Decoder: Onglet Règles réseau

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique décrit les fonctions permettant de créer et de gérer des règles réseau dans la vue Configuration des services > onglet Règles réseau.

L'onglet Règles réseau vous permet de gérer des règles réseau. Security Analytics applique des règles réseau au niveau des paquets. Les règles réseau comprennent les groupes de règles de la couche 2, de la couche 3 et de la couche 4. Plusieurs règles peuvent s'appliquer à Decoder. Les règles peuvent être appliquées à plusieurs couches (par exemple, lorsqu'une règle réseau filtre des ports spécifiques pour une adresse IP spécifique). Les règles réseau ne s'appliquent qu'aux Decoders de paquets.

Étape 4. Configurer les règles de Decoder fournit des informations supplémentaires et Configurer des règles réseau fournit des instructions pour la création de règles réseau.

La barre d'outils de l'onglet Règles réseau est commune à tous les types de règles. Vue Configuration des services - onglets Règles fournit des informations sur la barre d'outils et les actions courantes.

Pour accéder à l’onglet Règles réseau :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez un service Decoder et sélectionnez  Menu Actions détouré > Vue > Configuration.
    La vue Configuration pour le service sélectionné s'affiche.
  3. Sélectionnez l'onglet Règles réseau.

La figure ci-dessous présente l'onglet Règles réseau.

NetRulesTb.png

La figure suivante affiche la boîte de dialogue Éditeur de règles pour une règle réseau.

NetRuleEditorEx2.png

Fonctions

Le tableau suivant décrit les colonnes de la grille Règles réseau.

                                 
ColonneDescription :
Pending Cette colonne indique si une règle dispose de modifications en attente. Les règles actuellement actives sur le Decoder ne disposent pas d'indicateur. Si la règle est nouvelle ou a subi une modification, la colonne affiche ic-pending2.png. Lorsque les règles sont appliquées, l'indicateur En attente est supprimé.
Name Il s'agit du nom de la règle, un identifiant descriptif de la règle.
Condition Il s'agit de la définition de la condition qui déclenche une action lorsqu'elle est rencontrée.
Données de paquetCette colonne affiche l'action des Données de session qui est réalisée lorsqu'un paquet correspond à la règle. Les valeurs possibles sont Filtrer, Conserver ou Tronquer.
Alert Cette colonne indique si le Decoder génère une alerte personnalisée lorsque les métadonnées correspondent à la règle. Les valeurs possibles sont Activé ou Désactivé.
État Cette colonne indique si la règle est activée ou désactivée à l'aide d'une icône circulaire. Si le cercle est vert, la règle est activée. Si le cercle est vide, la règle est désactivée.

La boîte de dialogue Éditeur de règles propose les champs et options nécessaires pour définir une règle réseau.

Le tableau suivant décrit les champs Définition de règle.

                     
ChampDescription :
Nom de la règle Nom descriptif qui identifie la règle.
Condition

Définition de la condition qui déclenche une action lorsqu'elle est rencontrée. Vous pouvez effectuer une saisie directement dans le champ ou élaborer une condition dans ce champ à l'aide des métadonnées provenant des actions de la fenêtre Intellisense. Lors de l'élaboration de la définition de règle, Intellisense affiche des erreurs et avertissements de syntaxe.

Dans les conditions, tous les horodatages et valeurs littérales de la chaîne doivent être entre guillemets. Ne mettez pas les valeurs de nombre ni les adresses IP entre guillemets. Instructions relatives aux règles et requêtes fournit des informations supplémentaires.

Clés méta prises en charge dans les règles réseau décrit les clés méta dont Security Analytics prend en charge l'utilisation dans les conditions de règle réseau.

Le tableau suivant décrit les actions de la section Données de session.

                         
ActionDescription :
Arrêter le traitement d'une règle Si cette option est cochée, aucune nouvelle évaluation de règle ne se produira en cas de correspondance avec la règle, et la session sera enregistrée comme indiqué. Si cette option n'est pas cochée, l'évaluation des règles continue jusqu'à ce que toutes les règles soient évaluées.
Conserver La charge du paquet et les métadonnées associées sont enregistrées lorsqu'elles correspondent à la règle.
Filtre Le paquet n'est pas enregistré lorsqu'il correspond à la règle.
Truncate La charge du paquet n'est pas enregistrée lorsqu'elle correspond à la règle, mais les en-têtes des paquets et autres métadonnées associées sont conservées.

Le tableau suivant décrit les options de session. 

                         
OptionDescription :
Assembler Si l'option est cochée, l'assembleur assemble la chaîne de paquets lorsqu'elle correspond à la règle.
Méta réseau Le paquet génère des métadonnées réseau lorsqu'il correspond à la règle.
Méta application Le paquet génère des métadonnées d'application lorsqu'il correspond à la règle.
Alert Le paquet génère une alerte personnalisée lorsque les métadonnées correspondent à la règle.

Le tableau suivant décrit les actions de la boîte de dialogue Éditeur de règles. 

                         
ActionDescription :
Réinitialiser Réinitialise le contenu de la boîte de dialogue aux valeurs précédant la modification ; les modifications sont ignorées.
Annuler Annule toute modification et ferme la boîte de dialogue Éditeur de règles.
OK Enregistre la nouvelle règle ou la règle modifiée, et l'ajoute à la grille de règles. La boîte de dialogue Éditeur de règles se ferme.
Enregistrer (Règles avec une syntaxe obsolète uniquement) Applique une règle corrigée de manière individuelle au service Decoder. Voir Corriger les règles dont la syntaxe est obsolète.
You are here
Table of Contents > Références > Vue Configuration des services - onglet Règles > Onglet Règles réseau

Attachments

    Outcomes