IPS 5.x et versions ultérieures : réglage de la signature avec filtre d'action d'événement à l'aide de CLI et IDM

Options de téléchargement

PDF (478.4 KB)
Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
ePub (341.6 KB)
Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
Mobi (Kindle) (461.8 KB)
Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils

Mis à jour:31 mai 2007

ID du document:91817

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Table des matières

Introduction

Conditions préalables

Exigences

Composants utilisés

Conventions

Filtres d'actions

Présentation des filtres d'actions événementielles

Configuration des filtres d'actions événementielles via CLI

Event Action Filtre la configuration avec IDM

Configuration de variable d'événement

Informations connexes

Introduction

Ce document décrit comment régler la signature avec le filtre d'action d'événement dans le système de prévention des intrusions (IPS) de Cisco avec l'interface de ligne de commande (CLI) et le gestionnaire de périphériques IDS (IDM).

Conditions préalables

Exigences

Ce document suppose que Cisco IPS est installé et fonctionne correctement.

Composants utilisés

Les informations contenues dans ce document sont basées sur le périphérique IDS/IPS de la gamme Cisco 4200 qui exécute le logiciel version 5.0 et ultérieure.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Filtres d'actions

Présentation des filtres d'actions événementielles

Les filtres d'action d'événement sont traités comme une liste ordonnée et vous pouvez déplacer les filtres vers le haut ou vers le bas de la liste.

Les filtres permettent au capteur d'effectuer certaines actions en réponse à l'événement sans exiger que le capteur effectue toutes les actions ou supprime l'événement entier. Les filtres fonctionnent par la suppression d'actions d'un événement. Un filtre qui supprime toutes les actions d'un événement consomme effectivement l'événement.

Remarque : lorsque vous filtrez les signatures de balayage, Cisco recommande de ne pas filtrer les adresses de destination. S'il y a plusieurs adresses de destination, seule la dernière adresse est utilisée pour correspondre au filtre.

Vous pouvez configurer des filtres d'actions d'événement pour supprimer des actions spécifiques d'un événement ou pour rejeter un événement entier et empêcher le capteur de poursuivre le traitement. Vous pouvez utiliser les variables d'action d'événement que vous avez définies pour regrouper les adresses de vos filtres. Pour connaître la procédure de configuration des variables d'action d'événement, reportez-vous à la section Ajout, modification et suppression de variables d'action d'événement.

Remarque : vous devez faire précéder la variable d'un symbole dollar ($) afin d'indiquer que vous utilisez une variable plutôt qu'une chaîne. Sinon, vous recevez l'erreur Source et destination incorrectes.

Configuration des filtres d'actions événementielles via CLI

Complétez ces étapes afin de configurer les filtres d'action d'événement :

Connectez-vous à l'interface de ligne de commande avec un compte disposant de privilèges d'administrateur.

Passez en sous-mode Règles d'action événementielle :

sensor#configure terminal
sensor(config)#service event-action-rules rules1
sensor(config-eve)#

