安全规则库主要是针对Web应用检测识别库、漏洞利用检测识别库、实时漏洞分析识别库、黑客工具检测识别库、自定义检测识别库进行管理。
展示查询
在[系统设置/安全能力配置/安全规则库]页面,可以根据库类型展开查看对应的规则列表,每条规则信息包括:规则ID、威胁名称、威胁等级、威胁类型、配置时间、状态和编辑操作等,如下如所示。
实际运营过程中,可以根据威胁类型、威胁等级、以及规则ID或者关键字模糊匹配等方便查询,如下图所示。
编辑管理
对于多条规则,可以批量进行状态的切换,如下图所示。
对于单条规则,除了可以进行状态的切换,点击<
>下钻到规则详情页面,还可以修改规则的威胁等级,如下图所示。
定义web应用检测规则
在[系统设置/安全能力配置/安全规则库]页面,点击<新增>下拉选择[自定义web应用检测规则],如下图所示。
其中:
状态:默认启用状态;
威胁名称:自定义名称;
字符串:需要匹配的字符串内容,分为“匹配所有数据”和“匹配URL/Cookie/表单”,输入需要匹配的字符串,支持文本格式和二进制;
正则表达式:针对字符串进行字段转换,翻译为正则表达式,点击<正则表达式测试>可以在弹框中对正则表达式和字符串进行格式验证,如下图所示。
请求方向:匹配方向包括请求方向、应答方向、双向匹配;
威胁等级:规则的威胁等级分为:高威胁、中威胁、低威胁;
描述:自定义规则描述;
攻击影响:该规则对攻击的影响说明。
字符串和正则表达式不能同时为空。
自定义漏洞检测规则
在[系统设置/安全能力配置/安全规则库]页面,点击<新增>下拉选择[自定义漏洞利用检测规则],如下图所示。
其中:
状态:分为启用、禁用状态,默认启用状态;
威胁名称:自定义名称;
字符串:需要匹配的字符串内容,分为“匹配所有数据”和“匹配URL/Cookie/表单”,输入需要匹配的字符串,支持文本格式和二进制;
正则表达式:针对字符串进行字段转换,翻译为正则表达式,点击<正则表达式测试>可以在弹框中对正则表达式和字符串进行格式验证,如下图所示。
请求方向:匹配方向包括请求方向、应答方向;
协议:需指定规则对应的协议,TCP还是UDP;
端口:填写规则关联的端口,支持单个端口。
威胁等级:规则的威胁等级分为:高威胁、中威胁、低威胁;
描述:自定义规则描述;
攻击影响:该规则对攻击的影响说明。
字符串和正则表达式不能同时为空。
建议使用Chrome浏览器访问!
