날짜: 12-22-2021 02:48 PM
날짜: 01-07-2022 03:17 PM
SRU파일은 zip되어 있을 것 같으니..
패턴이 있는 디렉터리를 찾아 untar 없이 내용을 출력하면 될 것 같네요.
추출 기능은 별도로 없는 것 같습니다.
날짜: 03-17-2022 06:33 PM
센서 접속 후 아래 디렉터리로 이동합니다.
# cd /var/sf/detection_engines/intrusion
이동 후 전체 *rules 파일을 sz 명령어로 Local로 보내어 합치면 쉽게 볼 수 있습니다.
날짜: 03-25-2022 01:31 PM
FMC의 Intrusion Policy에 적용 된 정책들은 FTD(Firepower)에 Deploy되기 때문에 해당 Rules파일은 FTD에 저장이 됩니다.
FTD의 CLI에서 /ngfw/var/sf/detection_engine/intursion에 들어가셔서 ls -al을 입력하시면 UUID값들이 보이실겁니다.
해당 UUID에서 들어가보시면 .rules파일로 끝나는 파일들을 확인하실수가 있습니다.
cp *.rules > rules.txt 명령어를 통해 FTD에 적용 된 전체 rules파일을 rules.txt라는 txt파일로 변환시켜주고 해당 파일을
FMC의 GUI 또는 scp명령어를 통해 FMC로 이동시킨후 해당 txt파일을 열어보시면 전체 룰에 대한 룰셋을 확인하실 수 있습니다.
해당 내용을 Excel에 붙여넣으셔서 CVE, GID,SID를 추출하시면 될 것 같습니다.
만약 CVE Code가 들어가있는 룰의 GID,SID 추출을 원하신다면 Intrusion Policy에서 Content의 Reference를 CVE만 입력하시면 CVE 정보가 맵핑 된 Rule들만 조회가 가능하고 해당 Rule들을 센서에 적용하시어 위와 같은 방법으로 룰을 추출하시면 될 것 같습니다.
상단의 검색창에 키워드, 문구, 또는 질문을 입력하여 궁금한 내용을 찾아보세요.
이곳에서의 여러분의 여정이 훌륭하기를 바랍니다! 시스코 커뮤니티에 빠르게 익숙해지는 데 도움이 되는 몇 가지 링크를 준비했습니다.