7.4.1. Configurer Codebreaker puis appliquer les Rulesets Sigflow aux GCaps

7.4.1.1. Introduction

La section `Detection Rulesets` permet l'application des Rulesets Sigflow aux GCaps appairés sur le GCenter.
Il est également possible de configurer le module codebreaker pour le GCap qui comprend l'activation ou la désactivation de la détection des shellcodes et des powershells de façon séparés.

Note

Il est nécessaire de générer les règles d'un ruleset avant de l'appliquer aux GCaps. Dans le cas contraire, aucune règle ne sera appliquée.

Note

Codebreaker n'est pas configurable via le menu `Detection Rulesets` avec la licence CIE.

Pour rappel le menu `Detection Rulesets` dispose de trois options de configuration :

  • le `single tenant` :

    • attribuer un ruleset pour toutes les interfaces de monitoring du GCap

    • activer/désactiver codebreaker pour toutes les interfaces de monitoring du GCap

  • le `multi-tenant by interface` :

    • attribuer un ruleset par interface de monitoring du GCap

    • activer/désactiver codebreaker par interface de monitoring du GCap

  • le `multi-tenant by vlan` :

    • attribuer un ruleset par vlan

    • attribuer un ruleset pour le vlan par défaut (les vlans non créés via l'interface)

    • activer/désactiver codebreaker par vlan

    • activer/désactiver codebreaker pour le vlan par défaut (les VLANs non créés via l'interface)

Note

Ces options de configuration sont exclusives.
Cela signifie qu'il ne sera pas possible d'application une configuration single tenant et multi-tenant by vlan en même temps.

Voir l'Ecran `Config - Gcaps profiles` de la web UI.

Pour

aller à la

Configuration du single-tenant

Procédure de configuration du `single-tenant`

Configuration du multi-tenant by interface

Procédure de configuration du `multi-tenant by interface`

Configuration du multi-tenant by vlan

Procédure de configuration du `multi-tenant by vlan`

7.4.1.2. Prérequis

Utilisateur : membre du groupe Operator

7.4.1.3. Opérations préliminaires

7.4.1.4. Procédure de configuration du `single-tenant`

  • Dans la barre de navigation, cliquer successivement sur :

    • le bouton `Config`

    • le bouton `Gcaps profiles` du menu `Sigflow`.
      La fenêtre `Gcaps profiles` est affichée.
      ../../_images/GCAP_00.PNG

  • Cliquer sur le bouton `Detection rulesets`

../../_images/GCAP_01.PNG

  • Cliquer sur l'onglet `Single-tenant` (3).

  • Sélectionner un ruleset (12) à appliquer pour toutes les interfaces.

  • Activer ou désactiver la détection des shellcodes (11) pour toutes les interfaces.

  • Activer ou désactiver la détection des powershells (10) pour toutes les interfaces.

  • Appliquer la configuration via le bouton `Save` (9).

7.4.1.5. Procédure de configuration du `multi-tenant by interface`

  • Dans la barre de navigation, cliquer successivement sur :

    • le bouton `Config`

    • le bouton `Gcaps profiles` du menu `Sigflow`
      La fenêtre `Gcaps profiles` est affichée.
    ../../_images/GCAP_00.PNG

  • Cliquer sur le bouton `Detection rulesets`.

../../_images/GCAP_01.PNG

  • Cliquer sur l'onglet `Multi-tenant by interface` (4).

  • Sélectionner un ruleset à appliquer pour chaque interface.

  • Activer ou désactiver la détection des shellcodes pour chaque interface.

  • Activer ou désactiver la détection des powershells pour chaque interface.

  • Appliquer la configuration via le bouton `Save`.

Exemple de configuration :

  • interface mon0 :

    • cliquer sur mon0

    • choisir le ruletset souhaité

    • activer la détection des shellcodes et des powershells

  • interface mon1 :

    • cliquer sur mon1

    • choisir le ruletset souhaité

    • désactivation de la détection des shellcodes et des powershells

Note

La détection sera différente entre les trafics reçus sur les interfaces mon0 et mon1 car les rulesets sont eux-mêmes différents.

7.4.1.6. Procédure de configuration du `multi-tenant by vlan`

  • Dans la barre de navigation, cliquer successivement sur :

    • le bouton `Config`

    • le bouton `Gcaps profiles` du menu `Sigflow`
      La fenêtre `Gcaps profiles` est affichée.
    ../../_images/GCAP_00.PNG

  • Cliquer sur le bouton `Detection rulesets`

../../_images/GCAP_01.PNG

  • Cliquer sur l'onglet `Multi-tenant by vlan` (5).

  • Sélectionner un ruleset à appliquer pour le vlan `default`.

  • Activer ou désactiver la détection des shellcodes pour le vlan `default`.

  • Activer ou désactiver la détection des powershells pour le vlan `default`.

  • Créer un vlan en cliquant sur le bouton `New vlan`.

  • Dans la popup qui s'affiche :

    • nommer le vlan (le nom du vlan doit correspondre au numéro de vlan entre 0 et 4096)

    • sélectionner un ruleset à appliquer

    • activer ou désactiver la détection des shellcodes pour chaque vlan

    • activer ou désactiver la détection des powershells pour chaque vlan

    • cliquer sur le bouton `Add`

  • Appliquer la configuration via le bouton `Save`.

Exemple de configuration :

  • vlan `default` :

    • cliquer sur `default`

    • choisir le ruletset souhaité

    • activation de la détection des shellcodes/powershells

    • cliquer sur le bouton `Add`

  • vlan `110` :

    • cliquer sur le bouton `New vlan`

    • nommer le vlan `110`

    • choisir le ruletset souhaité

    • désactivation de la détection des shellcodes/powershells

    • cliquer sur le bouton `Add`