Explorar Cisco
Cómo comprar

¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Reglas locales personalizadas de Snort en un sistema Cisco FireSIGHT

Opciones de descarga

  • PDF     (220.2 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (211.7 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (222.4 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:21 de octubre de 2015
ID del documento:117924

Lenguaje no discriminatorio

Para la documentación de este producto, se ha apuntado a utilizar un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad étnica, orientación sexual, nivel socio-económico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Una regla local personalizada en un sistema FireSIGHT es una regla de Snort estándar personalizada que se importa en un formato de archivo de texto ASCII desde una máquina local. Un sistema FireSIGHT permite importar reglas locales mediante la interfaz web. Los pasos para importar reglas locales son muy simples. Sin embargo, para escribir una regla local óptima, un usuario necesita conocimientos exhaustivos sobre Snort y los protocolos de red.

El propósito de este documento es proporcionarle algunas sugerencias y ayuda para escribir una regla local personalizada. Las instrucciones sobre la creación de reglas locales están disponibles en el Manual de usuarios de Snort, que está disponible en snort.org. Cisco recomienda que descargue y lea el Manual del usuario antes de escribir una regla local personalizada. 

Nota: Las reglas proporcionadas en un paquete de actualización de reglas de Sourcefire (SRU) son creadas y probadas por Cisco Talos Security Intelligence and Research Group, y son compatibles con Cisco Technical Assistance Center (TAC). El TAC de Cisco no proporciona asistencia para escribir o ajustar una regla local personalizada, sin embargo, si experimenta problemas con la funcionalidad de importación de reglas de su sistema FireSIGHT, póngase en contacto con el TAC de Cisco.

Advertencia: Una regla local personalizada mal escrita puede afectar al rendimiento de un sistema FireSIGHT, lo que puede provocar una degradación del rendimiento de toda la red. Si experimenta algún problema de rendimiento en su red y hay algunas reglas de Snort locales personalizadas activadas en su sistema FireSIGHT, Cisco le recomienda que desactive esas reglas locales.

Prerequisites

Requirements

Cisco recomienda que conozca las reglas de Snort y el sistema FireSIGHT.

Componentes Utilizados

La información de este documento se basa en estas versiones de hardware y software:

  • FireSIGHT Management Center (también conocido como Defense Center)
  • Software versión 5.2 o posterior

Trabajar con las reglas locales personalizadas

Importar reglas locales

Antes de comenzar, debe asegurarse de que las reglas del archivo no contengan ningún carácter de escape. El importador de reglas requiere que se importen todas las reglas personalizadas mediante codificación ASCII o UTF-8.

El siguiente procedimiento explica cómo importar reglas de texto estándar locales desde una máquina local:

1. Acceda a la página Editor de reglas navegando hasta Políticas > Intrusos > Editor de reglas.

2. Haga clic en Importar reglas. Aparece la página Actualización de reglas.

Figura: Captura de pantalla de la página Actualización de reglas


3. Seleccione Rule update o text rule file para cargar e instalar y haga clic en Browse para seleccionar el archivo de regla.

Nota: Todas las reglas cargadas se guardan en la categoría de regla local.


4. Haga clic en Importar. Se importa el archivo de reglas.

Precaución: FireSIGHT Systems no utiliza el nuevo conjunto de reglas para la inspección. Para activar una regla local, debe activarla en la directiva de intrusiones y, a continuación, aplicar la directiva.

Ver reglas locales

  • Para ver el número de revisión de una regla local actual, vaya a la página Editor de reglas (Políticas > Intrusión > Editor de reglas).



  • En la página Editor de reglas, haga clic en la categoría Regla local para expandir la carpeta y, a continuación, haga clic en Editar junto a la regla.
  • Todas las reglas locales importadas se guardan automáticamente en la categoría de regla local.

Habilitar reglas locales

  • De forma predeterminada, el sistema FireSIGHT establece las reglas locales en un estado desactivado. Debe establecer manualmente el estado de las reglas locales antes de poder utilizarlas en la política de intrusiones.
  • Para habilitar una regla local, navegue a la página Editor de políticas (Políticas > Intrusión > Política de intrusiones). Seleccione Reglas en el panel izquierdo. En Category, seleccione local. Deben aparecer todas las reglas locales, si están disponibles.



  • Después de seleccionar las reglas locales deseadas, seleccione un estado para las reglas.


  • Una vez seleccionado el estado de regla, haga clic en la opción Información de política del panel izquierdo. Seleccione el botón Registrar cambios. Se valida la política de intrusiones.

Nota: La validación de la política falla si habilita una regla local importada que utiliza la palabra clave de umbral obsoleta en combinación con la función de umbral de evento de intrusión en una política de intrusión.

Ver las reglas locales eliminadas

  • Todas las reglas locales eliminadas se mueven de la categoría de regla local a la categoría de regla eliminada.
  • Para ver el número de revisión de una regla local eliminada, vaya a la página Editor de reglas, haga clic en la categoría eliminada para expandir la carpeta y, a continuación, haga clic en el icono de lápiz para ver los detalles de la regla en la página Editor de reglas.

Numeración de las reglas locales

  • No es necesario especificar un Generador (GID); si lo hace, puede especificar sólo GID 1 para una regla de texto estándar o 138 para una regla de datos sensible.
  • No especifique un ID de Snort (SID) ni un número de revisión al importar una regla por primera vez; esto evita colisiones con SID de otras reglas, incluidas las reglas eliminadas.
  • FireSIGHT Management Center asigna automáticamente el siguiente SID de regla personalizada disponible de 1000000 o superior y un número de revisión de 1.
  • Si intenta importar una regla de intrusión con un SID mayor que 2147483647, se producirá un error de validación.
  • Debe incluir el SID asignado por IPS y un número de revisión mayor que el número de revisión actual al importar una versión actualizada de una regla local que ha importado previamente.
  • Puede restablecer una regla local que haya eliminado importando la regla mediante el SID asignado por IPS y un número de revisión mayor que el número de revisión actual. Tenga en cuenta que FireSIGHT Management Center aumenta automáticamente el número de revisión cuando elimina una regla local; se trata de un dispositivo que permite restablecer reglas locales.

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
21-Oct-2015
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Nazmul Rajib
    Ingeniero del TAC de Cisco

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos