本文檔介紹如何在具有命令列介面(CLI)和IDS裝置管理器(IDM)的思科入侵防禦系統(IPS)中使用事件操作過濾器來調整簽名。
本文檔假設Cisco IPS已安裝並正常工作。
本文檔中的資訊基於運行軟體版本5.0及更高版本的Cisco 4200系列IDS/IPS裝置。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
事件操作過濾器會作為有序清單進行處理,您可以在清單中上下移動過濾器。
過濾器允許感測器執行特定的動作來響應事件,而不需要感測器執行所有動作或移除整個事件。過濾器透過從事件中刪除操作來工作。從事件中移除所有動作的篩選會有效使用事件。
注意:過濾清除簽名時,Cisco建議您不要過濾目標地址。如果有多個目的地址,則僅使用最後一個地址來匹配過濾器。
可以配置事件操作過濾器以從事件中刪除特定操作,或丟棄整個事件並阻止感測器進一步處理。您可以使用定義的事件操作變數對過濾器地址進行分組。有關如何配置事件操作變數的過程,請參閱增加、編輯和刪除事件操作變數部分。
注意:您必須在變數前加上貨幣符號($),以表示您使用的是變數,而不是字串。否則,您將收到Bad source and destination error。
完成以下步驟以配置事件操作過濾器:
使用具有管理員許可權的帳戶登入到CLI。
輸入事件操作規則子模式:
sensor#configure terminal sensor(config)#service event-action-rules rules1 sensor(config-eve)#
建立篩選名稱:
sensor(config-eve)#filters insert name1 begin
使用name1、name2等為事件操作過濾器命名。請使用begin | end | 非使用中 | 之前 | 在關鍵字之後,以指定要插入篩選器的位置。
指定此篩選器的值:
指定簽名ID範圍:
sensor(config-eve-fil)#signature-id-range 1000-1005
預設值為900到65535。
指定子簽名ID範圍:
sensor(config-eve-fil)#subsignature-id-range 1-5
預設值是0到255。
指定攻擊者地址範圍:
sensor(config-eve-fil)#attacker-address-range 10.89.10.10-10.89.10.23
預設值為0.0.0.0到255.255.255.255。
指定受害者地址範圍:
sensor(config-eve-fil)#victim-address-range 192.56.10.1-192.56.10.255
預設值為0.0.0.0到255.255.255.255。
指定受害埠範圍:
sensor(config-eve-fil)#victim-port-range 0-434
預設值為0到65535。
指定作業系統關聯性:
sensor(config-eve-fil)#os-relevance relevant
預設值是0到100。
指定風險評級範圍。
sensor(config-eve-fil)#risk-rating-range 85-100
預設值是0到100。
指定要移除的動作:
sensor(config-eve-fil)#actions-to-remove reset-tcp-connection
如果過濾拒絕操作,請設定所需拒絕操作的百分比:
sensor(config-eve-fil)#deny-attacker-percentage 90
預設值為100。
將篩選器的狀態指定為disabled或enabled。
sensor(config-eve-fil)#filter-item-status {enabled | disabled}
預設值為啟用。
指定匹配時停止引數。
sensor(config-eve-fil)#stop-on-match {true | false}
True將指示感測器在此項匹配時停止處理過濾器。False指示感測器繼續處理過濾器,即使這個專案匹配。
增加要用於解釋此過濾器的任何註釋:
sensor(config-eve-fil)#user-comment NEW FILTER
驗證過濾器的設定:
sensor(config-eve-fil)#show settings NAME: name1 ----------------------------------------------- signature-id-range: 1000-10005 default: 900-65535 subsignature-id-range: 1-5 default: 0-255 attacker-address-range: 10.89.10.10-10.89.10.23 default: 0.0.0.0-255.255.255.255 victim-address-range: 192.56.10.1-192.56.10.255 default: 0.0.0.0-255.255.255.255 attacker-port-range: 0-65535 <defaulted> victim-port-range: 1-343 default: 0-65535 risk-rating-range: 85-100 default: 0-100 actions-to-remove: reset-tcp-connection default: deny-attacker-percentage: 90 default: 100 filter-item-status: Enabled default: Enabled stop-on-match: True default: False user-comment: NEW FILTER default: os-relevance: relevant default: relevant|not-relevant|unknown ------------------------------------------------ senor(config-eve-fil)#
若要編輯現有篩選:
sensor(config-eve)#filters edit name1
編輯引數並參閱步驟4a至4l以瞭解更多資訊。
若要在篩選清單中上下移動篩選條件,請執行下列動作:
sensor(config-eve-fil)#exit sensor(config-eve)#filters move name5 before name1
驗證是否已移動篩選器:
