Chaque règle de texte standard et règle d’objet partagé possède un en-tête de règle contenant des paramètres et des arguments. La figure suivante illustre les parties d’un en-tête de règle :

Le tableau suivant décrit chaque partie de l’en-tête de règle ci-dessus.

Remarque

L'exemple précédent utilise des variables par défaut, comme la plupart des règles de prévention des intrusions.

Lorsque vous élaborez une règle de texte standard, vous pouvez inclure des informations contextuelles qui décrivent la vulnérabilité que la règle détecte dans les tentatives d’exploitation. Vous pouvez également inclure des références externes aux bases de données de vulnérabilités et définir la priorité de l’événement dans votre organisation. Lorsque les analystes observent l’événement, ils disposent alors d’informations sur la priorité, l’exploitation et les mesures d’atténuation connues.

Message

Vous pouvez spécifier du texte significatif qui s’affiche comme message lorsque la règle se déclenche. Le message donne un aperçu immédiat de la nature de la vulnérabilité que la règle détecte les tentatives d’exploitation. Vous pouvez utiliser n’importe quel caractère ASCII standard imprimé, à l’exception des accolades ({}). Le système supprime les guillemets qui entourent complètement le message.

Astuces

Vous devez spécifier un message de règle. En outre, le message ne peut pas contenir d’espaces blancs, d’un ou de plusieurs guillemets seulement, d’une ou de plusieurs apostrophes seulement ou d’une combinaison d’espaces, de guillemets ou d’apostrophes.

Pour définir le message d’événement dans l’éditeur de règles de prévention des intrusions, saisissez le message d’événement dans le champ Message.

Classification

Pour chaque règle, vous pouvez spécifier une classification d’attaque qui apparaît dans l’affichage de paquets de l’événement. Le tableau suivant dresse la liste du nom et du numéro pour chaque classification.

Classification personnalisée

Si vous souhaitez un contenu plus personnalisé pour la description de l’affichage de paquet des événements générés par une règle que vous définissez, vous pouvez créer une classification personnalisée.

Priorité personnalisée

Par défaut, la priorité d’une règle découle de la classification d’événement pour la règle. Cependant, vous pouvez remplacer la priorité de classification d’une règle en ajoutant le mot-clé priority à la règle et en sélectionnant une priorité élevée, moyenne ou faible. Par exemple, pour attribuer une priorité élevée à une règle qui détecte les attaques d’applications Web, ajoutez le mot-clé priority à la règle et sélectionnez high comme priorité.

Référence personnalisée

Vous pouvez utiliser le mot-clé reference pour ajouter des références à des sites Web externes et des informations supplémentaires sur l’événement. L’ajout d’une référence fournit aux analystes une ressource immédiatement disponible pour les aider à déterminer pourquoi le paquet a déclenché une règle. Le tableau suivant répertorie certains des systèmes externes qui peuvent fournir des données sur les exploits et les attaques connus.

bugtraq

8550

cve

2020-9607

mcafee

98574

url

www.example.com?exploit=14

msb

MS11-082

nessus

10039

secure-url

intranet/exploits/exploit=14

Vous spécifiez une référence en saisissant une valeur de référence, comme suit :

id_system,id

où id_system est le système utilisé comme préfixe et id est le numéro d'ID CVE, l'ID d'Arachnides ou l'URL (sans http://).

Par exemple, pour préciser le problème d’Adobe Acrobat et de Reader documenté dans CVE-2020-9607, saisissez la valeur :

cve,2020-9607

Tenez compte des éléments suivants lors de l’ajout de références à une règle :

• N'utilisez pas d'espace après la virgule.

• N’utilisez pas de lettres majuscules dans l’ID système.

Votre filtre peut inclure des mots-clés spéciaux et leurs arguments, des chaînes de caractères et des chaînes de caractères littéraux entre guillemets, des espaces séparant plusieurs conditions de filtre. Un filtre ne peut pas inclure d’expressions régulières, de caractères génériques ni d’opérateur spécial tel qu’un caractère de négation (!), un symbole supérieur à (>), inférieur à (|), etc.

Tous les mots-clés, arguments de mots-clés et chaînes de caractères sont insensibles à la casse. À l’exception des mots-clés gid et sid, tous les arguments et toutes les chaînes sont traités comme des chaînes partielles. Les arguments pour gid et sid renvoient uniquement des correspondances exactes.

Vous pouvez développer un dossier sur la page d’origine non filtrée et le dossier reste développé lorsque le filtre suivant renvoie des correspondances dans ce dossier. Cela peut être utile lorsque la règle que vous souhaitez trouver se trouve dans un dossier qui contient un grand nombre de règles.

Vous ne pouvez pas limiter un filtre à un filtre ultérieur. Tout filtre que vous saisissez effectue une recherche dans l’ensemble de la base de données des règles et renvoie toutes les règles correspondantes. Lorsque vous saisissez un filtre alors que la page affiche toujours le résultat d’un filtre précédent, la page s’efface et renvoie le résultat du nouveau filtre à la place.

Vous pouvez utiliser les mêmes fonctionnalités avec des règles dans une liste filtrée ou non filtrée. Par exemple, vous pouvez modifier les règles d’une liste filtrée ou non filtrée sur la page de l’éditeur de règles de prévention des intrusions. Vous pouvez également utiliser l’une des options du menu contextuel de la page.

Astuces

Le filtrage peut prendre beaucoup plus de temps lorsque le total combiné des règles de tous les sous-groupes est important, car les règles apparaissent dans plusieurs catégories, même lorsque le nombre total de règles uniques est beaucoup plus petit.

