IPS Device Manager 5.1 - Régler la signature

Options de téléchargement

  • PDF     (86.7 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (82.0 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (67.8 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:7 avril 2007
ID du document:91210

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

IPS (Intrusion Prevention System) 5.1 contient plus de 1 000 signatures par défaut intégrées. Vous ne pouvez pas renommer ou supprimer des signatures de la liste des signatures intégrées, mais vous pouvez retirer des signatures pour les supprimer du moteur de détection. Vous pouvez plus tard activer les signatures retirées. Cependant, ce processus nécessite que les moteurs de détection reconstruisent leur configuration, ce qui prend du temps et peut retarder le traitement du trafic. Vous pouvez régler les signatures intégrées lorsque vous ajustez plusieurs paramètres de signature. Les signatures intégrées qui ont été modifiées sont appelées signatures ajustées.

Ce document illustre les étapes à suivre pour régler la signature à l'aide du gestionnaire de périphériques IPS (IDM). IDM est une application Java basée sur le Web qui vous permet de configurer et de gérer votre capteur. Le serveur Web pour IDM réside sur le capteur. Vous pouvez y accéder via Internet Explorer, Netscape ou Mozilla.

Remarque : Vous pouvez créer des signatures, appelées signatures personnalisées. Les ID de signature personnalisés commencent à 60 000. Vous pouvez les configurer pour plusieurs choses, telles que la correspondance des chaînes sur les connexions UDP, le suivi des inondations de réseau et les analyses. Chaque signature est créée à l'aide d'un moteur de signature spécifiquement conçu pour le type de trafic surveillé.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Components Used

Les informations de ce document sont basées sur Cisco Intrusion Prevention System Device Manager 5.x.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Afin de configurer un capteur pour surveiller le trafic réseau pour une signature particulière, vous devez activer la signature. Par défaut, les signatures les plus critiques sont activées lorsque vous installez la mise à jour des signatures. Lorsqu'une attaque est détectée qui correspond à une signature activée, le capteur génère une alerte, qui est stockée dans le magasin d'événements du capteur. Les alertes, ainsi que d'autres événements, peuvent être récupérées à partir du magasin d'événements par des clients Web. Par défaut, le capteur enregistre toutes les alertes d'informations ou plus.

Certaines signatures ont des sous-signatures. Autrement dit, la signature est divisée en sous-catégories. Lorsque vous configurez une sous-signature, les modifications apportées aux paramètres d'une sous-signature s'appliquent uniquement à cette sous-signature. Par exemple, si vous modifiez la sous-signature 3050 1 et modifiez la gravité, la modification de la gravité s'applique uniquement à la sous-signature 1 et non à 3050 2, 3050 3 et 3050 4.

Régler les signatures

Une icône + indique que d'autres options sont disponibles pour ce paramètre. Cliquez sur l'icône + pour développer la section et afficher les paramètres restants.

Une icône verte indique que le paramètre utilise actuellement la valeur par défaut. Cliquez sur l'icône verte pour la remplacer par rouge, ce qui active le champ de paramètre afin de modifier la valeur.

Procédure pas à pas

Complétez ces étapes afin de régler les signatures :

  1. Connectez-vous à IDM à l'aide d'un compte disposant de privilèges d'administrateur ou d'opérateur.

  2. Choisissez Configuration > Signature Definition > Signature Configuration.

    Le volet Configuration des signatures apparaît.

  3. Afin de localiser une signature, choisissez une option de tri dans la liste Sélectionner par.

    Par exemple, si vous recherchez une signature d'inondation UDP, choisissez Protocole L2/L3/L4, puis Inondation UDP.

    Le volet Configuration des signatures actualise et affiche uniquement les signatures qui correspondent à vos critères de tri.

  4. Afin de régler une signature existante, sélectionnez-la et complétez ces étapes :

    1. Cliquez sur Modifier pour ouvrir la boîte de dialogue Modifier la signature.

    2. Vérifiez les valeurs des paramètres et modifiez la valeur de tous les paramètres à régler.

      Remarque : Pour sélectionner plusieurs actions d'événement, maintenez la touche Ctrl enfoncée.

    3. Sous Status, sélectionnez Yes pour activer la signature.

      Remarque : la signature doit être activée pour que le capteur détecte activement l'attaque spécifiée par la signature.

    4. Sous Status, spécifiez si cette signature est retirée. Cliquez sur Non pour activer la signature. Ceci place la signature dans le moteur.

      Remarque : Une signature doit être activée pour que le capteur puisse détecter activement l'attaque spécifiée par la signature.

      Remarque : Cliquez sur Annuler pour annuler vos modifications et fermer la boîte de dialogue Modifier la signature.

    5. Click OK.

      La signature modifiée apparaît maintenant dans la liste dont le type est réglé.

      Remarque : si vous souhaitez annuler vos modifications, cliquez sur Réinitialiser.

  5. Cliquez sur Apply pour appliquer vos modifications et enregistrer la configuration révisée.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
07-Apr-2007
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits