IPS 5.x及更高版本：使用CLI和IDM通过事件操作过滤器调整签名

简介

本文档介绍如何通过命令行界面(CLI)和IDS设备管理器(IDM)在思科入侵防御系统(IPS)中使用事件操作过滤器调整签名。

先决条件

要求

本文档假设Cisco IPS已安装并正常工作。

使用的组件

本文档中的信息基于运行软件版本5.0及更高版本的Cisco 4200系列IDS/IPS设备。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

事件操作过滤器

了解事件操作过滤器

事件操作过滤器作为有序列表处理，您可以在列表中上下移动过滤器。

过滤器允许传感器执行特定操作以响应事件，而不需要传感器执行所有操作或删除整个事件。过滤器通过从事件中删除操作来工作。从事件删除所有操作的过滤器其效果相当于消耗事件。

注意：过滤扫描签名时，思科建议您不要过滤目标地址。如果有多个目标地址，则仅使用最后一个地址来匹配过滤器。

可以配置事件操作过滤器，以从事件中删除特定操作，或丢弃整个事件并阻止传感器进一步处理。您可以使用定义的事件操作变量对过滤器地址进行分组。有关如何配置事件操作变量的过程，请参阅添加、编辑和删除事件操作变量部分。

注意：必须使用美元符号($)在变量前缀，以表示您使用的是变量而不是字符串。否则，您将收到Bad source and destination error。

使用CLI配置事件操作过滤器

要配置事件操作过滤器，请完成以下步骤：

1. 使用具有管理员权限的帐户登录 CLI。

2. 进入事件操作规则子模式：

   sensor#configure terminal
   sensor(config)#service event-action-rules rules1
   sensor(config-eve)#

3. 创建过滤器名称：

   sensor(config-eve)#filters insert name1 begin
   

   使用name1、name2等为事件操作过滤器命名。请使用begin | 结束 | 不活动 | 之前 | 在关键字后指定要将过滤器插入到的位置。

4. 指定此筛选器的值：

   1. 指定签名ID范围：

      sensor(config-eve-fil)#signature-id-range 1000-1005
      

      默认值为900到65535。

   2. 指定子签名ID范围：

      sensor(config-eve-fil)#subsignature-id-range 1-5
      

      默认值为0到255。

   3. 指定攻击者地址范围：

      sensor(config-eve-fil)#attacker-address-range 10.89.10.10-10.89.10.23
      

      默认值为0.0.0.0到255.255.255.255。

   4. 指定受害者地址范围：

      sensor(config-eve-fil)#victim-address-range 192.56.10.1-192.56.10.255
      

      默认值为0.0.0.0到255.255.255.255。

   5. 指定受害端口范围：

      sensor(config-eve-fil)#victim-port-range 0-434
      

      默认值为0到65535。

   6. 指定操作系统相关性：

      sensor(config-eve-fil)#os-relevance relevant
      

      默认值为0到100。

   7. 指定风险评级范围。

      sensor(config-eve-fil)#risk-rating-range 85-100
      

      默认值为0到100。

   8. 指定要删除的操作：

      sensor(config-eve-fil)#actions-to-remove reset-tcp-connection
      

   9. 如果过滤拒绝操作，请设置所需的拒绝操作百分比：

      sensor(config-eve-fil)#deny-attacker-percentage 90
      

      默认值为 100。

   10. 将过滤器的状态指定为disabled或enabled。

       sensor(config-eve-fil)#filter-item-status {enabled | disabled}
       

       默认为启用。

   11. 指定匹配时停止参数。

       sensor(config-eve-fil)#stop-on-match {true | false}
       

       True指示传感器在此项匹配时停止处理过滤器。False指示传感器继续处理过滤器，即使此项匹配。

   12. 添加要用于解释此筛选器的任何注释：

       sensor(config-eve-fil)#user-comment NEW FILTER
       

5. 验证过滤器的设置：

   sensor(config-eve-fil)#show settings
    NAME: name1
   
      -----------------------------------------------
   
         signature-id-range: 1000-10005 default: 900-65535
   
         subsignature-id-range: 1-5 default: 0-255
   
         attacker-address-range: 10.89.10.10-10.89.10.23 default: 0.0.0.0-255.255.255.255
   
         victim-address-range: 192.56.10.1-192.56.10.255 default: 0.0.0.0-255.255.255.255
   
         attacker-port-range: 0-65535 <defaulted>
   
         victim-port-range: 1-343 default: 0-65535
   
         risk-rating-range: 85-100 default: 0-100
   
         actions-to-remove: reset-tcp-connection default:
   
