날짜: 12-22-2021 02:48 PM
날짜: 01-07-2022 03:17 PM
SRU파일은 zip되어 있을 것 같으니..
패턴이 있는 디렉터리를 찾아 untar 없이 내용을 출력하면 될 것 같네요.
추출 기능은 별도로 없는 것 같습니다.
날짜: 03-17-2022 06:33 PM
센서 접속 후 아래 디렉터리로 이동합니다.
# cd /var/sf/detection_engines/intrusion
이동 후 전체 *rules 파일을 sz 명령어로 Local로 보내어 합치면 쉽게 볼 수 있습니다.
날짜: 03-25-2022 01:31 PM
FMC의 Intrusion Policy에 적용 된 정책들은 FTD(Firepower)에 Deploy되기 때문에 해당 Rules파일은 FTD에 저장이 됩니다.
FTD의 CLI에서 /ngfw/var/sf/detection_engine/intursion에 들어가셔서 ls -al을 입력하시면 UUID값들이 보이실겁니다.
해당 UUID에서 들어가보시면 .rules파일로 끝나는 파일들을 확인하실수가 있습니다.
cp *.rules > rules.txt 명령어를 통해 FTD에 적용 된 전체 rules파일을 rules.txt라는 txt파일로 변환시켜주고 해당 파일을
FMC의 GUI 또는 scp명령어를 통해 FMC로 이동시킨후 해당 txt파일을 열어보시면 전체 룰에 대한 룰셋을 확인하실 수 있습니다.
해당 내용을 Excel에 붙여넣으셔서 CVE, GID,SID를 추출하시면 될 것 같습니다.
만약 CVE Code가 들어가있는 룰의 GID,SID 추출을 원하신다면 Intrusion Policy에서 Content의 Reference를 CVE만 입력하시면 CVE 정보가 맵핑 된 Rule들만 조회가 가능하고 해당 Rule들을 센서에 적용하시어 위와 같은 방법으로 룰을 추출하시면 될 것 같습니다.
새로운 아이디어를 발견하고 저장하세요. 전문가 답변, 단계별 가이드, 최근 주제 등 다양한 내용을 확인해 보세요.
처음이신가요? 아래 팁들을 확인해 보세요. 시스코 커뮤니티 사용하기 새 멤버 가이드