Chaque filtre de règle peut inclure un ou plusieurs mots-clés au format :

keyword:argument

où mot-clé est l’un des mots-clés dans le tableau suivant et paramètre est une chaîne alphanumérique unique, insensible à la casse, à rechercher dans le champ spécifique ou les champs pertinents pour le mot-clé.

Les arguments pour tous les mots-clés, à l’exception de gid et sid, sont traités comme des chaînes partielles. Par exemple, l’argument 123 renvoie "12345", "41235", "45123", et ainsi de suite. Les arguments de gid et sid ne renvoient que des correspondances exactes; par exemple, sid:3080 renvoie uniquement le SID 3080.

Astuces

Vous pouvez rechercher un SID partiel en le filtrage avec une ou plusieurs chaînes de caractères.

Le tableau suivant décrit les mots-clés et les arguments de filtrage que vous pouvez utiliser pour filtrer les règles.

arachnids

arachnids:181

bugtraq

bugtraq:2120

cve

cve:2003-0109

gid

gid:3

mcafee

mcafee:10566

msg

msg:chat

nessus

nessus:10737

ref

ref:MS03-039

sid

sid:235

url

url:faqs.org

Chaque filtre de règle peut inclure une ou plusieurs chaînes de caractères alphanumériques. Les chaînes de caractères recherchent le champ de message de règle, ID de Snort (SID) et l’ID de générateur (GID). Par exemple, la chaîne 123 renvoie les chaînes "lotus123", "123Mania"et ainsi de suite dans le message de règle, et renvoie également SID 6123, SID 12375, etc.

Toutes les chaînes de caractères sont insensibles à la casse et sont traitées comme des chaînes partielles. Par exemple, les chaînes ADMIN, admin ou Admin renvoient "admin", "CFADMIN", "Administrator", etc.

Vous pouvez mettre des chaînes de caractères entre guillemets pour renvoyer les correspondances exactes. Par exemple, la chaîne littérale "overflow attempt" entre guillemets ne renvoie que cette chaîne exacte, tandis qu’un filtre composé des deux chaînes overflow et attempt sans guillemets renvoie "overflow attempt, "overflow multipacket attempt", "overflow with evasion attempt", et ainsi de suite.

Vous pouvez affiner les résultats du filtre en saisissant n’importe quelle combinaison de mots-clés, de chaînes de caractères ou des deux, séparés par des espaces. Le résultat inclut toute règle correspondant à toutes les conditions de filtre.

Vous pouvez saisir plusieurs conditions de filtre dans n’importe quel ordre. Par exemple, chacun des filtres suivants renvoie les mêmes règles :

• url:at login attempt cve:200

• login attempt cve:200 url:at

• login cve:200 attempt url:at

Utilisez le mot-clé content ou protected_content pour préciser le contenu que vous souhaitez détecter dans un paquet.

Vous devez presque toujours faire suivre un mot-clé content ou protected_content par des modificateurs qui indiquent où le contenu doit être recherché, si la recherche est sensible à la casse et d’autres options.

Notez que toutes les correspondances de contenu doivent être vraies pour que la règle déclenche un événement, c’est-à-dire que chaque correspondance de contenu entretient une relation ET avec les autres.

Notez également que, dans un déploiement en ligne, vous pouvez configurer des règles qui correspondent au contenu malveillant, puis le remplacer par votre propre chaîne de texte de longueur égale.

contenu

Lorsque vous utilisez le mot-clé content, le moteur de règles recherche cette chaîne dans la charge utile ou le flux du paquet. Par exemple, si vous saisissez /bin/sh comme valeur pour l’un des mots-clés content, le moteur de règles recherche dans la charge utile du paquet la chaîne /bin/sh.

Mettez en correspondance le contenu à l’aide d’une chaîne ASCII, d’un contenu hexadécimal (code d’octet binaire) ou d’une combinaison des deux. Entourez le contenu hexadécimal d’une barre verticale (|) dans la valeur du mot-clé. Par exemple, vous pouvez combiner du contenu hexadécimal et du contenu ASCII en utilisant quelque chose qui ressemble à |90C8 C0FF FFFF|/bin/sh.

Vous pouvez spécifier plusieurs correspondances de contenu dans une seule règle. Pour ce faire, utilisez des instances supplémentaires du mot-clé de content. Pour chaque correspondance de contenu, vous pouvez indiquer que des correspondances de contenu doivent être trouvées dans la charge utile ou le flux du paquet pour que la règle se déclenche.

Mise en garde

Vous pouvez invalider votre politique de prévention des intrusions si vous créez une règle qui comprend un seul mot-clé de content et que l’option Non est sélectionnée pour ce mot-clé.

protected_content

Le mot-clé protected_content vous permet de coder la chaîne de contenu de votre recherche avant de configurer l'argument de règle. L’auteur de la règle d’origine utilise une fonction de hachage (SHA-512, SHA-256 ou MD5) pour encoder la chaîne avant de configurer le mot-clé.

Lorsque vous utilisez le mot-clé protected_content au lieu du mot-clé content, il n’y a aucun changement à la façon dont le moteur de règles recherche cette chaîne dans la charge utile ou le flux de paquet et la plupart des options de mots-clés fonctionnent comme prévu. Le tableau suivant résume les exceptions, pour lesquelles les options de mot-clé protected_content différent des options de mot-clé de content.

Cisco vous recommande d’inclure au moins un mot-clé de content dans les règles qui incluent un mot-clé protected_content pour s’assurer que le moteur de règles utilise l’analyseur de schéma rapide, ce qui accélère la vitesse de traitement et améliore les performances. Placez le mot-clé content avant le mot-clé protected_content dans la règle. Notez que le moteur de règles utilise la correspondance de modèle rapide lorsqu’une règle comprend au moins un mot-clé de content, que vous ayez ou non activé l’argument Use Fast Pattern Matcher (Utiliser un outil de recherche de motifs rapide) pour le mot-clé de content.

