Decoder : Étape 4. Configurer les règles de Decoder

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique présente des procédures permettant de créer et de gérer les règles pour la capture de trafic de Decoder ou Log Decoder dans Configuration des services > onglet Règles. 

Les règles de capture peuvent ajouter des alertes ou des informations contextuelles aux sessions ou aux logs. Elles peuvent également définir les données qui sont filtrées par un Decoder ou un Log Decoder. Les règles sont créées pour des modèles de métadonnées spécifiques. Elles se traduisent par des actions prédéfinies lorsque des correspondances sont trouvées. Par exemple, pour garder exclusivement l'ensemble du trafic qui correspond à certains critères, vous pouvez créer une règle qui effectue les actions nécessaires. Une fois appliquées, les règles affectent à la fois l'importation des fichiers de capture de paquets et la capture réseau instantanée.

Instructions relatives aux règles et requêtes fournit des instructions que toutes les requêtes et conditions de règle des services Security Analytics Core doivent suivre.

Par défaut, aucune règle n'est définie lors de la première installation de Security Analytics. Avant que les règles soient spécifiées, les paquets ne sont pas filtrés. Vous pouvez déployer les dernières règles à partir de Live. Vous pouvez définir trois types de règles : Règles de couche réseau, règles de couche application et règles de corrélation.

Règles de couche réseau

Les règles de couche réseau sont appliquées au niveau des paquets. Elles sont constituées des groupes de règles de la couche 2, de la couche 3 et de la couche 4. Plusieurs règles peuvent s'appliquer à Decoder. Les règles peuvent être appliquées à plusieurs couches (par exemple, lorsqu'une règle réseau filtre des ports spécifiques pour une adresse IP spécifique). Les règles de couche réseau ne sont disponibles que sur les Decoder paquets.

Règles de couche application

Les règles de la couche application sont appliquées au niveau de la session. Si la première règle répertoriée ne correspond pas, Decoder tente alors d'établir une correspondance avec la règle répertoriée suivante, jusqu'à ce qu'une correspondance soit trouvée.

Règles de corrélation

Les règles de corrélation sont appliquées sur une période de temps glissante configurable. Lorsqu'une correspondance est trouvée, le service crée une super session qui identifie les autres sessions correspondant à la règle, puis crée une liste de sessions à analyser.

Utilisations courantes

Les deux utilisations les plus courantes des règles sont les suivantes :

  • alerter, puis créer une métavaleur d'alerte personnalisée, lorsque certaines conditions sont réunies.
  • filtrer certains types de trafics qui n'ajoutent aucune valeur à l'analyse des données ;

Groupes de règles

Les groupes de règles de capture forment les groupes de règles, que vous pouvez importer et exporter. Grâce à cette fonctionnalité, vous pouvez utiliser plusieurs groupes de règles pour différents scénarios. Vous pouvez importer le groupe de règles exporté, sous la forme d'un fichier .nwr, dans d'autres services Security Analytics, ce qui simplifie le déploiement et la configuration de plusieurs services.

Traitement des règles

Voici les principes qui régissent le traitement des règles de capture :

  • Plusieurs règles peuvent s'appliquer à Decoder.
  • Les règles de capture sont exécutées les unes après les autres, de manière séquentielle.
  • Le traitement des règles s'arrête lorsque toutes les règles sont traitées, ou après la détection d'une règle configurée pour arrêter le traitement des règles.
  • Une règle par défaut peut être utilisée pour inclure ou exclure le trafic qui n'a pas été sélectionné par une règle. Si une règle par défaut est utilisée, elle doit toujours être placée au bas de la liste des règles. Sinon, le traitement des règles s'arrête dès que la règle par défaut est évaluée. En effet, par définition, tout le trafic est sélectionné par la règle par défaut.
  • Lorsque le traitement des règles s'arrête, la session est enregistrée à l'aide des options de session et des options de débogage configurées.

