6.2.2.16.5. local-rules
6.2.2.16.5.1. Introduction
La commande local-rules
du sous-groupe set advanced-configuration
permet de modifier les règles locales de la sonde GCap.
Ces règles peuvent être globales ou par interface.
Ces modifications sont fait localement dans le GCap donc non visibles volontairement au niveau du GCenter.
6.2.2.16.5.1.1. Détail sur les Règles
Les règles modifiées localement sont :
dans le fichier
Rules:
, les règles locales de Sigflow, c'est-à-dire :les règles de détection et
les règles de reconstruction de fichiers
dans le fichier
threshold:
:les seuils ou limites définis par le mot clé "threshold"
les règles de suppression définies par le mot clé "suppress"
6.2.2.16.5.1.2. Cas d'utilisation
Il y a plusieurs cas d'utilisation :
rendre des signatures confidentielles sans que les opérateurs du GCenter puissent les voir (notion de 'besoin d'en connaître')
faire une modification des signatures locales des sondes dans des cas complexes
lorsque le GCenter est confié à un tiers et que ce dernier ne peut manier des marqueurs ou des signatures d'un certain niveau.
Note
En multi tenant, il est possible de modifier uniquement les règles pour une seule interface de capture (tenant configuré) : il y a un fichier par interface.
En mode single tenant, les modifications s'appliquent à toutes les interfaces à la fois : il y a un fichier unique pour toutes les interfaces.
6.2.2.16.5.2. Prérequis
Utilisateur : setup
Dépendances : le moteur de détection doit être à l'arrêt
6.2.2.16.5.3. Commande
set advanced-configuration local-rules TENANT
Le paramètre TENANT peut prendre les valeurs suivantes :
single-tenant : all
multi-tenant par int : {mon0|mon1|mon2|mon3|monvirt}
multi-tenant par vlan :
default
VLAN X
VLAN X Y
6.2.2.16.5.4. Processus général
A l'exécution de la commande set advanced-configuration local-rules ...
, deux fichiers de règles s'ouvrent successivement à travers l'éditeur de texte Nano.
Le processus de modification des fichiers est le suivant :
Nano ouvre automatiquement le premier fichier.
Il permet de modifier les règles de la catégorie
Rules:
, c'est-à-dire :les règles de détection
les règles de reconstruction
Modifier le contenu de ce fichier
Note
Une fois dans l'interface, un copié/collé des règles de détection peut être fait.
Il n'y a pas de limitation dans le nombre de signatures pour les interfaces mais elles ne doivent pas avoir le même identifiant SID que les autres règles déjà présentes.
Fermer (CTRL + X) après sauvegarde
Nano ouvre automatiquement le deuxième fichier.
Il permet de modifier les règles de la catégorie
threshold:
, c'est-à-dire :les seuils ou limites définis par le mot clé "threshold"
les règles de suppression définies par le mot clé "suppress"
Note
Il est possible d'ajouter d'autres types de règles afin de limiter ou supprimer certaines alertes.
Il existe :
les Suppress Rules qui suppriment une alerte en fonction de l'adresse IP source ou destination,
mais aussi les Threshold Rules qui limitent le nombre d'alertes à afficher en fonction d'un ou plusieurs réseaux.
6.2.2.16.5.5. Exemple pour modifier les règles en mode single tenant
Important
Les modifications faites en mode single tenant seront appliquées à toutes les interfaces de capture.
Entrer la commande suivante.
(gcap-cli) set advanced-configuration local-rules all
Valider.
L'éditeur de texte s'ouvre avec le fichier permettant de modifier les règles de la catégorie
Rules:
.Voir le paragraphe Processus général ci avant.
6.2.2.16.5.6. Exemple pour modifier les règles en mode multi tenant pour l'interface mon0
Important
Les modifications faites en mode multi tenant pour l'interface `mon0`
ne seront appliquées qu'à cette interface.
Il est donc possible d'avoir des règles de détection et des seuils par interface de capture.
Entrer la commande suivante.
(gcap-cli) set advanced-configuration local-rules mon0
Valider.
L'éditeur de texte s'ouvre avec le fichier permettant de modifier les règles de la catégorie
Rules:
.Voir le paragraphe Processus général ci avant.
6.2.2.16.5.7. Exemple pour modifier les règles en mode multi tenant pour le vlan 10
Important
Les modifications faites en mode multi tenant pour le vlan 10 ne seront appliquées qu'à ce vlan.
Entrer la commande suivante.
(gcap-cli) set advanced-configuration local-rules VLAN 10
Valider.
L'éditeur de texte s'ouvre avec le fichier permettant de modifier les règles de la catégorie
Rules:
.Voir le paragraphe Processus général ci avant.
6.2.2.16.5.8. Exemple pour modifier les règles en mode multi tenant pour le vlan par défaut
Entrer la commande suivante.
(gcap-cli) set advanced-configuration local-rules default
Valider.
L'éditeur de texte s'ouvre avec le fichier permettant de modifier les règles de la catégorie Rules:
.
Voir le paragraphe Processus général ci avant.