Les options relatives aux données sensibles globales sont propres à la politique et s’appliquent à tous les types de données.

Mask (Masque)

Remplace par des X tous les numéros de cartes de crédit et de sécurité sociale, sauf les quatre derniers chiffres, dans le paquet de déclenchement. Les numéros masqués apparaissent dans la vue des paquets d'incidents d'intrusion dans l’interface Web et dans les paquets téléchargés.

Réseaux

Spécifie l’hôte ou les hôtes de destination à surveiller pour les données sensibles. Vous pouvez spécifier une seule adresse IP, un bloc d'adresses ou une liste d'adresses séparées par des virgules. Le système interprète un champ vide comme n’importe quelle, c’est-à-dire n’importe quelle adresse IP de destination.

Le système crée une carte réseau distincte pour chaque domaine enfant. Dans un déploiement multidomaine, l’utilisation d’adresses IP littérales pour limiter cette configuration peut avoir des résultats inattendus. L’utilisation d’objets de substitution permet aux administrateurs de domaines descendants d’adapter les configurations globales à leurs environnements locaux.

Seuil global

Spécifie le nombre total d’occurrences de tous les types de données au cours d’une seule session que le préprocesseur doit détecter dans n’importe quelle combinaison avant de générer un événement de seuil global. Vous pouvez spécifier de 1 à 65 535.

Cisco recommande de définir la valeur de cette option comme étant supérieure à la valeur de seuil la plus élevée pour tout type de données individuel que vous activez dans votre politique.

Notez les points suivants concernant les seuils globaux :

• Vous devez activer la règle de préprocesseur 139:1 pour détecter et générer des événements et, dans un déploiement en ligne, supprimer les paquets incriminés sur les occurrences de type de données combinées.

• Le préprocesseur génère jusqu’à un événement de seuil global par session.

• Les événements de seuil globaux sont indépendants des événements de type de données individuels; c’est-à-dire que le préprocesseur génère un événement lorsque le seuil global est atteint, que le seuil d’événement pour tout type de données individuel ait ou non été atteint, et inversement.

Au minimum, chaque type de données personnalisé doit préciser un seuil d’événement et au moins un port ou protocole d’application à surveiller.

Chaque type de données fourni par le système utilise un mot-clé sd_pattern autrement inaccessible pour définir un schéma de données intégré à détecter dans le trafic. Vous pouvez également créer des types de données personnalisés pour lesquels vous utilisez des expressions régulières simples pour spécifier vos propres schémas de données.

Les types de données sensibles s’affichent dans toutes les politiques de prévention des intrusions où la détection des données sensibles est activée. Les types de données fournis par le système s’affichent en lecture seule. Pour les types de données personnalisés, les champs de nom et de modèle s’affichent en lecture seule, mais vous pouvez définir les autres options avec des valeurs propres à la politique.

Dans un déploiement multidomaine, le système affiche les types de données sensibles créés dans le domaine actuel, que vous pouvez modifier. Il affiche également les règles créées dans les domaines ascendants, que vous ne pouvez pas modifier. Pour les types de données « ascendantes », les champs de nom et de modèle s’affichent en lecture seule, mais vous pouvez définir les autres options avec des valeurs propres à la politique.

Chaque politique de prévention des intrusions comprend des types de données fournies par le système pour détecter les schémas de données couramment utilisés, comme les numéros de carte de crédit, les adresses de courriel, les noms distinctifs américains et les numéros de sécurité sociale américains avec ou sans tirets.

Chaque type de données fourni par le système est associé à une seule règle de préprocesseur de données sensibles qui a un ID de générateur (GID) de 138. Vous devez activer la règle de données sensibles associée dans la politique de prévention des intrusions dans générer des événements et, dans un déploiement en ligne, supprimer les paquets incriminés pour chaque type de données que vous souhaitez utiliser dans votre politique.

Le tableau suivant décrit chaque type de données et répertorie la règle de préprocesseur correspondante.

Pour réduire les faux positifs des numéros à 9 chiffres autres que les numéros de sécurité sociale, le préprocesseur utilise un algorithme pour valider le numéro de zone à 3 chiffres et le numéro de groupe à 2 chiffres qui précèdent les numéros de série à 4 chiffres de chaque numéro de sécurité sociale. Le préprocesseur valide les numéros de groupe de sécurité sociale jusqu’en novembre 2009.

Licence de défense contre les menaces

IPS

Licence traditionnelle

Protection ou comme indiqué dans une procédure.

Prise en charge des modèles

Tout.

