6.2.1.6. config-files
6.2.1.6.1. Introduction
La commande config-files
du sous-groupe show
permet d'afficher :
la configuration détaillée du moteur de détection Sigflow à l'aide de la commande
config-files suricata-config
les règles transmises par le GCenter au moteur Sigflow :
rules-scirius : les règles scirius de détection
rules-files : les règles de reconstruction de fichiers
threshold.
Dans cette catégorie, sont définies :
les règles de seuils des alertes (règles de détection)
Par exemple :
ne plus envoyer d'alertes au delà d'une valeur (notion de limite)
ou à l'inverse , valider des alertes à partir d'une valeur (notion de seuil)
les limitations des règles de détection, par exemple ne pas appliquer une règle à une adresse IP spécifique
Il est uniquement possible d'afficher les règles du tenant configuré.
6.2.1.6.2. Prérequis
Utilisateurs : setup, gviewadm, gview
Dépendances :
appairer le GCap et le GCenter
envoyer des ensembles de règles (ruleset) depuis le GCenter vers le GCap
6.2.1.6.3. Commande
show config-files {suricata-config|rules-scirius|rules-files|threshold} [TENANT]
La commande show config-files
doit être suivie :
du nom du fichier de configuration :
suricata-config
pour la configuration de Sigflowrules-scirius
pour les règles scirius pour la détection utilisé par Sigflowrules-files
pour les règles de reconstruction de fichiers utilisé par Sigflowthreshold
pour les règles de seuils, les limites et les règles de suppression
du paramètre TENANT qui peut prendre les valeurs suivantes :
multi-tenant par int : {mon0|mon1|mon2|mon3|monvirt}
multi-tenant par vlan :
default
VLAN X
VLAN X Y
6.2.1.6.4. Exemple pour afficher les règles scirius pour la détection, en mode single tenant
Entrer la commande suivante.
(gcap-cli) show config-files rules-scirius
Valider.
Le système affiche le résultat.
# Rules file for ** generated by Scirius at 2022-05-30 12:41:33.634390+00:00 alert dns any any -> any any (msg:"[ TEST AUTO ] ALERT DNS UDP";sid:12345600;priority:2;)
Le fichier affiche :
d'abord la date de génération
puis, dans chaque paragraphe, une règle est définie.
Pour plus d'information sur la syntaxe des règles, se reporter à la documentation du GCenter.
6.2.1.6.5. Exemple pour afficher les règles scirius pour la détection, en mode multi tenant pour l'interface mon0
Entrer la commande suivante.
(gcap-cli) show config-files rules-scirius mon0
Valider.
Le système affiche le résultat (voir exemple ci-dessus).
Note
Si le message suivant est affiché "Command show config-files rules-scirius mon0 is not recognized", vérifier la configuration (multi tenant avec interface
`mon0`
).
6.2.1.6.6. Exemple pour afficher les règles scirius en mode multi tenant pour le vlan 10
Entrer la commande suivante
(gcap-cli) show config-files rules-scirius VLAN 10
Valider.
Le système affiche le résultat (voir exemple ci-dessus).
Note
Si le message suivant est affiché "Command show config-files rules-scirius VLAN 10 is not recognized", vérifier la configuration (multi tenant avec VLAN 10).
6.2.1.6.7. Exemple pour afficher les seuils, les limites et les règles de suppression
Entrer la commande suivante.
(gcap-cli) show config-files threshold
Valider.
Le système affiche le résultat.
suppress gen_id 1, sig_id 2435, track by_src, ip 10.10.10.10 threshold gen_id 1, sig_id 2435, type limit, track by_src, count 1, seconds 60)
Le fichier affiche :
les seuils ou limites définis par le mot clé "threshold"
les règles de suppression définies par le mot clé "suppress"