5.6.16. Ecran `Config - sigflow/sources` de la legacy web UI

Cet écran n'est accessible que pour les membres du groupe operator.

Note

Pour les membres du groupe administrator, le message suivant est affiché : `Error 403: Insufficient permissions`.

Après appui sur la commande `Sources` du sous menu `Config/Sigflow`, l'écran suivant est affiché.
Cet écran permet de :

  • définir les sources des signatures pour le moteur de détection

  • gérer les sources existantes

  • gérer les fichiers de l'ensemble de règles mis à disposition par les sources

  • gérer les catégories et les règles de ces fichiers

../../_images/SOURCES-01.PNG

L'écran `Sources` contient les parties suivantes :

Repère

Nom

Fonction

1

`Defined sources`

Indique la liste des sources existantes

2

`List of feeds`

Liste des flux

3

`Action`

Zone d'actions possibles. Les actions possibles listés en dessous dépendent du contexte :

4

`Add public source`

  • le bouton permet l'ajout de sources publiques

5

`Add custom source`

  • le bouton permet l'ajout de sources personnalisées

6

`3 Sources`

Champ indiquant le nombre de sources définies

7

description d'une source

Source définie. Comprend les types d'informations suivantes :

  • le nom de la source (CTI, ETPRO, LastInfoSec... )

  • les date et heure de la dernière mise à jour

  • le nombre de catégories et de signatures

Il est possible d'ajouter une source MISP. Pour cela, se reporter à la procédure de Configuration de la connexion au MISP

8

champ recherche

Permet de faire une recherche

9

bouton `View`

Affiche l'écran `Sources : view` (voir ci-dessous)

10

menu contextuel

Affiche le sous-menu de gestion pour cette source (accès aux commandes `Edit source` et `Delete source`)

Note

Il est possible avoir deux entrées LastinfoSec :

  • une entrée nommée `LastinfoSec(Experimental)`: cette entrée n'existe que si le GCenter était en version V101 et a migré en V102.
    Cette entrée doit être supprimée . Pour cela , se reporter à la Procédure pour supprimer une source.
  • une entrée nommée `LastinfoSec`: cette entrée est créée en V102.
    Cette entrée doit être conservée et utilisée.

Après appui sur le bouton (9) `View`, l'écran `Sources : view` contient les parties suivantes :

../../_images/SOURCES-02.PNG

Repère

Nom

Fonction

1

Champ origine source

Indique la source sélectionnée (ici CTI). Il comprend les champs suivants :

10

Champ création source

  • les date et heure de la création de la source

9

Champ mise à jour

  • les date et heure de la dernière mise à jour

2

`Action`

Zone d'actions possibles. Les actions possibles listées en dessous dépendent du contexte.

8

`Changelog`

  • bouton pour afficher l'historique de la source courante

7

`Update`

  • bouton pour mettre à jour la source courante

6

`Edit`

  • bouton pour éditer la source courante

5

`Delete`

  • bouton pour supprimer la source courante

3

`Catégories`

Liste des catégories. Comprend trois types d'informations :

  • le nom de la catégorie

  • la description de la catégorie

  • la date de création de la catégorie

4

Champ recherche

Permet de chercher un texte dans les catégories (y compris dans le champ description des règles)

Note

Chaque source est composée de catégories.
Chacune de ces catégories peut être éditée.
Chaque catégorie est composée de règles. En cliquant sur une catégorie, la liste des règles sera affichée.
Chacune de ces règles peut être éditée.

Voir la procédure Sources de règles du moteur SIGFLOW pour :

  • la visualisation et la gestion des sources

  • la visualisation et la gestion des fichiers de règles