主管部門發(fā)出的安全風險報告，一般只能定位到局域網(wǎng)的公網(wǎng)IP。網(wǎng)管技術人員要處理解決該安全事件，還需要定位到具體的終端電腦。這個定位工作非?？简灳W(wǎng)管的技術，沒有對應的技術儲備，加上沒有合適的工具的話，你就只能一臺電腦一臺電腦的殺毒了。

在如何檢測局域網(wǎng)內(nèi)感染了木馬病毒的電腦？一文中，我們介紹了如何通過WSG上網(wǎng)行為管理網(wǎng)關的“入侵防御”功能來定位挖礦、中毒、以及感染了木馬的電腦。對絕大部分情況來說，開啟入侵防御功能就可以檢測到被感染的終端電腦。然后對該電腦進行查毒殺毒就可以了。有些情況下，由于特征庫版本不一致，或者檢測技術不一樣，也可能存在并沒有檢測到的情況。這時候，我們還可以通過自定義規(guī)則的方式，來擴大檢測的內(nèi)容。在本文中，我將介紹如何自定義檢測規(guī)則。

如下圖，圖中是主管部門發(fā)出的安全風險報告。我們可以看到，這三條記錄是通過dns來觸發(fā)的，上級部門檢測到內(nèi)網(wǎng)有終端dns解析了這些域名，所以觸發(fā)了安全報告。這個觸發(fā)是非常敏感的，舉例來說，你只要去ping一下對應的域名，就會觸發(fā)安全事件。

要在內(nèi)網(wǎng)檢測到對這些域名的dns請求，我們需要自定義入侵防御的規(guī)則。如下圖，在入侵防御的自定義規(guī)則中添加規(guī)則。

要對DNS查詢進行內(nèi)容檢測，自定義規(guī)則的語法如下：

alert udp $HOME_NET any -> any 53 (msg:"detect DNS";content:"|02|gb|0a|imfirewall|03|com|00|";sid:1000005;)

content后面就是要匹配的域名，要把域名按點號拆分為不同的部分。如：abc.imfirewall.com，需要拆分為|03|abc|0a|imfirewall|03|com|00|（數(shù)字是后面字符串的長度）。每條記錄的sid不要重復。

要匹配安全報告中的三個域名，需要配置三條規(guī)則，如下圖：

“編輯檢查項”并選中自定義的規(guī)則。如圖：

經(jīng)過上述配置后，只要有人查詢了這些域名的DNS，就可以在記錄查詢中記錄該請求。如果你的局域網(wǎng)是自動獲取IP，還可以結(jié)合“查詢統(tǒng)計”->“記錄查詢”中的“IP-MAC歷史”來獲取IP對應的MAC地址。