7.3.1. Sources de règles du moteur SIGFLOW

7.3.1.1. Introduction

Les règles et leur organisation sont décrites dans le paragraphe Organisation des règles.

L'interface de configuration est décrite dans l' Ecran `Config - sigflow/rulesets` de la legacy web UI.

Une source se décompose de la manière suivante :

• les règles de détection se trouvent dans des catégories

• les catégories se trouvent dans des sources

• les sources se trouvent dans un ruleset

Note

Les catégories ne sont pas obligatoires. Elles permettent une meilleure organisation de la source.

Cette procédure décrit :

• la gestion des sources existantes

• la gestion des catégories et des règles mises à disposition dans les sources

• l'ajout de sources publiques ou customisées

Note

Les sources doivent être ajoutées dans un Ruleset qui sera ensuite mis à disposition du GCap.

Pour	aller à la
Visualiser les sources existantes	Procédure pour visualiser les sources existantes
Ajouter une source publique	Procédure pour ajouter une source publique
Ajouter une source personnalisée	Procédure pour ajouter une source personnalisée
Supprimer une source	Procédure pour supprimer une source
Editer une source	Procédure pour éditer une source
Mettre à jour une source	Procédure pour mettre à jour une source

Cette interface de configuration est décrite dans l' Ecran `Assets` de la web UI.

---

7.3.1.2. Prérequis

• Utilisateur : membre du groupe Operator

---

7.3.1.3. Opérations préliminaires

• Se connecter au GCenter via un navigateur (voir l'Accès à l'interface web du GCenter via un navigateur internet)

---

7.3.1.4. Procédure pour visualiser les sources existantes

• Dans la barre de navigation, cliquer successivement sur :

  • le bouton `Config`

  • le bouton `Sources` du menu `Sigflow`

    La fenêtre `Sources` est affichée.

  

  Depuis l'interface de gestion des sources, les sources disponibles sont affichées (7).

  Sont affichées les types d'informations suivantes :

  • le nom de la source (CTI, ETPRO, LastInfoSec... )

  • les date et heure de la dernière mise à jour

  • le nombre de catégories et de signatures

  Note

  Il est possible d'ajouter une source MISP.

  Pour cela, s'adresser à l'administrateur.
• Pour visualiser le contenu de la source souhaitée, cliquer sur le bouton `View` (9).

  La fenêtre montrant le détail est affichée.
  

  Le détail de la source est indiqué dans l'Ecran `Config - sigflow/sources` de la legacy web UI.

---

7.3.1.5. Procédure pour ajouter une source publique

• Opération préliminaire :

  Le GCenter doit être connecté à Internet.

  Ceci est fait dans la configuration du GCenter (paramètre PROXY) : en cas de doute en référer à l'administrateur.

• Dans la barre de navigation, cliquer successivement sur :

  • le bouton `Config`

  • le bouton `Sources` du menu `Sigflow`

    La fenêtre `Sources` est affichée.
  
• Cliquer sur le lien `Add public source` (4).

  La fenêtre `Sources` est affichée.
  
  La fenêtre affiche la liste des sources disponibles (2) en se connectant sur Internet.

  Si la connexion Internet n'est pas active alors un message d'erreur est affiché.
• Activer la source publique souhaitée (par exemple le repère 3) en cliquant sur le bouton (4) `Enable`.

  La fenêtre `Add source et /open` est affichée.
  

• Modifier le nom de la source (1) si besoin.

Note

Le nom est aussi le nom du fichier donc seuls les caractères alphanumériques, underscore, slash et le point peuvent être utilisés. Par contre, les espaces et virgules ne doivent pas être utilisés.

• Ajouter la source dans le ruleset par défaut (2) si besoin.

• Ajouter un commentaire (3) si besoin.

• Entrer le token de l'éditeur de la source si nécessaire.

• Valider la saisie en cliquant sur le bouton (4) `Submit` ou annuler avec le bouton (5) `Cancel`.

  Le message `Source fully activated` est affiché.

  Le message `Source updated` est affiché.

  Le message ` Source is valid` est affiché.

  Un lien est actif pour afficher le détail de cette nouvelle source.

  Cette nouvelle source a été ajoutée dans l'écran Sources.

