Ce document décrit comment régler la signature avec le filtre d'action d'événement dans le système de prévention des intrusions (IPS) de Cisco avec l'interface de ligne de commande (CLI) et le gestionnaire de périphériques IDS (IDM).
Ce document suppose que Cisco IPS est installé et fonctionne correctement.
Les informations contenues dans ce document sont basées sur le périphérique IDS/IPS de la gamme Cisco 4200 qui exécute le logiciel version 5.0 et ultérieure.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Les filtres d'action d'événement sont traités comme une liste ordonnée et vous pouvez déplacer les filtres vers le haut ou vers le bas de la liste.
Les filtres permettent au capteur d'effectuer certaines actions en réponse à l'événement sans exiger que le capteur effectue toutes les actions ou supprime l'événement entier. Les filtres fonctionnent par la suppression d'actions d'un événement. Un filtre qui supprime toutes les actions d'un événement consomme effectivement l'événement.
Remarque : lorsque vous filtrez les signatures de balayage, Cisco recommande de ne pas filtrer les adresses de destination. S'il y a plusieurs adresses de destination, seule la dernière adresse est utilisée pour correspondre au filtre.
Vous pouvez configurer des filtres d'actions d'événement pour supprimer des actions spécifiques d'un événement ou pour rejeter un événement entier et empêcher le capteur de poursuivre le traitement. Vous pouvez utiliser les variables d'action d'événement que vous avez définies pour regrouper les adresses de vos filtres. Pour connaître la procédure de configuration des variables d'action d'événement, reportez-vous à la section Ajout, modification et suppression de variables d'action d'événement.
Remarque : vous devez faire précéder la variable d'un symbole dollar ($) afin d'indiquer que vous utilisez une variable plutôt qu'une chaîne. Sinon, vous recevez l'erreur Source et destination incorrectes.
Complétez ces étapes afin de configurer les filtres d'action d'événement :
Connectez-vous à l'interface de ligne de commande avec un compte disposant de privilèges d'administrateur.
Passez en sous-mode Règles d'action événementielle :
sensor#configure terminal sensor(config)#service event-action-rules rules1 sensor(config-eve)#
Créez le nom du filtre :
sensor(config-eve)#filters insert name1 begin
Utilisez name1, name2, et ainsi de suite afin de nommer vos filtres d'action d'événement. Utilisez la commande begin | tranche | inactif | avant | après les mots-clés afin de spécifier où vous voulez insérer le filtre.
Spécifiez les valeurs de ce filtre :
Spécifiez la plage d'ID de signature :
sensor(config-eve-fil)#signature-id-range 1000-1005
La valeur par défaut est 900 à 65535.
Spécifiez la plage d'ID de sous-signature :
sensor(config-eve-fil)#subsignature-id-range 1-5
La valeur par défaut est 0 à 255.
Spécifiez la plage d'adresses du pirate :
sensor(config-eve-fil)#attacker-address-range 10.89.10.10-10.89.10.23
La valeur par défaut est 0.0.0.0 à 255.255.255.255.
Spécifiez la plage d'adresses de victime :
sensor(config-eve-fil)#victim-address-range 192.56.10.1-192.56.10.255
La valeur par défaut est 0.0.0.0 à 255.255.255.255.
Spécifiez la plage de ports victime :
sensor(config-eve-fil)#victim-port-range 0-434
La valeur par défaut est 0 à 65535.
Spécifiez la pertinence du système d'exploitation :
sensor(config-eve-fil)#os-relevance relevant
La valeur par défaut est 0 à 100.
Spécifiez la plage d'évaluation des risques.
sensor(config-eve-fil)#risk-rating-range 85-100
La valeur par défaut est 0 à 100.
Spécifiez les actions à supprimer :
sensor(config-eve-fil)#actions-to-remove reset-tcp-connection
Si vous filtrez une action de refus, définissez le pourcentage d'actions de refus souhaité :
sensor(config-eve-fil)#deny-attacker-percentage 90
Il est défini par défaut à 100.
Spécifiez l'état du filtre à Désactivé ou Activé.
sensor(config-eve-fil)#filter-item-status {enabled | disabled}
La valeur par défaut est enabled.
Spécifiez le paramètre stop on match.
sensor(config-eve-fil)#stop-on-match {true | false}
True indique au capteur d'arrêter le traitement des filtres si cet élément correspond. False indique au capteur de continuer à traiter les filtres même si cet élément correspond.