         deny-attacker-percentage: 90 default: 100
   
         filter-item-status: Enabled default: Enabled
   
         stop-on-match: True default: False
   
         user-comment: NEW FILTER default:
   
         os-relevance: relevant default: relevant|not-relevant|unknown
   
      ------------------------------------------------
   
   senor(config-eve-fil)#

6. 要编辑现有过滤器，请执行以下操作：

   sensor(config-eve)#filters edit name1
   

7. 编辑参数并参阅步骤4a至4l了解更多信息。

8. 要在过滤器列表中上下移动过滤器，请执行以下操作：

   sensor(config-eve-fil)#exit
   sensor(config-eve)#filters move name5 before name1
   

9. 验证是否已移动过滤器：

   sensor(config-eve-fil)#exit
   sensor(config-eve)#show settings
   
    -----------------------------------------------
   
      filters (min: 0, max: 4096, current: 5 - 4 active, 1 inactive)
   
      -----------------------------------------------
   
      ACTIVE list-contents
   
      -----------------------------------------------
   
         NAME: name5
   
         -----------------------------------------------
   
            signature-id-range: 900-65535 <defaulted>
   
            subsignature-id-range: 0-255 <defaulted>
   
            attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted>
   
            victim-address-range: 0.0.0.0-255.255.255.255 <defaulted>
   
            attacker-port-range: 0-65535 <defaulted>
   
            victim-port-range: 0-65535 <defaulted>
   
            risk-rating-range: 0-100 <defaulted>
   
            actions-to-remove: <defaulted>
   
            filter-item-status: Enabled <defaulted>
   
            stop-on-match: False <defaulted>
   
            user-comment: <defaulted>
   
         -----------------------------------------------
   
         -----------------------------------------------
   
         NAME: name1
   
         -----------------------------------------------
   
            signature-id-range: 900-65535 <defaulted>
   
            subsignature-id-range: 0-255 <defaulted>
   
            attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted>
   
            victim-address-range: 0.0.0.0-255.255.255.255 <defaulted>
   
            attacker-port-range: 0-65535 <defaulted>
   
            victim-port-range: 0-65535 <defaulted>
   
            risk-rating-range: 0-100 <defaulted>
   
            actions-to-remove: <defaulted>
   
            filter-item-status: Enabled <defaulted>
   
            stop-on-match: False <defaulted>
   
            user-comment: <defaulted>
   
         -----------------------------------------------
   
         -----------------------------------------------
   
         NAME: name2
   
         -----------------------------------------------
   
            signature-id-range: 900-65535 <defaulted>
   
            subsignature-id-range: 0-255 <defaulted>
   
            attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted>
   
            victim-address-range: 0.0.0.0-255.255.255.255 <defaulted>
   
            attacker-port-range: 0-65535 <defaulted>
   
            victim-port-range: 0-65535 <defaulted>
   
            risk-rating-range: 0-100 <defaulted>
   
