모든 표준 텍스트 규칙 및 공유 개체 규칙에는 매개변수와 인수를 포함하는 규칙 헤더가 있습니다. 다음은 규칙 헤더의 일부를 설명합니다.

다음 표는 위에 표시된 규칙 헤더의 각 부분을 나타냅니다.

참고	이전 예제는 대부분의 침입 규칙과 같이 기본 변수를 사용합니다.

표준 텍스트 규칙을 구성할 때 규칙이 익스플로잇 시도에서 탐지하는 취약성을 설명하는 컨텍스트 정보를 포함할 수 있습니다. 또한 취약성 데이터베이스에 외부 참조를 포함하고 사용자 조직에서 이벤트가 가지고 있는 우선 순위를 정의할 수 있습니다. 분석가가 이벤트를 볼 때, 그들은 우선 순위, 공격, 즉시 사용 가능한 알려진 위협 완화에 대한 정보를 가지게 됩니다.

Message

규칙이 트리거될 때 메시지로 표시되는 의미 있는 텍스트를 지정할 수 있습니다. 메시지는 규칙이 공격 시도를 탐지하게 되는 취약성의 속성에 대한 즉각적인 통찰력을 제공해 줍니다. 중괄호({})를 제외한 인쇄 가능한 표준 ASCII 문자를 모두 사용할 수 있습니다. 시스템은 메시지를 완전히 묶고 있는 따옴표를 떼어버립니다.

팁	규칙 메시지를 지정해야 합니다. 또한, 공백, 하나 이상의 따옴표, 하나 이상의 아포스트로피 또는 공백, 따옴표, 아포스트로피로의 조합만으로는 메시지를 구성할 수 없습니다.

침입 규칙 편집기에서 이벤트 메시지를 정의하려면 Message(메시지) 필드에 이벤트 메시지를 입력합니다.

분류

각 규칙에, 이벤트의 패킷 표시에 나타나는 공격 분류를 지정할 수 있습니다. 다음 표에서는 각 분류의 이름과 번호를 나열합니다.

맞춤형 분류

사용자가 정의하는 규칙에서 생성된 이벤트의 패킷 표시 설명을 위한 더 많은 맞춤형 콘텐츠를 원할 경우, 맞춤형 분류를 생성할 수 있습니다.

맞춤형 우선 순위

기본적으로, 규칙의 우선 순위는 규칙에 대한 이벤트 분류에서 파생됩니다. 하지만 규칙에 priority 키워드를 추가하고 high(높음), medium(중간) 또는 low(낮음) 우선 순위를 선택하여 규칙의 분류 우선 순위를 재정의할 수 있습니다. 예를 들어 웹 애플리케이션 공격을 탐지하는 규칙에 high(높음) 우선 순위를 할당하려면 priority 키워드를 규칙에 추가하고 우선 순위로 high(높음)를 선택합니다.

맞춤형 참조

reference 키워드를 사용하여 외부 웹사이트에 참조를 추가하고 이벤트에 대한 자세한 내용을 추가할 수 있습니다. 참조를 추가하면 패킷이 규칙을 트리거한 이유에 대한 확인을 돕기 위해 분석가에게 즉시 사용 가능한 리소스를 제공합니다. 다음 표는 알려진 악성 공격에 관한 데이터를 제공하는 몇 가지 외부 시스템 나열합니다.

bugtraq

8550

cve

2020-9607

mcafee

98574

url

www.example.com?exploit=14

msb

MS11-082

nessus

10039

secure-url

intranet/exploits/exploit=14

다음과 같이 참조 값을 입력하여 참조를 지정합니다.

id_system,id

여기서 id_system은 프리픽스로 사용되고 있는 시스템이고 id는 CVE ID 번호, Arachnids ID 또는 URL(http:// 없음)입니다.

예를 들어 CVE-2020-9607에 설명되어 있는 Adobe Acrobat 및 Reader 문제를 지정하려면 다음 값을 입력합니다.

cve,2020-9607

규칙에 참조 사항을 추가할 때 다음에 유의하십시오.

• 쉼표 뒤에 스페이스를 사용하지 마십시오.

• 시스템 ID에 대문자를 사용하지 마십시오.

필터는 특수 키워드 및 해당 인수, 문자열 및 텍스트 문자열, 그리고 여러 필터 상태를 분리하는 스페이스를 포함할 수 있습니다. 필터에는 정규 표현식, 와일드카드 문자 또는 부정 문자(!), 보다 큼 기호(>), 보다 작음 기호(<)와 같은 특별 연산자를 포함할 수 없습니다.

모든 키워드, 키워드 인수 및 문자열은 대소문자를 구분하지 않습니다. gid 및 sid 키워드를 제외한, 모든 인수 및 문자열은 부분 문자열로 처리됩니다. gid 및 sid의 인수는 정확히 일치하는 것만 반환합니다.

필터링되지 않은 원래 페이지에서 폴더를 확장할 수 있으며, 후속 필터가 해당 폴더에서 일치 항목을 반환하면 폴더는 확장된 상태로 유지됩니다. 이는 찾고자 하는 규칙이 많은 규칙을 포함하는 폴더에 있을 때 유용할 수 있습니다.

후속 필터로 필터를 제한할 수 없습니다. 입력한 모든 필터는 전체 규칙 데이터베이스를 검색하고 일치하는 규칙을 모두 반환합니다. 페이지가 계속 이전 검색 결과를 표시하고 있는데 필터를 입력하는 경우, 페이지는 이를 지우고 새 필터의 결과로 돌아갑니다.

필터링된 목록이나 필터링되지 않은 목록의 규칙과 같은 기능을 사용할 수 있습니다. 예를 들어 침입 규칙 편집기 페이지에서 필터링된 목록이나 필터링되지 않은 목록의 규칙을 수정할 수 있습니다. 또한 해당 페이지에 대해 상황에 맞는 메뉴에서 모든 옵션을 사용할 수 있습니다.

팁	모든 하위 그룹의 규칙을 포함한 총 규칙 수가 클 경우 규칙이 여러 카테고리에 나타날 수 있기 때문에 고유한 총 규칙 수가 훨씬 적더라도 필터링에 상당한 시간이 소요될 수 있습니다.

