Introducción
Una regla local personalizada en un sistema FireSIGHT es una regla de Snort estándar personalizada que se importa en un formato de archivo de texto ASCII desde una máquina local. Un sistema FireSIGHT permite importar reglas locales mediante la interfaz web. Los pasos para importar reglas locales son muy simples. Sin embargo, para escribir una regla local óptima, un usuario necesita conocimientos exhaustivos sobre Snort y los protocolos de red.
El propósito de este documento es proporcionarle algunas sugerencias y ayuda para escribir una regla local personalizada. Las instrucciones sobre la creación de reglas locales están disponibles en el Manual de usuarios de Snort, que está disponible en snort.org. Cisco recomienda que descargue y lea el Manual del usuario antes de escribir una regla local personalizada.
Nota: Las reglas proporcionadas en un paquete de actualización de reglas de Sourcefire (SRU) son creadas y probadas por Cisco Talos Security Intelligence and Research Group, y son compatibles con Cisco Technical Assistance Center (TAC). El TAC de Cisco no proporciona asistencia para escribir o ajustar una regla local personalizada, sin embargo, si experimenta problemas con la funcionalidad de importación de reglas de su sistema FireSIGHT, póngase en contacto con el TAC de Cisco.
Advertencia: Una regla local personalizada mal escrita puede afectar al rendimiento de un sistema FireSIGHT, lo que puede provocar una degradación del rendimiento de toda la red. Si experimenta algún problema de rendimiento en su red y hay algunas reglas de Snort locales personalizadas activadas en su sistema FireSIGHT, Cisco le recomienda que desactive esas reglas locales.
Prerequisites
Requirements
Cisco recomienda que conozca las reglas de Snort y el sistema FireSIGHT.
Componentes Utilizados
La información de este documento se basa en estas versiones de hardware y software:
- FireSIGHT Management Center (también conocido como Defense Center)
- Software versión 5.2 o posterior
Trabajar con las reglas locales personalizadas
Importar reglas locales
Antes de comenzar, debe asegurarse de que las reglas del archivo no contengan ningún carácter de escape. El importador de reglas requiere que se importen todas las reglas personalizadas mediante codificación ASCII o UTF-8.
El siguiente procedimiento explica cómo importar reglas de texto estándar locales desde una máquina local:
1. Acceda a la página Editor de reglas navegando hasta Políticas > Intrusos > Editor de reglas.
2. Haga clic en Importar reglas. Aparece la página Actualización de reglas.

Figura: Captura de pantalla de la página Actualización de reglas
3. Seleccione Rule update o text rule file para cargar e instalar y haga clic en Browse para seleccionar el archivo de regla.
Nota: Todas las reglas cargadas se guardan en la categoría de regla local.
4. Haga clic en Importar. Se importa el archivo de reglas.
Precaución: FireSIGHT Systems no utiliza el nuevo conjunto de reglas para la inspección. Para activar una regla local, debe activarla en la directiva de intrusiones y, a continuación, aplicar la directiva.
Ver reglas locales
- Para ver el número de revisión de una regla local actual, vaya a la página Editor de reglas (Políticas > Intrusión > Editor de reglas).

- En la página Editor de reglas, haga clic en la categoría Regla local para expandir la carpeta y, a continuación, haga clic en Editar junto a la regla.
- Todas las reglas locales importadas se guardan automáticamente en la categoría de regla local.
Habilitar reglas locales
- De forma predeterminada, el sistema FireSIGHT establece las reglas locales en un estado desactivado. Debe establecer manualmente el estado de las reglas locales antes de poder utilizarlas en la política de intrusiones.
- Para habilitar una regla local, navegue a la página Editor de políticas (Políticas > Intrusión > Política de intrusiones). Seleccione Reglas en el panel izquierdo. En Category, seleccione local. Deben aparecer todas las reglas locales, si están disponibles.

- Después de seleccionar las reglas locales deseadas, seleccione un estado para las reglas.

- Una vez seleccionado el estado de regla, haga clic en la opción Información de política del panel izquierdo. Seleccione el botón Registrar cambios. Se valida la política de intrusiones.
Nota: La validación de la política falla si habilita una regla local importada que utiliza la palabra clave de umbral obsoleta en combinación con la función de umbral de evento de intrusión en una política de intrusión.
Ver las reglas locales eliminadas
- Todas las reglas locales eliminadas se mueven de la categoría de regla local a la categoría de regla eliminada.
- Para ver el número de revisión de una regla local eliminada, vaya a la página Editor de reglas, haga clic en la categoría eliminada para expandir la carpeta y, a continuación, haga clic en el icono de lápiz para ver los detalles de la regla en la página Editor de reglas.
Numeración de las reglas locales
- No es necesario especificar un Generador (GID); si lo hace, puede especificar sólo GID 1 para una regla de texto estándar o 138 para una regla de datos sensible.
- No especifique un ID de Snort (SID) ni un número de revisión al importar una regla por primera vez; esto evita colisiones con SID de otras reglas, incluidas las reglas eliminadas.
- FireSIGHT Management Center asigna automáticamente el siguiente SID de regla personalizada disponible de 1000000 o superior y un número de revisión de 1.
- Si intenta importar una regla de intrusión con un SID mayor que 2147483647, se producirá un error de validación.
- Debe incluir el SID asignado por IPS y un número de revisión mayor que el número de revisión actual al importar una versión actualizada de una regla local que ha importado previamente.
- Puede restablecer una regla local que haya eliminado importando la regla mediante el SID asignado por IPS y un número de revisión mayor que el número de revisión actual. Tenga en cuenta que FireSIGHT Management Center aumenta automáticamente el número de revisión cuando elimina una regla local; se trata de un dispositivo que permite restablecer reglas locales.