Cisco FireSIGHT系統上的自定義本地Snort規則
簡介
FireSIGHT系統上的自定義本地規則是自定義標準Snort規則,可從本地電腦以ASCII文本檔案格式匯入。FireSIGHT系統允許您使用Web介面匯入本地規則。匯入本地規則的步驟非常簡單。但是,要編寫最佳本地規則,使用者需要深入瞭解Snort和網路協定。
本文檔旨在向您提供一些提示和幫助,以便編寫自定義本地規則。有關建立本地規則的說明,請參閱Snort使用者手冊,該手冊位於snort.org。思科建議您先下載並閱讀《使用者手冊》,然後再編寫自定義本地規則。
必要條件
需求
思科建議您瞭解Snort規則和FireSIGHT系統。
採用元件
本檔案中的資訊是根據以下硬體和軟體版本:
- FireSIGHT管理中心(也稱為防禦中心)
- 軟體版本5.2或更高版本
使用自定義本地規則
匯入本地規則
開始之前,必須確保檔案中的規則不包含任何跳脫字元。規則匯入程式要求使用ASCII或UTF-8編碼匯入所有自定義規則。
以下步驟說明如何從本地電腦匯入本地標準文本規則:
1.導航到Policies > Intrusion > Rule Editor,即可訪問「Rule Editor」頁。
2.按一下匯入規則。系統將顯示Rule Updates頁面。
圖:Rule Updates頁面的螢幕截圖
3.選擇Rule update or text rule file to upload and install,然後按一下Browse選擇規則檔案。
4.按一下匯入。規則檔案被匯入。
檢視本地規則
- 要檢視當前本地規則的修訂版號,請導航到Rule Editor頁面(Policies > Intrusion > Rule Editor)。
- 在「規則編輯器」(Rule Editor)頁面中,按一下Local Rule類別以展開資料夾,然後按一下規則旁邊的Edit。
- 所有匯入的本地規則將自動儲存在本地規則類別。
啟用本地規則
- 預設情況下,FireSIGHT系統將本地規則設定為禁用狀態。必須先手動設定本地規則的狀態,然後才能在入侵策略中使用它們。
- 若要啟用本地規則,請導航到Policy Editor頁面(Policies > Intrusion > Intrusion Policy)。 在左側面板中選擇Rules。在Category下,選擇local。如果可用,應顯示所有本地規則。
- 選擇所需的本地規則後,選擇規則的狀態。
- 選擇規則狀態後,按一下左側面板上的Policy Information選項。選擇Commit Changes按鈕。入侵策略已驗證。
檢視已刪除的本地規則
- 所有已刪除的本地規則都將從本地規則類別移動到已刪除的規則類別。
- 要檢視已刪除的本地規則的修訂版號,請轉到規則編輯器頁,按一下deleted類別展開資料夾,然後按一下鉛筆圖示在規則編輯器頁中檢視規則的詳細資訊。
本地規則編號
- 不必指定生成器(GID);如果指定,則只能為標準文本規則指定GID 1,為敏感資料規則指定138。
- 首次匯入規則時,不要指定Snort ID(SID)或修訂版號;這樣可避免與其他規則的SID發生衝突,包括刪除的規則。
- FireSIGHT管理中心會自動分配下一個可用的自定義規則SID 1000000或更多,並且版本號為1。
- 如果嘗試匯入SID大於2147483647的入侵規則,則會發生驗證錯誤。
- 匯入先前匯入的本地規則的更新版本時,必須包含由IPS分配的SID以及大於當前修訂版本號的修訂版本號。
- 您可以通過使用IPS分配的SID和大於當前修訂號的修訂號匯入規則,恢復已刪除的本地規則。請注意,刪除本地規則時,FireSIGHT管理中心會自動增加修訂版號;這是允許您恢復本地規則的裝置。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
11-Jul-2014 |
初始版本 |
意見