Decoder : Configurer des règles réseau

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique présente les règles et procédures du réseau pour configurer des règles réseau.

Les règles de couche réseau sont appliquées au niveau des paquets sur un Decoder. Elles sont constituées des groupes de règles de la couche 2 à la couche 4. Les règles réseau peuvent s'appliquer à plusieurs couches (par exemple, lorsqu'une règle réseau filtre des ports spécifiques pour une adresse IP spécifique). Les règles réseau ne s'appliquent pas aux services Log Decoder, mais uniquement aux décodeurs de paquets. 

Exemples de règles réseau

Pour tronquer tous les SSL du port, créez une règle comme suit :

  • Nom de la règle : Tronquer SSL
  • Condition : tcp.srcport=443
  • Action de règle : Truncate

Pour filtrer le trafic du sous-réseau, créez une règle de la manière suivante :

  • Nom de la règle : Filtre sous-réseau
  • Condition: ip.addr=192.168.2.0/24
  • Action de règle : Filtre

Procédures

Accédez à l'onglet Règles réseau.

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez un service Decoder et ic-actns.png >>Vue > Config
    La vue Configuration des services pour le service sélectionné s'affiche.
  3. Sélectionnez l'onglet Règles réseau.
    L'onglet Règles réseau s’affiche.
    104NetRulesTab.png

Ajouter ou modifier une règle réseau

  1. Sous l'onglet Règles réseau, procédez de l'une des façons suivantes :
  • Pour ajouter une nouvelle règle, cliquez sur Icon-Add.png.
  • Si vous modifiez une règle, sélectionnez la règle dans la grille des règles et cliquez sur icon-edit.png.
    La boîte de dialogue Éditeur de règles s'affiche.
    NetRuleEditorEx.png
  1. Dans le champ Nom de la règle, saisissez le nom de la règle. Par exemple, pour une règle qui tronque tous les SSL du port source, saisissez Tronquer SSL.
  2. Dans le champ Condition, élaborez la condition de règle qui déclenche une action lorsqu'elle est remplie. Vous pouvez effectuer votre saisie directement dans le champ ou élaborer la condition dans ce champ à l'aide des métadonnées de la fenêtre Actions. Lors de l'élaboration de la définition de règle, Security Analytics affiche des erreurs et avertissements de syntaxe. Par exemple, pour tronquer tous les SSL du port source, tcp.srcport=443.
    Tous les horodatages et valeurs littérales de la chaîne doivent être entre guillemets. Ne mettez pas les valeurs de nombre ni les adresses IP entre guillemets. La section Instructions relatives aux règles et requêtes fournit des informations supplémentaires. Clés méta prises en charge dans les règles réseau décrit les clés méta dont Security Analytics prend en charge l'utilisation dans les conditions de règle réseau.
  3. Si vous souhaitez mettre fin à l'évaluation de cette règle, activez la case à cocher Arrêter le traitement des règles.
  4. Dans la section Données de session, choisissez l'une des actions suivantes à appliquer lorsqu'un paquet correspondant est trouvé :
  • Conserver : La charge du paquet et les métadonnées associées sont enregistrées lorsqu'elles correspondent à la règle.
  • Filtrer : Le paquet n'est pas enregistré lorsqu'il correspond à la règle.
  • Tronquer : La charge du paquet n'est pas enregistrée lorsqu'elle correspond à la règle, mais les en-têtes des paquets et autres métadonnées associées sont conservées.
  1. Dans la section Options de session, sélectionnez toutes les options liées à ce qui suit :
  • Assembler : L'assembleur assemble la chaîne de paquets lorsqu'elle correspond à la règle.
  • Méta réseau : Le paquet génère des métadonnées réseau lorsqu'il correspond à la règle.
  • Méta application : Le paquet génère des métadonnées d'application lorsqu'il correspond à la règle.
  • Alerte : Le paquet génère une alerte personnalisée lorsque les métadonnées correspondent à la règle.
  1. Pour enregistrer la règle et l'ajouter à la grille, cliquez sur OK.
    La règle est ajoutée à la fin de la grille ou insérée à l'endroit que vous avez indiqué dans le menu contextuel.
  2. Vérifiez que la séquence d'exécution de la règle est correcte par rapport aux autres règles de la grille. Si nécessaire, déplacez la règle.
  3. Pour appliquer la règle mise à jour au Decoder, cliquez sur Appliquer.

    Security Analytics enregistre un snapshot des règles en cours d'application, puis applique l'ensemble mis à jour au Decoder et supprime l'indicateur En attente des règles qui étaient en attente.
You are here
Table of Contents > Procédures requises > Étape 4. Configurer les règles de Decoder > Decoder : Configurer des règles réseau

Attachments

    Outcomes