Créez le nom du filtre :
```
sensor(config-eve)#filters insert name1 begin
```
Utilisez name1, name2, et ainsi de suite afin de nommer vos filtres d'action d'événement. Utilisez la commande begin | tranche | inactif | avant | après les mots-clés afin de spécifier où vous voulez insérer le filtre.
Spécifiez les valeurs de ce filtre :
1. Spécifiez la plage d'ID de signature :
```
sensor(config-eve-fil)#signature-id-range 1000-1005
```
  La valeur par défaut est 900 à 65535.
2. Spécifiez la plage d'ID de sous-signature :
```
sensor(config-eve-fil)#subsignature-id-range 1-5
```
  La valeur par défaut est 0 à 255.
3. Spécifiez la plage d'adresses du pirate :
```
sensor(config-eve-fil)#attacker-address-range 10.89.10.10-10.89.10.23
```
  La valeur par défaut est 0.0.0.0 à 255.255.255.255.
4. Spécifiez la plage d'adresses de victime :
```
sensor(config-eve-fil)#victim-address-range 192.56.10.1-192.56.10.255
```
  La valeur par défaut est 0.0.0.0 à 255.255.255.255.
5. Spécifiez la plage de ports victime :
```
sensor(config-eve-fil)#victim-port-range 0-434
```
  La valeur par défaut est 0 à 65535.
6. Spécifiez la pertinence du système d'exploitation :
```
sensor(config-eve-fil)#os-relevance relevant
```
  La valeur par défaut est 0 à 100.
7. Spécifiez la plage d'évaluation des risques.
```
sensor(config-eve-fil)#risk-rating-range 85-100
```
  La valeur par défaut est 0 à 100.
8. Spécifiez les actions à supprimer :
```
sensor(config-eve-fil)#actions-to-remove reset-tcp-connection
```
9. Si vous filtrez une action de refus, définissez le pourcentage d'actions de refus souhaité :
```
sensor(config-eve-fil)#deny-attacker-percentage 90
```
  Il est défini par défaut à 100.
10. Spécifiez l'état du filtre à Désactivé ou Activé.
```
sensor(config-eve-fil)#filter-item-status {enabled | disabled}
```
  La valeur par défaut est enabled.
11. Spécifiez le paramètre stop on match.
```
sensor(config-eve-fil)#stop-on-match {true | false}
```
  True indique au capteur d'arrêter le traitement des filtres si cet élément correspond. False indique au capteur de continuer à traiter les filtres même si cet élément correspond.
12. Ajoutez les commentaires que vous souhaitez utiliser afin d'expliquer ce filtre :
```
sensor(config-eve-fil)#user-comment NEW FILTER
```

Vérifiez les paramètres du filtre :

sensor(config-eve-fil)#show settings
 NAME: name1

   -----------------------------------------------

      signature-id-range: 1000-10005 default: 900-65535

      subsignature-id-range: 1-5 default: 0-255

      attacker-address-range: 10.89.10.10-10.89.10.23 default: 0.0.0.0-255.255.255.255

      victim-address-range: 192.56.10.1-192.56.10.255 default: 0.0.0.0-255.255.255.255

      attacker-port-range: 0-65535 <defaulted>

      victim-port-range: 1-343 default: 0-65535

      risk-rating-range: 85-100 default: 0-100

      actions-to-remove: reset-tcp-connection default:

      deny-attacker-percentage: 90 default: 100

      filter-item-status: Enabled default: Enabled

      stop-on-match: True default: False

      user-comment: NEW FILTER default:

      os-relevance: relevant default: relevant|not-relevant|unknown

   ------------------------------------------------

senor(config-eve-fil)#

Afin de modifier un filtre existant :
```
sensor(config-eve)#filters edit name1
```
Modifiez les paramètres et reportez-vous aux étapes 4a à 4l pour plus d'informations.

Pour déplacer un filtre vers le haut ou vers le bas dans la liste des filtres :

sensor(config-eve-fil)#exit
sensor(config-eve)#filters move name5 before name1

Vérifiez que vous avez déplacé les filtres :

sensor(config-eve-fil)#exit
sensor(config-eve)#show settings

 -----------------------------------------------

   filters (min: 0, max: 4096, current: 5 - 4 active, 1 inactive)

