7.3.3. Modification de règles du moteur SIGFLOW
7.3.3.1. Introduction
les règles se trouvent dans des catégories
les catégories se trouvent dans des sources
les sources se placent dans des rulesets
la mise en place d'une règle de transformation (Transform rule)
la désactivation d'une règle de transformation
l'activation d'une règle de transformation
la mise en place de la règle de seuil (Threshold rule)
la mise en place de la règle de suppression (Suppress rule)
Note
7.3.3.1.1. Règle de transformation
7.3.3.1.1.1. Concept
modifier le contenu d'une règle, par exemple, modifier l'action d'une règle en remplaçant l'action Alert définie dans la règle par une autre action de type drop ou reject. Cette modification est définie dans la règle de transformation
ajouter un mot clé à la règle (bypass ou filestore) définie dans la règle de transformation
modifier le contenu de la règle par héritage. En configurant la règle avec le paramètre par défaut (category default) du contenant (la catégorie), la règle hérite du contenu de ce paramètre.
- Cette modification peut être faite au niveau de la catégorie. Dans ce cas, les modifications sont applicables pour toutes les règles contenues dans cette catégorie.La gestion des modifications est la même qu'au niveau des règles à part le paramètre par défaut applicable est le paramètre ruleset default défini au niveau du ruleset.
- Cette modification peut être faite au niveau du ruleset. Dans ce cas, les modifications sont applicables pour toutes les règles contenues dans toutes les catégories du ruleset.La gestion des modifications est la même qu'au niveau des catégories mis à part qu'il n'y a pas de paramètre par défaut.
7.3.3.1.1.2. Paramètres
Les différentes paramètres possibles sont :
- le champ
`Action`
détermine l'action à appliquer sur la règle.Par exemple, modifier l'action d'une règle en remplaçant l'action Alert définie dans la règle par une autre action de type drop ou reject ou d'ajouter un mot clé à la règle (bypass/filestore):`Filestore`
: Si une règle correspond, alors le fichier défini dans le flux sera traité par Sigflow et stocké comme tout autre paquet.Et cela même s'il n'y a pas de règle de génération de fichier par filemagic/extension.`Bypass`
: Si une règle contient un 'bypass', le flux défini par cette règle ne sera pas analysé quelque soit son contenu.`None`
: aucune transformation n'est effectuée`Category Default`
: la règle applique la modification définie au niveau de la catégorie et hérite de cette configuration.`Ruleset Default`
: la catégorie applique la modification définie au niveau du ruleset et hérite de cette configuration.- pour les choix
`Reject`
et`Drop`
: Pour rappel, le GCap est en mode IDS et non IPS cad :en mode IPS (Prevention), le flux réseau passe au travers du système de détection qui peut le laisser passer mais aussi le rejeter (action
`Reject`
) ou le supprimer (action`Drop`
)en mode IDS (detection), le flux réseau est copié par le TAP vers le GCap donc aucune des actions
`Reject`
ou`Drop`
n'ont de sens puisque le GCap n' aucune action sur le flux principal.
Note
L'action par défaut dans la solution est alert. Le GCap étant un IDS et pas un IPS, il n'est normalement pas nécessaire de modifier cette valeur.
- le champ
`Lateral`
permet de modifier le champ d'action de la règle au niveau des variables réseau.Si une règle possède une source $HOME_NET et une destination $EXTERNAL_NET et que les deux côtés du trafic analysé se trouvent dans $HOME_NET, alors la règle ne lèvera pas d'alerte et les mouvements latéraux ne seront plus détectés.Ainsi, la transformation permet de remplacer la valeur de la variable de "$EXTERNAL_NET" à "any" afin d'élargir le champ d'action et détecter les mouvements latéraux.Voici les valeurs possibles :`Auto`
: la substitution est effectuée si la signature vérifie certaines propriétés`None`
: aucune transformation n'est effectuée`Yes`
: $EXTERNAL_NET est remplacé par n'importe quel IP (any)`Category Default`
: la règle applique la modification définie au niveau de la catégorie et hérite de cette configuration.`Ruleset Default`
: la catégorie applique la modification définie au niveau du ruleset et hérite de cette configuration.
- le champ
`Target`
ajoute le champ "target:[src_ip dest_ip]" dans la règle.Il permet de générer des métadonnées supplémentaire indiquant qui est la cible de l'attaque.Voici les valeurs possibles :`Auto`
: un algorithme est utilisé pour déterminer la cible s'il y en a une`Destination`
: la cible est l'IP de destination`None`
: aucune transformation n'est effectuée`Ruleset Default`
: la catégorie applique la modification définie au niveau du ruleset et hérite de cette configuration.`Source`
: la cible est la source IP
7.3.3.1.2. Règle de seuil
`Limit`
: permet qu'une règle ne sonne qu'un nombre défini de fois. Si la valeur vaut N, l'alerte sera levée N fois puis ne le sera plus (dans l'intervalle de temps choisi)`Threshold`
: permet qu'une règle ne sonne qu'à partir d'un nombre défini d'alertes. Si la valeur vaut N, l'alerte sera levée au bout de N alertes (dans l'intervalle de temps choisi)`Both`
: permet de combiner les types`threshold`
et`limit`
. Il applique à la fois le seuillage et la limitation.
Note
Les règles créées sont disponibles dans la page de visualisation du ruleset (en haut à droite).
Exemple :
`Threshold`
(2), le compteur threshold est défini à quatre. Donc pour la période considérée (ici 60 secondes), une alarme (1) est activée toutes les 4 attaques.`Limit`
(3), le compteur limite est défini à quatre. Donc pour la période considérée (ici 60 secondes), une alarme est activée uniquement pour les 4 premières attaques.`Both`
(4), le compteur est défini à quatre. Donc pour la période considérée (ici 60 secondes), une alarme est activée uniquement pour les 4 premières attaques (valeur de limite atteinte).7.3.3.1.3. Règle de suppression
Une règle lève 10 alertes toutes les heures depuis la même IP source.Il s'avère qu'il s'agit d'un faux positif et que ces alertes ne sont pas pertinentes.Dans ce cas précis, il est pertinent de désactiver la règle pour l'IP source en question.La règle reste active sur le reste du réseau.
Note
Les règles créées sont disponibles dans la page de visualisation du ruleset (en haut à droite).
Pour |
aller à la |
---|---|
Règle de transformation (Transform rule) |
|
Désactivation d'une règle |
|
Activation d'une règle |
|
Règle de seuil (Threshold rule) |
|
Règle de suppression (Suppress rule) |
Cette interface de configuration est décrite dans l' Ecran `Config - sigflow/rulesets` de la legacy web UI.
7.3.3.2. Prérequis
Utilisateur : membre du groupe Operator
7.3.3.3. Opérations préliminaires
Se connecter au GCenter via un navigateur (voir l'Accès à l'interface web du GCenter via un navigateur internet)
7.3.3.4. Procédure de mise en place d'une règle de transformation
Dans la barre de navigation, cliquer successivement sur :
le bouton
`Config`
- le bouton
`Rulesets`
du menu`Sigflow`
La fenêtre`Rulesets`
est affichée.
Depuis l'interface de gestion des rulesets :
rechercher le SID de la règle à modifier dans la barre (7) en haut à droite
cliquer sur le SID de la règle parmi les résultats de la recherche
cliquer sur le lien
`Edit rule`
afin d'afficher les menus de modifications'assurer de bien être dans le menu
`Transform rule`
cocher le ou les rulesets dans lesquels la transformation de la règle doit être appliquée
modifier les champs
`Action`
,`Lateral`
et`Target`
comme souhaitési nécessaire, ajouter un commentaire (optionnel)
cliquer sur le bouton
`Valid`
7.3.3.5. Procédure de désactivation d'une règle
Dans la barre de navigation, cliquer successivement sur :
le bouton
`Config`
- le bouton
`Rulesets`
du menu`Sigflow`
La fenêtre`Rulesets`
est affichée.
