Introduction
Uma regra local personalizada em um sistema FireSIGHT é uma regra de Snort padrão personalizada que você importa em um formato de arquivo de texto ASCII de uma máquina local. Um sistema FireSIGHT permite importar regras locais usando a interface da Web. As etapas para importar regras locais são muito simples. No entanto, para escrever uma regra local ideal, um usuário precisa de conhecimento profundo sobre Snort e protocolos de rede.
O objetivo deste documento é fornecer algumas dicas e assistência para escrever uma regra local personalizada. As instruções sobre como criar regras locais estão disponíveis no Manual do usuário do Snort, disponível em snort.org. A Cisco recomenda que você faça download e leia o Manual do usuário antes de escrever uma regra local personalizada.
Note: As regras fornecidas em um pacote Sourcefire Rule Update (SRU) são criadas e testadas pelo Cisco Talos Security Intelligence and Research Group e suportadas pelo Cisco Technical Assistance Center (TAC). O TAC da Cisco não oferece assistência para escrever ou ajustar uma regra local personalizada; no entanto, se você tiver problemas com a funcionalidade de importação de regras do seu sistema FireSIGHT, entre em contato com o TAC da Cisco.
aviso: Uma regra local personalizada mal escrita pode afetar o desempenho de um sistema FireSIGHT que pode levar à degradação do desempenho de toda a rede. Se você estiver enfrentando algum problema de desempenho em sua rede e houver algumas regras de Snort local personalizadas habilitadas em seu sistema FireSIGHT, a Cisco recomenda que você desative essas regras locais.
Prerequisites
Requirements
A Cisco recomenda que você conheça as regras do Snort e o sistema FireSIGHT.
Componentes Utilizados
As informações neste documento são baseadas nas seguintes versões de hardware e software:
- O FireSIGHT Management Center (também conhecido como Defense Center)
- Versão do software 5.2 ou posterior
Trabalhando com as regras locais personalizadas
Importar regras locais
Antes de começar, certifique-se de que as regras do arquivo não contêm nenhum caractere de escape. O importador de regras exige que todas as regras personalizadas sejam importadas usando a codificação ASCII ou UTF-8.
O procedimento a seguir explica como importar regras de texto padrão local de uma máquina local:
1. Acesse a página Editor de regras navegando para Políticas > Intrusão > Editor de regras.
2. Clique em Importar regras. A página Rule Updates é exibida.

Figura: Uma captura de tela da página Atualizações de regras
3. Selecione Arquivo de regra de texto ou atualização de regra para carregar e instalar e clique em Procurar para selecionar o arquivo de regra.
Note: Todas as regras carregadas são salvas na categoria de regra local.
4. Clique em Importar. O arquivo de regra é importado.
Caution: Os sistemas FireSIGHT não usam o novo conjunto de regras para inspeção. Para ativar uma regra local, é necessário ativá-la na Política de intrusão e, em seguida, aplicar a política.
Exibir regras locais
- Para exibir o número da revisão de uma regra local atual, navegue até a página Editor de Regras (Políticas > Intrusão > Editor de Regras).

- Na página Editor de regras, clique na categoria Regra local para expandir a pasta e clique em Editar ao lado da regra.
- Todas as regras locais importadas são salvas automaticamente na categoria de regra local.
Ativar regras locais
- Por padrão, o sistema FireSIGHT define as regras locais em um estado desabilitado. Você deve definir manualmente o estado das regras locais antes de usá-las em sua política de invasão.
- Para ativar uma regra local, navegue até a página Editor de políticas (Políticas > Intrusão > Política de intrusão). Selecione Rules no painel esquerdo. Em Categoria, selecione local. Todas as regras locais devem aparecer, se disponíveis.

- Depois de selecionar as regras locais desejadas, selecione um estado para as regras.

- Quando o estado da regra for selecionado, clique na opção Informações da política no painel esquerdo. Selecione o botão Confirmar alterações. A política de intrusão é validada.
Note: A validação da política falhará se você habilitar uma regra local importada que use a palavra-chave de limite preterida em combinação com o recurso de limite de evento de intrusão em uma política de invasão.
Exibir as regras locais excluídas
- Todas as regras locais excluídas são movidas da categoria de regra local para a categoria de regra excluída.
- Para exibir o número de revisão de uma regra local excluída, vá para a página Editor de regras, clique na categoria excluída para expandir a pasta e clique no ícone lápis para exibir os detalhes da regra na página Editor de regras.
Numeração das regras locais
- Você não precisa especificar um Gerador (GID); se fizer isso, você poderá especificar apenas GID 1 para uma regra de texto padrão ou 138 para uma regra de dados confidenciais.
- Não especificar um ID de Snort (SID) ou número de revisão ao importar uma regra pela primeira vez; isso evita colisões com SIDs de outras regras, incluindo regras excluídas.
- O FireSIGHT Management Center atribui automaticamente o próximo SID de regra personalizada disponível de 1000000 ou mais e um número de revisão de 1.
- Se você tentar importar uma regra de intrusão com um SID maior que 2147483647, ocorrerá um erro de validação.
- Você deve incluir o SID atribuído pelo IPS e um número de revisão maior que o número de revisão atual ao importar uma versão atualizada de uma regra local que você importou anteriormente.
- Você pode restabelecer uma regra local excluída importando a regra usando o SID atribuído pelo IPS e um número de revisão maior que o número de revisão atual. Observe que o FireSIGHT Management Center aumenta automaticamente o número da revisão quando você exclui uma regra local; este é um dispositivo que permite que você restaure as regras locais.