   -----------------------------------------------

   ACTIVE list-contents

   -----------------------------------------------

      NAME: name5

      -----------------------------------------------

         signature-id-range: 900-65535 <defaulted>

         subsignature-id-range: 0-255 <defaulted>

         attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted>

         victim-address-range: 0.0.0.0-255.255.255.255 <defaulted>

         attacker-port-range: 0-65535 <defaulted>

         victim-port-range: 0-65535 <defaulted>

         risk-rating-range: 0-100 <defaulted>

         actions-to-remove: <defaulted>

         filter-item-status: Enabled <defaulted>

         stop-on-match: False <defaulted>

         user-comment: <defaulted>

      -----------------------------------------------

      -----------------------------------------------

      NAME: name1

      -----------------------------------------------

         signature-id-range: 900-65535 <defaulted>

         subsignature-id-range: 0-255 <defaulted>

         attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted>

         victim-address-range: 0.0.0.0-255.255.255.255 <defaulted>

         attacker-port-range: 0-65535 <defaulted>

         victim-port-range: 0-65535 <defaulted>

         risk-rating-range: 0-100 <defaulted>

         actions-to-remove: <defaulted>

         filter-item-status: Enabled <defaulted>

         stop-on-match: False <defaulted>

         user-comment: <defaulted>

      -----------------------------------------------

      -----------------------------------------------

      NAME: name2

      -----------------------------------------------

         signature-id-range: 900-65535 <defaulted>

         subsignature-id-range: 0-255 <defaulted>

         attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted>

         victim-address-range: 0.0.0.0-255.255.255.255 <defaulted>

         attacker-port-range: 0-65535 <defaulted>

         victim-port-range: 0-65535 <defaulted>

         risk-rating-range: 0-100 <defaulted>

         actions-to-remove: <defaulted>

         filter-item-status: Enabled <defaulted>

         stop-on-match: False <defaulted>

         user-comment: <defaulted>

      -----------------------------------------------

      -----------------------------------------------

   -----------------------------------------------

   INACTIVE list-contents

   -----------------------------------------------

-----------------------------------------------

sensor(config-eve)#

Pour déplacer un filtre vers la liste inactive :
```
sensor(config-eve)#filters move name1 inactive
```

Vérifiez que le filtre a été déplacé vers la liste inactive :

sensor(config-eve-fil)#exit
sensor(config-eve)#show settings

   -----------------------------------------------

   INACTIVE list-contents

   -----------------------------------------------

      -----------------------------------------------

      NAME: name1

      -----------------------------------------------

         signature-id-range: 900-65535 <defaulted>

         subsignature-id-range: 0-255 <defaulted>

         attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted>

         victim-address-range: 0.0.0.0-255.255.255.255 <defaulted>

         attacker-port-range: 0-65535 <defaulted>

         victim-port-range: 0-65535 <defaulted>

         risk-rating-range: 0-100 <defaulted>

         actions-to-remove: <defaulted>

         filter-item-status: Enabled <defaulted>

         stop-on-match: False <defaulted>

         user-comment: <defaulted>

      -----------------------------------------------

      -----------------------------------------------

sensor(config-eve)#

Sous-mode des règles d'action des événements de sortie :
```
sensor(config-eve)#exit
Apply Changes:?[yes]:
```
Appuyez sur Entrée afin d'appliquer vos modifications ou entrez no afin de les ignorer.

Event Action Filtre la configuration avec IDM

Complétez ces étapes afin d'ajouter, modifier, supprimer, activer, désactiver et déplacer des filtres d'action d'événement :

Connectez-vous à IDM avec un compte disposant de privilèges administrateur ou opérateur.
Choisissez Configuration > Policies > Event Action Rules > rules0 > Event Action Filters si la version du logiciel est 6.x. Pour la version logicielle 5.x, choisissez Configuration > Event Action Rules > Event Action Filters.

L'onglet Event Action Filters apparaît comme illustré.
Cliquez sur Add afin d'ajouter un filtre d'action d'événement.

La boîte de dialogue Ajouter un filtre d'action d'événement apparaît.
Dans le champ Nom, entrez le nom name1 pour le filtre d'action d'événement.

Un nom par défaut est fourni, mais vous pouvez le remplacer par un nom plus significatif.
Dans le champ Actif, cliquez sur la case d'option Oui afin d'ajouter ce filtre à la liste afin qu'il prenne effet sur le filtrage des événements.
Dans le champ Enabled, cliquez sur la case d'option Yes afin d'activer le filtre.

