취소
다음에 대한 결과 표시 
다음에 대한 검색 
다음을 의미합니까? 
cancel
406
VIEWS
0
Helpful
3
답글
pjh0420
Beginner

FMC Intrusion Rule 리스트 출력

FMC에 적용되어있는 SRU(Intrusion Rules)의

| cve           | gid | sid     

 값을 추출하고자 합니다.

 

구글링을 해보면 비슷한 명령어(CLI)가 있는것 같은데 경로가 맞지 않네요.

 

Rule들의 CVE | GID |SID 값만 추출이 필요합니다.

 

도움을 주시면 감사하겠습니다.

3 응답 3
HWAN
Beginner

SRU파일은 zip되어 있을 것 같으니..

패턴이 있는 디렉터리를 찾아 untar 없이 내용을 출력하면 될 것 같네요.

추출 기능은 별도로 없는 것 같습니다.

msson
Contributor

센서 접속 후 아래 디렉터리로 이동합니다.

# cd /var/sf/detection_engines/intrusion

이동 후 전체 *rules 파일을 sz 명령어로 Local로 보내어 합치면 쉽게 볼 수 있습니다.

kjy210061
Beginner

FMC의 Intrusion Policy에 적용 된 정책들은 FTD(Firepower)에 Deploy되기 때문에 해당 Rules파일은 FTD에 저장이 됩니다.

FTD의 CLI에서 /ngfw/var/sf/detection_engine/intursion에 들어가셔서 ls -al을 입력하시면 UUID값들이 보이실겁니다.

해당 UUID에서 들어가보시면 .rules파일로 끝나는 파일들을 확인하실수가 있습니다.

cp *.rules > rules.txt 명령어를 통해 FTD에 적용 된 전체 rules파일을 rules.txt라는 txt파일로 변환시켜주고 해당 파일을

FMC의 GUI 또는 scp명령어를 통해 FMC로 이동시킨후 해당 txt파일을 열어보시면 전체 룰에 대한 룰셋을 확인하실 수 있습니다.

 

해당 내용을 Excel에 붙여넣으셔서 CVE, GID,SID를 추출하시면 될 것 같습니다.

만약 CVE Code가 들어가있는 룰의 GID,SID 추출을 원하신다면 Intrusion Policy에서 Content의 Reference를 CVE만 입력하시면 CVE 정보가 맵핑 된 Rule들만 조회가 가능하고 해당 Rule들을 센서에 적용하시어 위와 같은 방법으로 룰을 추출하시면 될 것 같습니다.

작성하기
커뮤니티의 동료 멤버를 인정해주세요