각 규칙 필터의 형식에는 하나 이상의 키워드를 포함할 수 있습니다.

keyword:argument

여기서 keyword는 다음 표에 있는 키워드 중 하나이며, argument는 키워드와 관련된 하나 이상의 특정 필드에서 검색할, 대소문자를 구분하지 않는 단일 영숫자 문자열입니다.

gid 및 sid를 제외한 모든 키워드에 대한 인수는 부분 문자열로 처리됩니다. 예를 들어, 인수 123은 "12345", "41235", "45123" 등을 반환합니다. gid 및 sid의 인수는 정확하게 일치하는 경우에만 반환됩니다. 예를 들어, sid:3080은 SID 3080만 반환합니다.

팁	하나 이상의 문자열로 필터링하여 부분 SID를 검색할 수 있습니다.

다음 표는 규칙을 필터링하는 데 사용할 수 있는 인수 및 특정 필터링 키워드를 나타냅니다.

arachnids

arachnids:181

bugtraq

bugtraq:2120

cve

cve:2003-0109

gid

gid:3

mcafee

mcafee:10566

msg

msg:chat

nessus

nessus:10737

ref

ref:MS03-039

sid

sid:235

url

url:faqs.org

각 규칙 필터는 하나 이상의 영숫자 문자열을 포함할 수 있습니다. 문자열은 규칙 Message(메시지) 필드, Snort ID(SID) 및 생성자 ID(GID)를 검색합니다. 예를 들어, 문자열 123은 규칙 메시지에서 문자열 "Lotus123", "123mania" 등을 반환하며, 또한 SID 6123, SID 12375 등을 반환합니다.

모든 문자열은 대소문자를 구분하지 않으며 부분 문자열로 처리됩니다. 예를 들어, 문자열 ADMIN, admin 또는 Admin은 모두 "admin", "CFADMIN", "Administrator" 등을 반환합니다.

정확히 일치하는 항목을 반환하기 위해 인용구에서 문자열을 묶을 수 있습니다. 예를 들어, 인용구 내 문자열 "overflow attempt"는 정확한 문자열만 반환하지만, 인용구가 없는 두 개의 문자열 overflow 및 attempt로 구성된 필터는 "overflow attempt", "overflow multipacket attempt", "overflow with evasion attempt" 등을 반환합니다.

키워드, 문자열 또는 둘 다로 이루어진 스페이스로 구분된 문자열의 조합을 입력하여 필터링 결과를 좁힐 수 있습니다. 결과는 필터링 조건과 일치하는 모든 규칙을 포함합니다.

순서에 상관없이 여러 필터 상태를 입력할 수 있습니다. 예를 들어, 다음 필터 각각은 동일한 규칙을 반환합니다.

• url:at login attempt cve:200

• login attempt cve:200 url:at

• login cve:200 attempt url:at

패킷에서 탐지할 내용을 지정하려면 content 키워드 또는 protected_content 키워드를 사용합니다.

사용자는 거의 항상 content 또는 protected_content 키워드를 따라야 합니다. 이 키워드는 콘텐츠를 어디에서 검색해야 할지, 검색에 있어 대소문자 구분이 필요한지 여부, 그리고 다른 옵션을 나타내는 수식어 옆에 있습니다.

모든 콘텐츠 일치는 이벤트를 트리거하는 규칙에 대해 참이어야 한다는 점, 즉, 각 콘텐츠 일치는 다른 항목과 AND 관계를 가지고 있다는 점에 유의하십시오.

또한, 인라인 배포에서 악성 콘텐츠와 일치하고 이를 동일한 길이의 자체 문자열로 대체하는 규칙을 설정할 수 있다는 점에 유의하십시오.

content

content 키워드를 사용하면, 규칙 엔진이 해당 문자열에 대한 패킷 페이로드 또는 스트림을 검색합니다. 예를 들어, content 키워드 중 하나의 값으로 /bin/sh를 입력하면, 규칙 엔진은 문자열 /bin/sh에 대한 패킷 페이로드를 검색합니다.

ASCII 문자열, 16진수 콘텐츠(이진 바이트 코드) 또는 이 둘의 조합 중 하나를 사용하여 콘텐츠에 일치시킵니다. 키워드 값에서 파이프 문자(|)로 16진수 콘텐츠를 묶습니다. 예를 들어, |90C8 C0FF FFFF|/bin/sh와 같은 형태를 사용하여 16진수 콘텐츠 및 ASCII 콘텐츠를 섞을 수 있습니다.

단일 규칙에서 여러 콘텐츠 일치를 지정할 수 있습니다. 이를 위해, content 키워드의 추가 인스턴스를 사용합니다. 각 콘텐츠 일치의 경우, 규칙이 트리거되려면 패킷 페이로드 또는 스트림에서 콘텐츠 일치를 찾아야 한다는 것을 나타낼 수 있습니다.

경고	content 키워드가 하나만 포함된 규칙을 생성하고 키워드에 대해 Not 옵션을 선택한 경우 침입 정책을 무효화할 수 있습니다.

protected_content

protected_content 키워드를 사용하면 규칙 인수를 구성하기 전에 검색 내용 문자열을 인코딩할 수 있습니다. 원래 규칙 작성자는 키워드를 구성하기 전에 문자열을 인코딩하기 위해 해시 함수(SHA‑512, SHA‑256 또는 MD5)를 사용합니다.

content 키워드 대신 protected_content 키워드를 사용하면, 규칙 엔진이 해당 문자열 및 예상한 대로 대부분 키워드 옵션에 대해 패킷 페이로드 또는 스트림을 검색하는 방법은 변경되지 않습니다. 다음 표에는 예외가 요약되어 있습니다. 여기서 protected_content 키워드 옵션은 content 키워드 옵션과 다릅니다.

Cisco는 protected_content 키워드를 포함하는 규칙에 최소 하나의 content 키워드를 포함할 것을 권장합니다. 이렇게 하면 규칙 엔진이 빠른 패턴 매처를 사용하여 처리 속도를 높이고 성능을 향상시킬 수 있습니다. 규칙에서 protected_content 키워드 앞에 콘텐츠 keyword를 배치합니다. 규칙에 최소 하나의 content 키워드가 포함될 때, content 키워드 Use Fast Pattern Matcher(빠른 패턴 매처 사용) 인수를 활성화했는지 여부에 상관없이 규칙 엔진이 빠른 패턴 매처를 사용한다는 점에 유의하십시오.