sensor(config-eve-fil)#exit sensor(config-eve)#show settings ----------------------------------------------- filters (min: 0, max: 4096, current: 5 - 4 active, 1 inactive) ----------------------------------------------- ACTIVE list-contents ----------------------------------------------- NAME: name5 ----------------------------------------------- signature-id-range: 900-65535 <defaulted> subsignature-id-range: 0-255 <defaulted> attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted> victim-address-range: 0.0.0.0-255.255.255.255 <defaulted> attacker-port-range: 0-65535 <defaulted> victim-port-range: 0-65535 <defaulted> risk-rating-range: 0-100 <defaulted> actions-to-remove: <defaulted> filter-item-status: Enabled <defaulted> stop-on-match: False <defaulted> user-comment: <defaulted> ----------------------------------------------- ----------------------------------------------- NAME: name1 ----------------------------------------------- signature-id-range: 900-65535 <defaulted> subsignature-id-range: 0-255 <defaulted> attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted> victim-address-range: 0.0.0.0-255.255.255.255 <defaulted> attacker-port-range: 0-65535 <defaulted> victim-port-range: 0-65535 <defaulted> risk-rating-range: 0-100 <defaulted> actions-to-remove: <defaulted> filter-item-status: Enabled <defaulted> stop-on-match: False <defaulted> user-comment: <defaulted> ----------------------------------------------- ----------------------------------------------- NAME: name2 ----------------------------------------------- signature-id-range: 900-65535 <defaulted> subsignature-id-range: 0-255 <defaulted> attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted> victim-address-range: 0.0.0.0-255.255.255.255 <defaulted> attacker-port-range: 0-65535 <defaulted> victim-port-range: 0-65535 <defaulted> risk-rating-range: 0-100 <defaulted> actions-to-remove: <defaulted> filter-item-status: Enabled <defaulted> stop-on-match: False <defaulted> user-comment: <defaulted> ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- INACTIVE list-contents ----------------------------------------------- ----------------------------------------------- sensor(config-eve)#
要將過濾器移動到非活動清單,請執行以下操作:
sensor(config-eve)#filters move name1 inactive
驗證篩選器是否已移至非使用中清單:
sensor(config-eve-fil)#exit sensor(config-eve)#show settings ----------------------------------------------- INACTIVE list-contents ----------------------------------------------- ----------------------------------------------- NAME: name1 ----------------------------------------------- signature-id-range: 900-65535 <defaulted> subsignature-id-range: 0-255 <defaulted> attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted> victim-address-range: 0.0.0.0-255.255.255.255 <defaulted> attacker-port-range: 0-65535 <defaulted> victim-port-range: 0-65535 <defaulted> risk-rating-range: 0-100 <defaulted> actions-to-remove: <defaulted> filter-item-status: Enabled <defaulted> stop-on-match: False <defaulted> user-comment: <defaulted> ----------------------------------------------- ----------------------------------------------- sensor(config-eve)#
退出事件操作規則子模式:
sensor(config-eve)#exit Apply Changes:?[yes]:
按Enter 以應用更改或輸入no 以放棄更改。
完成以下步驟以增加、編輯、刪除、啟用、停用和移動事件操作過濾器:
使用具有管理員或操作員許可權的帳戶登入IDM。
如果軟體版本是6.x,請選擇Configuration > Policies > Event Action Rules > rules0 > Event Action Filters。對於軟體版本5.x,請選擇Configuration > Event Action Rules > Event Action Filters。
系統將顯示Event Action Filters頁籤,如下所示。
按一下Add以增加事件操作過濾器。
系統將顯示Add Event Action Filter對話方塊。
在Name欄位中,為事件操作過濾器輸入名稱name1。
系統提供了預設名稱,但您可以將其更改為更有意義的名稱。
在Active欄位中,按一下Yes單選按鈕以將此過濾器增加到清單中,使其在過濾事件時生效。
在Enabled欄位中,按一下Yes單選按鈕以啟用過濾器。
注意:您還必須選中Event Action Filters(事件操作過濾器)頁籤上的Use Event Action Filters(使用事件操作過濾器)覈取方塊,否則無論您是選中Add Event Action Filter(增加事件操作過濾器)對話方塊中的Yes(是)覈取方塊,事件操作過濾器均不會啟用。
在「簽名ID」欄位中,輸入應應用此過濾器的所有簽名的簽名ID。
可以使用清單(例如1000、1005)或範圍(例如1000-1005),或者其中一個SIG變數(如果您在「事件變數」頁籤上定義了這些變數)。以$作為變數的字首。
在子簽名ID欄位中,輸入應應用此過濾器的子簽名的子簽名ID。例如,1-5。
在「攻擊者地址」欄位中,輸入源主機的IP地址。
如果在「事件變數」頁籤上定義了變數,則可以使用其中一個。以$作為變數的字首。您還可以輸入地址範圍,例如10.89.10.10-10.89.10.23。預設值為0.0.0.0-255.255.255.255。
在Attacker Port欄位中,輸入攻擊者用於傳送違規資料包的埠號。
在「受害者地址」欄位中,輸入接收方主機的IP地址。
如果在「事件變數」頁籤上定義了變數,則可以使用其中一個。以$作為變數的字首。您還可以輸入地址範圍,例如,192.56.10.1-192.56.10.255。預設值為0.0.0.0-255.255.255.255。
在「受害者埠」欄位中,輸入受害者主機用於接收違規資料包所使用的埠號。例如,0-434。
在「風險評級」欄位中,輸入此過濾器的RR範圍。例如,85-100。
如果事件的RR落在您指定的範圍內,則會根據此篩選器的條件處理事件。
從「要減去的動作」下拉式清單中,選擇您要此篩選從事件中移除的動作。例如,選擇Reset TCP connection。
提示:按住Ctrl鍵可在清單中選擇多個事件操作。
在「作業系統相關性」下拉選單中,選擇是否希望知道警報與為受害者標識的作業系統是否相關。例如,選擇Related。
在Deny Percentage欄位中,輸入資料包的百分比,以拒絕拒絕攻擊者的功能。例如,90。
預設值為100%。
在「匹配時停止」欄位中,選擇以下單選按鈕之一:
Yes -如果希望「事件操作過濾器」元件在此特定過濾器的操作被刪除後停止處理
系統不會處理剩餘的任何過濾器;因此,無法從事件中刪除任何其他操作。
No -如果希望繼續處理其他過濾器
在「註解」欄位中,輸入您要與此篩選一起儲存的任何註解,例如此篩選的用途或您以特定方式設定此篩選的原因。例如,NEW FILTER。
提示:按一下取消以撤消更改並關閉「增加事件操作過濾器」對話方塊。
按一下「OK」(確定)。
新的事件操作過濾器現在將顯示在Event Action Filters(事件操作過濾器)頁籤的清單中,如下所示。
選中Use Event Action Overrides覈取方塊,如下所示。
注意:您必須勾選「事件動作覆寫」標籤上的「使用事件動作覆寫」核取方塊,否則不論您在「新增事件動作篩選」通話方塊中設定的值為何,都不會啟用任何事件動作覆寫。
選擇清單中的現有事件操作過濾器以進行編輯,然後按一下Edit。
系統將顯示Edit Event Action Filter對話方塊。
變更欄位中需要變更的任何值。
有關如何填寫這些欄位的資訊,請參閱步驟4到步驟18。
提示:按一下取消以撤消更改並關閉「編輯事件操作過濾器」對話方塊。
按一下「OK」(確定)。
編輯的事件操作過濾器現在顯示在Event Action Filters(事件操作過濾器)頁籤的清單中。
選中Use Event Action Overrides覈取方塊。
注意:您必須勾選「事件動作覆寫」標籤上的「使用事件動作覆寫」核取方塊,否則不論您在「編輯事件動作篩選」通話方塊中設定的值為何,都不會啟用任何事件動作覆寫。
選擇清單中的事件操作過濾器以將其刪除,然後按一下Delete。
事件操作過濾器不再顯示在Event Action Filters(事件操作過濾器)頁籤的清單中。
在清單中上下過濾以移動事件操作,請選擇事件操作,然後按一下上移或下移。
提示:按一下重置以刪除您的更改。
按一下Apply以應用更改並儲存修改後的配置。
完成以下步驟以增加、編輯和刪除事件變數:
登入。例如,使用具有管理員或操作員許可權的帳戶。
如果軟體版本是6.x,請選擇Configuration > Policies > Event Action Rules > rules0 > Event Variables。對於軟體版本5.x,請選擇Configuration > Event Action Rules > Event Variables。
系統將顯示Event Variables頁籤。
按一下Add以建立變數。
「新增變數」通話方塊隨即顯示。
在「名稱」欄位中,輸入此變數的名稱。
注意:有效名稱只能包含數字或字母。您也可以使用連字型大小(-)或底線(_)。
在值欄位中,輸入此變數的值。
指定完整的IP地址或範圍或範圍集。舉例來說:
10.89.10.10-10.89.10.23
10.90.1.1
192.168.10.1-192.168.10.255
注意:您可以使用逗號作為分隔符。請確認逗號後面沒有尾隨空格。否則,您將收到驗證失敗錯誤消息。
提示:按一下取消以撤消更改並關閉「增加事件變數」對話方塊。
按一下「OK」(確定)。
新變數會出現在「事件變數」標籤的清單中。
選擇清單中的現有變數以進行編輯,然後按一下Edit。
系統將顯示Edit Event Variable對話方塊。
在「值」欄位中,輸入您對值的變更。
按一下「OK」(確定)。
編輯後的事件變數現在會出現在「事件變數」標籤的清單中。
提示:選擇重置以刪除您的更改。
按一下Apply以應用更改並儲存修改後的配置。
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
16-May-2007 |
初始版本 |