6.2.2.16.5. local-rules

6.2.2.16.5.1. Introduction

La commande local-rules du sous-groupe set advanced-configuration permet de modifier les règles locales de la sonde GCap.

Ces règles peuvent être globales ou par interface.

Ces modifications sont fait localement dans le GCap donc non visibles volontairement au niveau du GCenter.

6.2.2.16.5.1.1. Détail sur les Règles

Les règles modifiées localement sont :

  • dans le fichier Rules:, les règles locales de Sigflow, c'est-à-dire :

    • les règles de détection et

    • les règles de reconstruction de fichiers

  • dans le fichier threshold::

    • les seuils ou limites définis par le mot clé "threshold"

    • les règles de suppression définies par le mot clé "suppress"

6.2.2.16.5.1.2. Cas d'utilisation

Il y a plusieurs cas d'utilisation :

  • rendre des signatures confidentielles sans que les opérateurs du GCenter puissent les voir (notion de 'besoin d'en connaître')

  • faire une modification des signatures locales des sondes dans des cas complexes

  • lorsque le GCenter est confié à un tiers et que ce dernier ne peut manier des marqueurs ou des signatures d'un certain niveau.

Note

En multi tenant, il est possible de modifier uniquement les règles pour une seule interface de capture (tenant configuré) : il y a un fichier par interface.

En mode single tenant, les modifications s'appliquent à toutes les interfaces à la fois : il y a un fichier unique pour toutes les interfaces.

6.2.2.16.5.2. Prérequis

  • Utilisateur : setup

  • Dépendances : le moteur de détection doit être à l'arrêt

6.2.2.16.5.3. Commande

set advanced-configuration local-rules TENANT

Le paramètre TENANT peut prendre les valeurs suivantes :

  • single-tenant : all

  • multi-tenant par int : {mon0|mon1|mon2|mon3|monvirt}

  • multi-tenant par vlan :

    • default

    • VLAN X

    • VLAN X Y

6.2.2.16.5.4. Processus général

A l'exécution de la commande set advanced-configuration local-rules ..., deux fichiers de règles s'ouvrent successivement à travers l'éditeur de texte Nano.

Le processus de modification des fichiers est le suivant :

  • Nano ouvre automatiquement le premier fichier.

    Il permet de modifier les règles de la catégorie Rules:, c'est-à-dire :

    • les règles de détection

    • les règles de reconstruction

  • Modifier le contenu de ce fichier

    Note

    Une fois dans l'interface, un copié/collé des règles de détection peut être fait.

    Il n'y a pas de limitation dans le nombre de signatures pour les interfaces mais elles ne doivent pas avoir le même identifiant SID que les autres règles déjà présentes.

  • Fermer (CTRL + X) après sauvegarde

  • Nano ouvre automatiquement le deuxième fichier.

    Il permet de modifier les règles de la catégorie threshold:, c'est-à-dire :

    • les seuils ou limites définis par le mot clé "threshold"

    • les règles de suppression définies par le mot clé "suppress"

    Note

    Il est possible d'ajouter d'autres types de règles afin de limiter ou supprimer certaines alertes.

    Il existe :

    • les Suppress Rules qui suppriment une alerte en fonction de l'adresse IP source ou destination,

    • mais aussi les Threshold Rules qui limitent le nombre d'alertes à afficher en fonction d'un ou plusieurs réseaux.

6.2.2.16.5.5. Exemple pour modifier les règles en mode single tenant

Important

Les modifications faites en mode single tenant seront appliquées à toutes les interfaces de capture.

  • Entrer la commande suivante.

    (gcap-cli) set advanced-configuration local-rules all

  • Valider.

    L'éditeur de texte s'ouvre avec le fichier permettant de modifier les règles de la catégorie Rules:.

    Voir le paragraphe Processus général ci avant.

6.2.2.16.5.6. Exemple pour modifier les règles en mode multi tenant pour l'interface mon0

Important

Les modifications faites en mode multi tenant pour l'interface `mon0` ne seront appliquées qu'à cette interface. Il est donc possible d'avoir des règles de détection et des seuils par interface de capture.

  • Entrer la commande suivante.

    (gcap-cli) set advanced-configuration local-rules mon0

  • Valider.

    L'éditeur de texte s'ouvre avec le fichier permettant de modifier les règles de la catégorie Rules:.

    Voir le paragraphe Processus général ci avant.

6.2.2.16.5.7. Exemple pour modifier les règles en mode multi tenant pour le vlan 10

Important

Les modifications faites en mode multi tenant pour le vlan 10 ne seront appliquées qu'à ce vlan.

  • Entrer la commande suivante.

    (gcap-cli) set advanced-configuration local-rules VLAN 10

  • Valider.

    L'éditeur de texte s'ouvre avec le fichier permettant de modifier les règles de la catégorie Rules:.

    Voir le paragraphe Processus général ci avant.

6.2.2.16.5.8. Exemple pour modifier les règles en mode multi tenant pour le vlan par défaut

  • Entrer la commande suivante.

    (gcap-cli) set advanced-configuration local-rules default

  • Valider.

L'éditeur de texte s'ouvre avec le fichier permettant de modifier les règles de la catégorie Rules:.

Voir le paragraphe Processus général ci avant.