경고	protected_content 키워드가 하나만 포함된 규칙을 생성하고 키워드에 대해 Not 옵션을 선택한 경우 침입 정책을 무효화할 수 있습니다.

인라인 구축에서 replace 키워드를 사용해 지정된 내용을 교체하거나 Cisco SSL Appliance에 의해 탐지된 SSL 트래픽의 내용을 교체할 수 있습니다.

replace 키워드를 사용하려면 content 키워드를 사용하여 특정 문자열을 찾는 맞춤형 표준 텍스트 규칙을 작성합니다. replace 키워드를 사용하여 콘텐츠를 대체할 문자열을 지정합니다. 대체 값 및 콘텐츠 값은 동일한 길이여야 합니다.

참고	protected_content 키워드 내 해시된 콘텐츠를 대체하기 위해 replace 키워드를 사용할 수 없습니다.

원하는 경우, 이전 Firepower System 소프트웨어 버전과의 호환을 위해 교체 문자열을 따옴표로 묶을 수 있습니다. 따옴표를 포함하지 않은 경우, 따옴표는 규칙에 자동으로 추가되므로 규칙은 구문적으로 정확합니다. 교체 텍스트의 일부로 앞뒤 따옴표를 포함하려면, 다음의 예시에서 볼 수 있듯이, 백슬래시를 사용하여 이스케이프해야 합니다.

"replacement text plus \"quotation\" marks""

규칙은 여러 replace 키워드를 포함할 수 있지만, content 키워드 하나당 하나만 포함됩니다. 규칙에서 찾은 콘텐츠의 첫 번째 인스턴스만 대체됩니다.

다음은 replace 키워드의 사용 예에 대한 설명입니다.

• 시스템이 공격을 포함한 수신 패킷을 탐지하는 경우, 악성 문자열을 무해한 것으로 바꿀 수 있습니다. 때때로 이 기술은 단순히 문제를 일으키는 패킷을 중단하는 것보다 더욱 성공적입니다. 일부 공격 시나리오에서, 공격자는 삭제된 패킷이 네트워크 방어를 무시하거나 네트워크를 초과할 때까지 다시 보냅니다. 패킷을 삭제하는 대신 다른 문자열로 한 문자열을 대체하여, 취약하지 않았던 대상에 대해 공격이 개시되었다고 공격자가 믿도록 속일 수 있습니다.

• 예를 들어, 취약한 버전의 웹 서버를 실행하고 있는지 여부를 알기 위해 시도하는 정찰 공격이 우려되는 경우, 발신 패킷을 탐지하고 본인의 텍스트로 배너를 바꿀 수 있습니다.

참고	대체 규칙을 사용하려는 인라인 침입 정책에서 규칙 상태를 Generate Events(이벤트 생성)로 설정했는지 확인합니다. 규칙을 Drop and Generate events(이벤트 중단 및 생성)로 설정하면 패킷이 중단될 수 있고, 이는 콘텐츠를 대체하는 것을 방지합니다.

문자열 교체 프로세스의 일부로서, 대상 호스트가 패킷을 오류 없이 받을 수 있도록 시스템은 자동으로 패킷 체크섬을 업데이트합니다.

replace 키워드를 HTTP 요청 메시지 content 키워드 옵션과 함께 사용할 수 없다는 점에 유의하십시오.

byte_jump 키워드는 지정된 바이트 세그먼트에서 정의된 바이트 수를 계산한 후 지정하는 옵션에 따라 지정된 바이트 세그먼트의 끝 또는 패킷 페이로드의 시작 또는 끝 또는 마지막 콘텐츠 일치와 관련된 지점에서부터 앞으로 패킷 내 바이트 수를 건너뜁니다. 이는 특정 세그먼트 바이트가 패킷 내 변수 데이터에 포함된 바이트 수를 설명하는 패킷에 유용합니다.

다음 표에서는 byte_jump 키워드에 필요한 인수에 대해 설명합니다.

다음 표에서는 시스템이 필수 인수에 지정한 값을 해석하는 방식을 정의하는 데 사용할 수 있는 옵션을 설명합니다.

DCE/RPC, Endian 또는 Number Type 중 하나만 지정할 수 있습니다.

byte_jump 키워드가 바이트를 계산하는 방법을 정의하려는 경우, 다음 표에 설명된 인수 중에서 선택할 수 있습니다. 바이트 순서 인수를 선택하지 않으면 규칙 엔진은 Big Endian 바이트 순서를 사용합니다.

시스템이 다음 표에 있는 인수 중 하나를 사용하여 패킷 내 문자열을 보는 방식을 정의합니다.

예를 들어 byte_jump에 대해 설정한 값이 다음과 같으면

• Bytes = 4

• Offset = 12

• Relative 활성화

• Align 활성화

규칙 엔진은 마지막으로 성공한 콘텐츠 일치 후 13바이트를 나타내는 4개의 바이트로 표시된 수를 계산하고, 패킷 내 해당 수의 바이트를 건너뜁니다. 예를 들어, 특정 패킷 내 4개의 계산된 바이트가 00 00 00 1F인 경우, 규칙 엔진은 이를 31로 환산합니다. 엔진에 다음 32비트 경계로 이동하도록 지시하는 align이 지정되었으므로 규칙 엔진은 패킷에서 32바이트 앞으로 건너뜁니다.

또는 byte_jump에 대해 설정한 값이 다음과 같으면

• Bytes = 4

• Offset = 12

• From Beginning 활성화

• Multiplier = 2

규칙 엔진은 패킷의 시작 후 13바이트를 나타내는 4개의 바이트로 표시된 수를 계산합니다. 다음, 엔진은 이 수에 2를 곱하여 건너뛸 총 바이트 수를 얻습니다. 예를 들어, 특정 패킷 내 4개의 계산된 바이트가 00 00 00 1F인 경우, 규칙 엔진은 이를 31로 환산한 후 2를 곱하여 62를 얻습니다. From Beginning이 활성화되어 있으므로, 규칙 엔진은 패킷의 처음 63바이트를 건너뜁니다.

byte_test 키워드는 Value 인수 및 연산자에 대해 지정된 바이트 세그먼트를 테스트합니다.