Domaines pris en charge

N’importe quel

Rôles utilisateur 

• Admin

• Administrateur d’intrusion

Vous pouvez spécifier jusqu’à huit protocoles d’application à surveiller pour chaque type de données. Au moins un détecteur doit être activé pour chaque protocole d’application sélectionné. Par défaut, tous les détecteurs fournis par le système sont activés. Si aucun détecteur n’est activé pour un protocole d’application, le système active automatiquement tous les détecteurs fournis par le système pour l’application; s’il n’en existe aucun, le système active le détecteur défini par l’utilisateur modifié le plus récemment pour l’application.

Vous devez spécifier au moins un protocole d’application ou un port à surveiller pour chaque type de données. Cependant, sauf dans le cas où vous souhaitez détecter des données sensibles dans le trafic FTP, Cisco vous recommande, pour la couverture la plus complète, de spécifier les ports correspondants lorsque vous spécifiez les protocoles d’application. Par exemple, si vous spécifiez HTTP, vous pouvez également configurer le port HTTP 80 bien connu. Si un nouvel hôte de votre réseau met en œuvre HTTP, le système surveille le port 80 pendant l’intervalle pendant lequel il détecte le nouveau protocole d’application HTTP.

Dans le cas où vous souhaitez détecter des données sensibles dans le trafic FTP, vous devez préciser le protocole d’application des données FTP ; il n’y a aucun avantage à préciser un numéro de port.

Vous déterminez généralement le trafic à surveiller pour les données sensibles en spécifiant les ports à surveiller ou les protocoles d’application dans les déploiements.

Toutefois, le fait de spécifier des ports ou des protocoles d'application n'est pas suffisant pour détecter des données sensibles dans le trafic FTP. Les données sensibles du trafic FTP se trouvent dans le trafic du protocole d’application FTP, qui se produit par intermittence et utilise un numéro de port transitoire, ce qui le rend difficile à détecter. Pour détecter des données sensibles dans le trafic FTP, vous devez inclure les éléments suivants dans votre configuration :

• Précisez le protocole d’application des données FTP pour activer la détection des données sensibles dans le trafic FTP.

  Dans le cas particulier de la détection de données sensibles dans le trafic FTP, la spécification du protocole d'application de données FTP ne déclenche pas la détection, mais le traitement rapide du processeur FTP/Telnet pour détecter les données sensibles dans le trafic FTP.

• Vérifiez que le détecteur de données FTP, qui est activé par défaut, est activé.

• Assurez-vous que votre configuration comprend au moins un port pour surveiller les données sensibles.

• Assurez-vous que la politique de fichiers est activée pour la politique de contrôle d'accès.

Notez qu’il n’est pas nécessaire de préciser un port FTP, sauf dans le cas peu probable où vous souhaitiez détecter uniquement des données sensibles dans le trafic FTP. La plupart des configurations de données sensibles incluront d’autres ports comme les ports HTTP ou les ports de messagerie. Dans le cas où vous souhaitez spécifier un seul port FTP et aucun autre port à surveiller, Cisco vous recommande de spécifier le port de commande FTP 23.

Chaque type de données personnalisé que vous créez crée également une règle de préprocesseur de données sensibles unique qui a un ID de générateur (GID) de 138 et un ID de Snort (SID) de 1000000 ou plus, c’est-à-dire un SID pour une règle locale.

Vous devez activer la règle de données sensibles associée pour activer la détection, générer des événements et, dans un déploiement en ligne, supprimer les paquets incriminés pour chaque type de données personnalisé que vous souhaitez utiliser dans votre politique.

Pour vous aider à activer les règles relatives aux données sensibles, un lien sur la page de configuration vous amène à une vue filtrée de la page des règles de la politique de prévention des intrusions qui affiche toutes les règles personnalisées et fournies par le système relatives aux données sensibles. Vous pouvez également afficher des règles personnalisées sur les données sensibles ainsi que des règles locales personnalisées en sélectionnant la catégorie de filtrage local dans la page des règles de politique de prévention des intrusions. Notez que les règles personnalisées relatives aux données sensibles ne sont pas répertoriées dans la page de l’éditeur de règles de prévention des intrusions (Objects (objets) > Intrusion Rules (règles d'intrusion)).

Une fois que vous avez créé un type de données personnalisé, vous pouvez l’activer dans n’importe quelle politique de prévention des intrusions dans le système ou, pour les déploiements multidomaine, dans le domaine actuel. Pour activer un type de données personnalisé, vous devez activer la règle de données sensibles associée dans toute politique que vous souhaitez utiliser pour détecter ce type de données personnalisé.