            actions-to-remove: <defaulted>
   
            filter-item-status: Enabled <defaulted>
   
            stop-on-match: False <defaulted>
   
            user-comment: <defaulted>
   
         -----------------------------------------------
   
         -----------------------------------------------
   
      -----------------------------------------------
   
      INACTIVE list-contents
   
      -----------------------------------------------
   
   -----------------------------------------------
   
   sensor(config-eve)#

10. 要将过滤器移动到非活动列表，请执行以下操作：

    sensor(config-eve)#filters move name1 inactive
    

11. 验证过滤器是否已移至非活动列表：

    sensor(config-eve-fil)#exit
    sensor(config-eve)#show settings
    
       -----------------------------------------------
    
       INACTIVE list-contents
    
       -----------------------------------------------
    
          -----------------------------------------------
    
          NAME: name1
    
          -----------------------------------------------
    
             signature-id-range: 900-65535 <defaulted>
    
             subsignature-id-range: 0-255 <defaulted>
    
             attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted>
    
             victim-address-range: 0.0.0.0-255.255.255.255 <defaulted>
    
             attacker-port-range: 0-65535 <defaulted>
    
             victim-port-range: 0-65535 <defaulted>
    
             risk-rating-range: 0-100 <defaulted>
    
             actions-to-remove: <defaulted>
    
             filter-item-status: Enabled <defaulted>
    
             stop-on-match: False <defaulted>
    
             user-comment: <defaulted>
    
          -----------------------------------------------
    
          -----------------------------------------------
    
    sensor(config-eve)#

12. 退出事件操作规则子模式：

    sensor(config-eve)#exit
    Apply Changes:?[yes]:

13. 按Enter以应用更改或输入no以放弃更改。

使用IDM配置事件操作过滤器

完成以下步骤以添加、编辑、删除、启用、禁用和移动事件操作过滤器：

1. 使用具有管理员或操作员权限的帐户登录到IDM。

2. 如果软件版本为6.x，请选择Configuration > Policies > Event Action Rules > rules0 > Event Action Filters。对于软件版本5.x，请选择Configuration > Event Action Rules > Event Action Filters。

   系统将显示Event Action Filters选项卡，如下所示。

   

3. 单击Add以添加事件操作过滤器。

   系统将显示Add Event Action Filter对话框。

4. 在Name字段中为事件操作过滤器输入name1作为name。

   系统提供了默认名称，但您可以将其更改为更有意义的名称。

5. 在Active字段中，单击Yes单选按钮以将此过滤器添加到列表中，以使其对过滤事件生效。

6. 在Enabled字段中，单击Yes单选按钮以启用过滤器。

   注：您还必须选中Event Action Filters选项卡上的Use Event Action Filters复选框，否则无论是否选中Add Event Action Filter对话框中的Yes复选框，都不会启用任何事件操作过滤器。

7. 在Signature ID字段中，输入应应用此过滤器的所有签名的签名ID。

   可以使用列表（例如1000、1005）或范围(例如1000-1005)，或者可以使用其中一个SIG变量（如果您在“事件变量”选项卡上定义了这些变量）。在变量前面加上$。

8. 在SubSignature ID字段中，输入应应用此过滤器的子签名的子签名ID。例如，1-5。

9. 在攻击者地址字段中，输入源主机的IP地址。

   如果在Event Variables（事件变量）选项卡上定义了变量，则可以使用其中一个变量。在变量前面加上$。您还可以输入地址范围，例如10.89.10.10-10.89.10.23。默认值为0.0.0.0-255.255.255.255。

10. 在Attacker Port字段中，输入攻击者用于发送违规数据包的端口号。

11. 在Victim Address字段中，输入收件人主机的IP地址。

    如果在Event Variables（事件变量）选项卡上定义了变量，则可以使用其中一个变量。在变量前面加上$。您还可以输入地址范围，例如192.56.10.1-192.56.10.255。默认值为0.0.0.0-255.255.255.255。

