7.3.1. Sources de règles du moteur SIGFLOW
7.3.1.1. Introduction
Une source se décompose de la manière suivante :
les règles de détection se trouvent dans des catégories
les catégories se trouvent dans des sources
les sources se trouvent dans un ruleset
Note
Les catégories ne sont pas obligatoires. Elles permettent une meilleure organisation de la source.
Cette procédure décrit :
la gestion des sources existantes
la gestion des catégories et des règles mises à disposition dans les sources
l'ajout de sources publiques ou customisées
Note
Les sources doivent être ajoutées dans un Ruleset qui sera ensuite mis à disposition du GCap.
Pour |
aller à la |
---|---|
Visualiser les sources existantes |
|
Ajouter une source publique |
|
Ajouter une source personnalisée |
|
Supprimer une source |
|
Editer une source |
|
Mettre à jour une source |
Cette interface de configuration est décrite dans l' Ecran `Assets` de la web UI.
7.3.1.2. Prérequis
Utilisateur : membre du groupe Operator
7.3.1.3. Opérations préliminaires
Se connecter au GCenter via un navigateur (voir l'Accès à l'interface web du GCenter via un navigateur internet)
7.3.1.4. Procédure pour visualiser les sources existantes
Dans la barre de navigation, cliquer successivement sur :
le bouton
`Config`
- le bouton
`Sources`
du menu`Sigflow`
La fenêtre`Sources`
est affichée.
Note
Il est possible d'ajouter une source MISP.Pour cela, s'adresser à l'administrateur.- Pour visualiser le contenu de la source souhaitée, cliquer sur le bouton
`View`
(9).La fenêtre montrant le détail est affichée.Le détail de la source est indiqué dans l'Ecran `Config - sigflow/sources` de la legacy web UI.
7.3.1.5. Procédure pour ajouter une source publique
Opération préliminaire :
Le GCenter doit être connecté à Internet.Ceci est fait dans la configuration du GCenter (paramètre PROXY) : en cas de doute en référer à l'administrateur.Dans la barre de navigation, cliquer successivement sur :
le bouton
`Config`
- le bouton
`Sources`
du menu`Sigflow`
La fenêtre`Sources`
est affichée.
- Cliquer sur le lien
`Add public source`
(4).La fenêtre`Sources`
est affichée.La fenêtre affiche la liste des sources disponibles (2) en se connectant sur Internet.Si la connexion Internet n'est pas active alors un message d'erreur est affiché. - Activer la source publique souhaitée (par exemple le repère 3) en cliquant sur le bouton (4)
`Enable`
.La fenêtre`Add source et /open`
est affichée. Modifier le nom de la source (1) si besoin.
Note
Le nom est aussi le nom du fichier donc seuls les caractères alphanumériques, underscore, slash et le point peuvent être utilisés. Par contre, les espaces et virgules ne doivent pas être utilisés.
Ajouter la source dans le ruleset par défaut (2) si besoin.
Ajouter un commentaire (3) si besoin.
Entrer le token de l'éditeur de la source si nécessaire.
- Valider la saisie en cliquant sur le bouton (4)
`Submit`
ou annuler avec le bouton (5)`Cancel`
.Le message`Source fully activated`
est affiché.Le message`Source updated`
est affiché.Le message` Source is valid`
est affiché.Un lien est actif pour afficher le détail de cette nouvelle source.Cette nouvelle source a été ajoutée dans l'écran Sources.
7.3.1.6. Procédure pour ajouter une source personnalisée
Dans la barre de navigation, cliquer successivement sur :
le bouton
`Config`
- le bouton
`Sources`
du menu`Sigflow`
La fenêtre`Sources`
est affichée.
Deux méthodes sont possibles :
méthode 1: HTTP URL ou
méthode 2: Upload
- Méthode 1: HTTP URLDepuis l'interface de gestion des sources :
cliquer sur le lien
`Add custom source`
(5)entrer un nom de la source ajoutée
choisir la méthode
`HTTP URL`
choisir le format de fichier d'ajout de règles : archive TAR (Signatures files in tar archive) ou fichier texte simple (Individual Signatures file)
entrer l'URL du fichier cible sur le serveur HTTP distant
cocher le ruleset dans lequel ajouter la source (plusieurs coches possibles)
si nécessaire, ajouter un commentaire (optionnel)
cliquer sur le bouton
`Submit`
- Méthode 2: UploadDepuis l'interface de gestion des sources :
cliquer sur le lien
`Add custom source`
entrer un nom de la source ajoutée
choisir la méthode
`Upload`
choisir le format de fichier d'ajout de règles : archive TAR (Signatures files in tar archive) ou fichier texte simple (Individual Signatures file)
cocher le ruleset dans lequel ajouter la source (plusieurs coches possibles)
choisir le fichier de règles à ajouter
si nécessaire, ajouter un commentaire (optionnel)
cliquer sur le bouton
`Submit`
Des contrôles sont faits, par exemple :
par exemple, le message
`Error during source update: Invalid URL 'toto.com': No scheme supplied. Perhaps you meant http://toto.com? `
indique une erreur dans la saisie de l'URLpar exemple, le message
`Invalid filename`
indique que le format du nom de la source n'est pas un nom de fichierNote
Les fichiers de règles sous archive TAR permettent de créer des catégories au sein de la source. Les sous-dossiers présents dans l'archive seront les futures catégories de la source.
7.3.1.7. Procédure pour supprimer une source
Dans la barre de navigation, cliquer successivement sur :
le bouton
`Config`
- le bouton
`Sources`
du menu`Sigflow`
La fenêtre`Sources`
est affichée.
Ou
cliquer sur le bouton
`View`
de la source souhaitée. cliquer sur le lien`Delete`
, dans la liste des actions à gauche.Un message`Are you sure you want to delete object ***?`
est affiché.si nécessaire, ajouter un commentaire (optionnel)
cliquer sur le bouton
`Delete object`
.
7.3.1.8. Procédure pour éditer une source
Dans la barre de navigation, cliquer successivement sur :
le bouton
`Config`
- le bouton
`Sources`
du menu`Sigflow`
La fenêtre`Sources`
est affichée.
- Cliquer sur le bouton (9)
`View`
de la source souhaitée.La fenêtre suivante est affichée. Cliquer sur
`Edit`
(6).Changer les paramètres souhaités : nom, méthode, type de fichier, source publique, fichier de règles.
Ajouter un commentaire si nécessaire (optionnel).
Cliquer sur le bouton
`Submit`
.
7.3.1.9. Procédure pour mettre à jour une source
Note
Dans la barre de navigation, cliquer successivement sur :
le bouton
`Config`
le bouton
`Sources`
du menu`Sigflow`
- Cliquer sur le bouton
`View`
(9) de la source souhaitée.La fenêtre suivante est affichée. - Cliquer sur
`Update`
(7).La fenêtre suivante est affichée.Il est possible de cliquer sur un changelog pour visualiser le contenu.