Snort là một trong những công cụ nổi tiếng nhất trong thế giới Intrusion Detection and Prevention System (IDS/IPS). Đây là phần mềm mã nguồn mở, miễn phí, và cũng chính là nền tảng mà Cisco Secure Firewall (trước đây là Firepower) đang sử dụng để phát hiện và ngăn chặn tấn công.
Cisco Secure Firewall được cài sẵn Snort rules và các rules này được Talos Intelligence cập nhật thường xuyên, giúp thiết bị luôn nhận diện được các kỹ thuật tấn công mới nhất. Cấu trúc của một Snort Rule


Một Snort rule được chia thành hai phần logic: rule header và rule body.
1. Rule Header – chứa thông tin cơ bản:

• Action: hành động khi rule match (alert, log, pass, drop, reject…).

• Protocol: loại giao thức (IP, TCP, UDP, ICMP).

• Source IP/Port và Destination IP/Port.

• Direction Indicator: chiều lưu lượng (→ hoặc ).

Ví dụ rule header:
alert tcp 192.168.1.0/24 any -> 10.10.10.0/24 80

Rule này nghĩa là: nếu có lưu lượng TCP từ subnet 192.168.1.0/24 đến 10.10.10.0/24 qua port 80, thì kích hoạt action alert.
2. Rule Body – định nghĩa chi tiết điều kiện và metadata:

• Event message: mô tả sự kiện, ví dụ "WEB-ATTACK SQL Injection attempt".

• Keywords và parameters: như content, pcre, http_uri để xác định điều kiện match.

• Pattern match: mẫu dữ liệu trong payload cần kiểm tra.

• Inspection point: chỉ rõ phần nào của gói tin sẽ được phân tích (HTTP header, URI, payload...).

• SID (Snort ID): mã định danh duy nhất của rule.

Ví dụ rule body:
(msg:"WEB-ATTACK SQL Injection attempt"; content:"' OR 1=1 --"; nocase; sid:100001;


Tóm lại

• Snort rules có thể tự viết hoặc import vào Cisco Secure Firewall Management Center.

• Talos duy trì rule set toàn cầu, đảm bảo hệ thống luôn cập nhật trước các mối đe dọa mới.

• Mỗi rule gồm header (logic traffic) và body (điều kiện chi tiết).

• SID là định danh duy nhất giúp quản trị viên theo dõi, quản lý rule.

Với vai trò Network Engineer/SOC Analyst, hiểu Snort rule giúp bạn tùy biến IPS, viết rule theo nhu cầu đặc thù của tổ chức, thay vì chỉ phụ thuộc vào rule mặc định.​