7.3.3. Modification de règles du moteur SIGFLOW

7.3.3.1. Introduction

Les règles de détection sont ce qui permet au GCap de lever des alertes sur le trafic surveillé.

Pour rappel :

les règles se trouvent dans des catégories
les catégories se trouvent dans des sources
les sources se placent dans des rulesets

Il est possible d'agir directement sur le fonctionnement d'une règle, depuis le menu Sigflow, en limitant ou en supprimant les alertes pour cette dernière au sein d'un ruleset.

Les différentes actions possibles pour modifier le comportement d'une règle sont les suivantes :

la mise en place d'une règle de transformation (Transform rule)
la désactivation d'une règle de transformation
l'activation d'une règle de transformation
la mise en place de la règle de seuil (Threshold rule)
la mise en place de la règle de suppression (Suppress rule)

Note

Afin de retrouver simplement une règle que l'on souhaite modifier, il est possible d'utiliser la recherche présente en haut à droite de l'ensemble des pages du menu Sigflow.

Il suffit de rechercher le SID ou le nom de la règle souhaitée.

7.3.3.1.1. Règle de transformation

7.3.3.1.1.1. Concept

Les règles de transformation ou "Transform rules" permettent de modifier le comportement de la règle en modifiant son contenu.
Cette modification peut être faite règle par règle. Dans ce cas, la modification ne s'applique qu'à cette règle.
Cette modification peut :

modifier le contenu d'une règle, par exemple, modifier l'action d'une règle en remplaçant l'action Alert définie dans la règle par une autre action de type drop ou reject. Cette modification est définie dans la règle de transformation
ajouter un mot clé à la règle (bypass ou filestore) définie dans la règle de transformation
modifier le contenu de la règle par héritage. En configurant la règle avec le paramètre par défaut (category default) du contenant (la catégorie), la règle hérite du contenu de ce paramètre.
Cette modification peut être faite au niveau de la catégorie. Dans ce cas, les modifications sont applicables pour toutes les règles contenues dans cette catégorie.

La gestion des modifications est la même qu'au niveau des règles à part le paramètre par défaut applicable est le paramètre ruleset default défini au niveau du ruleset.
Cette modification peut être faite au niveau du ruleset. Dans ce cas, les modifications sont applicables pour toutes les règles contenues dans toutes les catégories du ruleset.

La gestion des modifications est la même qu'au niveau des catégories mis à part qu'il n'y a pas de paramètre par défaut.

7.3.3.1.1.2. Paramètres

Les différentes paramètres possibles sont :

le champ `Action` détermine l'action à appliquer sur la règle.

Par exemple, modifier l'action d'une règle en remplaçant l'action Alert définie dans la règle par une autre action de type drop ou reject ou d'ajouter un mot clé à la règle (bypass/filestore):
- `Filestore` : Si une règle correspond, alors le fichier défini dans le flux sera traité par Sigflow et stocké comme tout autre paquet.
  
  Et cela même s'il n'y a pas de règle de génération de fichier par filemagic/extension.
- `Bypass` : Si une règle contient un 'bypass', le flux défini par cette règle ne sera pas analysé quelque soit son contenu.
- `None` : aucune transformation n'est effectuée
- `Category Default`: la règle applique la modification définie au niveau de la catégorie et hérite de cette configuration.
- `Ruleset Default`: la catégorie applique la modification définie au niveau du ruleset et hérite de cette configuration.
- pour les choix `Reject` et `Drop` : Pour rappel, le GCap est en mode IDS et non IPS cad :
  - en mode IPS (Prevention), le flux réseau passe au travers du système de détection qui peut le laisser passer mais aussi le rejeter (action `Reject`) ou le supprimer (action `Drop`)
  - en mode IDS (detection), le flux réseau est copié par le TAP vers le GCap donc aucune des actions `Reject` ou `Drop` n'ont de sens puisque le GCap n' aucune action sur le flux principal.

Note

L'action par défaut dans la solution est alert. Le GCap étant un IDS et pas un IPS, il n'est normalement pas nécessaire de modifier cette valeur.

le champ `Lateral` permet de modifier le champ d'action de la règle au niveau des variables réseau.