Ajoutez les commentaires que vous souhaitez utiliser afin d'expliquer ce filtre :
sensor(config-eve-fil)#user-comment NEW FILTER
Vérifiez les paramètres du filtre :
sensor(config-eve-fil)#show settings NAME: name1 ----------------------------------------------- signature-id-range: 1000-10005 default: 900-65535 subsignature-id-range: 1-5 default: 0-255 attacker-address-range: 10.89.10.10-10.89.10.23 default: 0.0.0.0-255.255.255.255 victim-address-range: 192.56.10.1-192.56.10.255 default: 0.0.0.0-255.255.255.255 attacker-port-range: 0-65535 <defaulted> victim-port-range: 1-343 default: 0-65535 risk-rating-range: 85-100 default: 0-100 actions-to-remove: reset-tcp-connection default: deny-attacker-percentage: 90 default: 100 filter-item-status: Enabled default: Enabled stop-on-match: True default: False user-comment: NEW FILTER default: os-relevance: relevant default: relevant|not-relevant|unknown ------------------------------------------------ senor(config-eve-fil)#
Afin de modifier un filtre existant :
sensor(config-eve)#filters edit name1
Modifiez les paramètres et reportez-vous aux étapes 4a à 4l pour plus d'informations.
Pour déplacer un filtre vers le haut ou vers le bas dans la liste des filtres :
sensor(config-eve-fil)#exit sensor(config-eve)#filters move name5 before name1
Vérifiez que vous avez déplacé les filtres :
sensor(config-eve-fil)#exit sensor(config-eve)#show settings ----------------------------------------------- filters (min: 0, max: 4096, current: 5 - 4 active, 1 inactive) ----------------------------------------------- ACTIVE list-contents ----------------------------------------------- NAME: name5 ----------------------------------------------- signature-id-range: 900-65535 <defaulted> subsignature-id-range: 0-255 <defaulted> attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted> victim-address-range: 0.0.0.0-255.255.255.255 <defaulted> attacker-port-range: 0-65535 <defaulted> victim-port-range: 0-65535 <defaulted> risk-rating-range: 0-100 <defaulted> actions-to-remove: <defaulted> filter-item-status: Enabled <defaulted> stop-on-match: False <defaulted> user-comment: <defaulted> ----------------------------------------------- ----------------------------------------------- NAME: name1 ----------------------------------------------- signature-id-range: 900-65535 <defaulted> subsignature-id-range: 0-255 <defaulted> attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted> victim-address-range: 0.0.0.0-255.255.255.255 <defaulted> attacker-port-range: 0-65535 <defaulted> victim-port-range: 0-65535 <defaulted> risk-rating-range: 0-100 <defaulted> actions-to-remove: <defaulted> filter-item-status: Enabled <defaulted> stop-on-match: False <defaulted> user-comment: <defaulted> ----------------------------------------------- ----------------------------------------------- NAME: name2 ----------------------------------------------- signature-id-range: 900-65535 <defaulted> subsignature-id-range: 0-255 <defaulted> attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted> victim-address-range: 0.0.0.0-255.255.255.255 <defaulted> attacker-port-range: 0-65535 <defaulted> victim-port-range: 0-65535 <defaulted> risk-rating-range: 0-100 <defaulted> actions-to-remove: <defaulted> filter-item-status: Enabled <defaulted> stop-on-match: False <defaulted> user-comment: <defaulted> ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- INACTIVE list-contents ----------------------------------------------- ----------------------------------------------- sensor(config-eve)#
Pour déplacer un filtre vers la liste inactive :
sensor(config-eve)#filters move name1 inactive
Vérifiez que le filtre a été déplacé vers la liste inactive :
sensor(config-eve-fil)#exit sensor(config-eve)#show settings ----------------------------------------------- INACTIVE list-contents ----------------------------------------------- ----------------------------------------------- NAME: name1 ----------------------------------------------- signature-id-range: 900-65535 <defaulted> subsignature-id-range: 0-255 <defaulted> attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted> victim-address-range: 0.0.0.0-255.255.255.255 <defaulted> attacker-port-range: 0-65535 <defaulted> victim-port-range: 0-65535 <defaulted> risk-rating-range: 0-100 <defaulted> actions-to-remove: <defaulted> filter-item-status: Enabled <defaulted> stop-on-match: False <defaulted> user-comment: <defaulted> ----------------------------------------------- ----------------------------------------------- sensor(config-eve)#
Sous-mode des règles d'action des événements de sortie :
sensor(config-eve)#exit Apply Changes:?[yes]:
Appuyez sur Entrée afin d'appliquer vos modifications ou entrez no afin de les ignorer.