Mise en garde

Vous pouvez invalider votre politique de prévention des intrusions si vous créez une règle qui comprend un seul mot-clé protected_content et que l’option Non est sélectionnée pour ce mot-clé.

Vous pouvez utiliser le mot-clé replace dans un déploiement en ligne pour remplacer le contenu spécifié ou pour remplacer le contenu dans le trafic SSL détecté par le Cisco SSL Appliance.

Pour utiliser le mot-clé replace, créez une règle de texte standard personnalisée qui utilise le mot-clé content pour rechercher une chaîne spécifique. Utilisez ensuite le mot-clé replace pour spécifier une chaîne pour remplacer le contenu. La valeur de remplacement et la valeur de contenu doivent être de même longueur.

Remarque

Vous ne pouvez pas utiliser le mot-clé replace pour remplacer le contenu haché dans un mot-clé protected_content.

Vous pouvez également mettre la chaîne de remplacement entre guillemets pour assurer la compatibilité ascendante avec les versions précédentes du logiciel du système Firepower. Si vous n’incluez pas de guillemets, ils sont ajoutés à la règle automatiquement pour que la syntaxe de la règle soit correcte. Pour inclure un guillemet de début ou de fin dans le texte de remplacement, vous devez utiliser une barre oblique inverse pour le sortir, comme le montre l’exemple suivant :

"replacement text plus \"quotation\" marks""

Une règle peut contenir plusieurs mots-clés de replace, mais un seul par mot-clé content. Seule la première instance du contenu trouvé par la règle est remplacée.

Voici des exemples d’utilisation du mot-clé replace :

• Si le système détecte un paquet entrant qui contient un exploit, vous pouvez remplacer la chaîne malveillante par une autre sans danger. Parfois, cette technique réussit mieux que la simple suppression du paquet fautif. Dans certains scénarios d’attaque, l’agresseur renvoie simplement le paquet abandonné jusqu’à ce qu’il contourne les défenses de votre réseau ou qu’il inonde votre réseau. En remplaçant les chaînes par une autre plutôt que d’abandonner le paquet, vous pouvez tromper l’agresseur en lui faisant croire que l’attaque a été lancée contre une cible qui n’était pas vulnérable.

• Si vous êtes confronté à des attaques de reconnaissance qui tentent de savoir si vous utilisez une version vulnérable, par exemple d’un serveur Web, vous pouvez détecter le paquet sortant et remplacer la bannière par votre propre texte.

Remarque

Assurez-vous d’avoir défini l’état de la règle sur Générer des événements dans la politique de prévention des intrusions en ligne où vous souhaitez utiliser la règle de remplacement; définir la règle sur Drop (abandonner) et générer des événements entraînerait l’abandon du paquet, ce qui empêcherait le remplacement du contenu.

Dans le cadre du processus de remplacement de chaîne, le système met à jour automatiquement les sommes de contrôle des paquets afin que l’hôte de destination puisse recevoir le paquet sans erreur.

Notez que vous ne pouvez pas utiliser le mot-clé replace en combinaison avec les options de mot-clé content de message de requête HTTP.

Le mot-clé byte_jump calcule le nombre d'octets définis dans un segment d'octets spécifié, puis saute ce nombre d'octets dans le paquet, soit en avant de la fin du segment d'octets spécifié, ou du début ou de la fin du paquet de charge, ou de un point par rapport à la dernière correspondance de contenu, selon les options que vous spécifiez. Il est utile dans les paquets où un segment spécifique d’octets décrit le nombre d’octets inclus dans les données variables au sein du paquet.

Le tableau suivant décrit les arguments requis par le mot-clé byte_jump.

Le tableau suivant décrit les options que vous pouvez utiliser pour définir comment le système interprète les valeurs que vous avez spécifiées pour les arguments requis.

Vous ne pouvez spécifier qu’un seul élément parmi DCE/RPC, Endian ou Number Type.

Si vous souhaitez définir comment le mot-clé byte_jump calcule les octets, vous pouvez choisir parmi les arguments décrits dans le tableau suivant. Si vous ne sélectionnez pas d’argument de classement des octets, le moteur de règles utilise l’ordre des octets au format big endian.

Définissez la façon dont le système affiche les données de chaîne dans un paquet à l’aide de l’un des arguments du tableau suivant.

Par exemple, si les valeurs que vous définissez pour byte_jump sont les suivantes :

• Octets = 4

• Décalage = 12

• Relatif activé

• Alignement activé

le moteur de règles calcule le nombre décrit dans les quatre octets qui apparaissent 13 octets après la dernière correspondance de contenu réussie et saute ce nombre d’octets dans le paquet. Par exemple, si les quatre octets calculés dans un paquet spécifique étaient 00 00 00 1F, le moteur de règles le convertirait en 31. Comme align est spécifié (qui demande au moteur de se déplacer à la prochaine limite de 32 bits), le moteur de règles saute 32 octets dans le paquet.

Par ailleurs, si les valeurs que vous définissez pour byte_jump sont les suivantes :

• Octets = 4

• Décalage = 12

• À partir du début activé

• Multiplicateur = 2

le moteur de règles calcule le nombre décrit dans les quatre octets qui apparaissent 13 octets après le début du paquet. Ensuite, le moteur multiplie ce nombre par deux pour obtenir le nombre total d’octets à ignorer. Par exemple, si les quatre octets calculés dans un paquet spécifique étaient 00 00 00 1F, le moteur de règles les convertirait en 31, puis les multiplie par deux pour obtenir 62. Comme l’appel du début est activé, le moteur de règles ignore les 63 premiers octets du paquet.

Le mot-clé byte_test teste le segment d’octets spécifié en fonction de l’argument Value et de son opérateur.

Le tableau suivant décrit les arguments requis pour le mot-clé byte_test.

Vous pouvez définir plus en détail comment le système utilise les arguments byte_test avec les arguments décrits dans le tableau suivant.

Vous ne pouvez spécifier qu’un seul élément parmi DCE/RPC, Endian ou Number Type.

Pour définir comment le mot-clé byte_test calcule les octets qu’il teste, choisissez parmi les arguments du tableau suivant. Si vous ne sélectionnez pas d’argument de classement des octets, le moteur de règles utilise l’ordre des octets au format big endian.

Vous pouvez définir la façon dont le système affiche les données de chaîne dans un paquet en utilisant l’un des arguments du tableau suivant.

Par exemple, si la valeur de byte_test est spécifiée comme suit :

• Octets = 4

• Opérateur et valeur > 128

• Offset = 8

• Relatif activé

Le moteur de règles calcule le nombre décrit dans les quatre octets qui apparaissent à 9 octets de (par rapport à) la dernière correspondance de contenu réussie et, si le nombre calculé est supérieur à 128 octets, la règle est déclenchée.

Vous pouvez utiliser le mot-clé byte_extract pour lire un nombre spécifié d’octets d’un paquet dans une variable. Vous pouvez ensuite utiliser la variable ultérieurement dans la même règle comme valeur pour des arguments spécifiques dans certains autres mots-clés de détection.

Cela est utile, par exemple, pour extraire la taille des données de paquets où un segment spécifique d’octets décrit le nombre d’octets inclus dans les données du paquet. Par exemple, un segment spécifique d’octets pourrait indiquer que les données qui suivent comprennent quatre octets; vous pouvez extraire la taille de données de quatre octets pour les utiliser comme valeur de variable.

Vous pouvez utiliser byte_extract pour créer simultanément jusqu’à deux variables distinctes dans une règle. Vous pouvez redéfinir une variable byte_extract autant de fois que nécessaire; la saisie d’un nouveau mot-clé byte_extract avec le même nom de variable et une définition de variable différente remplace la définition précédente de cette variable.

Le tableau suivant décrit les arguments requis par le mot-clé byte_extract.

Pour définir plus précisément comment le système localise les données à extraire, vous pouvez utiliser les arguments décrits dans le tableau suivant.

Vous ne pouvez spécifier qu’un seul élément parmi DCE/RPC, Endian ou Number Type.

Pour définir comment le mot-clé byte_extract calcule les octets qu’il teste, vous pouvez choisir parmi les arguments du tableau suivant. Si vous ne sélectionnez pas d’argument de classement des octets, le moteur de règles utilise l’ordre des octets au format big endian.

Vous pouvez spécifier un type de numéro pour lire les données sous forme de chaîne ASCII. Pour définir la façon dont le système affiche les données de chaîne dans un paquet, vous pouvez sélectionner l’un des arguments dans le tableau suivant.

Par exemple, si la valeur de byte_extract est spécifiée comme suit :

• Bytes to Extract = 4

• Nom de variable

• Offset = 8

• Relative = enabled

le moteur de règles lit le nombre décrit dans les quatre octets qui apparaissent à 9 octets de la dernière correspondance de contenu réussie dans une variable nommée var, que vous pouvez spécifier ultérieurement dans la règle comme valeur pour certains arguments de mots clés.

Le tableau suivant répertorie les arguments de mot-clé dans lesquels vous pouvez préciser une variable définie dans le mot-clé byte_extract.

Le mot-clé byte_math effectue une opération mécanique sur une valeur extraite et une valeur spécifiée ou une variable existante, et stocke le résultat dans une nouvelle variable résultante. Vous pouvez ensuite utiliser la variable résultante comme arguments dans d’autres mots-clés.

Vous pouvez utiliser plusieurs mots-clés byte_math dans une règle pour effectuer plusieurs opérations byte_math.

Le tableau suivant décrit les arguments requis par le mot-clé byte_math.

Le tableau suivant décrit les options que vous pouvez utiliser pour définir comment le système interprète les valeurs que vous avez spécifiées pour les arguments requis.

Vous ne pouvez spécifier qu’un seul élément parmi DCE/RPC, Endian ou Number Type.

Si vous souhaitez définir comment le mot-clé byte_math calcule les octets, vous pouvez choisir parmi les arguments décrits dans le tableau suivant. Si vous ne sélectionnez pas d’argument de classement des octets, le moteur de règles utilise l’ordre des octets au format big endian.

Définissez la façon dont le système affiche les données de chaîne dans un paquet à l’aide de l’un des arguments du tableau suivant.

Par exemple, si les valeurs que vous définissez pour byte_math sont les suivantes :

• Octets = 2

• Décalage = 0

• Opérateur = *

• RValue = hauteur

• Variable de résultat = zone

le moteur de règles extrait le nombre décrit dans les deux premiers octets du paquet et le multiplie par RValue (qui utilise la variable existante, hauteur) pour créer la nouvelle variable zone.

Vous pouvez utiliser le mot-clé metadata (métadonnées) pour ajouter vos propres informations descriptives à une règle. Vous pouvez également utiliser le mot-clé métadonnées avec des arguments de service pour identifier les applications et les ports dans le trafic réseau. Vous pouvez utiliser les informations que vous ajoutez pour organiser ou identifier les règles de la manière qui vous convient. Vous pouvez rechercher dans les règles les informations que vous ajoutez et les arguments de service.

Le système valide les métadonnées en fonction du format de l’argument :

key value

où key (clé) et value (valeur) fournissent une description combinée séparée par une espace. Il s’agit du format utilisé par Talos Intelligence Group pour ajouter des métadonnées aux règles fournies par Cisco.

Vous pouvez également utiliser le format :

key = value

Par exemple, vous pouvez utiliser le format de valeur de clé pour identifier les règles par auteur et date, en utilisant une catégorie et une sous-catégorie comme suit :

author SnortGuru_20050406

Vous pouvez utiliser plusieurs mots-clés metadata (métadonnées) dans une règle. Vous pouvez également utiliser des virgules pour séparer plusieurs arguments valeur de clé dans un seul mot-clé métadonnées, comme le montre l’exemple suivant :

author SnortGuru_20050406, revised_by SnortUser1_20050707,

revised_by SnortUser2_20061003, 

revised_by SnortUser1_20070123

Vous n’êtes pas limité à utiliser un format key value ou key =value Cependant, vous devez être conscient des limites résultant de la validation basée sur ces formats.

Caractères restreints à éviter

Notez les restrictions suivantes concernant les caractères :

• N’utilisez pas de point-virgule (;) ni de deux-points (:).

• Le système interprète une virgule comme séparateur pour plusieurs arguments valeur de key value ou key =value . Par exemple :

  key value ,key value ,key value

• Le système interprète le signe égal (=) ou l'espace comme un séparateur entre la clé et la valeur . Par exemple :

  key value

  key =value

Tous les autres caractères sont autorisés.

Métadonnées réservées à éviter

Évitez d’utiliser les mots suivants dans un mot-clé de métadonnées, comme arguments uniques ou comme clé dans un paramètre clé-valeur  : ceux-ci sont réservés à l’usage de Talos :

application
engine
impact_flag
os
policy
rule-type
rule-flushing
soid

Remarque

Communiquez avec le service d’assistance pour obtenir de l’aide sur l’ajout de métadonnées restreintes aux règles locales qui pourraient ne pas fonctionner comme prévu.

Niveau d’incidence 1

Vous pouvez utiliser l’argument de valeur de clé réservée suivant dans un mot-clé de métadonnées :

impact_flag red

Cet argument clé-valeur définit l’indicateur d’impact à rouge (niveau 1) pour une règle locale que vous importez ou une règle personnalisée que vous créez à l’aide de l’éditeur de règles de prévention des intrusions.

Notez que lorsque Talos inclut l'argument impact_flag_red dans une règle fournie par Cisco, Talos a déterminé qu'un paquet déclenchant la règle indique que l’hôte source ou de destination est potentiellement altéré par un virus, un cheval de Troie ou un autre logiciel malveillant.

Vous pouvez utiliser des mots-clés pour identifier d’éventuelles attaques ou violations de la politique de sécurité dans les en-têtes IP des paquets.

fragbits

Le mot-clé fragbits inspecte le fragment et les bits réservés dans l’en-tête IP. Vous pouvez vérifier chaque paquet pour le bit réservé, le bit Plus de fragments et le bit Ne pas fragmenter dans n’importe quelle combinaison.

Pour affiner davantage une règle à l’aide du mot-clé fragbits, vous pouvez spécifier n’importe quel opérateur décrit dans le tableau suivant après la valeur de l’argument dans la règle.

Par exemple, pour générer un événement pour des paquets dont le bit réservé est activé (et éventuellement d’autres bits), utilisez R+ comme valeur fragbits.

ID

Le mot-clé id teste le champ d’identification de fragment d’en-tête IP par rapport à la valeur que vous spécifiez dans l’argument du mot-clé. Certains outils et analyseurs de déni de service définissent ce champ à un numéro spécifique qui est facile à détecter. Par exemple, dans SID 630, qui détecte un balayage de ports Synscan, la valeur id est 39426, la valeur statique utilisée comme numéro d’ID dans les paquets transmis par l’analyseur.

Remarque

les valeurs des arguments de l’id doivent être numériques.

ipopts

Le mot-clé IPopts vous permet de rechercher des paquets pour des options d’en-tête IP spécifiées. Le tableau suivant répertorie les valeurs d’arguments disponibles.

Les analystes surveillent le plus souvent un routage source strict et souple, car ces options peuvent être le signe d’une adresse IP source usurpée.

ip_proto

Le mot-clé ip_proto vous permet d’identifier les paquets avec le protocole IP spécifié comme valeur de mot-clé. Vous pouvez spécifier les protocoles IP sous la forme d’un nombre, de 0 à 255. Vous pouvez combiner ces nombres avec les opérateurs suivants : <, >, ou !. Par exemple, pour inspecter le trafic avec un protocole autre que ICMP, utilisez !1 comme valeur pour le mot-clé ip_proto. Vous pouvez également utiliser le mot-clé ip_proto plusieurs fois dans une seule règle; notez, cependant, que le moteur de règles interprète plusieurs instances du mot-clé comme ayant une relation boolienne AND. Par exemple, si vous créez une règle contenant ip_proto:!3; ip_proto:!6, la règle ignore le trafic utilisant le protocole GGP ET le protocole TCP.

Type de service (tos)

Certains réseaux utilisent la valeur du type de service (ToS) pour établir la priorité pour les paquets circulant sur ce réseau. Le mot-clé tos vous permet de tester la valeur ToS de l’en-tête IP du paquet par rapport à la valeur que vous avez spécifiée en tant qu’argument du mot-clé. Les règles utilisant le mot-clé tos se déclencheront sur les paquets dont les conditions de service sont définies sur la valeur spécifiée et qui répondent aux autres critères définis dans les règles.