12. 在Victim Port字段中，输入受害主机用于接收违规数据包的端口号。例如，0-434。

13. 在Risk Rating字段中，输入此过滤器的RR范围。例如，85-100。

    如果事件的RR在您指定的范围内，则系统会根据此过滤器的条件处理该事件。

14. 从“要减去的操作”下拉列表中，选择希望此过滤器从事件中删除的操作。例如，选择Reset TCP connection。

    提示：按住Ctrl键可选择列表中的多个事件操作。

15. 在OS Relevance（操作系统相关性）下拉列表中，选择是否想要知道警报与为受害者标识的操作系统是否相关。例如，选择Relevant。

16. 在Deny Percentage字段中，输入数据包的百分比以拒绝拒绝攻击者的功能。例如，90。

    默认值为100%。

17. 在“匹配时停止”字段中，选择以下单选按钮之一：

    1. Yes -如果希望事件操作过滤器组件在此特定过滤器的操作删除后停止处理

       不会处理剩余的任何过滤器；因此，无法从事件中删除任何其他操作。

    2. No -如果希望继续处理其他过滤器

18. 在Comments字段中，输入要与此过滤器一起存储的任何备注，例如此过滤器的用途或您以特定方式配置此过滤器的原因。例如，NEW FILTER。

    提示：单击取消可撤消更改并关闭“添加事件操作过滤器”对话框。

    

19. Click OK.

    新的事件操作过滤器现在显示在Event Action Filters（事件操作过滤器）选项卡的列表中，如下所示。

    

20. 选中Use Event Action Overrides复选框（如下所示）。

    

    注：您必须选中“事件操作覆盖”选项卡上的使用事件操作覆盖复选框，否则无论您在添加事件操作过滤器对话框中设置的值如何，事件操作覆盖都不会变为启用状态。

21. 在列表中选择现有事件操作过滤器以对其进行编辑，然后单击Edit。

    系统将显示Edit Event Action Filter对话框。

    

22. 更改需要更改的字段中的任何值。

    有关如何填写这些字段的信息，请参阅步骤4到步骤18。

    提示：单击取消可撤消更改并关闭“编辑事件操作过滤器”对话框。

23. Click OK.

    现在，已编辑的事件操作过滤器将显示在Event Action Filters（事件操作过滤器）选项卡的列表中。

24. 选中Use Event Action Overrides复选框。

    注：您必须选中“事件操作覆盖”选项卡上的“使用事件操作覆盖”复选框，否则无论您在“编辑事件操作过滤器”对话框中设置的值如何，都不会启用任何事件操作覆盖。

25. 在列表中选择事件操作过滤器以将其删除，然后单击Delete。

    事件操作过滤器不再显示在Event Action Filters选项卡的列表中。

26. 在列表中上下过滤以移动事件操作，请选择该事件操作，然后单击Move Up或Move Down。

    提示：单击Reset以删除更改。

27. 单击Apply以应用更改并保存修改后的配置。

事件变量配置

要添加、编辑和删除事件变量，请完成以下步骤：

1. 登录。例如，使用具有管理员或操作员权限的帐户。

2. 如果软件版本为6.x，请选择Configuration > Policies > Event Action Rules > rules0 > Event Variables。对于软件版本5.x，请选择Configuration > Event Action Rules > Event Variables。

   系统将显示Event Variables选项卡。

   

3. 单击Add以创建变量。

   系统将显示Add Variable对话框。

4. 在Name字段中，输入此变量的名称。

   注意：有效名称只能包含数字或字母。您还可以使用连字符(-)或下划线(_)。

5. 在Value字段中，输入此变量的值。

   指定完整的IP地址或范围或范围集。例如：

   • 10.89.10.10-10.89.10.23

   • 10.90.1.1

   • 192.168.10.1-192.168.10.255

   注意：您可以使用逗号作为分隔符。确保逗号后没有尾随空格。否则，您会收到验证失败错误消息。

   提示：单击取消可撤消更改并关闭“添加事件变量”对话框。

   

6. Click OK.

   新变量将显示在Event Variables选项卡的列表中。

   

7. 选择列表中的现有变量以对其进行编辑，然后单击Edit。

   系统将显示Edit Event Variable对话框。

8. 在“值”字段中，输入您对值的更改。

9. Click OK.

   现在，已编辑的事件变量将显示在Event Variables选项卡的列表中。

   提示：选择Reset以删除您的更改。

10. 单击Apply以应用更改并保存修改后的配置。

相关信息

• Cisco 入侵防御系统支持页
• 技术支持和文档 - Cisco Systems