Remarque : vous devez également cocher la case à cocher Utiliser les filtres d'action d'événement sous l'onglet Filtres d'action d'événement ou aucun des filtres d'action d'événement n'est activé, que vous cochiez ou non la case Oui dans la boîte de dialogue Ajouter un filtre d'action d'événement.
Dans le champ ID de signature, saisissez les ID de signature de toutes les signatures auxquelles ce filtre doit être appliqué.

Vous pouvez utiliser une liste, par exemple, 1000, 1005, ou une plage, par exemple, 1000-1005 ou l'une des variables SIG si vous les avez définies dans l'onglet Variables d'événement. Préfacez la variable par $.
Dans le champ SubSignature ID, saisissez les ID de sous-signature des sous-signatures auxquelles ce filtre doit être appliqué. Par exemple, 1-5.
Dans le champ Attacker Address, saisissez l'adresse IP de l'hôte source.

Vous pouvez utiliser l'une des variables si vous les avez définies dans l'onglet Variables d'événement. Préfacez la variable par $. Vous pouvez également entrer une plage d'adresses, par exemple, 10.89.10.10-10.89.10.23. La valeur par défaut est 0.0.0.0-255.255.255.255.
Dans le champ Port du pirate, saisissez le numéro de port utilisé par le pirate pour envoyer le paquet incriminé.
Dans le champ Adresse de la victime, saisissez l'adresse IP de l'hôte destinataire.

Vous pouvez utiliser l'une des variables si vous les avez définies dans l'onglet Variables d'événement. Préfacez la variable par $. Vous pouvez également entrer une plage d'adresses, par exemple, 192.56.10.1-192.56.10.255. La valeur par défaut est 0.0.0.0-255.255.255.255.
Dans le champ Victime Port, saisissez le numéro de port utilisé par l'hôte victime afin de recevoir le paquet incriminé. Par exemple, 0-434.
Dans le champ Évaluation des risques, entrez une plage RR pour ce filtre. Par exemple, 85-100.

Si le RR d'un événement se situe dans la plage que vous spécifiez, l'événement est traité en fonction des critères de ce filtre.
Dans la liste déroulante Actions à soustraire, sélectionnez les actions que ce filtre doit supprimer de l'événement. Par exemple, choisissez Reset TCP connection.

Conseil : maintenez la touche Ctrl enfoncée afin de sélectionner plusieurs actions d'événement dans la liste.
Dans la liste déroulante Pertinence du système d'exploitation, indiquez si vous souhaitez savoir si l'alerte est pertinente pour le système d'exploitation identifié pour la victime. Par exemple, sélectionnez Pertinent.
Dans le champ Pourcentage de refus, entrez le pourcentage de paquets afin de refuser les fonctionnalités de refus de l'attaquant. Par exemple, 90.

La valeur par défaut est 100 %.
Dans le champ Stop on Match, sélectionnez l'une des cases d'option suivantes :
1. Oui : si vous souhaitez que le composant Filtres d'actions d'événements cesse de fonctionner après la suppression des actions de ce filtre particulier
  
  Les filtres restants ne sont pas traités ; par conséquent, aucune action supplémentaire ne peut être supprimée de l'événement.
2. Non : si vous souhaitez continuer à traiter des filtres supplémentaires
Dans le champ Commentaires, saisissez les commentaires que vous souhaitez stocker avec ce filtre, par exemple l'objectif de ce filtre ou la raison pour laquelle vous avez configuré ce filtre d'une manière particulière. Par exemple, NEW FILTER.

Conseil : cliquez sur Annuler afin d'annuler vos modifications et fermer la boîte de dialogue Ajouter un filtre d'action d'événement.
Click OK.

Le nouveau filtre d'action d'événement apparaît désormais dans la liste de l'onglet Filtres d'action d'événement, comme illustré.
Cochez la case Use Event Action Overrides comme indiqué.