Depuis l'interface de gestion des rulesets :
méthode 1 :
rechercher le SID de la règle à désactiver dans la barre (7) en haut à droite
cliquer sur le SID de la règle parmi les résultats de la recherche
cliquer sur le lien
`Disable rule`
cocher le ou les rulesets dans lesquels la règle doit être désactivée
si nécessaire, ajouter un commentaire (optionnel)
cliquer sur le bouton
`Disable`
ou
méthode 2 :
rechercher le SID de la règle à désactiver dans la barre (7) en haut à droite
cliquer sur le SID de la règle parmi les résultats de la recherche
cliquer sur le lien
`Edit rule`
afin d'afficher les menus de modificationcliquer sur le lien
`Disable rule`
cocher le ou les rulesets dans lesquels la règle doit être désactivée
si nécessaire, ajouter un commentaire (optionnel)
cliquer sur le bouton
`Disable`
7.3.3.6. Procédure d'activation d'une règle
Dans la barre de navigation, cliquer successivement sur :
le bouton
`Config`
- le bouton
`Rulesets`
du menu`Sigflow`
La fenêtre`Rulesets`
est affichée.
Depuis l'interface de gestion des rulesets :
méthode 1 :
rechercher le SID de la règle à activer dans la barre (7) en haut à droite
cliquer sur le SID de la règle parmi les résultats de la recherche
cliquer sur le lien
`Enable rule`
cocher le ou les rulesets dans lesquels la règle doit être activée
si nécessaire, ajouter un commentaire (optionnel)
cliquer sur le bouton
`Enable`
ou
méthode 2 :
rechercher le SID de la règle à activer dans la barre (7) en haut à droite
cliquer sur le SID de la règle parmi les résultats de la recherche
cliquer sur le lien
`Edit rule`
afin d'afficher les menus de modificationcliquer sur le lien
`Enable rule`
cocher le ou les rulesets dans lesquels la règle doit être activée
si nécessaire, ajouter un commentaire (optionnel)
cliquer sur le bouton
`Enable`
7.3.3.7. Procédure de mise en place d'une règle de seuil
Dans la barre de navigation, cliquer successivement sur :
le bouton
`Config`
- le bouton
`Rulesets`
du menu`Sigflow`
La fenêtre`Rulesets`
est affichée.
Depuis l'interface de gestion des rulesets :
rechercher le SID de la règle à modifier dans la barre (7) en haut à droite
cliquer sur le SID de la règle parmi les résultats de la recherche
cliquer sur le lien
`Edit rule`
afin d'afficher les menus de modificationcliquer sur le lien
`Threshold rule`
sélectionner le type de seuil souhaité
`threshold`
,`limit`
ou`both`
sélectionner si le seuil doit concerner la source ou la destination
entrer la valeur du seuil souhaitée (impact différent en fonction du type de seuil choisi)
entrer la valeur de l'intervalle de temps souhaité dans lequel le seuil s'appliquera
cocher le ou les rulesets dans lesquels le seuil de la règle doit être appliquée
si nécessaire, ajouter un commentaire (optionnel)
cliquer sur le bouton
`Valid`
7.3.3.8. Procédure de mise en place d'une règle de suppression
Dans la barre de navigation, cliquer successivement sur :
le bouton
`Config`
- le bouton
`Rulesets`
du menu`Sigflow`
La fenêtre`Rulesets`
est affichée.
Depuis l'interface de gestion des rulesets :
rechercher le SID de la règle à modifier dans la barre (7) en haut à droite
cliquer sur le SID de la règle parmi les résultats de la recherche
cliquer sur le lien
`Edit rule`
afin d'afficher les menus de modificationcliquer sur le lien
`Suppress rule`
sélectionner le type de seuil souhaité
`threshold`
,`limit`
ou`both`
sélectionner si le seuil doit concerner la source ou la destination
entrer l'adresse ip ou le réseau sur lequel la règle sera désactivée
cocher le ou les rulesets dans lesquels la suppression de la règle doit être appliquée
si nécessaire, ajouter un commentaire (optionnel)
cliquer sur le bouton
`Valid`