Le filtre que vous créez est affiché dans la zone de texte Filtrer. Vous pouvez cliquer sur des mots-clés et des arguments de mots-clés dans le panneau des filtres pour créer un filtre. Lorsque vous choisissez plusieurs mots-clés, le système les combine à l’aide de la logique AND pour créer un filtre de recherche composé. Par exemple, si vous choisissez preprocessor (Préprocesseur) sous Category (Catégorie) puis Rule Content > GID (Contenu de la règle > GID) et saisissez 116, vous obtenez un filtre de Category: “preprocessor” GID:”116”, qui récupère toutes les règles qui sont des règles de préprocesseurs et ont un GID de 116.

Les groupes de filtres Catégorie, Vulnérabilités Microsoft, Vers Microsoft, Propre à la plateforme, Préprocesseur et Priorité vous permettent de soumettre plusieurs arguments pour un même mot-clé, séparés par des virgules. Par exemple, vous pouvez choisir os-linux et os-windows dans Catégorie pour produire la catégorie de filtre:"os-windows,os-linux", qui récupère les règles de la catégorie os-linux ou os-windows.

Pour afficher le panneau de filtres, cliquez sur l’icône Afficher.

Pour masquer le panneau des filtres, cliquez sur l’icône Masquer.

Dans la plupart des cas, lorsque vous créez un filtre, vous pouvez utiliser le panneau de filtres à gauche de la page des règles dans la politique de prévention des intrusions pour choisir les mots-clés et arguments que vous souhaitez utiliser.

Les filtres de règles sont regroupés en groupes de filtres de règles dans le panneau des filtres. De nombreux groupes de filtres de règles contiennent des sous-critères qui vous permettent de trouver plus facilement les règles spécifiques que vous recherchez. Certains filtres de règles ont plusieurs niveaux que vous pouvez développer pour accéder aux règles individuelles.

Les éléments du panneau de filtres représentent parfois des groupes de types de filtres, parfois des mots-clés et parfois même l’argument d’un mot-clé. Tenez compte des points suivants :

• Lorsque vous choisissez un titre de groupe de type de filtre qui n'est pas un mot-clé (Configuration de la règle, Contenu de la règle, Spécifique à la plate-forme et Priorité), celui-ci se développe pour énumérer les mots-clés disponibles.

  Lorsque vous choisissez un mot-clé en cliquant sur un nœud dans la liste de critères, une fenêtre contextuelle s’affiche, dans laquelle vous devez fournir l’argument selon lequel vous souhaitez filtrer.

  Si ce mot-clé est déjà utilisé dans le filtre, l’argument que vous fournissez remplace l’argument existant pour ce mot-clé.

  Par exemple, si vous cliquez sur Drop and Generate Events (Abandonner et générer des événements) sous Rule Configuration (Configuration de règle) > Recommendation (Recommandation) dans le panneau de filtre, la recommandation : « Drop and Generate Events » est ajoutée à la zone de texte du filtre. Si vous cliquez ensuite sur Generate Events (Générer des événements) sous Rule Configuration > Recommendation (Recommandation de la configuration de règle), le filtre devient la recommandation :Generate Events.

• Lorsque vous choisissez un en-tête de groupe de type de filtre qui est un mot-clé (Catégorie, classifications, vulnérabilités Microsoft, vers Microsoft, priorité et mise à jour des règles), les arguments disponibles sont répertoriés.

  Lorsque vous choisissez un élément dans ce type de groupe, l’argument et le mot-clé auquel il s’applique sont immédiatement ajoutés au filtre. Si le mot-clé est déjà dans le filtre, il remplace l’argument existant du mot-clé qui correspond à ce groupe.

  Par exemple, si vous cliquez sur os-linux sous Catégorie dans le panneau des filtres, Category:"os-linux" est ajoutée à la zone de texte du filtre. Si vous cliquez ensuite sur os-windows sous Catégorie, le filtre devient Category:"os-windows".

