6.2.1.24.5. local-rules

6.2.1.24.5.1. Introduction

La commande local-rules du sous-groupe show advanced-configuration permet d'afficher :

  • dans la rubrique Rules : les règles locales de Sigflow, c'est-à-dire :

    • les règles de détection et

    • les règles de reconstruction de fichiers

  • dans la rubrique threshold :

    • les seuils ou limites définis par le mot clé "threshold"

    • les règles de suppression définies par le mot clé "suppress"

Il est possible d'afficher uniquement les règles du tenant configuré.

Si la sonde est configurée en mode single tenant alors seul le fichier local_all.rules pourra être affiché.

Pour plus d'informations, se référer au paragraphe Interfaces de capture et de surveillance : single-tenant vs multi-tenant.

6.2.1.24.5.2. Prérequis

  • Utilisateur : setup

  • Dépendances : le moteur de détection doit être à l'arrêt

6.2.1.24.5.3. Commande

show advanced-configuration local-rules {TENANT|list}

Le paramètre TENANT peut prendre les valeurs suivantes :

  • single-tenant : all

  • multi-tenant par int : {mon0|mon1|mon2|mon3|monvirt}

  • multi-tenant par vlan :

    • default

    • VLAN X

    • VLAN X Y

6.2.1.24.5.4. Exemple pour lister les fichiers de règles consultables

  • Entrer la commande suivante.

(gcap-cli) show advanced-configuration local-rules list

  • Valider.

Le système affiche le résultat.

Available rule files:
    - mon0
    - monvirt

6.2.1.24.5.5. Exemple pour lister les fichiers de règles consultables afficher les règles en mode single tenant

  • Entrer la commande suivante.

(gcap-cli) show advanced-configuration local-rules all

  • Valider.

Le système affiche le résultat.

Rules:
alert dns any any -> any any (msg:"[ TEST AUTO ] ALERT DNS UDP";sid:12345600;priority:2;)

Thresholds

Le résultat est affiché en deux catégories :

  • rules : dans cette catégorie, sont listées les règles définies localement

  • Thresholds : dans cette catégorie, sont listés les seuils et limites définies localement

6.2.1.24.5.6. Exemple pour afficher les règles en mode multi tenant pour l'interface mon0

  • Entrer la commande suivante.

(gcap-cli) show advanced-configuration local-rules mon0

  • Valider.

Le système affiche le résultat.

Displaying rules for mon0

Rules:
alert dns any any -> any any (msg:"[ TEST AUTO ] ALERT DNS UDP";sid:12345600;priority:2;)

Thresholds

6.2.1.24.5.7. Exemple pour afficher les règles en mode multi tenant pour le vlan 10

  • Entrer la commande suivante.

(gcap-cli) show advanced-configuration local-rules VLAN 10

  • Valider.

Le système affiche le résultat.

Displaying rules for vlan 10

Rules:
alert dns any any -> any any (msg:"[ TEST AUTO ] ALERT DNS UDP";sid:12345600;priority:2;)

Thresholds