Decoder : Configurer des règles d'application

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique présente des règles d'application et donne des instructions pour créer des règles d'application.

Les règles de la couche application sont appliquées au niveau de la session.

Exemples de règles d'application

Pour tronquer des paquets transportés via le protocole SMB (Server Message Block), créez une règle comme suit :

  • Nom de la règle : Tronquer SMB
  • Condition: service=139
  • Action de règle : Truncate

Pour conserver l'e-mail spécifique d'un expéditeur et d'un destinataire, créez une règle comme suit :

Procédures

Accéder à l'onglet Règles d'application

L'accès à l'onglet Règles d'application est toujours la première étape dans la définition des règles d'application. Pour accéder à l’onglet Règles d'application :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez un service Decoder ou Log Decoder, puis Menu Actions détouré > Vue > Config
    La vue Configuration des services pour le service sélectionné s'affiche.
  3. Sélectionnez l’onglet Règles d'application.

    DecAppRulesTab.png

Ajouter ou modifier une règle d'application

Sous l'onglet Règles d'application :

  1. Exécutez l'une des opérations suivantes :
  • Pour ajouter une nouvelle règle, cliquez sur Icon-Add.png
  • Si vous modifiez une règle, sélectionnez la règle dans la grille des règles et cliquez sur icon-edit.png.
  1. La boîte de dialogue Éditeur de règles s'affiche avec les paramètres de la règle d'application.AppRuleEditDg.png
  2. Dans le champ Nom de la règle, saisissez le nom de la règle. Par exemple, pour une règle qui tronque tous les SMB, saisissez Tronquer SMB.
  3. Dans le champ Condition, élaborez la condition de règle qui déclenche une action lorsqu'elle est remplie. Vous pouvez effectuer votre saisie directement dans le champ ou élaborer la condition dans ce champ à l'aide des métadonnées de la fenêtre Actions. Lors de l'élaboration de la définition de règle, Security Analytics affiche des erreurs et avertissements de syntaxe. Par exemple, pour tronquer tous les SMB, saisissez service=139.
    Tous les horodatages et valeurs littérales de la chaîne doivent être entre guillemets. Ne mettez pas les valeurs de nombre ni les adresses IP entre guillemets. La section Instructions relatives aux règles et requêtes fournit des informations supplémentaires.
  4. Si vous souhaitez mettre fin à l'évaluation de cette règle, activez la case à cocher Arrêter le traitement des règles.
  5. Dans la section Données de session, choisissez l'une des actions suivantes à appliquer lorsqu'un paquet correspondant est trouvé :
  • Conserver : La charge du paquet et les métadonnées associées sont enregistrées lorsqu'elles correspondent à la règle.
  • Filtrer : Le paquet n'est pas enregistré lorsqu'il correspond à la règle.
  • Tronquer : La charge du paquet n'est pas enregistrée lorsqu'elle correspond à la règle, mais les en-têtes des paquets et autres métadonnées associées sont conservées.
  1. Dans la section Options de session, effectuez l’une des tâches suivantes :
  • Pour générer une alerte personnalisée lorsque des métadonnées de session correspondent à la règle, activez la balise Alerte et sélectionnez le nom des métadonnées d'alerte dans la liste déroulante Alerte activée.
  • Pour effectuer un transfert Syslog lorsque le log correspond à la règle, activez la balise Transférer.

    Remarque :  Vérifiez que :
    - Vous avez activé à la fois les balises Alerte et Transférer pour effectuer le transfert Syslog.
    - Le nom de la règle mentionnée dans la boîte de dialogue Éditeur de règles correspond bien au nom de destination du transfert Syslog spécifié dans le paramétrage Log Decoder > Vue > Explorer > /decoder/config/logs.forwarding.destination.

  • Pour éviter que les métadonnées de l'alerte qui est créée soient écrites sur le disque, activez la balise Transitoire.
  1. Pour enregistrer la règle et l'ajouter à la grille, cliquez sur OK.
    La règle est ajoutée à la fin de la grille ou insérée à l'endroit que vous avez indiqué dans le menu contextuel. Le signe plus s'affiche dans la colonne En attente.
  2. Vérifiez que la séquence d'exécution de la règle est correcte par rapport aux autres règles de la grille. Si nécessaire, déplacez la règle.
  3. Pour appliquer la règle mise à jour au Decoder ou Log Decoder, cliquez sur Appliquer.
    Security Analytics enregistre un snapshot des règles en cours d'application, puis applique l'ensemble mis à jour au Decoder et supprime l'indicateur En attente des règles qui étaient en attente.
You are here
Table of Contents > Procédures requises > Étape 4. Configurer les règles de Decoder > Decoder : Configurer des règles d'application

Attachments

    Outcomes