Introdução
Este documento descreve como filtrar regras de snort com base na versão Cisco Secure Rule Update (SRU) e Lightweight Security Package (LSP) de dispositivos firepower gerenciados pelo FMC.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Conhecimento do Snort de código aberto
- Firepower Management Center (FMC)
- Firepower Threat Defense (FTD)
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Este artigo se aplica a todas as plataformas Firepower
- Cisco FTD que executa a versão de software 7.0.0
- FMC Virtual que executa a versão de software 7.0.0
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
No contexto dos sistemas de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS), "SID" significa "ID de assinatura" ou "ID de assinatura Snort".
Um Snort Signature ID (SID) é um identificador exclusivo atribuído a cada regra ou assinatura dentro de seu conjunto de regras. Essas regras são usadas para detectar padrões ou comportamentos específicos no tráfego de rede que podem indicar atividade mal-intencionada ou ameaças à segurança. Cada regra é associada a um SID para permitir fácil referência e gerenciamento.
Para obter informações sobre o Snort de código aberto, visite o site do SNORT.
Procedimento para filtrar regras de snort
Para visualizar os SIDs da regra Snort 2, navegue atéFMC Policies > Access Control > Intrusion
,
depois clique na opção Snort 2 Version no canto superior direito, como mostrado na imagem:
Snort 2
Navegue atéRules > Rule Update
e escolha a data mais recente para filtrar o SID.
Atualização de regra
Sids disponíveis sob regras de snort
Escolha uma opção necessária emRule State
, conforme mostrado na imagem.
Seleção de estados de Regra
Para visualizar os SIDs da regra Snort 3, navegue atéFMC Policies > Access Control > Intrusion
e clique na opção Versão do Snort 3 no canto superior direito, como mostrado na imagem:
Snort 3
Navegue atéAdvanced Filters
e escolha a data mais recente para filtrar o SID como mostrado na imagem.
3 filtros Snort
LSP no filtro avançado
versão de LSP
Filtro predefinido para Sid’s
Escolha uma opção necessária emRule state
, conforme mostrado na imagem.
Ação da regra