安全 : Cisco Firepower Management Center

创建,导入和管理在FireSIGHT系统的自定义本地规则的步骤和提示

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

一个本地规则是您在从本地设备的一个ASCII文件导入的一个自定义标准的文本规则。使用Web接口, FireSIGHT系统允许您导入本地规则。导入本地规则的步骤是非常直接的。然而,写入一个最佳的本地规则,用户要求在喷鼻息和网络协议的深入的知识。

注意:关于创建本地规则的说明是可用的在喷鼻息用户手册,是可用的在snort.org。思科建议您应该下载和读指南,在您写入一个自定义本地规则前。

贡献用Nazmul Rajib, Cisco TAC工程师。

先决条件

要求

思科建议您有在喷鼻息规则和FireSIGHT系统的知识。

使用的组件

关于本文的信息根据这些硬件和软件版本:

  • FireSIGHT管理中心(亦称防御中心)
  • 软件版本5.2或以上

在FireSIGHT系统的导入本地规则

以下步骤解释如何导入从本地设备的本地标准的文本规则。

步骤 1:通过导航访问规则编辑器页到策略>入侵>规则编辑器

步骤 2:点击导入规则规则更新页出版。

117924-technote-firesight-01.png

图:规则的屏幕画面校正页


步骤 3:选择规则更新或发短信给规则文件上传和安装并且单击浏览选择规则文件。

注意:所有上传的规则在本地规则类别保存。


步骤 4:单击 Import。规则文件导入。

警告:FireSIGHT系统不使用设置的新规则检查。要启动一个本地规则,您在入侵策略需要启用它和应用策略。

Enable (event)本地规则

  • 默认情况下, FireSIGHT系统在禁用状态设置本地规则。在您在您的入侵策略前,能使用他们您必须手工设置本地规则的状态。
  • 策略验证发生故障,如果启用使用贬抑的阈值关键字与入侵事件门限功能的组合在入侵策略的一个已导入本地规则。

查看本地规则

  • 要查看一个当前本地规则的修订版号,显示规则编辑器页,点击本地规则类别展开文件夹,然后单击在规则旁边编辑
  • 所有已导入本地规则在本地规则类别自动地保存。

查看删除的本地规则

  • 所有删除的本地规则移动从本地规则类别到删除的规则类别。
  • 要查看一个删除的本地规则的修订版号,显示规则编辑器页,点击删除的类别展开文件夹,然后单击在规则旁边编辑

在本地规则的提示

导入本地规则

  • 使用ASCII或UTF-8编码,规则进口商需要所有海关规则导入。
  • 您必须确保,在文件的规则不包含任何转义字符。

编号本地规则

  • 您不必须指定生成器(GID);如果,您能指定一个标准的文本规则的仅GID 1或138敏感数据的规定。
  • 请勿指定喷鼻息ID (SID)或修订版号,当第一次时导入规则;这避免与其他规则Sids的冲突,包括删除的规则。
  • FireSIGHT管理中心自动地分配下可用的海关规则SID 1000000或更加极大和修订版号1。
  • 如果尝试导入与极大SID的一个入侵规则比2147483647,验证错误将出现。
  • 您比当前修订版号必须包括IPS分配的SID和修订版号极大,当导入您以前导入一个本地规则的一个更新版本时。
  • 您能复原您通过导入规则使用IPS分配的SID和修订版号极大比当前修订版号删除的一个本地规则。注意FireSIGHT管理中心自动地增加修订版号,当您删除一个本地规则;这是允许您复原本地规则的设备。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 117924