单个 IP 地址、地址块或者 IP 地址和/或地址块的逗号分隔列表。系统会将空白字段解读为任意 (any)，意指任何目标 IP 地址。

系统会为每个枝叶域构建单独的网络映射。在多域部署中，使用文字 IP 地址限制此配置可能会出现意外结果。 通过使用支持覆盖的对象，后代域管理员可为其本地环境自定义全局配置。

全局阈值

指定在生成全局阈值事件之前，预处理器必须在任何组合中检测的单个会话中所有数据类型出现的总次数。可以指定 1 至 65535 之间的数字。

思科建议将此选项的值设置为大于在策略中启用的任何单个数据类型的最高阈值。

关于全局阈值，请注意：

• 必须启用预处理器规则 139:1 才能检测并生成事件并在内联部署中丢弃攻击性数据包关于数据类型出现次数的事件。

• 在每个会话中，预处理器最多生成一个全局阈值事件。

• 全局阈值事件与具体数据类型事件无关；也就是说，预处理器会在达到全局阈值时生成事件，而不管任何具体数据类型的事件阈值是否达到，反之亦然。

每种自定义数据类型至少必须指定一个事件阈值和至少一个要监控的端口或应用协议。

每种系统提供的预定义数据类型使用一种其他方法无法访问的 sd_pattern 关键字来定义用于在流量中进行检测的内置数据模式。您还可以创建自定义数据类型，然后可以使用简单的正则表达式为这些数据类型指定自己的数据模式。

敏感数据类型显示在“敏感数据检测”(Sensitive Data Detection) 功能已启用的所有入侵策略中。系统提供的数据类型显示为只读。对于自定义数据类型，名称和模式字段显示为只读，但是可以将其他选项设置为策略特定的值。

在多域部署中，系统会显示在当前域中创建的敏感数据类型，您可以对其进行编辑。系统还会显示在祖先域中创建的数据类型，您可以通过有限的方式对其进行编辑。对于祖先数据类型，名称和模式字段显示为只读，但是可以将其他选项设置为策略特定的值。

每个入侵策略包括用于检测常用数据模式的系统提供的数据类型，例如，信用卡号、邮箱地址、美国电话号码以及带有和不带破折号的美国社会保障号。

每种系统提供的数据类型都与一个生成器 ID (GID) 为 138 的敏感数据预处理器规则相关联。必须启用入侵策略中的关联敏感数据规则才能为要用于策略中的每种数据类型生成事件并在内联部署中丢弃攻击性数据包。

下表介绍每个数据类型并列出了相应的预处理器规则

为了减少对社会保障号以外的 9 位数号码的误报，预处理器使用一种算法来验证 3 位数区域号码和 2 位数群组号码；在每个社会保障号中，这两组号码位于 4 位数序列号的前面。预处理器可验证 2009 年 11 月之前的社会保障号中的群组号码。

威胁防御 许可证

IPS

经典许可证

保护，或如程序中所示。

型号支持

任意。

支持的域

任意

用户角色

• 管理员

• 入侵管理员 (Intrusion Admin)

最多可以为每种数据类型指定八个应用协议进行监控。必须为选择的每个应用协议至少启用一个检测器。默认情况下，系统提供的所有检测器均已激活。如果没有为应用协议启用检测器，则系统会为该应用自动启用所有系统提供的检测器；如果不存在检测器，则系统为该应用启用最新修改的用户定义的检测器。

必须为每种数据类型至少指定一个要监控的应用协议或端口。但是，除了要检测 FTP 流量中的敏感数据的情况之外，思科建议在指定应用协议时指定相应的端口，以便实现最全面覆盖。例如，如果指定 HTTP，还可以配置通用的 HTTP 端口 80。如果网络上的新主机实施 HTTP，系统会在其发现新 HTTP 应用协议的时间间隔内监控端口 80。

如果要检测 FTP 流量中的敏感数据，必须指定 FTP data 应用协议；在这种情况下，指定端口号没什么好处。

通常，可通过指定要监控的端口或在部署中指定应用协议来确定要监控敏感数据的流量。

但是，对于检测 FTP 流量中的敏感数据来说，指定端口或应用协议并不足够。在 FTP 应用协议的流量中找到 FTP 流量中的敏感数据，这种情况间歇出现并使用临时端口号，因此难以检测。要检测 FTP 流量中的敏感数据，必须在配置中包括以下几项：

• 指定 FTP 数据 (FTP data) 应用协议以启用 FTP 流量中的敏感数据检测。

  对于检测 FTP 流量中的敏感数据这种特殊情况，指定 FTP data 应用协议不会调用检测功能；而是会调用 FTP/Telnet 预处理器的快速处理功能来检测 FTP 流量中的敏感数据。

• 确保 FTP Data 检测器已启用（默认情况下已启用）。

• 确保配置包括至少一个要监控敏感数据的端口。

• 确保为访问控制策略启用了文件策略。

请注意，不需要指定 FTP 端口（只要检测 FTP 流量中的敏感数据这种罕见情况除外）。大多数敏感数据配置将包括其他端口（例如 HTTP 或邮件端口）。如果只要指定一个 FTP 端口进行监控，思科建议指定 FTP 命令端口 23。

创建的每种自定义数据类型还会创建一个敏感数据预处理器规则，该规则的生成器 ID (GID) 为 138，Snort ID (SID) 为大于或等于 1000000（也就是本地规则的 SID）。

必须启用关联的敏感数据规则才能为要用于策略中的每种自定义数据类型启用检测、生成事件并在内联部署中丢弃攻击性数据包。

为了帮助启用敏感数据规则，配置页面上的链接会将您指向入侵策略“规则”(Rules) 页面的过滤视图，其中显示所有系统提供和自定义的敏感数据规则。您还可以通过在入侵策略“规则”(Rules) 页面上选择本地过滤类别，使自定义敏感数据规则与任何自定义本地规则一起显示。请注意，自定义敏感数据规则不会列于入侵规则编辑器页面（对象 > 入侵规则）。

创建自定义数据类型后，您可以在系统中的任何入侵策略或多域部署中的当前域中启用该自定义数据类型。要启用自定义数据类型，必须在要用于检测该自定义数据类型事件的任何策略中启用关联敏感数据规则。