Configuration des règles

Les règles de Decoder et de Log Decoder sont modifiables dans la vue Configuration des services. Bien que chaque type de règle (réseau, application et corrélation) ait son propre onglet, ses fonctions sont similaires. Vous pouvez :

  • ajouter, modifier et supprimer des règles ;
  • activer et désactiver des règles ;
  • changer la séquence d'exécution des règles ;
  • importer des règles à partir d'un fichier ;
  • exporter des règles dans un fichier ;
  • transmettre (push) les règles à un autre service ;
  • annuler ou appliquer les modifications apportées aux règles ;
  • restaurer l'une des dix dernières configurations de règle.

Syntaxe des règles de capture

La syntaxe d'écriture des règles de capture consiste à comparer un champ à une valeur à l'aide d'un opérateur de comparaison. Les opérateurs de comparaison pris en charge sont l'opérateur d'égalité (=) et l'opérateur de différence (!=).

Les valeurs peuvent être exprimées sous forme de valeurs discrètes, de plages de valeurs, de limites inférieure ou supérieure, ou d'une combinaison de ces trois possibilités. Les plages sont utilisées dans les comparaisons basées sur les opérateurs de supériorité (>) et d'infériorité (<). Vous pouvez créer une comparaison de supériorité ou d'infériorité, et tester l'égalité ou l'inégalité par rapport à une plage de valeurs ou une limite supérieure/inférieure.

Le tableau suivant résume les opérateurs de comparaison pris en charge et la syntaxe d'expression des valeurs.

                                                 
SyntaxeDescription :
* Règle par défaut. Si vous utilisez un astérisque (*) en tant que caractère unique dans une règle, celleci sélectionne la totalité du trafic.
= Opérateur égalité.
!= Opérateur d'inégalité.
&& Opérateur ET logique.
|| Opérateur OU logique.
-u Limite supérieure. Par exemple, pour sélectionner tous les ports TCP au-dessus du port 40000, la syntaxe est la suivante : tcp.port = 40000-u
-l Limite inférieure. Par exemple, pour sélectionner tous les ports TCP en dessous du port 40000, la syntaxe est la suivante : tcp.port = l-40000
(tiret)Désigne une plage. Ceci s'applique uniquement à des valeurs numériques. Séparez les limites inférieure et supérieure de la plage par un trait (). Par exemple, pour sélectionner les ports TCP situés entre 25 et 443, la syntaxe est la suivante : tcp.port = 25-443
, (virgule)Désigne une liste de valeurs. Vous pouvez combiner l'utilisation de valeurs individuelles, de plages et de limites supérieure ou inférieure. Par exemple, ce qui suit est une syntaxe valide : tcp.port = 1-10,25,110,143-225,40000-u
( ) Opérateur de regroupement. Vous pouvez mettre une expression entre parenthèses pour créer une expression logique. Par exemple, voici comment sélectionner le trafic sur le port 80 vers/depuis l'adresse 192.168.1.1 OU le trafic sur le port 443 vers/depuis l'adresse 10.10.10.1 : (ip.addr=192.168.1.1 && tcp.port=80) || (ip.addr=10.10.10.1 && tcp.port=443)

Instructions relatives aux règles et requêtes fournit des instructions que toutes les requêtes et conditions de règle des services Security Analytics Core doivent suivre. 

Procédures

Configurer les règles de capture

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Dans la vue Services, sélectionnez un service Decoder, puis Menu Actions détouré>>Vue > Configuration.
  3. Dans la vue Configuration des services, sélectionnez l'un des onglets Règles : Règles réseau, Règles d'application ou Règles de corrélation.
    La grille des règles correspondant au type de règles sélectionné s'affiche.

