6.2.1.6. config-files

6.2.1.6.1. Introduction

La commande config-files du sous-groupe show permet d'afficher :

  • la configuration détaillée du moteur de détection Sigflow à l'aide de la commande config-files suricata-config

  • les règles transmises par le GCenter au moteur Sigflow :

    • rules-scirius : les règles scirius de détection

    • rules-files : les règles de reconstruction de fichiers

    • threshold.

      Dans cette catégorie, sont définies :

      • les règles de seuils des alertes (règles de détection)

        Par exemple :

        ne plus envoyer d'alertes au delà d'une valeur (notion de limite)

        ou à l'inverse , valider des alertes à partir d'une valeur (notion de seuil)

      • les limitations des règles de détection, par exemple ne pas appliquer une règle à une adresse IP spécifique

Il est uniquement possible d'afficher les règles du tenant configuré.

6.2.1.6.2. Prérequis

  • Utilisateurs : setup, gviewadm, gview

  • Dépendances :

    • appairer le GCap et le GCenter

    • envoyer des ensembles de règles (ruleset) depuis le GCenter vers le GCap

6.2.1.6.3. Commande

show config-files {suricata-config|rules-scirius|rules-files|threshold} [TENANT]

La commande show config-files doit être suivie :

  • du nom du fichier de configuration :

    • suricata-config pour la configuration de Sigflow

    • rules-scirius pour les règles scirius pour la détection utilisé par Sigflow

    • rules-files pour les règles de reconstruction de fichiers utilisé par Sigflow

    • threshold pour les règles de seuils, les limites et les règles de suppression

  • du paramètre TENANT qui peut prendre les valeurs suivantes :

    • multi-tenant par int : {mon0|mon1|mon2|mon3|monvirt}

    • multi-tenant par vlan :

      • default

      • VLAN X

      • VLAN X Y

6.2.1.6.4. Exemple pour afficher les règles scirius pour la détection, en mode single tenant

  • Entrer la commande suivante.

    (gcap-cli) show config-files rules-scirius

  • Valider.

    Le système affiche le résultat.

    # Rules file for ** generated by Scirius at 2022-05-30 12:41:33.634390+00:00

 alert dns any any -> any any (msg:"[ TEST AUTO ] ALERT DNS UDP";sid:12345600;priority:2;)

    Le fichier affiche :

    • d'abord la date de génération

    • puis, dans chaque paragraphe, une règle est définie.

    Pour plus d'information sur la syntaxe des règles, se reporter à la documentation du GCenter.

6.2.1.6.5. Exemple pour afficher les règles scirius pour la détection, en mode multi tenant pour l'interface mon0

  • Entrer la commande suivante.

    (gcap-cli) show config-files rules-scirius mon0

  • Valider.

    Le système affiche le résultat (voir exemple ci-dessus).

    Note

    Si le message suivant est affiché "Command show config-files rules-scirius mon0 is not recognized", vérifier la configuration (multi tenant avec interface `mon0`).

6.2.1.6.6. Exemple pour afficher les règles scirius en mode multi tenant pour le vlan 10

  • Entrer la commande suivante

    (gcap-cli) show config-files rules-scirius VLAN 10

  • Valider.

    Le système affiche le résultat (voir exemple ci-dessus).

    Note

    Si le message suivant est affiché "Command show config-files rules-scirius VLAN 10 is not recognized", vérifier la configuration (multi tenant avec VLAN 10).

6.2.1.6.7. Exemple pour afficher les seuils, les limites et les règles de suppression

  • Entrer la commande suivante.

    (gcap-cli) show config-files threshold

  • Valider.

    Le système affiche le résultat.

     suppress gen_id 1, sig_id 2435, track by_src, ip 10.10.10.10
 threshold gen_id 1, sig_id 2435, type limit, track by_src, count 1, seconds 60)

    Le fichier affiche :

    • les seuils ou limites définis par le mot clé "threshold"

    • les règles de suppression définies par le mot clé "suppress"