Remarque

Les valeurs d’argument pour les tos doivent être numériques.

Le champ ToS a été obsolète dans le protocole d’en-tête IP et remplacé par le champ DSCP (Differentiated Services Code Point).

ttl

La valeur de la durée de vie (ttl) d’un paquet indique combien de sauts il peut effectuer avant d’être abandonné. Vous pouvez utiliser le mot-clé ttl pour tester la valeur ttl de l’en-tête IP du paquet par rapport à la valeur, ou à la plage de valeurs, que vous spécifiez en tant qu’argument du mot-clé. Il peut être utile de définir le paramètre du mot-clé ttl sur une valeur faible telle que 0 ou 1, car les valeurs de durée de vie faibles indiquent parfois un Traceroute ou une tentative d’évitement de prévention des intrusions. (Notez, cependant, que la valeur appropriée pour ce mot-clé dépend du positionnement de votre périphérique géré et de la topologie de votre réseau.) Utilisez la syntaxe suivante :

• Utilisez un entier compris entre 0 et 255 pour définir une valeur spécifique pour la valeur TTL. Vous pouvez également faire précéder la valeur du signe égal (=) (par exemple, vous pouvez spécifier 5 ou =5).

• Utilisez un tiret (-) pour spécifier une plage de valeurs TTL (par exemple, 0-2 spécifie toutes les valeurs de 0 à 2, -5 toutes les valeurs de 0 à 5 et 5-, toutes les valeurs de 5 à 255).

• Utilisez le signe supérieur à (>) pour spécifier des valeurs TTL supérieures à une valeur spécifique (par exemple, >3 spécifie toutes les valeurs supérieures à 3).

• Utilisez les signes supérieur à et égal à (>=) pour spécifier les valeurs TTL supérieures ou égales à une valeur spécifique (par exemple, >=3 spécifie toutes les valeurs supérieures ou égales à 3).

• Utilisez le signe inférieur à (<) pour spécifier des valeurs TTL inférieures à une valeur spécifique (par exemple, <3 spécifie toutes les valeurs inférieures à 3).

• Utilisez les signes inférieur à et égal à (<=) pour spécifier des valeurs TTL inférieures ou égales à une valeur spécifique (par exemple, <=3 spécifie toutes les valeurs inférieures ou égales à 3).

Le système Firepower prend en charge les mots-clés que vous pouvez utiliser pour identifier les attaques et les violations de la politique de sécurité dans les en-têtes des paquets ICMP. Notez, cependant, qu’il existe des règles prédéfinies qui détectent la plupart des types et des codes ICMP. Envisagez d'activer une règle existante ou de créer une règle locale basée sur une règle existante; vous pourrez peut-être trouver une règle qui répond à vos besoins plus rapidement que si vous élaboriez une règle ICMP de toutes pièces.

icmp_id and icmp_seq

L’identification ICMP et les numéros de séquence permettent d’associer les réponses ICMP aux requêtes ICMP. Dans le trafic normal, ces valeurs sont affectées dynamiquement aux paquets. Certains programmes de canal secret et de déni de serveur distribué (DDoS) utilisent un ID ICMP statique et des valeurs de séquence. Les mots-clés suivants vous permettent d'identifier les paquets ICMP avec des valeurs statiques.

itype

Utilisez le mot-clé itype pour rechercher les paquets avec des valeurs de type de message ICMP spécifiques. Vous pouvez spécifier une valeur de type ICMP valide ou non valide pour tester les différents types de trafic. Par exemple, les attaquants peuvent définir les valeurs de type ICMP hors des limites pour provoquer des attaques par déni de service et par flooding.

Vous pouvez spécifier une plage pour la valeur de l’argument itype en utilisant inférieur à (|) et supérieur à (>).

Par exemple :

• <35

• >36

• 3<>55

icode

Les messages ICMP comprennent parfois une valeur de code qui fournit des détails lorsqu’une destination est inaccessible.

Vous pouvez utiliser le mot-clé icode pour identifier les paquets avec des valeurs de code ICMP spécifiques. Vous pouvez choisir de spécifier une valeur de code ICMP valide ou non valide pour tester les différents types de trafic.

Vous pouvez spécifier une plage pour la valeur d’argument icode en utilisant moins de (|) et plus de (>).

Par exemple :

• pour trouver des valeurs inférieures à 35, spécifiez <35.

• pour trouver les valeurs supérieures à 36, spécifiez >36.

• pour trouver des valeurs comprises entre 3 et 55, spécifiez 3<>55.

Astuces

Vous pouvez utiliser les mots-clés icode et itype ensemble pour identifier le trafic qui correspond aux deux. Par exemple, pour identifier le trafic ICMP qui contient un type de code ICMP Destination Unreachable avec un type de code ICMP Port Unreachable, spécifiez un mot-clé itype avec une valeur de 3 (pour Destination Unreachable) et un mot-clé icode avec une valeur de 3 (pour Port Unreachable).

Le système Firepower prend en charge les mots-clés conçus pour identifier les attaques tentées à l’aide des en-têtes TCP des paquets et de la taille des flux TCP.

ack

Vous pouvez utiliser le mot-clé ack pour comparer une valeur au numéro d’accusé de réception TCP d’un paquet. La règle se déclenche si le numéro d’accusé de réception TCP d’un paquet correspond à la valeur spécifiée pour le mot-clé ack.

Les valeurs d’argument de ack doivent être numériques.

flags

Vous pouvez utiliser le mot-clé flags pour spécifier n’importe quelle combinaison d’indicateurs TCP qui, lorsqu’ils sont définis dans un paquet inspecté, entraînent le déclenchement de la règle.