다음 표에서는 byte_test 키워드에 필요한 인수에 대해 설명합니다.

시스템에서 다음 표에 설명된 인수와 함께 byte_test 인수를 사용하는 방법을 더 정의할 수 있습니다.

DCE/RPC, Endian 또는 Number Type 중 하나만 지정할 수 있습니다.

byte_test 키워드가 테스트할 바이트를 계산하는 방법을 정의하려면, 다음 표의 인수 중에서 선택합니다. 바이트 순서 인수를 선택하지 않으면 규칙 엔진은 Big Endian 바이트 순서를 사용합니다.

시스템이 다음 표에 있는 인수 중 하나를 사용하여 패킷 내 문자열 데이터를 보는 방식을 정의할 수 있습니다.

예를 들어, byte_test에 대한 값이 다음과 같이 지정된 경우:

• Bytes = 4

• Operator 및 Value > 128

• Offset = 8

• Relative 활성화

규칙 엔진은 마지막으로 성공한 내용 일치에서 9바이트 떨어진 곳에 나타나는 4바이트에 설명된 숫자를 계산하고, 계산된 숫자가 128바이트보다 크면 규칙을 트리거합니다.

byte_extract 키워드를 사용하여 패킷에서 지정한 바이트 수를 변수로 읽을 수 있습니다. 해당 변수는 나중에 동일한 규칙에서 다른 특정 검색 키워드 내 특정 인수에 대한 값으로 사용할 수 있습니다.

예를 들면, 이는 특정 세그먼트 바이트가 패킷 내 데이터에 포함된 바이트 수를 나타내는 패킷에서 데이터 크기를 추출하는 데 유용합니다. 예를 들어, 특정 세그먼트 바이트는 후속 데이터가 4바이트로 구성되어 있다고 표시할 수 있습니다. 사용자는 사용자 변수 값으로 사용하기 위해 4바이트의 데이터 크기를 추출할 수 있습니다.

byte_extract를 사용하여 규칙에서 최대 두 개의 개별 변수를 동시에 만들 수 있습니다. 몇 번이든 byte_extract 변수를 재정의할 수 있습니다. 동일한 변수 이름 및 기타 변수 정의를 새로운 byte_extract 키워드와 함께 입력하면 해당 변수의 이전 정의를 덮어씁니다.

다음 표에서는 byte_extract 키워드에 필요한 인수에 대해 설명합니다.

시스템이 추출할 데이터를 찾는 방식을 더욱 자세히 정의하려면 다음 표에 설명된 인수를 사용할 수 있습니다.

DCE/RPC, Endian 또는 Number Type 중 하나만 지정할 수 있습니다.

byte_extract 키워드가 테스트할 바이트를 계산하는 방법을 정의하려면, 다음 표의 인수 중에서 선택합니다. 바이트 순서 인수를 선택하지 않으면 규칙 엔진은 Big Endian 바이트 순서를 사용합니다.

데이터를 ASCII 문자열로 읽으려면 숫자 유형을 지정할 수 있습니다. 다음 표에 있는 인수 중 하나를 선택하여 패킷 내 문자열 데이터를 보는 방식을 정의할 수 있습니다.

예를 들어, byte_extract에 대한 값이 다음과 같이 지정된 경우

• Bytes to Extract = 4

• Variable Name = var

• Offset = 8

• Relative = 활성화

규칙 엔진은 마지막으로 성공한 콘텐츠 일치(에 연결)에서 9바이트 떨어져서 나타나는 네 개의 바이트에 설명된 번호를 var로 명명된 변수로 읽는데, 이는 나중에 규칙에서 특정 키워드 인수에 대한 값으로 지정할 수 있습니다.

다음 표는 byte_extract 키워드에 정의된 변수를 지정할 수 있는 키워드 인수를 나열합니다.

byte_math 키워드는 추출된 값과 지정된 값 또는 기존 변수에서 수학 연산을 수행하고, 결과를 새 결과 변수에 저장합니다. 그런 다음 결과 변수를 다른 키워드에서 인수로 사용할 수 있습니다.

규칙에서 여러 byte_math 키워드를 사용하여 여러 byte_math 연산을 수행할 수 있습니다.

다음 표에서는 byte_math 키워드에 필요한 인수를 설명합니다.

다음 표에서는 시스템이 필수 인수에 지정한 값을 해석하는 방식을 정의하는 데 사용할 수 있는 옵션을 설명합니다.

DCE/RPC, Endian 또는 Number Type 중 하나만 지정할 수 있습니다.

byte_math 키워드가 바이트를 계산하는 방법을 정의하려는 경우, 다음 표에 설명된 인수 중에서 선택할 수 있습니다. 바이트 순서 인수를 선택하지 않으면 규칙 엔진은 Big Endian 바이트 순서를 사용합니다.

시스템이 다음 표에 있는 인수 중 하나를 사용하여 패킷 내 문자열을 보는 방식을 정의합니다.

예를 들어 byte_math에 설정하는 값이 다음과 같은 경우:

• Bytes = 2

• Offset = 0

• Operator = *

• RValue = height

• Result Variable = area

규칙 엔진은 패킷의 처음 2 바이트에 설명된 숫자를 추출하여 RValue(기존 변수 height를 사용하여 새 변수 area를 생성)로 곱합니다.

metadata 키워드를 사용하여 규칙에 자체 설명 정보를 추가할 수 있습니다. metadata 키워드를 service 인수와 함께 사용하여 네트워크 트래픽에서 애플리케이션과 포트를 식별할 수도 있습니다. 추가하는 정보를 사용하여 필요에 맞게 규칙을 구성하거나 식별할 수 있고, 추가하는 정보와 service 인수를 규칙에서 검색할 수 있습니다.

시스템은 인수 형식을 기반으로 메타데이터를 검증합니다.

key value

key 와value 가 스페이스로 구분된 결합 설명을 제공합니다. 이것은 Cisco에서 제공하는 규칙에 메타데이터를 추가하기 위해 Talos 인텔리전스 그룹에서 사용하는 형식입니다.