• La référence sous le contenu de la règle se trouve dans un mot-clé, tout comme les types d’ID de référence spécifiques répertoriés en dessous de celui-ci. Lorsque vous choisissez l’un des mots-clés de référence, une fenêtre contextuelle s’affiche, dans laquelle vous fournissez un arguments et le mot-clé est ajouté au filtre existant. Si le mot-clé est déjà utilisé dans le filtre, le nouvel arguments que vous fournissez remplace l’argument existant.

  Par exemple, si vous cliquez sur Rule Content > Référence > CVE ID (Contenu de la règle > Référence > CVE ID) dans le panneau de filtre, une fenêtre contextuelle vous invite à fournir l’ID CVE. Si vous saisissez 2007, CVE:”2007” est ajouté à la zone de texte du filtre. Dans un autre exemple, si vous cliquez sur Rule Content > Reference (Contenu de la règle > Référence) dans le panneau de filtre, une fenêtre contextuelle vous invite à fournir la référence. Si vous saisissez 2007, la Reference:”2007” est ajoutée à la zone de texte du filtre.

• Lorsque vous choisissez des mots-clés de filtre de règles dans différents groupes, chaque mot-clé de filtre est ajouté au filtre et tous les mots-clés existants sont conservés (à moins qu’ils ne soient remplacés par une nouvelle valeur pour le même mot-clé).

  Par exemple, si vous cliquez sur os-linux sous Catégorie dans le panneau des filtres, Category:"os-linux" est ajoutée à la zone de texte du filtre. Si vous cliquez ensuite sur MS00-006 sous Microsoft Vulnerabilities (Vulnérabilités Microsoft), le filtre devient Category:"os-linux" MicrosoftVulnerabilities:"MS00-006".

• Lorsque vous choisissez plusieurs mots-clés, le système les combine à l’aide de la logique AND pour créer un filtre de recherche composé. Par exemple, si vous choisissez preprocessor (Préprocesseur) sous Category (Catégorie) puis Rule Content > GID (Contenu de la règle > GID) et saisissez 116, vous obtenez un filtre de Category: “preprocessor” GID:”116”, qui récupère toutes les règles qui sont des règles de préprocesseurs et ont un GID de 116.

• Les groupes de filtres Catégorie, Vulnérabilités Microsoft, Vers Microsoft, Propre à la plateforme et Priorité vous permettent de soumettre plusieurs arguments pour un même mot-clé, séparés par des virgules. Par exemple, vous pouvez choisir os-linux et os-windows dans Catégorie pour produire la catégorie de filtre:"os-windows,app-detect", qui récupère les règles de la catégorie os-linux ou os-windows.

La même règle peut être extraite par plusieurs paires de mots-clés/arguments de filtre. Par exemple, la règle de tentative Cisco DOS (SID 1545) s’affiche si les règles sont filtrées par la catégorie dos, mais aussi si vous filtrez selon la priorité élevée.

Remarque

Talos Intelligence Group peut utiliser le mécanisme de mise à jour des règles pour ajouter et supprimer des filtres de règles.

Notez que les règles de la page Rules (Règles) peuvent être des règles d’objet partagé (générateur ID 3) ou des règles de texte standard (générateur ID 1, domaine global ou GID existant; 1000 à 2000, domaines descendants). Le tableau suivant décrit les différents filtres de règles.

Vous pouvez sélectionner des mots-clés de filtres prédéfinis dans le panneau de filtres sur le côté gauche de la page Rules (Règles) dans la politique de prévention des intrusions. Lorsque vous sélectionnez un filtre, la page affiche toutes les règles correspondantes ou indique lorsqu’aucune règle ne correspond.

Vous pouvez ajouter des mots-clés à un filtre pour le restreindre davantage. Tout filtre que vous saisissez effectue une recherche dans l’ensemble de la base de données des règles et renvoie toutes les règles correspondantes. Lorsque vous saisissez un filtre alors que la page affiche toujours le résultat d’un filtre précédent, la page s’efface et renvoie le résultat du nouveau filtre à la place.

