구성한 필터가 Filter(필터) 텍스트 상자에 표시됩니다. 필터 패널에서 키워드 및 키워드 인수를 클릭하여 필터를 구성할 수 있습니다. 여러 키워드를 선택하면 시스템에서 AND 논리로 키워드를 통합하여 복합 검색 필터를 생성합니다. 예를 들어 Category(카테고리) 아래에서 preprocessor(전처리기)를 선택한 다음 Rule Content(규칙 콘텐츠) > GID를 선택하고 116을 입력하면 Category: “preprocessor” GID:”116” 필터가 생성됩니다. 이 필터는 전처리기 규칙이고 GID가 116인 규칙을 모두 검색합니다.

Category(카테고리), Microsoft Vulnerabilities(Microsoft 취약성), Microsoft Worms(Microsoft 웜), Platform Specific(플랫폼 특징), Preprocessor(전처리기) 및 Priority(우선 순위) 필터 그룹을 통해 키워드를 위한 1개 이상의 인수를 쉼표로 구분하여 제출할 수 있습니다. 예를 들어 Category(카테고리)에서 os‑linux 및 os‑windows를 선택하면 Category:"os‑windows,os‑linux" 필터를 생성할 수 있습니다. 이 필터는 os‑linux 카테고리 또는 os‑windows 카테고리에 속하는 모든 규칙을 검색합니다.

필터 패널을 표시하려면 표시 아이콘을 클릭합니다.

필터 패널을 숨기려면, 숨기기 아이콘을 클릭합니다.

대부분의 경우, 필터를 작성할 때 침입 정책의 Rules(규칙) 페이지 왼쪽에 있는 필터 패널을 사용하여 원하는 키워드/인수를 선택할 수 있습니다.

Rule(규칙) 필터는 필터 패널의 규칙 필터 그룹으로 그룹화됩니다. 많은 규칙 필터 그룹에 하위 기준이 포함되어 있어서 원하는 특정 규칙을 손쉽게 찾을 수 있습니다. 일부 규칙 필터에는 개별 규칙으로 드릴다운하기 위해 확장할 수 있는 여러 레벨이 있습니다.

필터 패널의 항목은 때로는 필터 유형 그룹, 때로는 키워드, 그리고 때로는 키워드에 대한 인수를 나타냅니다. 다음에 유의하십시오.

• 키워드(Rule Configuration(규칙 구성), Rule Content(규칙 콘텐츠), Platform Specific(플랫폼별) 및 Priority(우선순위)가 아닌 필터 유형 그룹 제목을 선택하면 확장되어 사용 가능한 키워드가 나열됩니다.

  기준 목록의 노드를 클릭하여 키워드를 선택하면 팝업 창이 나타나는데, 여기에서 필터링할 인수를 제공합니다.

  해당 키워드가 필터에서 이미 사용되고 있는 경우 해당 키워드의 기존 인수가 사용자가 입력하는 인수로 대체됩니다.

  예를 들어 필터 패널에서 Rule Configuration(규칙 구성) > Recommendation(권장 사항) 아래에 있는 Drop and Generate Events(이벤트 삭제 및 생성)를 클릭하는 경우, 필터 텍스트 상자에 Recommendation: "Drop and Generate Events"가 추가됩니다. 그런 다음 Rule Configuration(규칙 구성) > Recommendation(권장 사항) 아래에 있는 Generate Events(이벤트 생성)를 클릭하는 경우, 필터가 Recommendation:"Generate Events"로 변경됩니다.

• 키워드(Category(카테고리), Classifications(분류), Microsoft Vulnerabilities(Microsoft 취약성), Microsoft Worms(Microsoft 웜), Priority(우선 순위) 및 Rule Update(규칙 업데이트))인 필터 유형 그룹 제목을 선택하면 사용 가능한 인수가 나열됩니다.

  이 그룹 유형에서 항목을 선택하면 항목이 적용하는 인수와 키워드가 필터에 즉시 추가됩니다. 키워드가 필터에 이미 있는 경우, 그룹에 해당하는 키워드에 대한 기존 인수를 교체합니다.

  예를 들어 필터 패널에서 Category(카테고리) 아래의 os Linux를 클릭할 경우, 필터 텍스트 상자에 Categoy:"os‑linux"가 추가됩니다. 그런 다음 Category(카테고리) 아래에서 os-windows를 클릭하면 필터가 Category:"os-windows"로 변경됩니다.