Si une règle possède une source $HOME_NET et une destination $EXTERNAL_NET et que les deux côtés du trafic analysé se trouvent dans $HOME_NET, alors la règle ne lèvera pas d'alerte et les mouvements latéraux ne seront plus détectés.

Ainsi, la transformation permet de remplacer la valeur de la variable de "$EXTERNAL_NET" à "any" afin d'élargir le champ d'action et détecter les mouvements latéraux.

Voici les valeurs possibles :
- `Auto` : la substitution est effectuée si la signature vérifie certaines propriétés
- `None` : aucune transformation n'est effectuée
- `Yes` : $EXTERNAL_NET est remplacé par n'importe quel IP (any)
- `Category Default` : la règle applique la modification définie au niveau de la catégorie et hérite de cette configuration.
- `Ruleset Default` : la catégorie applique la modification définie au niveau du ruleset et hérite de cette configuration.
le champ `Target` ajoute le champ "target:[src_ip dest_ip]" dans la règle.

Il permet de générer des métadonnées supplémentaire indiquant qui est la cible de l'attaque.

Voici les valeurs possibles :
- `Auto` : un algorithme est utilisé pour déterminer la cible s'il y en a une
- `Destination` : la cible est l'IP de destination
- `None`: aucune transformation n'est effectuée
- `Ruleset Default`: la catégorie applique la modification définie au niveau du ruleset et hérite de cette configuration.
- `Source` : la cible est la source IP

7.3.3.1.2. Règle de seuil

Les règles de seuil ou "Threshold rules" permettent de limiter le nombre d'alertes pour une règle donnée.

Il existe 3 types de seuil :

`Limit` : permet qu'une règle ne sonne qu'un nombre défini de fois. Si la valeur vaut N, l'alerte sera levée N fois puis ne le sera plus (dans l'intervalle de temps choisi)
`Threshold` : permet qu'une règle ne sonne qu'à partir d'un nombre défini d'alertes. Si la valeur vaut N, l'alerte sera levée au bout de N alertes (dans l'intervalle de temps choisi)
`Both` : permet de combiner les types `threshold` et `limit`. Il applique à la fois le seuillage et la limitation.

Note

Les règles créées sont disponibles dans la page de visualisation du ruleset (en haut à droite).

Exemple :

Dans la vue ci-dessous, c'est la meme valeur qui est définie comme limite et seuil.

Dans la zone `Threshold` (2), le compteur threshold est défini à quatre. Donc pour la période considérée (ici 60 secondes), une alarme (1) est activée toutes les 4 attaques.
Dans la zone `Limit` (3), le compteur limite est défini à quatre. Donc pour la période considérée (ici 60 secondes), une alarme est activée uniquement pour les 4 premières attaques.
Dans la zone `Both` (4), le compteur est défini à quatre. Donc pour la période considérée (ici 60 secondes), une alarme est activée uniquement pour les 4 premières attaques (valeur de limite atteinte).

7.3.3.1.3. Règle de suppression

Les règles de suppression ou Suppress rules permettent de désactiver les alertes pour une règle sur un réseau ou une ip spécifique.

Plusieurs réseaux ou IP peuvent être ajoutées en étant séparées par des ' ,'.

Exemple :

Une règle lève 10 alertes toutes les heures depuis la même IP source.

Il s'avère qu'il s'agit d'un faux positif et que ces alertes ne sont pas pertinentes.

Dans ce cas précis, il est pertinent de désactiver la règle pour l'IP source en question.

La règle reste active sur le reste du réseau.

Note

Les règles créées sont disponibles dans la page de visualisation du ruleset (en haut à droite).

Pour	aller à la
Règle de transformation (Transform rule)	Procédure de mise en place d'une règle de transformation
Désactivation d'une règle	Procédure de désactivation d'une règle
Activation d'une règle	Procédure d'activation d'une règle
Règle de seuil (Threshold rule)	Procédure de mise en place d'une règle de seuil
Règle de suppression (Suppress rule)	Procédure de mise en place d'une règle de suppression

Cette interface de configuration est décrite dans l' Ecran `Config - sigflow/rulesets` de la legacy web UI.

7.3.3.2. Prérequis

Utilisateur : membre du groupe Operator

7.3.3.3. Opérations préliminaires

Se connecter au GCenter via un navigateur (voir l'Accès à l'interface web du GCenter via un navigateur internet)