---

7.3.1.6. Procédure pour ajouter une source personnalisée

• Dans la barre de navigation, cliquer successivement sur :

  • le bouton `Config`

  • le bouton `Sources` du menu `Sigflow`

    La fenêtre `Sources` est affichée.
  

  Deux méthodes sont possibles :

  • méthode 1: HTTP URL ou

  • méthode 2: Upload

• Méthode 1: HTTP URL

  Depuis l'interface de gestion des sources :

  • cliquer sur le lien `Add custom source` (5)

  • entrer un nom de la source ajoutée

  • choisir la méthode `HTTP URL`

  • choisir le format de fichier d'ajout de règles : archive TAR (Signatures files in tar archive) ou fichier texte simple (Individual Signatures file)

  • entrer l'URL du fichier cible sur le serveur HTTP distant

  • cocher le ruleset dans lequel ajouter la source (plusieurs coches possibles)

  • si nécessaire, ajouter un commentaire (optionnel)

  • cliquer sur le bouton `Submit`

• Méthode 2: Upload

  Depuis l'interface de gestion des sources :

  • cliquer sur le lien `Add custom source`

  • entrer un nom de la source ajoutée

  • choisir la méthode `Upload`

  • choisir le format de fichier d'ajout de règles : archive TAR (Signatures files in tar archive) ou fichier texte simple (Individual Signatures file)

  • cocher le ruleset dans lequel ajouter la source (plusieurs coches possibles)

  • choisir le fichier de règles à ajouter

  • si nécessaire, ajouter un commentaire (optionnel)

  • cliquer sur le bouton `Submit`

Des contrôles sont faits, par exemple :

• par exemple, le message `Error during source update: Invalid URL 'toto.com': No scheme supplied. Perhaps you meant http://toto.com? ` indique une erreur dans la saisie de l'URL

• par exemple, le message `Invalid filename` indique que le format du nom de la source n'est pas un nom de fichier

Note

Les fichiers de règles sous archive TAR permettent de créer des catégories au sein de la source. Les sous-dossiers présents dans l'archive seront les futures catégories de la source.

---

7.3.1.7. Procédure pour supprimer une source

• Dans la barre de navigation, cliquer successivement sur :

  • le bouton `Config`

  • le bouton `Sources` du menu `Sigflow`

    La fenêtre `Sources` est affichée.

• cliquer sur les trois points verticaux de la source à supprimer (1).

• cliquer sur la commande `Delete source`.

  Un message `Are you sure you want to delete object ***?` est affiché.

• si nécessaire, ajouter un commentaire (optionnel).

• cliquer sur le bouton `Delete object`.

Ou

• cliquer sur le bouton `View` de la source souhaitée.

• cliquer sur le lien `Delete`, dans la liste des actions à gauche.

  Un message `Are you sure you want to delete object ***?` est affiché.

• si nécessaire, ajouter un commentaire (optionnel)

• cliquer sur le bouton `Delete object`.

---

7.3.1.8. Procédure pour éditer une source

• Dans la barre de navigation, cliquer successivement sur :

  • le bouton `Config`

  • le bouton `Sources` du menu `Sigflow`

    La fenêtre `Sources` est affichée.

• Cliquer sur le bouton (9) `View` de la source souhaitée.

  La fenêtre suivante est affichée.
  

• Cliquer sur `Edit` (6).

• Changer les paramètres souhaités : nom, méthode, type de fichier, source publique, fichier de règles.

• Ajouter un commentaire si nécessaire (optionnel).

• Cliquer sur le bouton `Submit`.

---

7.3.1.9. Procédure pour mettre à jour une source

Note

La mise à jour des sources via cette procédure ne fonctionne que pour les sources customisées ou publiques.

La mise à jour est faite si le fichier de règles du serveur distant ou de l'éditeur a lui même été mis à jour.

• Dans la barre de navigation, cliquer successivement sur :

  • le bouton `Config`

  • le bouton `Sources` du menu `Sigflow`

• Cliquer sur le bouton `View` (9) de la source souhaitée.

  La fenêtre suivante est affichée.
  
• Cliquer sur `Update` (7).

  La fenêtre suivante est affichée.

  

  La fenêtre indique :

  • le résumé (1)

  • l'historique (2)

  Il est possible de cliquer sur un changelog pour visualiser le contenu.

---