Chaque type de règles possède une grille avec des colonnes et des paramètres légèrement différents. Plusieurs principes de base s'appliquent à l'ensemble des activités de gestion des règles :

  • Les règles sont exécutées dans l'ordre où elles apparaissent dans la grille. Pour changer la séquence d'exécution des règles, effectuez un glisserdéplacer de ces dernières vers l'emplacement approprié dans la grille, ou utilisez les options de menu contextuel pour les réorganiser au sein de la grille.
  • Pour sélectionner une seule ligne, cliquez sur celleci.
  • Pour sélectionner un groupe de lignes adjacentes, cliquez sur la première d'entre elles, puis appuyez sur la touche Maj et cliquez sur la ligne située à la fin du groupe.
  • Pour sélectionner plusieurs lignes non adjacentes, cliquez sur la première d'entre elles, puis appuyez sur la touche Ctrl et cliquez sur les autres.
  • Lorsque vous modifiez des règles sous l'onglet Règles, vous devez appliquer les modifications de configuration pour les rendre effectives.
  • Tant que ces changements ne sont pas appliqués, vous pouvez ignorer les modifications apportées à la grille, et revenir aux règles non modifiées.
  • Une fois les règles appliquées, vous pouvez restaurer les dix dernières configurations de règle à l'aide de l'option Historique du menu Actions.

Ajouter une règle

Pour ajouter une règle à un onglet Règles, procédez de l'une des façons suivantes :

  • Cliquez sur Icon-Add.png.
  • Cliquez avec le bouton droit de la souris sur une règle, puis sélectionnez Insérer audessus ou Insérer en dessous dans le menu contextuel.
    La boîte de dialogue Éditeur de règles s'affiche pour ce type de règle.

Pour obtenir des détails supplémentaires, consultez l'une des sections suivantes :

Supprimer une règle

  1. Sous l'un des onglets Règles, sélectionnez les règles à supprimer de la grille de règles.
  2. Cliquez sur Icon_Delete_sm.png.
    Les règles sélectionnées sont supprimées de la grille, mais elles existent encore dans le service.

Modifier une règle

  1. Sous l'onglet Règles, sélectionnez la règle à modifier.
  2. Cliquez sur icon-edit.png, ou doublecliquez sur la ligne de la règle.
    La boîte de dialogue Éditeur de règles s'affiche pour ce type de règle. Pour obtenir des détails supplémentaires, consultez l'une des sections suivantes :

Désactiver une règle

  1. Sous l'onglet Règles, sélectionnez les règles à désactiver.
  2. Cliquez sur 104Disable.png.
    La règle passe à l'état désactivé dans la grille, mais elle est toujours activée dans le service.

Activer une règle

  1. Sous l'onglet Règles, sélectionnez les règles à activer.
  2. Cliquez sur 104Enable.png.
    La règle passe à l'état activé dans la grille, mais elle est toujours désactivée dans le service.

Importer des règles à partir d'un fichier

Vous pouvez importer des règles réseau, d'application et de corrélation dans Decoder à partir d'un fichier qui contient des règles du même type. Une fois ces règles importées, vous pouvez les modifier et les gérer comme les autres règles.

Lorsque vous essayez d'importer un groupe de règles, Security Analytics Administration vérifie le type de règles importé. En cas de succès, un message affiche le nombre de règles importées. Si le type de règles diffère du type d'onglets actif, les règles ne sont pas importées. Vous devez réimporter les règles sous l'onglet approprié, ou sélectionner un autre fichier à importer.

Pour importer des règles dans un service :

  1. Dans l'onglet Règles, sélectionnez Icon_ActionsMenu-rule.png > Importer.
    La boîte de dialogue Importer s'affiche.
    104RulesImportDialog.png
  2. Cliquez sur Icon-Add.png.
    La structure de répertoire s'affiche.
  3. Choisissez un ou plusieurs fichiers de règles NetWitness (.nwr) à importer, puis cliquez sur Ouvrir.
    Le fichier est ajouté à la liste de la boîte de dialogue Importer.
    104ImportRuleFile.png
  4. Cliquez sur Importer.
    Les règles sont importées dans l'interface utilisateur. Les règles importées présentent un angle rouge dans chaque colonne modifiée.
  5. Modifiez ou réorganisez les règles, si nécessaire.
  6. Pour enregistrer les règles dans le service, cliquez sur Appliquer.
    Les règles du service sont mises à jour avec les changements apportés.

