7.3.2. Gestion d'un ruleset du moteur SIGFLOW

7.3.2.1. Introduction

La politique de sécurité en terme de détection est contenue dans ce que l'on appelle un ruleset (ensemble de règles).
Le ruleset contient les sources de règles permettant la détection.
Les règles de détection présentes dans le ruleset permettront au GCap de lever des alertes de sécurité sur le trafic analysé.
Il est possible d'utiliser plusieurs rulesets afin d'appliquer différentes politiques de sécurité aux différents points de capture.

Note

La gestion d'un ruleset n'est disponible que pour un utilisateur possédant le rôle d'opérateur.

Cette procédure décrit :

  • la création d'un ruleset

  • la gestion d'un ruleset

Pour

aller à la

Créer un ruleset

Procédure de création d'un ruleset

Afficher un ruleset

Procédure pour afficher un ruleset existant

Copier un ruleset

Procédure pour copier un ruleset

Supprimer un ruleset

Procédure pour supprimer un ruleset

Editer un ruleset

Procédure d'édition d'un ruleset

Exporter un ruleset

Procédure pour exporter un ruleset

Mettre à jour un ruleset

Procédure pour mettre à jour un ruleset

Cette interface de configuration est décrite dans l' Ecran `Config - sigflow/rulesets` de la legacy web UI.

7.3.2.2. Prérequis

Utilisateur : membre du groupe Operator

7.3.2.3. Opérations préliminaires

7.3.2.4. Procédure de création d'un ruleset

  • Dans la barre de navigation, cliquer successivement sur :

    • le bouton `Config`

    • le bouton `Rulesets` du menu `Sigflow`
      La fenêtre `Rulesets` est affichée.
../../_images/RULESSET-01.PNG

Depuis l'interface de gestion des rulesets :

  • Cliquer sur le lien `Add`

  • Entrer un nom pour le ruleset créé

  • Cocher les sources à ajouter dans le ruleset

  • Laisser cocher la case `Activate all categories in selected sources`

  • Laisser les champs de transformation `Action`, `Lateral`, et `Target` par défaut

  • Si nécessaire, ajouter un commentaire (optionnel)

  • Cliquer sur `+ Add`

7.3.2.5. Procédure pour afficher un ruleset existant

  • Dans la barre de navigation, cliquer successivement sur :

    • le bouton `Config`

    • le bouton `Rulesets` du menu `Sigflow`
      La fenêtre `Rulesets` est affichée.
    ../../_images/RULESSET-01.PNG

    Depuis l'interface de gestion des rulesets, les rulesets disponibles sont affichés.

  • Pour visualiser le contenu d'un ruleset, cliquer sur le bouton `View` (8).

7.3.2.6. Procédure pour copier un ruleset

Cette option sert à dupliquer le Ruleset, la copie prendra en compte les sources associées au Ruleset.
L'administrateur peut décider de faire un duplicata du Ruleset afin de l'attribuer à une autre sonde GCAP par exemple en fonction des flux réseau qui transitent. Le Ruleset est spécifique et doit être optimisé en fonction de la sonde à laquelle il sera attribué.

  • Dans la barre de navigation, cliquer successivement sur :

    • le bouton `Config`

    • le bouton `Rulesets` du menu `Sigflow`
      La fenêtre `Rulesets` est affichée.
    ../../_images/RULESSET-01.PNG

  • Cliquer sur les trois points verticaux (9)

  • Cliquer sur la commande `Copy ruleset`

  • Entrer le nom souhaité pour le nouveau ruleset

  • Si nécessaire, ajouter un commentaire (optionnel)

  • Cliquer sur le bouton `Submit`

7.3.2.7. Procédure pour supprimer un ruleset

La suppression du Ruleset est irréversible mais ne provoquera pas la suppression des sources et signatures qui étaient liées au Ruleset.