또는, 다음 형식을 사용할 수 있습니다.

key = value

예를 들어 key value 형식에서 다음과 같이 카테고리 및 하위 카테고리를 사용하여 작성자와 날짜별로 규칙을 식별할 수 있습니다.

author SnortGuru_20050406

규칙에서 여러 metadata 키워드를 사용할 수 있습니다. 다음 예에 나온 것처럼 쉼표를 사용하여 단일 metadata 키워드에서 여러 key value 인수를 구분할 수 있습니다.

author SnortGuru_20050406, revised_by SnortUser1_20050707,

revised_by SnortUser2_20061003, 

revised_by SnortUser1_20070123

key value 또는 key =value 형식만 사용하도록 제한되지 않습니다. 그러나 이러한 형식 기반의 검증에서 오는 제한 사항에 대해 알고 있어야 합니다.

피해야 할 제한된 문자

다음과 같은 문자 제한 사항을 참고하십시오.

• 세미콜론(;) 또는 콜론(:)을 사용하지 마십시오.

• 시스템은 쉼표를 여러 key value 또는 key =value 인수의 구분자로 해석합니다. 예를 들면 다음과 같습니다.

  key value ,key value ,key value

• 시스템은 등호(=) 문자 또는 공백 문자를 key 와 value 사이의 구분자로 해석합니다. 예를 들면 다음과 같습니다.

  key value

  key =value

다른 모든 문자는 허용됩니다.

피해야 할 예약된 메타데이터

다음 단어는 Talos에서 사용하도록 예약되어 있으므로 metadata 키워드에서 단일 인수나 key value 인수의 key 로 사용하지 마십시오.

application
engine
impact_flag
os
policy
rule-type
rule-flushing
soid

참고	예상과 다르게 기능했을 수도 있는 로컬 규칙에 제한된 메타데이터를 추가하는 것에 관한 도움을 받으려면 Support(지원부)에 연락하십시오.

영향 레벨 1

metadata 키워드에서 다음의 예약된 key value 인수를 사용할 수 있습니다.

impact_flag red

key value 인수는 가져온 로컬 규칙 또는 침입 규칙 편집기를 사용하여 생성한 맞춤형 규칙에 대해 영향 플래그를 red(레벨 1)로 설정합니다.

Talos가 Cisco에서 제공하는 규칙에 impact_flag red 인수를 포함하는 경우, 규칙을 트리거한 패킷이 소스 또는 대상 호스트가 바이러스, 트로이 목마 또는 기타 악성 소프트웨어에 의해 손상되었을 가능성이 있음을 나타내는 것이라고 Talos에서 판단한 것입니다.

키워드를 사용하여 패킷의 IP 헤더 내 가능한 공격 또는 보안 정책 위반을 식별할 수 있습니다.

fragbits

fragbits 키워드는 IP 헤더의 단편 및 예약 비트를 검사합니다. Reserved Bit(예약 비트), More Fragments bit(추가 단편 비트)에서 각 패킷을 확인할 수 있으며, 어떤 조합에서나 Don't Fragment bit(단편화 금지 비트)를 확인할 수 있습니다.

fragbits 키워드를 사용하여 규칙을 개선하기 위해 규칙에서 인수 값 다음에 다음 표에 설명된 모든 연산자를 지정할 수 있습니다.

예를 들어, 설정된 Reserved Bit(예약 비트) (및 가능한 다른 모든 비트)가 있는 패킷에 대한 이벤트를 생성하려면, fragbits 값으로 R+를 사용합니다.

id

ID 키워드는 키워드의 인수에 지정된 값에 대한 IP 헤더 단편 ID 필드를 테스트합니다. 일부 서비스 거부 툴 및 스캐너는 이 필드를 탐지하기 쉬운 특정 번호로 설정합니다. 예를 들어, Synscan 포트스캔을 탐지하는 SID 630에서는 ID 값이 스캐너에서 전송하는 패킷에 ID 번호로 사용된 정적 값 39426으로 설정됩니다.

참고	ID의 값은 숫자여야 합니다.

ipopts

IPopts 키워드를 사용하면 지정된 IP 헤더 옵션을 위한 패킷을 검색할 수 있습니다. 다음 표에는 사용 가능한 인수 값이 나열되어 있습니다.

분석가가 가장 자주 살펴보는 것은 엄격한 소스 라우팅과 느슨한 소스 라우팅입니다. 그 이유는 이 옵션이 도용된 소스 IP 주소를 나타낼 수 있기 때문입니다.

ip_proto

ip_proto 키워드를 사용하면 키워드 값으로 지정된 IP 프로토콜을 통해 패킷을 식별할 수 있습니다. 0에서 255까지의 번호로 IP 프로토콜을 지정할 수 있습니다. 이 번호를 <, >, 또는! .연산자와 결합할 수 있습니다. 예를 들어, ICMP가 아닌 모든 프로토콜을 통해 트래픽을 검사하려면, ip_proto 키워드에 대한 값으로 !1을 사용합니다. 또한 단일 규칙에서 ip_proto 키워드를 여러 번 사용할 수 있습니다. 하지만, 규칙 엔진은 키워드의 여러 인스턴스를 Boolean AND 관계를 갖는 것으로 해석한다는 점에 유의하십시오. 예를 들어, ip_proto:!3; ip_proto:!6을 포함하는 규칙을 생성하는 경우, 규칙은 GGP 프로토콜 및 TCP 프로토콜을 사용하는 트래픽을 무시합니다.

tos

일부 네트워크는 서비스 유형(ToS) 값을 사용하여 네트워크로 이동하는 패킷의 우선 순위를 설정합니다. tos 키워드는 키워드의 인수로 지정한 값에 대한 패킷의 IP 헤더 ToS 값을 테스트합니다. tos 키워드를 사용하는 규칙은 해당 ToS가 특정 값으로 설정된 패킷과 규칙에서 제시된 기준의 나머지 부분을 충족하는 패킷에서 트리거됩니다.

참고	tos의 인수 값은 숫자여야 합니다.

