7. Ajouter des règles secrètes localement
Depuis 'Adv Config', l'administrateur accède à la fonctionnalité suivante :
↓
↓
Le menu 'Edit local rules' permet l'édition de règles locales de détection, c'est-à-dire des règles par interface sur la sonde GCap non visibles volontairement au niveau du GCenter.
Avec cette version implémentée sur la solution TRACKWATCH il y aura plusieurs cas d'utilisation:
Rendre des signatures confidentielles sans que les opérateurs du GCenter puissent les voir (notion de 'besoin d'en connaitre')
Faire une modification des signatures locales des sondes dans des cas complexes
Lorsque le GCenter est confié à un tiers et que ce dernier ne peut manier des marqueurs ou des signatures d'un certain niveau
L'administrateur va pouvoir sélectionner l'interface sur laquelle il pourra éditer localement le fichier de règle de détection. À noter que ce menu n'est disponible que si la fonction est activée au préalable sur le GCenter (Administrators/GCaps/Profiles/Multitenant by interfaces).
L'édition peut, être fait ici sur les quatre interfaces de capture de la sonde GCap, 'Mon0', 'Mon1', 'Mon2' et 'Mon3'. Chaque interface de capture possède son propre fichier contenant les règles de détection.
Une fois dans l'interface, un copié/collé des règles de détection peut être fait. Une première fenêtre nano permet d'ajouter des signatures qui génèreront des alertes au niveau du flux reconstruit. Il n'y a pas de limitation dans le nombre de signatures pour les interfaces mais elles ne doivent pas avoir le même identifiant SID que les autres règles déjà présentes.
La numérotation des SID utilisée par nos règles est la suivante :
De 1 à 406
De 211000 à 220121
De 904200000 à 904200115
De 902200000 à 902202690
De plus, « 1000000 » et « 2000000-3000000 » sont les autres intervalles respectifs des SID correspondant à CTI et ETPRO. Nous conseillons d'utiliser des numéros de série différents (Exemple : 99XXXXXXX ou 4XXXXXX) pour être certain d'éviter les collisions.
Une seconde fenêtre nano de saisie apparaît où il sera possible d'ajouter d'autres types de règles afin de limiter ou supprimer certaines alertes. Il existe les Suppress Rules qui suppriment une alerte en fonction de l'adresse IP source ou destination, mais aussi les Threshold Rules qui limitent le nombre d'alertes à afficher en fonction d'un ou plusieurs réseaux.
Il est donc possible d'avoir des règles de détection et des seuils par interface de capture.
Appuyez sur 'OK' pour valider l'ajout des signatures.
Ci-dessous les lignes de commande associées à la fonctionnalité décrite :
show config-files [threshold|rules-files|rules-scirius|suricata-config]
set advanced-configuration packet-filtering delete [rule-index|begin-end] confirm
set advanced-configuration local-rules [tenant]