Exporter une règle dans un fichier

  1. Pour exporter un sousensemble de règles, sélectionnez les règles à exporter.
  2. Exécutez l'une des opérations suivantes :
    • Dans la barre d'outils, sélectionnez Icon_ActionsMenu-rule.png > Exporter > Sélection. (Exporter > Tout exporte toutes les règles de la grille, même si vous avez sélectionné un sousensemble à exporter.)
    • Cliquez avec le bouton droit de la souris sur les règles sélectionnées et sélectionnez Sélections pour l'exportation.

Une invite s'affiche pour le nom du fichier.
104ExportRules.png

  1. Saisissez le nom du fichier, puis cliquez sur Exporter.
    Le fichier .nwr est téléchargé.

Transmettre (push) les règles à d'autres services

Vous pouvez transmettre (push) des règles ou les règles sélectionnées à d'autres services (Decoder ou Log Decoder) ou groupes de services.

Transmettre les règles sélectionnées

Pour transmettre les règles sélectionnées de ce Decoder à d'autres instances de Decoder :

  1. Dans un onglet Règles, sélectionnez les règles à transmettre à un autre Decoder.
  2. Exécutez l'une des opérations suivantes :
    • Sélectionnez  Icon_ActionsMenu-rule.png > Transmettre > Sélection.
    • Cliquez avec le bouton droit de la souris sur les règles sélectionnées et sélectionnez Transmettre les règles sélectionnées.
      La boîte de dialogue Transmettre les règles sélectionnées s'affiche.
      PushSelectionSrv.png
  3. Sélectionnez une Option de transmission :
    • Sélectionnez Remplacer pour supprimer toutes les règles sur les services de destination et les remplacer par les règles sélectionnées. il s'agit de la sélection par défaut.
    • Sélectionnez Fusionner pour fusionner les règles sélectionnées avec les règles existantes sur les services de destination.
  4. Sous l'onglet Services, sélectionnez les services destinés à recevoir les règles transmises, ou sélectionnez les groupes de services sous l'onglet Groupes.
  5. Cliquez sur Push.
    Les règles sont transmises aux services sélectionnés, puis entrent en vigueur immédiatement.

Transmettre toutes les règles

Lorsque vous transmettez toutes les règles aux autres services, toutes les règles des services de destination sont supprimées et remplacées par toutes les règles du service source. 

Pour transmettre toutes les règles de ce Decoder à d'autres instances de Decoder :

  1. Dans un onglet Règles, sélectionnez Icon_ActionsMenu-rule.png> Transmettre > Tout.
    (Transmettre > Tout transmet toutes les règles de la grille même si vous avez sélectionné un sousensemble à exporter.) La boîte de dialogue Transmettre les règles sélectionnées s'affiche.
    PushAllSrv.png
  2. Sous l'onglet Services, sélectionnez les services destinés à recevoir les règles transmises, ou sélectionnez les groupes de services sous l'onglet Groupes.
  3. Cliquez sur Push.
    Toutes les règles des services de destination sont supprimées et remplacées par toutes les règles des services source. Les règles prennent effet immédiatement.

Changer la séquence d'exécution des règles

Les règles de capture sont appliquées dans l'ordre où elles apparaissent dans la grille. Pour réorganiser les règles, utilisez l'une des méthodes suivantes :

  • Effectuez un glisserdéplacer des règles vers l'emplacement approprié dans la grille.
  • Cliquez avec le bouton droit de la souris sur une règle pour afficher le menu contextuel, puis utilisez les options Couper et Coller.

Restaurer un snapshot de règles à partir de l'historique

Security Analytics conserve les dix derniers snapshots de règle appliqués à un service. Pour restaurer un snapshot de règles à partir de l'historique :

  1. Sélectionnez Icon_ActionsMenu-rule.png > Historique.
    Un sousmenu de snapshots s'affiche.
  2. Sélectionnez l'heure du snapshot dans le sousmenu.
    Les règles du snapshot sont chargées dans la grille, en remplacement du groupe actuel. Toutefois, le groupe actuel est toujours utilisé dans le service.
  3. Pour appliquer les règles au service, cliquez sur Appliquer.
    Les règles sont appliquées au service.
You are here
Table of Contents > Procédures requises > Étape 4. Configurer les règles de Decoder

Attachments

    Outcomes