ToS 필드는 IP 헤더 프로토콜에서 더 이상 사용되지 않으며 DSCP(Differentiated Services Code Point) 필드로 대체되었습니다.

ttl

패킷의 ttl(time-to-live) 값은 삭제되기 전에 만들 수 있는 홉의 수를 나타냅니다. ttl 키워드를 사용하여 키워드의 인수로 지정한 값 또는 값 범위에 대한 패킷의 IP 헤더 ttl 값을 테스트할 수 있습니다. 낮은 TTL 값은 때로 traceroute 또는 침입 회피 시도를 표시하므로 ttl 키워드 매개 변수를 0이나 1과 같은 낮은 값으로 설정하는 것이 도움이 될 수 있습니다. (하지만 이 키워드에 대한 적절한 값은 매니지드 디바이스 배치 및 네트워크 토폴로지에 따라 다르다는 점을 참고하십시오.) 다음과 같이 구문을 사용합니다.

• 0에서 255 사이의 정수를 사용하여 TTL 값으로 특정 값을 설정합니다. 또한 등호(=)로 값을 입력할 수 있습니다(예를 들어 5 또는 =5를 지정할 수 있습니다).

• 하이픈(‑)을 사용하여 TTL 값의 범위를 지정합니다(예를 들어, 0‑2 는 0에서 2까지의 모든 값을, -5는 0에서 5까지의 모든 값을, 그리고 5-는 5에서 255까지의 모든 값을 지정합니다).

• 부등호(>)를 사용하여 특정 값보다 큰 TTL 값을 지정합니다(예를 들어, >3은 3보다 큰 모든 값을 지정합니다).

• 크거나 같음 기호(>=)를 사용하여 특정 값보다 크거나 같은 TTL 값을 지정합니다(예를 들어, >=3은 3보다 크거나 같은 모든 값을 지정합니다).

• 부등호(<)를 사용하여 특정 값보다 작은 TTL 값을 지정합니다(예를 들어, <3은 3보다 작은 모든 값을 지정합니다).

• 작거나 같음 기호(<=)를 사용하여 특정 값보다 작거나 같은 TTL 값을 지정합니다(예를 들어, <=3은 3보다 작거나 같은 모든 값을 지정합니다).

Firepower System은 ICMP 패킷의 헤더에서 공격 및 보안 정책 위반을 식별하는 데 사용할 수 있는 키워드를 지원합니다. 하지만 대부분의 ICMP 유형 및 코드를 탐지하는 사전 정의된 규칙이 존재한다는 점을 참고하십시오. 기존 규칙을 활성화하거나 기존 규칙에 기반한 로컬 규칙을 생성하는 것을 고려하십시오. ICMP 규칙을 처음부터 구축하면 요구를 충족시키는 규칙을 더욱 신속하게 찾을 수 있습니다.

icmp_id 및 icmp_seq

ICMP ID 및 시퀀스 번호는 ICMP 응답과 ICMP 요구를 연결하는 데 도움이 됩니다. 일반적인 트래픽에서 이 값은 패킷에 동적으로 할당됩니다. 일부 은닉 채널 및 분산서비스거부(DDoS) 프로그램은 정적 ICMP ID 및 시퀀스 값을 사용합니다. 다음 키워드를 사용하면 정적 값으로 ICMP 패킷을 확인할 수 있습니다.

itype

특정 ICMP 메시지 유형 값으로 패킷을 검색하려면 itype 키워드를 사용합니다. 유효한 ICMP 유형 값 또는 유효하지 않은 ICMP 유형 값을 지정하여 다양한 트래픽 유형을 테스트할 수 있습니다. 예를 들어, 공격자는 범위에서 서비스 거부 및 플러딩 공격을 야기할 사정 거리 밖의 ICMP 유형 값을 설정할 수 있습니다.

보다 작음(<) 및 보다 큼(>)을 사용하여 itype 인수 값의 범위를 지정할 수 있습니다.

예를 들면 다음과 같습니다.

• <35

• >36

• 3<>55

icode

ICMP 메시지는 때로 목적지에 도달할 수 없는 경우 정보를 제공하는 코드 값을 포함합니다.

특정 ICMP 코드 값으로 패킷을 확인하려면 icode 키워드를 사용할 수 있습니다. 유효한 ICMP 코드 값 또는 유효하지 않은 ICMP 코드 값을 지정하여 다양한 트래픽 유형을 테스트할 수 있습니다.

보다 작음(<) 및 보다 큼(>)을 사용하여 icode 인수 값의 범위를 지정할 수 있습니다.

예를 들면 다음과 같습니다.

• 35보다 작은 값을 찾으려면, <35를 지정합니다.

• 36보다 큰 값을 찾으려면, >36을 지정합니다.

• 3에서 55 사이의 값을 찾으려면, 3<>55를 지정합니다.

팁	icode 및 itype 키워드를 사용하여 둘 다에 일치하는 트래픽을 식별할 수 있습니다. 예를 들어, ICMP Destination Unreachable(목적지 도달 불가) 코드 유형과 ICMP Port Unreachable(포트 연결 불가) 코드 유형을 포함하는 ICMP 트래픽을 식별하려면 Destination Unreachable(목적지 도달 불가)에 대한 3의 값과 함께 itype 키워드를, Port Unreachable(포트 연결 불가)에 대한 3의 값과 함께 icode 키워드를 사용합니다.

Firepower System은 패킷의 TCP 헤더와 TCP 스트림 크기를 사용하여 시도된 공격을 식별하도록 설계된 키워드를 지원합니다.

ack

패킷의 TCP 확인 응답 수에 대한 값을 비교하려면 ack 키워드를 사용할 수 있습니다. ack 키워드에 지정된 값이 패킷의 TCP 확인 응답 수에 일치하는 경우 규칙이 트리거됩니다.

ack의 인수 값은 숫자여야 합니다.

flags

flags 키워드를 사용하여 검사한 패킷에 지정되었을 때, 규칙이 트리거되도록 하는 TCP 플래그의 조합을 지정할 수 있습니다.