  • Dans la barre de navigation, cliquer successivement sur :

    • le bouton `Config`

    • le bouton `Rulesets` du menu `Sigflow`
      La fenêtre `Rulesets` est affichée.
    ../../_images/RULESSET-01.PNG

  • méthode 1 :

    • cliquer sur les trois points verticaux (9)

    • cliquer sur la commande `Delete ruleset`

    • si nécessaire, ajouter un commentaire (optionnel)

    • cliquer sur le bouton `Delete object`

Ou

  • méthode 2 :

    • cliquer sur le bouton `View` du ruleset souhaité

    • cliquer sur le lien `Delete`, dans la liste des actions à gauche

    • si nécessaire, ajouter un commentaire (optionnel)

    • cliquer sur le bouton `Delete object`

7.3.2.8. Procédure d'édition d'un ruleset

Un Ruleset peut être édité afin que l'opérateur puisse faire des modifications sur les sources, catégories ou règles présentes dans le Ruleset.
Ces modifications peuvent être effectuées sur les règles afin d'adapter une règle publique à des spécificités de système d'information, ou à un besoin spécifique.

  • Dans la barre de navigation, cliquer successivement sur :

    • le bouton `Config`

    • le bouton `Rulesets` du menu `Sigflow`
      La fenêtre `Rulesets` est affichée.
    ../../_images/RULESSET-01.PNG

  • Cliquer sur le bouton `View` (8)

../../_images/RULESSET-02.PNG

  • Cliquer sur le lien `Èdit` (18)

Note

Autre méthode

  • cliquer sur les trois points verticaux (9)

  • cliquer sur la commande `Èdit`

Une fois dans le menu d'édition, il est possible :

  • de modifier le nom du ruleset

  • de modifier les champs de transformation `Action`, `Lateral`, et `Target`
    Les modifications seront appliquées à toutes les catégories du Ruleset

    Note

    Pour plus d'informations, voir le paragraphe Règle de transformation:

  • de modifier le commentaire

  • d'ajouter ou de retirer des sources du ruleset via le lien `Edit sources`
    Cette option sert à activer ou désactiver manuellement l'action d'une source sur un Ruleset.
    Une fois décochées, les signatures ne seront plus matchées par des flux en particulier et ne remonteront plus d'alerte sur l'interface.
  • d'ajouter ou de retirer des catégories d'une source du ruleset via le lien `Edit categories`
    Cette option sert à activer ou désactiver manuellement l'action d'une catégorie sur un Ruleset.
    Une fois décochées, les signatures ne seront plus matchées par des flux en particulier et ne remonteront plus d'alerte sur l'interface.
  • d'ajouter des règles dans la liste des règles désactivées via le lien `Add rules to disabled list`
    Il est possible de désactiver une signature associée à un Ruleset. La désactivation d'une règle ne provoque pas sa suppression définitive.
  • de supprimer des règles de la liste des règles désactivées via le lien `Remove rules from disabled list`.
    La règle revient dans les règles actives du ruleset.

  • Cliquer sur le bouton `Submit` pour valider les modifications.

Note

Lors de l'ajout d'une source, il est nécessaire d'ajouter manuellement les catégories de cette source pour que ces dernières soient présentes dans la source.
Si ce n'est pas fait la source du ruleset sera vide.

7.3.2.9. Procédure pour exporter un ruleset

  • Dans la barre de navigation, cliquer successivement sur :

    • le bouton `Config`

    • le bouton `Rulesets` du menu `Sigflow`
      La fenêtre `Rulesets` est affichée.
../../_images/RULESSET-01.PNG

  • Cliquer sur le bouton `View` (8)

../../_images/RULESSET-02.PNG
  • Cliquer sur le lien `Export rules file` (13)
    L'export du ruleset permet de télécharger un fichier ".rules" comportant l'ensemble des règles du ruleset en question. Cela peut permettre de réimporter certaines règles dans d'autres outils.

Important

Cette fonctionnalité ne fait pas office de sauvegarde du ruleset. En effet, il n'est pas possible de réimporter le fichier exporté tel quel dans le Gcenter, cela engendrerait des doublons de règles.

7.3.2.10. Procédure pour mettre à jour un ruleset

Note

La mise à jour via cette procédure ne concerne que les sources customisées ou publiques du ruleset. La mise à jour est faite si le fichier de règles du serveur distant ou de l'éditeur à lui même été mis à jour.

  • Dans la barre de navigation, cliquer successivement sur :

    • le bouton `Config`

    • le bouton `Rulesets` du menu `Sigflow`
      La fenêtre `Rulesets` est affichée.
../../_images/RULESSET-01.PNG

  • Cliquer sur le bouton `View` (8) du ruleset souhaité

Note

Autre méthode

  • cliquer sur les trois points verticaux (9)

  • cliquer sur la command `Update ruleset`

../../_images/RULESSET-02.PNG

  • Cliquer sur `Update` (5)