7.4.1. Configurer Codebreaker puis appliquer les Rulesets Sigflow aux GCaps
7.4.1.1. Introduction
`Detection Rulesets`
permet l'application des Rulesets Sigflow aux GCaps appairés sur le GCenter.Note
Il est nécessaire de générer les règles d'un ruleset avant de l'appliquer aux GCaps. Dans le cas contraire, aucune règle ne sera appliquée.
Note
Codebreaker n'est pas configurable via le menu `Detection Rulesets`
avec la licence CIE.
Pour rappel le menu `Detection Rulesets`
dispose de trois options de configuration :
le
`single tenant`
:attribuer un ruleset pour toutes les interfaces de monitoring du GCap
activer/désactiver codebreaker pour toutes les interfaces de monitoring du GCap
le
`multi-tenant by interface`
:attribuer un ruleset par interface de monitoring du GCap
activer/désactiver codebreaker par interface de monitoring du GCap
le
`multi-tenant by vlan`
:attribuer un ruleset par vlan
attribuer un ruleset pour le vlan par défaut (les vlans non créés via l'interface)
activer/désactiver codebreaker par vlan
activer/désactiver codebreaker pour le vlan par défaut (les VLANs non créés via l'interface)
Note
Voir l'Ecran `Config - Gcaps profiles` de la web UI.
Pour |
aller à la |
---|---|
Configuration du single-tenant |
|
Configuration du multi-tenant by interface |
|
Configuration du multi-tenant by vlan |
7.4.1.2. Prérequis
Utilisateur : membre du groupe Operator
7.4.1.3. Opérations préliminaires
Se connecter au GCenter via un navigateur (voir l'Accès à l'interface web du GCenter via un navigateur internet)
7.4.1.4. Procédure de configuration du `single-tenant`
Dans la barre de navigation, cliquer successivement sur :
Cliquer sur le bouton
`Detection rulesets`
Cliquer sur l'onglet
`Single-tenant`
(3).Sélectionner un ruleset (12) à appliquer pour toutes les interfaces.
Activer ou désactiver la détection des shellcodes (11) pour toutes les interfaces.
Activer ou désactiver la détection des powershells (10) pour toutes les interfaces.
Appliquer la configuration via le bouton
`Save`
(9).
7.4.1.5. Procédure de configuration du `multi-tenant by interface`
Dans la barre de navigation, cliquer successivement sur :
le bouton
`Config`
- le bouton
`Gcaps profiles`
du menu`Sigflow`
La fenêtre`Gcaps profiles`
est affichée.
Cliquer sur le bouton
`Detection rulesets`
.
Cliquer sur l'onglet
`Multi-tenant by interface`
(4).Sélectionner un ruleset à appliquer pour chaque interface.
Activer ou désactiver la détection des shellcodes pour chaque interface.
Activer ou désactiver la détection des powershells pour chaque interface.
Appliquer la configuration via le bouton
`Save`
.
Exemple de configuration :
interface mon0 :
cliquer sur mon0
choisir le ruletset souhaité
activer la détection des shellcodes et des powershells
interface mon1 :
cliquer sur mon1
choisir le ruletset souhaité
désactivation de la détection des shellcodes et des powershells
Note
La détection sera différente entre les trafics reçus sur les interfaces mon0 et mon1 car les rulesets sont eux-mêmes différents.
7.4.1.6. Procédure de configuration du `multi-tenant by vlan`
Dans la barre de navigation, cliquer successivement sur :
le bouton
`Config`
- le bouton
`Gcaps profiles`
du menu`Sigflow`
La fenêtre`Gcaps profiles`
est affichée.
Cliquer sur le bouton
`Detection rulesets`
Cliquer sur l'onglet
`Multi-tenant by vlan`
(5).Sélectionner un ruleset à appliquer pour le vlan
`default`
.Activer ou désactiver la détection des shellcodes pour le vlan
`default`
.Activer ou désactiver la détection des powershells pour le vlan
`default`
.Créer un vlan en cliquant sur le bouton
`New vlan`
.Dans la popup qui s'affiche :
nommer le vlan (le nom du vlan doit correspondre au numéro de vlan entre 0 et 4096)
sélectionner un ruleset à appliquer
activer ou désactiver la détection des shellcodes pour chaque vlan
activer ou désactiver la détection des powershells pour chaque vlan
cliquer sur le bouton
`Add`
Appliquer la configuration via le bouton
`Save`
.
Exemple de configuration :
vlan
`default`
:cliquer sur
`default`
choisir le ruletset souhaité
activation de la détection des shellcodes/powershells
cliquer sur le bouton
`Add`
vlan
`110`
:cliquer sur le bouton
`New vlan`
nommer le vlan
`110`
choisir le ruletset souhaité
désactivation de la détection des shellcodes/powershells
cliquer sur le bouton
`Add`