참고	관례상 flags 값으로 A+를 사용할 경우, established 값으로 flow 키워드를 사용해야 합니다. 일반적으로 모든 플래그 조합 탐지를 확인하기 위해 플래그를 사용하는 경우, stateless 값으로 flow 키워드를 사용해야 합니다.

flag 키워드에 대해 다음 표에 설명한 값을 확인하거나 무시할 수 있습니다.

flags 키워드를 사용할 때에는 여러 플래그를 기준으로 시스템이 매칭을 수행하는 방법을 나타내기 위해 연산자를 사용할 수 있습니다. 다음 표에서 이 연산자를 설명합니다.

flow

flow 키워드를 사용하여 세션 특징에 기반한 규칙에 따라 검사를 위한 패킷을 선택할 수 있습니다. flow 키워드를 사용하면 클라이언트 흐름 또는 서버 흐름에 규칙을 적용하여 규칙이 적용된 트래픽 흐름의 방향을 지정할 수 있습니다. flow 키워드가 패킷을 검사하는 방법을 지정하려면, 분석을 원하는 트래픽의 방향과 검사된 패킷의 상태, 그리고 패킷이 재구축된 스트림의 일부인지 여부를 설정할 수 있습니다.

규칙을 처리할 때 패킷의 상태 저장 검사가 이루어집니다. TCP 규칙이 상태 비저장 트래픽(설정된 세션 컨텍스트가 없는 트래픽)을 무시하기를 원하는 경우, 규칙에 flow 키워드를 추가하고 키워드의 Established 인수를 선택해야 합니다. UDP 규칙이 스테이트리스 트래픽을 무시하도록 하려면 규칙에 flow 키워드를 추가하고 Established 인수나 방향 인수 또는 둘 모두를 선택해야 합니다. 이것은 TCP 또는 UDP 규칙이 패킷의 상태 저장 검사를 수행하도록 합니다.

방향 인수를 추가하면, 규칙 엔진은 지정된 방향과 일치하는 흐름과 함께 설정한 상태가 있는 해당 패킷만 검사합니다. TCP 또는 UDP 연결이 탐지되었을 때 트리거되는 규칙에 established 인수 및 From Client 인수와 함께 flow 키워드를 추가하는 경우, 규칙 엔진은 클라이언트에서 전송된 패킷만 검사합니다.

팁	최대 성능을 위해, TCP 규칙 또는 UDP 세션 규칙에서 항상 flow 키워드를 포함합니다.

다음 표에서는 flow 키워드에 대해 지정할 수 있는 스트림 관련 인수를 설명합니다.

다음 표에서는 flow 키워드에 대해 지정할 수 있는 방향 옵션을 설명합니다.

From Server 및 To Client는 같은 기능을 수행하며, To Server 및 From Client도 같은 기능을 수행한다는 점에 유의하십시오. 이 옵션은 규칙에 컨텍스트 및 가독성을 추가하기 위해 존재합니다. 예를 들어 서버에서 클라이언트에 취해지는 공격을 탐지하기 위해 설계된 규칙을 작성하는 경우, From Server를 사용하십시오. 하지만 클라이언트에서 서버에 취해지는 공격을 탐지하기 위해 설계된 규칙을 작성하는 경우, From Client를 사용합니다.

다음 표에서는 flow 키워드에 대해 지정할 수 있는 스트림 관련 인수를 설명합니다.

예를 들어, 스트림 프리프로세서에 의해 리어셈블된, 설정된 세션에서 클라이언트에서 서버로 이동하는 트래픽을 탐지하려면 flow 키워드에 대해 To Server, Established, Only Stream Traffic을 사용할 수 있습니다.

seq

seq 키워드로 정적 시퀀스 번호 값을 지정할 수 있습니다. 시퀀스 번호가 특정 인수에 일치하는 패킷은 키워드를 포함하는 규칙을 트리거합니다. 이 키워드는 거의 사용되지 않지만 정적 시퀀스 번호로 생성된 패킷을 사용한 스캔 네트워크와 공격 식별에 도움이 됩니다.

window

window 키워드를 사용하여 관심 있는 TCP 창 크기를 지정할 수 있습니다. 이 키워드를 포함하는 규칙은 지정된 TCP 창 크기의 패킷이 발생할 때마다 트리거됩니다. 이 키워드는 거의 사용되지 않지만 정적 TCP 창 크기로 생성된 패킷을 사용한 스캔 네트워크와 공격 식별에 도움이 됩니다.

stream_size

다음 형식을 사용하여 stream_size 키워드를 TCP 스트림 바이트의 크기를 결정하는 스트림 전처리기와 함께 사용할 수 있습니다.

direction,operator,bytes

bytes가 바이트 수인 경우. 쉼표(,)로 인수의 각 옵션을 구분해야 합니다.

다음 표에서는 stream_size 키워드에 대해 지정할 수 있는 대소문자를 구분하지 않는 방향 옵션을 설명합니다.

다음 표에서는 stream_size 키워드와 함께 사용할 수 있는 연산자를 설명합니다.

예를 들어, client, >=, 5001216을 stream_size 키워드의 인수로 사용하여 클라이언트에서 5001216바이트와 같거나 큰 서버로 이동하는 TCP 스트림을 탐지할 수 있습니다.

stream_reassemble 키워드를 사용하여 연결 시 검사된 트래픽이 규칙 조건에 일치할 때 단일 연결에 대한 TCP 스트림 리어셈블리를 활성화 및 비활성화할 수 있습니다. 또는, 규칙에서 이러한 키워드를 여러 번 사용할 수 있습니다.

스트림 리어셈블리를 활성화하거나 비활성화하려면 다음 구문을 사용합니다.

enable|disable, server|client|both, option, option

다음 표에서는 stream_reassemble 키워드와 함께 사용할 수 있는 선택적 인수를 설명합니다.

예를 들어 다음 규칙은 HTTP 응답에서 200 OK 상태 코드가 탐지된 연결에 대해 이벤트를 생성하지 않은 채 TCP 클라이언트 측 스트림 리어셈블리를 비활성화합니다.

alert tcp any 80 -> any any (flow:to_client, established; content: “200 OK”; 
stream_reassemble:disable, client, noalert

SSL 규칙 키워드를 사용하여 SSL(Secure Sockets Layer) 전처리기를 호출할 수도 있고 암호화된 세션에서 패킷으로부터 SSL 버전 및 세션 상태에 관한 정보를 추출할 수 있습니다.