• Rule Content(규칙 콘텐츠) 아래의 참조는 키워드이며, 그 아래에 나열된 참조 ID 유형도 마찬가지입니다. 참조 키워드를 선택하면 팝업 창이 나타납니다. 여기서 인수를 제공하면 기존 필터에 키워드가 추가됩니다. 해당 키워드가 필터에서 이미 사용되고 있는 경우, 새로 제공하는 인수가 기존 인수를 교체합니다.

  예를 들어, 필터 패널에서 Rule Content(규칙 내용) > Reference(참조) > CVE ID를 클릭하면 팝업 창에 CVE ID를 입력하라는 메시지가 표시됩니다. 2007을 입력한 경우, 다음 CVE: “2007”이 필터 텍스트 상자에 추가됩니다. 예를 들어, 필터 패널에서 Rule Content(규칙 내용) > Reference(참조)를 클릭하면 팝업 창에 참조를 입력하라는 메시지가 표시됩니다. 2007을 입력한 경우, Reference:”2007”이 필터 텍스트 상자에 추가됩니다.

• 서로 다른 그룹에서 규칙 필터 키워드를 선택하면 각 필터 키워드가 필터에 추가되며 기존 키워드는 유지됩니다(동일한 키워드의 새 값으로 덮어쓰지 않는 한).

  예를 들어 필터 패널에서 Category(카테고리) 아래의 os Linux를 클릭할 경우, 필터 텍스트 상자에 Categoy:"os‑linux"가 추가됩니다. Microsoft Vulnerabilities(Microsoft 취약성) 아래의 MS00-006을 클릭할 경우, 필터는 Category:"os‑linux" MicrosoftVulnerabilities:"MS00-006"으로 변경됩니다.

• 여러 키워드를 선택하면 시스템에서 AND 논리로 키워드를 통합하여 복합 검색 필터를 생성합니다. 예를 들어 Category(카테고리) 아래에서 preprocessor(전처리기)를 선택한 다음 Rule Content(규칙 콘텐츠) > GID를 선택하고 116을 입력하면 Category: “preprocessor” GID:”116” 필터가 생성됩니다. 이 필터는 전처리기 규칙이고 GID가 116인 규칙을 모두 검색합니다.

• Category(카테고리), Microsoft Vulnerabilities(Microsoft 취약성), Microsoft Worms(Microsoft 웜), Platform Specific(플랫폼 특징) 및 Priority(우선 순위) 필터 그룹을 통해 키워드를 위한 하나 이상의 인수를 쉼표로 구분하여 제출할 수 있습니다. 예를 들어 Category(카테고리)에서 os‑linux 및 os‑windows를 선택하면 Category:"os‑windows,app-detect" 필터를 생성할 수 있습니다. 이 필터는 os‑linux 카테고리 또는 os‑windows 카테고리에 속하는 모든 규칙을 검색합니다.

둘 이상의 필터 키워드/인수 쌍으로 동일한 규칙을 검색할 수 있습니다. 예를 들어, 규칙이 dos 카테고리에서 필터링될 경우, 그리고 High(높은) 우선 순위로 필터링할 경우 DOS Cisco 시도 규칙(SID 1545)이 나타납니다.

참고	Talos 인텔리전스 그룹는 규칙 업데이트 메커니즘을 사용하여 규칙 필터를 추가 및 제거할 수 있습니다.

Rules(규칙) 페이지에 있는 규칙은 공유 개체 규칙(generator ID 3) 또는 표준 텍스트 규칙(generator ID 1, Global domain or legacy GID; 1000 - 2000, descendant domains)일 수 있습니다. 다음 표는 다양한 규칙 필터에 대해 설명합니다.

침입 정책의 Rules(규칙) 페이지 왼쪽에 있는 필터 패널에서 사전 정의된 필터 키워드를 선택할 수 있습니다. 필터를 선택하면 페이지에 모든 일치하는 규칙이 표시되거나 일치하는 규칙이 없음이 표시됩니다.

추가로 제한하려면 필터에 키워드를 추가할 수 있습니다. 입력한 모든 필터는 전체 규칙 데이터베이스를 검색하고 일치하는 규칙을 모두 반환합니다. 페이지가 계속 이전 검색 결과를 표시하고 있는데 필터를 입력하는 경우, 페이지는 이를 지우고 새 필터의 결과로 돌아갑니다.