Vous pouvez également saisir un filtre en utilisant le même mot-clé et la même syntaxe d’arguments que ceux fournis lors de la sélection d’un filtre ou modifier les valeurs des arguments dans un filtre après l’avoir sélectionné. Lorsque vous saisissez des termes de recherche sans mot-clé, sans majuscule initiale du mot-clé ou sans guillemets autour de l’argument, la recherche est traitée comme une recherche de chaîne et les champs catégorie, message et SID sont recherchés pour les termes spécifiés.

Dans une politique de prévention des intrusions, vous pouvez définir l’état d’une règle sur les valeurs suivantes :

Générer des événements

Vous souhaitez que le système détecte une tentative de prévention des intrusions spécifique et génère un incident d'intrusion lorsqu’il trouve le trafic correspondant. Lorsqu’un paquet malveillant traverse votre réseau et déclenche la règle, le paquet est envoyé à sa destination et le système génère un incident d'intrusion. Le paquet malveillant atteint sa cible, mais vous en êtes averti par la journalisation des événements.

Abandonner et générer des événements

Vous souhaitez que le système détecte une tentative de prévention des intrusions spécifique, abandonne le paquet contenant l’attaque et génère un incident d'intrusion lorsqu’il trouve le trafic correspondant. Le paquet malveillant n’atteint jamais sa cible et vous en êtes averti par la journalisation des événements.

Notez que les règles définies pour cet état de règles génèrent des événements mais ne suppriment pas de paquets dans un déploiement passif. Pour que le système abandonne des paquets, l’option Drop when Inline (Abandon quand en ligne) doit également être activée (paramètre par défaut) dans votre politique de prévention des intrusions, et vous devez déployer votre périphérique en ligne.

Disable (désactiver)

Vous ne voulez pas que le système évalue le trafic correspondant.

Remarque

Choisir l’une des options Generate Events (générer des événements) ou Drop and Generate Events (abandonner et générer des événements) active la règle. Choisir Disable (désactiver) désactive la règle. Cisco vous recommande fortement de ne pas activer toutes les règles de prévention des intrusions dans une politique de prévention des intrusions. Les performances de votre périphérique géré sont susceptibles de se dégrader si toutes les règles sont activées. Au lieu de cela, ajustez votre ensemble de règles pour qu’il se conforme le plus possible à votre environnement réseau.

Dans la politique de prévention des intrusions, vous pouvez configurer un filtre basé sur le débit pour toute règle de prévention des intrusions ou de préprocesseur. Le filtre basé sur le débit contient trois composants :

• le taux de correspondance des règles, que vous configurez comme nombre de correspondances de règles dans un nombre spécifique de secondes

• nouvelle action à entreprendre lorsque le débit est dépassé. Trois actions sont possibles: Générer des événements, Supprimer et Générer des événements, et Désactiver

• la durée de l’action, que vous configurez comme valeur de délai d’expiration

Notez qu’une fois démarrée, la nouvelle action se produit jusqu’à ce que le délai soit atteint, même si le débit tombe en dessous du débit configuré pendant cette période. Lorsque le délai d’expiration est atteint, si le débit est inférieur au seuil, l’action effectuée pour la règle reprend l’action initialement configurée pour la règle.

Vous pouvez configurer la prévention des attaques basée sur le débit dans un déploiement en ligne pour bloquer les attaques, de façon temporaire ou permanente. Sans configuration basée sur le débit, les règles définies sur Generate Events génèrent des événements, mais le système ne supprime pas de paquets pour ces règles. Cependant, si le trafic d’attaque correspond aux règles qui ont des critères basés sur le débit configurés, l’action de débit peut entraîner l’abandon de paquets pendant la période pendant laquelle l’action de débit est active, même si ces règles ne sont pas initialement définies sur Abandon et Generate Events .

Remarque

Les actions basées sur le débit ne peuvent pas activer les règles désactivées ni abandonner le trafic correspondant aux règles désactivées.

Vous pouvez définir plusieurs filtres basés sur le débit sur la même règle. Le premier filtre répertorié dans la politique de prévention des intrusions a la priorité la plus élevée. Notez que lorsque deux actions de filtres basés sur le débit entrent en conflit, l’action du premier filtre basé sur le débit est exécutée.