Remarque

Dans les situations où vous utilisiez traditionnellement A+ comme valeur pour flags, vous devez plutôt utiliser le mot-clé flow avec la valeur established(établi). En général, vous devez utiliser le mot-clé flow avec une valeur stateless lorsque vous utilisez des indicateurs pour vous assurer que toutes les combinaisons d’indicateurs sont détectées.

Vous pouvez vérifier ou ignorer les valeurs décrites dans le tableau suivant pour le mot-clé flag.

Lorsque vous utilisez le mot-clé flags, vous pouvez utiliser un opérateur pour indiquer comment le système effectue les correspondances avec plusieurs indicateurs. Le tableau suivant décrit ces options.

flux

Vous pouvez utiliser le mot-clé flow pour sélectionner les paquets à inspecter par une règle en fonction des caractéristiques de la session. Le mot-clé flow vous permet de préciser la direction du flux de trafic auquel une règle s’applique, en appliquant les règles au flux client ou au flux serveur. Pour préciser comment le mot-clé flow inspecte vos paquets, vous pouvez définir la direction du trafic que vous souhaitez analyser, l’état des paquets inspectés et si les paquets font partie d’un flux recréé.

L’inspection dynamique des paquets se produit lors du traitement des règles. Si vous souhaitez qu’une règle TCP ignore le trafic sans état (trafic sans contexte de session établi), vous devez ajouter le mot-clé flow à la règle et sélectionner l’argument Established pour le mot-clé. Si vous souhaitez qu’une règle UDP ignore le trafic sans état, vous devez ajouter le mot-clé flow à la règle et sélectionner l’argument Established ou un argument directionnel, ou les deux. Ainsi, la règle TCP ou UDP effectue une inspection dynamique d’un paquet.

Lorsque vous ajoutez un arguments directionnels, le moteur de règles inspecte uniquement les paquets qui ont un état établi avec un flux qui correspond à la direction spécifiée. Par exemple, si vous ajoutez le mot-clé flow avec l’argument established et l’argument from Client à une règle qui se déclenche lorsqu’une connexion TCP ou UDP est détectée, le moteur de règles inspecte uniquement les paquets envoyés par le client.

Astuces

Pour des performances maximales, incluez toujours un mot-clé de flow dans une règle TCP ou une règle de session UDP.

Le tableau suivant décrit les arguments liés au flux que vous pouvez spécifier pour le mot-clé flow :

Le tableau suivant décrit les options de direction que vous pouvez spécifier pour le mot-clé flow :

Vous constaterez que From Server et to Client remplissent la même fonction, tout comme From Server et From Client. Ces options existent pour ajouter du contexte et de la lisibilité à la règle. Par exemple, si vous créez une règle conçue pour détecter une attaque d’un serveur vers un client, utilisez From server. En revanche, si vous créez une règle conçue pour détecter une attaque du client vers le serveur, utilisez l’option From Client.

Le tableau suivant décrit les arguments liés au flux que vous pouvez spécifier pour le mot-clé flow :

Par exemple, vous pouvez utiliser To Server, Existing, Only Stream Traffic comme valeur pour le mot-clé flow afin de détecter le trafic, circulant d’un client au serveur dans une session établie, et qui a été réassemblé par le préprocesseur de flux.

seq

Le mot-clé seq vous permet de spécifier une valeur de numéro de séquence statique. Les paquets dont le numéro de séquence correspond à l’argument spécifié déclenche la règle contenant le mot-clé. Bien que ce mot-clé soit rarement utilisé, il est utile pour identifier les attaques et les analyses de réseau qui utilisent des paquets générés avec des numéros de séquence statiques.

window

Vous pouvez utiliser le mot-clé window pour préciser la taille de la fenêtre TCP qui vous intéressent. Une règle contenant ce mot-clé se déclenche chaque fois qu’elle rencontre un paquet avec la taille de fenêtre TCP spécifiée. Bien que ce mot-clé soit rarement utilisé, il est utile pour identifier les attaques et les analyses de réseau qui utilisent des paquets générés avec des tailles de fenêtre TCP statiques.

stream_size

Vous pouvez utiliser le mot-clé stream_size conjointement avec le préprocesseur de flux pour déterminer la taille en octets d’un flux TCP, en utilisant le format :

direction,operator,bytes

où octets est le nombre d’octets. Vous devez séparer chaque option de l’argument par une virgule (,).

Le tableau suivant décrit les options directionnelles non sensibles à la casse que vous pouvez spécifier pour le mot-clé stream_size :

Le tableau suivant décrit les opérateurs que vous pouvez utiliser avec le mot-clé stream_size :

Par exemple, vous pouvez utiliser client, >=, 5001216 comme paramètre du mot-clé stream_size afin de détecter un flux TCP circulant d’un client à un serveur et supérieur ou égal à 5001216 octets.

Vous pouvez utiliser le mot-clé stream_reassemble pour activer ou désactiver le réassemblage du flux TCP pour une seule connexion lorsque le trafic inspecté sur la connexion correspond aux conditions de la règle. Vous pouvez également utiliser ce mot-clé plusieurs fois dans une règle.

Utilisez la syntaxe suivante pour activer ou désactiver le réassemblage du flux :

enable|disable, server|client|both, option, option

Le tableau suivant décrit les arguments facultatifs que vous pouvez utiliser avec le mot-clé stream_reassemble.

Par exemple, la règle suivante désactive le réassemblage du flux TCP côté client sans générer d’événement sur la connexion, où un code d’état 200 OK est détecté dans une réponse HTTP :

alert tcp any 80 -> any any (flow:to_client, established; content: “200 OK”; 
stream_reassemble:disable, client, noalert

Vous pouvez utiliser des mots-clés de règles SSL pour appeler le préprocesseur du protocole SSL (Secure sockets Layer) et extraire des informations sur la version SSL et l’état de la session des paquets d’une session chiffrée.

