Einleitung
In diesem Dokument wird beschrieben, wie Sie Snort-Regeln basierend auf der Cisco Secure Rule Update (SRU)- und Lightweight Security Package (LSP)-Version der vom FMC verwalteten Firepower-Geräte filtern.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Kenntnisse von Open-Source Snort
- Firepower Management Center (FMC)
- Firepower Threat Defense (FTD)
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Dieser Artikel gilt für alle Firepower-Plattformen
- Cisco FTD mit der Softwareversion 7.0.0
- FMC Virtual mit der Softwareversion 7.0.0
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Im Kontext von Intrusion Detection Systemen (IDS) und Intrusion Prevention Systemen (IPS) steht 'SID' für 'Signature ID' oder 'Snort Signature ID'.
Eine Snort Signature ID (SID) ist eine eindeutige ID, die jeder Regel oder Signatur innerhalb ihres Regelsatzes zugewiesen wird. Diese Regeln werden verwendet, um bestimmte Muster oder Verhaltensweisen im Netzwerkverkehr zu erkennen, die auf schädliche Aktivitäten oder Sicherheitsbedrohungen hinweisen können. Jede Regel ist mit einer SID verknüpft, um den Zugriff und die Verwaltung zu vereinfachen.
Weitere Informationen zu Open-Source Snort finden Sie auf der SNORT-Website.
Verfahren zum Filtern von Snort-Regeln
Um die Snort 2-Regel-SIDs anzuzeigen, navigieren Sie anschließend zurFMC Policies > Access Control > Intrusion
,
Option Snort 2 Version in der oberen rechten Ecke, wie in der Abbildung dargestellt:
Snort 2
Navigieren Sie zuRules > Rule Update
, und wählen Sie das späteste Datum aus, um die SID zu filtern.
Regelaktualisierung
Verfügbare Sids gemäß Snort-Regeln
Wählen Sie eine erforderliche Option unterRule State
aus, wie im Bild gezeigt.
Auswählen von Regelzuständen
Um die Snort 3-Regel-SIDs anzuzeigen, navigieren Sie zuFMC Policies > Access Control > Intrusion
, und klicken Sie oben rechts auf die Option Snort 3 Version (Snort 3-Version):
Snort 3
Navigieren Sie zuAdvanced Filters
, und wählen Sie das späteste Datum aus, um die SID wie im Bild dargestellt zu filtern.
Snort 3-Filter
LSP mit erweitertem Filter
LSP-Version
Voreingestellter Filter für Sid's
Wählen Sie eine erforderliche Option unterRule state
aus, wie im Bild gezeigt.
Regelaktion