필터를 선택할 때 제공된 동일한 키워드 및 인수 구문을 사용하여 필터를 입력할 수도 있고, 선택한 후 필터에서 인수 값을 수정할 수도 있습니다. 키워드 없이, 키워드의 첫 글자 대문자 없이 또는 인수 앞뒤의 따옴표 없이 검색할 용어를 입력하면 검색은 문자열 검색으로 처리되며, 지정된 용어가 카테고리, 메시지 및 SID 필드에서 검색됩니다.

침입 정책에서 규칙의 상태를 다음 값으로 설정할 수 있습니다.

이벤트 생성

시스템이 일치하는 트래픽을 찾으면 특정 침입 시도를 탐지하고 침입 이벤트를 생성하도록 하려는 경우에 설정합니다. 악의적인 패킷이 네트워크를 이동하여 규칙을 트리거하면 규칙이 목적지로 전송되고 시스템이 침입 이벤트를 생성합니다. 악의적인 패킷이 대상에 도달하지만 이벤트 로깅을 통해 알림이 전송됩니다.

이벤트 삭제 및 생성

시스템이 일치하는 트래픽을 찾으면 특정 침입 이벤트를 탐지하고, 공격을 포함하는 패킷을 삭제하고, 침입 이벤트를 생성하도록 하려는 경우에 설정합니다. 악성 패킷은 대상에 도달하지 못하며 이벤트 로깅을 통해 알림이 전송됩니다.

디바이스 인라인 인터페이스 집합이 탭 모드인 구축을 포함한 패시브 구축. 시스템에서 패킷을 삭제하려면 침입 정책에서 Drop when Inline(인라인 시 삭제)를 활성화(기본 설정)하고 디바이스 인라인으로 구축해야 합니다.

Disable(비활성화)

시스템이 일치하는 트래픽을 평가하지 않도록 하려면 설정합니다.

참고	Generate Events(이벤트 생성) 또는 Drop and Generate Events(이벤트 삭제 및 생성) 옵션을 선택하면 규칙이 활성화됩니다. Disable(비활성화)를 선택하면 규칙이 비활성화됩니다. Cisco는 침입 정책 내 침입 규칙을 모두 활성화하지 않을 것을 강력히 권장합니다. 모든 규칙이 활성화될 경우 관리되는 디바이스의 성능이 저하될 수 있습니다. 대신 네트워크 환경과 가능한 한 일치하도록 규칙 설정을 조정하십시오.

침입 정책에서 침입 또는 전처리기 규칙에 대해 속도 기반 필터를 구성할 수 있습니다. 속도 기반 필터에는 다음과 같은 3개의 구성 요소가 포함되어 있습니다.

• 특정 초 이내 규칙 일치의 계수로 구성한 규칙 일치 비율

• 속도를 초과할 경우 다음 3개의 사용 가능한 작업과 함께 취할 새로운 작업: Generate Events(이벤트 생성), Drop and Generate Events(이벤트 삭제 및 생성), Disable(비활성화)

• 시간 제한 값으로 설정한 작업 기간

시작한 경우, 속도가 해당 기간 동안 구성된 속도까지 떨어지더라도 시간 제한에 도달할 때까지 새로운 작업이 발생한다는 점에 유의하십시오. 시간 제한에 도달하면, 속도가 임계값 아래로 떨어진 경우, 규칙 작업은 규칙에 처음 설정된 작업으로 돌아갑니다.

인라인 구축에서 속도 기반 공격 차단을 구성하여 일시적으로 또는 영구적으로 공격을 차단할 수 있습니다. 속도 기반 구성 없이 Generate Events(이벤트 생성)로 설정된 규칙은 이벤트를 생성하지만 시스템은 해당 규칙에 대한 패킷을 삭제하지 않습니다. 하지만 속도 기반 기준이 구성되어 있는 규칙이 공격 트래픽과 일치하는 경우, 해당 규칙이 처음에는 Drop and Generate Events(이벤트 삭제 및 생성)로 설정되어 있지 않더라도 속도 작업은 속도 작업이 활성화된 기간 동안 패킷이 삭제되도록 할 수 있습니다.

참고	속도 기반 작업은 비활성화된 규칙을 활성화하거나 비활성화된 규칙에 일치하는 트래픽을 삭제할 수 없습니다.

동일한 규칙에서 다중 속도 기반 필터를 정의할 수 있습니다. 침입 정책에 나열된 첫 번째 필터의 우선 순위가 가장 높습니다. 두 개의 속도 기반 필터 작업이 충돌하면 첫 번째 속도 기반 필터의 작업이 수행됩니다.