Complétez ces étapes afin d'ajouter, modifier, supprimer, activer, désactiver et déplacer des filtres d'action d'événement :
Connectez-vous à IDM avec un compte disposant de privilèges administrateur ou opérateur.
Choisissez Configuration > Policies > Event Action Rules > rules0 > Event Action Filters si la version du logiciel est 6.x. Pour la version logicielle 5.x, choisissez Configuration > Event Action Rules > Event Action Filters.
L'onglet Event Action Filters apparaît comme illustré.
Cliquez sur Add afin d'ajouter un filtre d'action d'événement.
La boîte de dialogue Ajouter un filtre d'action d'événement apparaît.
Dans le champ Nom, entrez le nom name1 pour le filtre d'action d'événement.
Un nom par défaut est fourni, mais vous pouvez le remplacer par un nom plus significatif.
Dans le champ Actif, cliquez sur la case d'option Oui afin d'ajouter ce filtre à la liste afin qu'il prenne effet sur le filtrage des événements.
Dans le champ Enabled, cliquez sur la case d'option Yes afin d'activer le filtre.
Remarque : vous devez également cocher la case à cocher Utiliser les filtres d'action d'événement sous l'onglet Filtres d'action d'événement ou aucun des filtres d'action d'événement n'est activé, que vous cochiez ou non la case Oui dans la boîte de dialogue Ajouter un filtre d'action d'événement.
Dans le champ ID de signature, saisissez les ID de signature de toutes les signatures auxquelles ce filtre doit être appliqué.
Vous pouvez utiliser une liste, par exemple, 1000, 1005, ou une plage, par exemple, 1000-1005 ou l'une des variables SIG si vous les avez définies dans l'onglet Variables d'événement. Préfacez la variable par $.
Dans le champ SubSignature ID, saisissez les ID de sous-signature des sous-signatures auxquelles ce filtre doit être appliqué. Par exemple, 1-5.
Dans le champ Attacker Address, saisissez l'adresse IP de l'hôte source.
Vous pouvez utiliser l'une des variables si vous les avez définies dans l'onglet Variables d'événement. Préfacez la variable par $. Vous pouvez également entrer une plage d'adresses, par exemple, 10.89.10.10-10.89.10.23. La valeur par défaut est 0.0.0.0-255.255.255.255.
Dans le champ Port du pirate, saisissez le numéro de port utilisé par le pirate pour envoyer le paquet incriminé.
Dans le champ Adresse de la victime, saisissez l'adresse IP de l'hôte destinataire.
Vous pouvez utiliser l'une des variables si vous les avez définies dans l'onglet Variables d'événement. Préfacez la variable par $. Vous pouvez également entrer une plage d'adresses, par exemple, 192.56.10.1-192.56.10.255. La valeur par défaut est 0.0.0.0-255.255.255.255.
Dans le champ Victime Port, saisissez le numéro de port utilisé par l'hôte victime afin de recevoir le paquet incriminé. Par exemple, 0-434.
Dans le champ Évaluation des risques, entrez une plage RR pour ce filtre. Par exemple, 85-100.
Si le RR d'un événement se situe dans la plage que vous spécifiez, l'événement est traité en fonction des critères de ce filtre.
Dans la liste déroulante Actions à soustraire, sélectionnez les actions que ce filtre doit supprimer de l'événement. Par exemple, choisissez Reset TCP connection.
Conseil : maintenez la touche Ctrl enfoncée afin de sélectionner plusieurs actions d'événement dans la liste.
Dans la liste déroulante Pertinence du système d'exploitation, indiquez si vous souhaitez savoir si l'alerte est pertinente pour le système d'exploitation identifié pour la victime. Par exemple, sélectionnez Pertinent.
Dans le champ Pourcentage de refus, entrez le pourcentage de paquets afin de refuser les fonctionnalités de refus de l'attaquant. Par exemple, 90.
La valeur par défaut est 100 %.
Dans le champ Stop on Match, sélectionnez l'une des cases d'option suivantes :
Oui : si vous souhaitez que le composant Filtres d'actions d'événements cesse de fonctionner après la suppression des actions de ce filtre particulier
Les filtres restants ne sont pas traités ; par conséquent, aucune action supplémentaire ne peut être supprimée de l'événement.
