在此範例情境中,假設您希望建立一個自訂特徵碼,用來偵測 SMB 流量,這些流量可能指出針對未修補 MS17-010 漏洞的系統進行的探測嘗試,這些漏洞可能會被如 WannaCry 等惡意軟體利用。

必要條件

確保上傳的自訂特徵碼僅使用受支援的 Suricata 關鍵字。使用任何不受支援的關鍵字將使特徵碼無效,因為系統無法解析未列入核准清單的關鍵字。

程序

  1. 您可以透過以下方式上傳自訂特徵碼:

    • 如果您已經上傳了一個自訂特徵碼服務包,請先將該特徵碼服務包以 .zip 格式匯出到本機系統,然後將新的自訂特徵碼新增到該特徵碼服務包並重新上傳。

    • 您可以透過新增 IDS 特徵碼來手動新增自訂特徵碼。

    • 複製系統特徵碼並自訂特徵碼。

  2. 我們來手動新增自訂特徵碼。在 NSX Manager UI 中,移至安全性 > IDS/IPS 和 Malware Prevention (在 [原則管理] 區段下),選取特徵碼管理 > 自訂特徵碼
  3. 按一下 +新增手動新增
  4. 在 [手動新增自訂特徵碼] 視窗中,按一下新增特徵碼,輸入或貼上自訂特徵碼,然後按一下新增。您可以透過按一下 [新增特徵碼] 來新增更多特徵碼。新增所有要包含在服務包中的特徵碼後,按一下儲存。例如, 
    alert tcp $HOME_NET any -> $EXTERNAL_NET 445 (msg:"NSX - Detect Potential SMB probe for MS17-010 patch"; flow:established,to_server; target:src_ip; content:"|00|"; depth:1; content:"|FF|SMB"; within:7; content:"|23 00 00 00 07 00 5C|PIPE|5C 00|"; within:110; threshold: type limit, track by_src, seconds 10, count 10; metadata:ll_expected_verifier default, flip_endpoints False, server_side False, threat_class_name Suspicious Network Interaction, threat_name Potential SMB probe for MS17-010 patch, ids_mode INFO, blacklist_mode DISABLED, exploited None, confidence 50, severity 20, detector_id 63681, signature_severity Informational; reference:url,www.lastline.com; classtype:trojan-activity; sid:1063681; rev:6499; priority:5; flowbits:set,CS.LL.verifier_tcp_successful; flowbits:set,CS.LL.verifier_tcp_failed; flowbits:set,CS.LL.verifier_tcp_blocked;)
  5. NSX IDS/IPS 會自動啟動新增特徵碼的驗證程序。特徵碼驗證器將評估該規則的有效性,並將其分類為有效無效警告。依預設,驗證程序中會排除警告特徵碼。如果您希望將其推送到傳輸節點,必須明確選擇將其包含在內。無效特徵碼會發佈,但僅儲存在 NSX Manager 中,並不會推送到傳輸節點。不過,您必須解決導致特徵碼無效的所有問題,並重新驗證,然後才能發佈這些特徵碼。
  6. 按一下發佈
  7. 確認您可以在傳輸節點上檢視已發佈的特徵碼。
  8. IDS/IPS 和 Malware Prevention 頁面上,選取設定檔。您可以新增一個自訂設定檔或編輯現有的設定檔以包含自訂特徵碼。新增或編輯設定檔時,請確保為自訂特徵碼指派嚴重性層級。
  9. 確認規則已套用於自訂特徵碼設定檔。
  10. 當惡意流量嘗試探測未修補 MS17-010 漏洞的系統時,IDS 將針對可疑活動產生警示。




  11. [偵測到的位置] 欄位列出了嘗試探測未修補系統的虛擬機器。


  12. 請修補這些虛擬機器,以避免未修補 MS17-010 漏洞的系統所存在的風險。