Cisco Firepower NGIPS Custom Signatures
Cisco, sistemin ağ trafiğini analiz ettiğinden, paketleri her kuralda belirtilen koşullarla karşılaştırır. Paket verileri bir kuralda belirtilen tüm koşullara uyuyorsa, kuralı tetikler. Bu kural bir alert kuralıysa, izinsiz giriş alarmı oluşturur. Bir accept/pass kuralı ise, trafiği geçirir. Inline devredeyken drop kuralı için sistem paketi düşürür ve bir log oluşturur. İzinsiz giriş olaylarını Firepower Management Center web arayüzünden görüntüleyebilir ve değerlendirebiliriz.
Cisco snort ilişkisi için bir önceki yazım;https://medium.com/rencber/snort-kurulumu-ve-kural-yap%C4%B1s%C4%B1-908e2c5ad354
Bu yazıda TA17–293A da belirtilen APT için imzaları tanımlayacağız.
Firepower sistemi iki tür intrusion kuralı sağlar: paylaşılan nesne kuralları ve standart metin kuralları. Cisco Güvenlik İstihbarat ve Araştırma Grubu (Talos), güvenlik açığı saldırılarını geleneksel standart metin kurallarının yapamadığı şekillerde tespit etmek için paylaşılan nesne kurallarını kullanabilir. Paylaşılan nesne kuralları oluşturamazsınız. Kendi kuralınızı yazdığınızda standart bir metin kural oluşturursunuz.
Rule Header
Custom intrusion rule aşağıdaki yöntemlerle oluşturulur:
*Kendi standart metin kurallarınızı oluşturma
*Mevcut standart metin kurallarını yeni olarak kaydetme
*Sistem tarafından sağlanan paylaşılan nesne kurallarını yeni olarak kaydetme
Sistem, oluşturma yöntemi ne olursa olsun, özel kuralı local rule kategorisine kaydeder.
Özel bir kural oluşturduğunuzda, sistem GID: SID: Rev. Formatına sahip benzersiz bir kural numarası atar. Bu sayının elemanları:
GID
Generator ID. Tüm standart metin kuralları için bu değer 1'dir. Yeni olarak kaydettiğiniz tüm paylaşılan nesne kuralları için bu değer 3'tür.
SID
Snort kimliği. Kuralın bir sistem kuralının yerel kuralı olup olmadığını gösterir. Yeni bir kural oluşturduğunuzda, sistem yerel bir kural için bir sonraki kullanılabilir SID’yi atar.
Yerel kurallar için SID numaraları 1000000'den başlar ve her yeni yerel kural için SID bir artırılır.
Rev
Revizyon numarası. Yeni bir kural için, revizyon numarası birdir. Özel bir kuralı her değiştirdiğinizde, revizyon numarası birer birer artar.
FMC > Objects > Intrusion Rules
Import Rule
Import Rule seçeneğiyle text kurallarını FMC ye yükleyebilirsiniz. Local intrusion kuralı, bir makineden ASCII veya UTF-8 kodlamasıyla düz metin dosyası olarak içe aktardığınız özel bir standart metin kuralıdır.
adresinde bulunan Snort kullanıcı kılavuzundaki talimatları kullanarak yerel kurallar oluşturabilirsiniz.
Create Rule
Snort Kuralı:
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:”HTTP URI contains ‘/aspnet_client/system_web/4_0_30319/update/’ (Beacon)”; sid:42000000; rev:1; flow:established,to_server; content:”/aspnet_client/system_web/4_0_30319/update/”; http_uri; fast_pattern:only; classtype:bad-unknown; metadata:service http;)
Yazdığımız kuralın Intrusion Rules içinde olduğuna kontrol ediyoruz.
Log kontrolü, Analysis sekmesinde Intrusion Events bölümünden yapılır.
Troubleshooting için komutlar
Capture debug