Lorsqu’un client et un serveur communiquent pour établir une session chiffrée à l’aide de SSL ou de Transport Layer Security (TLS), ils échangent des messages d’établissement de liaison. Bien que les données transmises au cours de la session soient chiffrées, les messages d’établissement de liaison ne le sont pas.

Le préprocesseur SSL extrait les informations d’état et de version de champs d’établissement de liaison spécifiques. Deux champs dans l’établissement de liaison indiquent la version de SSL ou TLS utilisée pour chiffrer la session et l’étape de l’établissement de liaison.

ssl_state

Le mot-clé ssl_state peut être utilisé pour la mise en correspondance avec les informations d’état pour une session chiffrée. Pour vérifier deux versions SSL ou plus utilisées simultanément, utilisez plusieurs mots-clés ssl_version dans une règle.

Lorsqu’une règle utilise le mot-clé ssl_state, le moteur de règles fait appel au préprocesseur SSL pour vérifier le trafic à la recherche d’informations sur l’état SSL.

Par exemple, pour détecter la tentative d’un attaquant de provoquer un débordement de la mémoire tampon sur un serveur en envoyant un message ClientHello avec une longueur de défi trop longue et trop de données, vous pouvez utiliser le mot-clé ssl_state avec client_hello comme argument, puis vérifier les paquets anormalement volumineux.

Utilisez une liste séparée par des virgules pour spécifier plusieurs arguments pour l'état SSL. Lorsque vous dressez la liste de plusieurs arguments, le système les évalue à l'aide de l'opérateur OU. Par exemple, si vous spécifiez client_hello et server_hello comme arguments, le système évalue la règle par rapport au trafic qui comporte un client_hello OU un server_hello.

Vous pouvez également annuler n’importe quel arguments. Par exemple :

!client_hello, !unknown

Pour s’assurer que la connexion a atteint chacun d’un ensemble d’états, plusieurs règles utilisant l’option de règle ssl_state doivent être utilisées. Le mot-clé ssl_state accepte les identifiants suivants comme arguments :

ssl_version

Le mot-clé ssl_version peut être utilisé pour la mise en correspondance avec les informations de version pour une session chiffrée. Lorsqu’une règle utilise le mot-clé ssl_version, le moteur de règles fait appel au préprocesseur SSL pour vérifier le trafic des informations sur la version SSL.

Par exemple, si vous savez qu’il existe une vulnérabilité de débordement de tampon dans SSL version 2, vous pourriez utiliser le mot-clé ssl_version avec l’argument sslv2 pour identifier le trafic utilisant cette version de SSL.

Utilisez une liste séparée par des virgules pour spécifier plusieurs arguments pour la version SSL. Lorsque vous dressez la liste de plusieurs arguments, le système les évalue à l'aide de l'opérateur OU. Par exemple, si vous souhaitez identifier le trafic chiffré qui n’utilise pas SSLv2, vous pouvez ajouter ssl_version:ssl_v3,tls1.0,tls1.1,tls1.2 à une règle. La règle évaluerait tout trafic à l’aide de SSL version 3, TLS version 1.0, TLS version 1.1 ou TLS version 1.2.

Le mot-clé ssl_version accepte les identifiants de version SSL/TLS suivants comme arguments :

Vous pouvez utiliser le mot-clé appid pour identifier le protocole d’application, l’application client ou l’application Web dans un paquet. Par exemple, vous pouvez cibler une application particulière que vous savez sensible à une vulnérabilité particulière.

Dans le mot-clé appid d’une règle de prévention des intrusions, cliquez sur Configure AppID (Configurer AppID) pour sélectionner une ou plusieurs applications que vous souhaitez détecter.

Parcourir les applications disponibles

Lorsque vous commencez à créer la condition, la liste des applications disponibles n’est pas limitée et affiche toutes les application détectées par le système, à raison de 100 par page :

• Pour faire défiler les applications, cliquez sur les flèches sous la liste.

• Pour afficher une fenêtre contextuelle contenant des renseignements sommaires sur les caractéristiques de l’application, ainsi que des liens de recherche Internet que vous pouvez suivre, cliquez sur Information () à côté d’une application.

Utilisation des filtres d'application

Pour vous aider à trouver les applications que vous souhaitez mettre en correspondance, vous pouvez limiter la liste des applications disponibles comme suit :

• Pour rechercher des applications, cliquez sur le bouton Rechercher par nom au-dessus de la liste, puis saisissez un nom. La liste est mise à jour à mesure que vous saisissez pour afficher les applications correspondantes.

• Pour restreindre les applications en appliquant un filtre, utilisez la liste Filtres d'application. La liste des applications disponibles est mise à jour à mesure que vous appliquez des filtres. Pour votre commodité, le système utilise une icône de déverrouillage pour marquer les applications que le système peut identifier uniquement dans le trafic déchiffré, et non pas chiffrés ou non chiffrés.

Remarque

Si vous sélectionnez un ou plusieurs filtres dans la liste Filtres d’applications et que vous effectuez également une recherche dans la liste des applications disponibles, vos sélections et la liste des applications disponibles filtrée par la recherche sont combinées à l’aide d’une opération AND.

Sélection des applications

Pour ne sélectionner qu’une seule application, sélectionnez-la et cliquez sur Add to Rule (Ajouter à la règle). Pour sélectionner toutes les applications dans la vue sous filtrage actuel, cliquez avec le bouton droit et sélectionnez Sélectionner tout.