Non : si vous souhaitez continuer à traiter des filtres supplémentaires
Dans le champ Commentaires, saisissez les commentaires que vous souhaitez stocker avec ce filtre, par exemple l'objectif de ce filtre ou la raison pour laquelle vous avez configuré ce filtre d'une manière particulière. Par exemple, NEW FILTER.
Conseil : cliquez sur Annuler afin d'annuler vos modifications et fermer la boîte de dialogue Ajouter un filtre d'action d'événement.
Click OK.
Le nouveau filtre d'action d'événement apparaît désormais dans la liste de l'onglet Filtres d'action d'événement, comme illustré.
Cochez la case Use Event Action Overrides comme indiqué.
Remarque : vous devez cocher la case Utiliser les remplacements d'action d'événement dans l'onglet Remplacements d'action d'événement ou aucun des remplacements d'action d'événement ne sera activé, quelle que soit la valeur que vous avez définie dans la boîte de dialogue Ajouter un filtre d'action d'événement.
Choisissez un filtre d'action d'événement existant dans la liste afin de le modifier, puis cliquez sur Modifier.
La boîte de dialogue Modifier le filtre d'action d'événement apparaît.
Modifiez les valeurs des champs que vous devez modifier.
Reportez-vous aux étapes 4 à 18 pour plus d'informations sur la façon de remplir les champs.
Conseil : cliquez sur Annuler afin d'annuler vos modifications et fermer la boîte de dialogue Modifier le filtre d'action d'événement.
Click OK.
Le filtre d'action d'événement modifié apparaît désormais dans la liste de l'onglet Filtres d'action d'événement.
Cochez la case Utiliser les remplacements d'action d'événement.
Remarque : vous devez cocher la case Utiliser les remplacements d'action d'événement dans l'onglet Remplacements d'action d'événement ou aucun des remplacements d'action d'événement n'est activé, quelle que soit la valeur que vous avez définie dans la boîte de dialogue Modifier le filtre d'action d'événement.
Choisissez un filtre d'action d'événement dans la liste afin de le supprimer, puis cliquez sur Supprimer.
Le filtre d'action d'événement n'apparaît plus dans la liste de l'onglet Filtres d'action d'événement.
Filtrez vers le haut ou vers le bas dans la liste afin de déplacer une action d'événement, choisissez-la, puis cliquez sur Déplacer vers le haut ou Déplacer vers le bas.
Conseil : cliquez sur Reset afin de supprimer vos modifications.
Cliquez sur Apply afin d'appliquer vos modifications et d'enregistrer la configuration révisée.
Complétez ces étapes afin d'ajouter, modifier et supprimer des variables d'événement :
Ouvrir une session. Par exemple, utilisez un compte avec des privilèges d'administrateur ou d'opérateur.
Choisissez Configuration > Policies > Event Action Rules > rules0 > Event Variables si la version du logiciel est 6.x. Pour la version logicielle 5.x, choisissez Configuration > Event Action Rules > Event Variables.
L'onglet Variables d'événement apparaît.
Cliquez sur Add afin de créer une variable.
La boîte de dialogue Ajouter une variable apparaît.
Dans le champ Nom, entrez le nom de cette variable.
Remarque : le nom valide ne peut contenir que des chiffres ou des lettres. Vous pouvez également utiliser un trait d'union (-) ou un trait de soulignement (_).
Dans le champ Valeur, saisissez les valeurs de cette variable.
Spécifiez la ou les plages d'adresses IP complètes ou l'ensemble de plages. Exemple :
10.89.10.10-10.89.10.23
10.90.1.1
192.168.10.1-192.168.10.255
Remarque : vous pouvez utiliser des virgules comme délimiteurs. Assurez-vous qu'il n'y a pas d'espace après la virgule. Sinon, vous recevez un message d'erreur Échec de la validation.
Conseil : cliquez sur Annuler pour annuler vos modifications et fermer la boîte de dialogue Ajouter une variable d'événement.
Click OK.
La nouvelle variable apparaît dans la liste de l'onglet Variables d'événement.
Choisissez la variable existante dans la liste afin de la modifier, puis cliquez sur Modifier.
La boîte de dialogue Modifier la variable d'événement apparaît.
Dans le champ Valeur, saisissez les modifications que vous avez apportées à la valeur.
Click OK.
La variable d'événement modifiée apparaît désormais dans la liste de l'onglet Variables d'événement.
Conseil : choisissez Reset afin de supprimer vos modifications.
Cliquez sur Apply afin d'appliquer vos modifications et d'enregistrer la configuration révisée.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
16-May-2007 |
Première publication |