FMC의 Intrusion Policy에 적용 된 정책들은 FTD(Firepower)에 Deploy되기 때문에 해당 Rules파일은 FTD에 저장이 됩니다.
FTD의 CLI에서 /ngfw/var/sf/detection_engine/intursion에 들어가셔서 ls -al을 입력하시면 UUID값들이 보이실겁니다.
해당 UUID에서 들어가보시면 .rules파일로 끝나는 파일들을 확인하실수가 있습니다.
cp *.rules > rules.txt 명령어를 통해 FTD에 적용 된 전체 rules파일을 rules.txt라는 txt파일로 변환시켜주고 해당 파일을
FMC의 GUI 또는 scp명령어를 통해 FMC로 이동시킨후 해당 txt파일을 열어보시면 전체 룰에 대한 룰셋을 확인하실 수 있습니다.
해당 내용을 Excel에 붙여넣으셔서 CVE, GID,SID를 추출하시면 될 것 같습니다.
만약 CVE Code가 들어가있는 룰의 GID,SID 추출을 원하신다면 Intrusion Policy에서 Content의 Reference를 CVE만 입력하시면 CVE 정보가 맵핑 된 Rule들만 조회가 가능하고 해당 Rule들을 센서에 적용하시어 위와 같은 방법으로 룰을 추출하시면 될 것 같습니다.