클라이언트와 서버가 SSL 또는 TLS(전송 레이어 보안)를 사용하여 암호화된 세션을 설정하기 위해 통신할 때 핸드쉐이크 메시지를 교환합니다. 세션에서 전송되는 데이터는 암호화되지만, 핸드쉐이크 메시지는 그렇지 않습니다.

SSL 전처리기는 특정 핸드쉐이크 필드의 상태 및 버전 정보를 추출합니다. 핸드쉐이크 내 두 필드는 핸드쉐이크의 세션 및 단계를 암호화하는 데 사용된 SSL 또는 TLS 버전을 나타냅니다.

ssl_state

ssl_state 키워드는 암호화된 세션에 대한 상태 정보를 비교하는 데 사용될 수 있습니다. 동시에 사용된 2개 이상의 SSL 버전을 확인하려면, 규칙에서 여러 ssl_version 키워드를 사용합니다.

규칙이 ssl_state 키워드를 사용하면, 규칙 엔진은 SSL 전처리기를 호출하여 SSL 상태 정보에 대한 트래픽을 확인하도록 합니다.

예를 들어, 너무 긴 챌린지 길이 및 너무 많은 데이터를 가진 ClientHello 메시지를 보내 서버에 버퍼 오버플로를 일으키는 공격자의 시도를 검색하려면, client_hello와 함께 ssl_state 키워드를 인수로 사용한 후 비정상적으로 규모가 큰 패킷을 확인할 수 있습니다.

쉼표로 구분된 목록을 사용하여 SSL 상태에 대한 여러 인수를 지정합니다. 여러 인수를 나열할 경우, 시스템은 OR 연산자를 사용하여 이를 평가합니다. 예를 들어, 인수로 client_hello 및 server_hello를 지정한 경우, 시스템은 client_hello 또는 server_hello가 있는 트래픽에 대한 규칙을 평가합니다.

또한 모든 인수를 무효화할 수 있습니다. 예를 들면 다음과 같습니다.

!client_hello, !unknown

연결이 각 상태 집합에 도달했음을 확인하려면 ssl_state 규칙 옵션을 사용하는 여러 규칙이 사용되어야 합니다. ssl_state 키워드는 다음 식별자를 인수로 취합니다.

ssl_version

ssl_version 키워드는 암호화된 세션의 버전 정보와 일치시키는 데 사용될 수 있습니다. 규칙이 ssl_version 키워드를 사용하면, 규칙 엔진은 SSL 전처리기를 호출하여 SSL 버전 정보에 대한 트래픽을 확인하도록 합니다.

예를 들어 SSL 버전 2에 버퍼 오버플로 취약성이 있음을 알고 있는 경우, SSL의 해당 버전을 사용하는 트래픽을 식별하려면 ssl_version 키워드와 sslv2 인수를 사용할 수 있습니다.

쉼표로 구분된 목록을 사용하여 SSL 버전에 대한 여러 인수를 지정합니다. 여러 인수를 나열할 경우, 시스템은 OR 연산자를 사용하여 이를 평가합니다. 예를 들어, SSLv2를 사용하지 않는 모든 암호화된 트래픽을 식별하고자 한다면 규칙에 ssl_version:ssl_v3,tls1.0,tls1.1,tls1.2를 추가할 수 있습니다. 규칙은 SSL 버전 3, TLS 버전 1.0, TLS 버전 1.1, 또는 TLS 버전 1.2를 사용하여 모든 트래픽을 평가합니다.

ssl_version 키워드는 다음 SSL/TLS 버전 식별자를 인수로 취합니다.

appid 키워드를 사용하여 패킷에서 애플리케이션 프로토콜, 클라이언트 애플리케이션 또는 웹 애플리케이션을 식별할 수 있습니다. 예를 들어 특정 취약성의 영향을 받기 쉬운 특정 애플리케이션을 대상으로 할 수 있습니다.

침입 규칙의 appid 키워드 내에서 Configure AppID(AppID 구성)를 클릭하여 탐지할 하나 이상의 애플리케이션을 선택합니다.

사용 가능한 애플리케이션 탐색

조건 만들기를 처음 시작할 때 Available Application(사용 가능한 애플리케이션) 목록은 제한되지 않은 상태이며 시스템에서 탐지되는 모든 애플리케이션이 페이지당 100개씩 표시됩니다.

• 애플리케이션 페이지를 넘기려면 목록 아래의 화살표를 클릭합니다.

• 애플리케이션의 특성에 대한 요약 정보와 찾아갈 수 있는 인터넷 검색 링크가 포함된 팝업 창을 표시하려면 애플리케이션 옆의 Information(정보) ()을 클릭합니다.

애플리케이션 필터 사용

매칭할 애플리케이션을 찾으려면, 다음과 같은 방법으로 Available Applications 목록을 제한할 수 있습니다.

• 애플리케이션을 검색하려면 Search by name 프롬프트를 클릭한 다음 이름을 입력합니다. 입력을 수행하면 목록이 업데이트되어 일치하는 애플리케이션을 표시합니다.

• 필터를 적용하여 애플리케이션을 제한하려면 Application Filters(애플리케이션 필터) 목록을 사용합니다. 필터를 적용하면 Available Applications 목록이 업데이트됩니다. 사용자의 편의를 위해 시스템은 잠금 취소 아이콘을 사용하여 암호화 트래픽이나 암호화되지 않은 트래픽이 아닌 해독된 트래픽에서만 식별할 수 있는 애플리케이션을 표시합니다.

참고	Application Filters(애플리케이션 필터) 목록에서 하나 이상의 필터를 선택하고 Available Applications(사용 가능한 애플리케이션) 목록도 검색하는 경우 선택한 항목 및 검색을 통해 필터링한 Available Applications(사용 가능한 애플리케이션) 목록이 AND 연산을 사용하여 조합됩니다.

애플리케이션 선택

단일 애플리케이션을 선택하려면 애플리케이션을 선택하고 Add to Rule(규칙에 추가)을 클릭합니다. 현재의 제한된 보기에서 모든 애플리케이션을 선택하려면 마우스 오른쪽 버튼으로 클릭하고 Select All(모두 선택)을 선택합니다.