Remarque : vous devez cocher la case Utiliser les remplacements d'action d'événement dans l'onglet Remplacements d'action d'événement ou aucun des remplacements d'action d'événement ne sera activé, quelle que soit la valeur que vous avez définie dans la boîte de dialogue Ajouter un filtre d'action d'événement.
Choisissez un filtre d'action d'événement existant dans la liste afin de le modifier, puis cliquez sur Modifier.

La boîte de dialogue Modifier le filtre d'action d'événement apparaît.
Modifiez les valeurs des champs que vous devez modifier.

Reportez-vous aux étapes 4 à 18 pour plus d'informations sur la façon de remplir les champs.

Conseil : cliquez sur Annuler afin d'annuler vos modifications et fermer la boîte de dialogue Modifier le filtre d'action d'événement.
Click OK.

Le filtre d'action d'événement modifié apparaît désormais dans la liste de l'onglet Filtres d'action d'événement.
Cochez la case Utiliser les remplacements d'action d'événement.

Remarque : vous devez cocher la case Utiliser les remplacements d'action d'événement dans l'onglet Remplacements d'action d'événement ou aucun des remplacements d'action d'événement n'est activé, quelle que soit la valeur que vous avez définie dans la boîte de dialogue Modifier le filtre d'action d'événement.
Choisissez un filtre d'action d'événement dans la liste afin de le supprimer, puis cliquez sur Supprimer.

Le filtre d'action d'événement n'apparaît plus dans la liste de l'onglet Filtres d'action d'événement.
Filtrez vers le haut ou vers le bas dans la liste afin de déplacer une action d'événement, choisissez-la, puis cliquez sur Déplacer vers le haut ou Déplacer vers le bas.

Conseil : cliquez sur Reset afin de supprimer vos modifications.
Cliquez sur Apply afin d'appliquer vos modifications et d'enregistrer la configuration révisée.

Configuration de variable d'événement

Complétez ces étapes afin d'ajouter, modifier et supprimer des variables d'événement :

Ouvrir une session. Par exemple, utilisez un compte avec des privilèges d'administrateur ou d'opérateur.
Choisissez Configuration > Policies > Event Action Rules > rules0 > Event Variables si la version du logiciel est 6.x. Pour la version logicielle 5.x, choisissez Configuration > Event Action Rules > Event Variables.

L'onglet Variables d'événement apparaît.
Cliquez sur Add afin de créer une variable.

La boîte de dialogue Ajouter une variable apparaît.
Dans le champ Nom, entrez le nom de cette variable.

Remarque : le nom valide ne peut contenir que des chiffres ou des lettres. Vous pouvez également utiliser un trait d'union (-) ou un trait de soulignement (_).
Dans le champ Valeur, saisissez les valeurs de cette variable.

Spécifiez la ou les plages d'adresses IP complètes ou l'ensemble de plages. Exemple :
- 10.89.10.10-10.89.10.23
- 10.90.1.1
- 192.168.10.1-192.168.10.255
Remarque : vous pouvez utiliser des virgules comme délimiteurs. Assurez-vous qu'il n'y a pas d'espace après la virgule. Sinon, vous recevez un message d'erreur Échec de la validation.

Conseil : cliquez sur Annuler pour annuler vos modifications et fermer la boîte de dialogue Ajouter une variable d'événement.
Click OK.

La nouvelle variable apparaît dans la liste de l'onglet Variables d'événement.
Choisissez la variable existante dans la liste afin de la modifier, puis cliquez sur Modifier.

La boîte de dialogue Modifier la variable d'événement apparaît.
Dans le champ Valeur, saisissez les modifications que vous avez apportées à la valeur.
Click OK.

La variable d'événement modifiée apparaît désormais dans la liste de l'onglet Variables d'événement.

Conseil : choisissez Reset afin de supprimer vos modifications.
Cliquez sur Apply afin d'appliquer vos modifications et d'enregistrer la configuration révisée.