Безопасность : Cisco Firepower Management Center

Шаги и советы для создания импортируйте и управляйте пользовательскими локальными правилами о системе FireSIGHT

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (13 февраля 2016) | Отзыв

Введение

Пользовательское локальное правило о Системе FireSIGHT является пользовательским стандартным правилом Фырканья, что вы импортируете в формате Текстового файла формата ASCII из локального компьютера. Система FireSIGHT позволяет вам импортировать локальные правила с помощью веб-интерфейса. Шаги для импорта локальных правил являются очень прямыми. Однако для записи оптимального локального правила пользователь требует глубоких знаний на Фырканье и сетевых протоколах.

Цель этого документа состоит в том, чтобы предоставить вам некоторые советы и помощь для записи пользовательского локального правила. Инструкции по созданию локальных правил доступны в Пользовательском Руководстве Фырканья, которое доступно в snort.org. Cisco рекомендует, чтобы вы загрузили и считали Пользовательское Руководство перед записью пользовательского локального правила. 

Примечание: Правила, предоставленные в пакете Обновления правила Sourcefire (SRU), создаются и тестируются Интеллектуальной информационной безопасностью Cisco Talos и исследовательской группой, и поддерживаются Центром технической поддержки Cisco (TAC). Центр технической поддержки Cisco не предоставляет помощь при записи или настройке пользовательского локального правила, однако при испытании каких-либо проблем с функциональностью импорта правила Системы FireSIGHT свяжитесь с Центром технической поддержки Cisco.

% Warning: Плохо записанное пользовательское локальное правило может повлиять на производительность Системы FireSIGHT, которая может привести к снижению производительности всей сети. Если вы испытываете какие-либо проблемы производительности в своей сети, и существуют некоторые пользовательские локальные правила Фырканья, включенные в вашей Системе FireSIGHT, Cisco рекомендует вам отключить те локальные правила.

Внесенный Nazmul Rajib, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Cisco рекомендует ознакомиться на правилах Фырканья и Системе FireSIGHT.

Используемые компоненты

Информация об этом документе основывается на этих версиях программного и аппаратного обеспечения:

  • Центр управления FireSIGHT (также известный как Центр Защиты)
  • Версия программного обеспечения 5.2 или позже

Работа с пользовательскими локальными правилами

Импортируйте локальные правила

Перед началом необходимо удостовериться, что правила в файле не содержат символов выхода. Средство импорта правила требует, чтобы все пользовательские правила были импортированы с помощью кодирования UTF 8 или ASCII.

Следующая процедура объясняет, как импортировать локальные стандартные текстовые правила из локального компьютера:

1. Обратитесь к странице Rule Editor путем навигации к Политике> Проникновение> Редактор Правила.

2. Нажмите Import Rules. Страница Rule Updates появляется.

Рисунок: снимок экрана страницы Rule Updates


3. Выберите обновление Rule или текстовый файл правила, чтобы загрузить и установить и нажать Browse для выбора файла правила.

Примечание: Все загруженные правила сохранены в локальной категории правила.


4. Нажмите кнопку Import (Импортировать). Файл правила импортирован.

Внимание: Системы FireSIGHT не используют новый набор правила для контроля. Для активации локального правила необходимо включить его в Политике Проникновения, и затем применить политику.

Просмотрите локальные правила

  • Для просмотра номера версии для текущего локального правила перейдите к странице Rule Editor (Политика> Проникновение> Редактор Правила).



  • На странице Rule Editor щелкните по Локальной категории Правила, чтобы развернуть папку, затем нажать Edit рядом с правилом.
  • Все импортированные локальные правила автоматически сохранены в локальной категории правила.

Включите локальные правила

  • По умолчанию Система FireSIGHT устанавливает локальные правила в отключенном состоянии. Необходимо вручную установить состояние локальных правил, прежде чем можно будет использовать их в политике проникновения.
  • Для включения локального правила перейдите к странице Policy Editor (Политика> Проникновение> Политика Проникновения). Выберите Rules в левой панели. Под Категорией выберите локальный. Все локальные правила должны появиться при наличии.



  • После выбора желаемых локальных правил выберите состояние для правил.


  • Как только состояние правила выбрано, щелкните по опции Policy Information на левой панели. Нажмите кнопку Commit Changes. Политика Проникновения проверена.

Примечание: Проверка политики отказывает при включении импортированного локального правила, которое использует осуждаемое пороговое ключевое слово в сочетании с функцией пороговой обработки события проникновения в политике проникновения.

Просмотрите удаленные локальные правила

  • Все удаленные локальные правила перемещены от локальной категории правила до удаленной категории правила.
  • Для просмотра номера версии удаленного локального правила перейдите к странице Rule Editor, щелкните по удаленной категории для расширения папки, затем нажмите значок карандаша, чтобы посмотреть детали правила на странице Rule Editor.

Нумерация локальных правил

  • Вы не должны задавать Генератор (GID); если вы делаете, можно задать только GID 1 для стандартного текстового правила или 138 для правила уязвимых данных.
  • Не задавайте ID Фырканья (SID) или номер версии при импорте правила впервые; это избегает коллизий с SID других правил, включая удаленные правила.
  • Центр управления FireSIGHT автоматически назначает следующий доступный SID пользовательского правила 1000000 или больше, и номер версии 1.
  • При попытке импортировать правило проникновения с SID, больше, чем 2147483647, то ошибка проверки произойдет.
  • Необходимо включать SID, назначенный IPS и номером версии, больше, чем номер текущей версии при импорте обновленной версии локального правила, что вы ранее импортировали.
  • Можно восстановить локальное правило, что вы удалили путем импорта правила с помощью SID, назначенного IPS и номером версии, больше, чем номер текущей версии. Обратите внимание на то, что Центр управления FireSIGHT автоматически инкрементно увеличивает номер версии при удалении локального правила; это - устройство, которое позволяет вам восстанавливать локальные правила.


Document ID: 117924