Personnaliser la protection contre les intrusions de vos ressources réseau

Ce chapitre fournit un aperçu des règles recommandées par Cisco Secure Firewall ainsi que la génération et l’application des règles recommandées par Cisco Secure Firewall.

Modifications des règles Snort 3 dans les mises à jour des LSP

Lors des mises à jour régulières de Snort 3 pour le progiciel de sécurité léger (LSP), une règle de prévention des intrusions définie par le système existante peut être remplacée par une nouvelle règle de prévention des intrusions. Il est possible qu’une même règle soit remplacée par plusieurs règles ou que plusieurs règles soient remplacées par une seule règle. Cela se produit lorsqu’une meilleure détection est possible pour quelles règles sont combinées ou développées. Pour une meilleure gestion, certaines règles existantes définies par le système peuvent également être supprimées dans le cadre de la mise à jour du LSP.

Pour recevoir des notifications des modifications apportées à des règles définies par le système remplacées lors des mises à jour des LSP, assurez-vous que la case Retain user overrides for deleted Snort 3 rules (Conserver les remplacements de l’utilisateur pour les règles du Snort 3 supprimées) est cochée.

Pour accéder à la case à cocher Conserver les dérogations s’appliquant aux utilisateurs pour les règles supprimées dans Snort 3, cliquez sur Système (icône engrenage du système), puis sélectionnez Configuration > Préférences pour les politiques d’intrusion.

Par défaut, cette case est cochée. Lorsque cette case est cochée, le système conserve les remplacements de règles cliquez sur l'icône d'engrenage dans les nouvelles règles de remplacement qui sont ajoutées dans le cadre de la mise à jour du LSP. Les notifications s’affichent sous l’onglet Tâches, sous l’icône Notifications située à côté de Système (icône engrenage du système).

Présentation des règles recommandées parde Cisco Secure Firewall

Vous pouvez utiliser les règles de prévention des intrusions recommandées par Cisco pour cibler les vulnérabilités associées aux ressources hôtes détectées dans le réseau. Définir, par exemple, les systèmes d’exploitation, les serveurs et les protocoles d’applications clientes. Cela vous permet d’adapter votre politique de prévention des intrusions aux besoins spécifiques de votre réseau surveillé.

Le système formule un ensemble individuel de recommandations pour chaque politique de prévention des intrusions. Il recommande généralement des modifications d’état de règles pour les règles de texte standard et les règles d’objet partagé. Cependant, il peut également recommander des modifications pour les règles des inspecteurs et des décodeurs.

Lorsque vous générez des recommandations d'état de règles, vous pouvez utiliser les paramètres par défaut ou configurer des paramètres avancés. Les paramètres avancés vous permettent de :

  • Redéfinir les hôtes de votre réseau que le système surveille pour détecter les vulnérabilités

  • Influencer les règles recommandées par le système en fonction du surdébit des règles

  • Préciser s’il faut générer des recommandations pour désactiver les règles

Vous pouvez également choisir d’utiliser les recommandations immédiatement ou de passer en revue les recommandations (et les règles touchées) avant de les accepter.

Choisir d’utiliser les états de règles recommandés ajoute une couche de recommandations Cisco Secure en lecture seule à votre politique de prévention des intrusions, puis choisir de ne pas utiliser les états de règles recommandés supprime la couche.

Vous pouvez planifier une tâche pour générer automatiquement des recommandations en fonction des derniers paramètres de configuration enregistrés dans votre politique de prévention des intrusions.

Les états des règles du système ne modifient pas que vous définissez manuellement, tels que :

  • La définition manuelle des états de règles spécifiées avant de générer des recommandations empêche le système de modifier les états de ces règles à l’avenir.

  • La définition manuelle des états de règles spécifiées après la génération de recommandations remplace les états recommandés de ces règles.


    Astuces

    Le rapport sur les politiques de prévention des intrusions peut inclure une liste de règles avec des états de règles différents de l’état recommandé.

Lorsque vous affichez la page des règles filtrées par les recommandations, ou après avoir accédé à la page Rules (Règles) directement à partir du panneau de navigation ou de la page Policy Information (Renseignements sur les politiques), vous pouvez définir manuellement l’état des règles, trier les règles et effectuer toute autre action disponible dans la page Rules, telle que que la suppression de règles, la définition de seuils de règles, etc.


Remarque

Le Cisco Talos Intelligence Group (Talos) détermine l’état approprié de chaque règle dans les politiques fournies par le système. Si vous utilisez une politique fournie par le système comme politique de base et que vous permettez au système de définir vos règles selon l’état de règle recommandé par Cisco Secure Firewall, les règles de votre politique de prévention des intrusions correspondent aux paramètres recommandés pour vos actifs réseau.

Conditions préalables pour les politiques d’analyse de réseau et de prévention des intrusions

Pour permettre au moteur d’inspection Snort de traiter le trafic pour l’analyse des intrusions et des programmes malveillants, la licence IPS doit être activée pour le périphérique Threat Defense.

Vous devez être un utilisateur administrateur pour gérer l’analyse de réseau et les politiques de prévention des intrusions et effectuer les tâches de migration.

Générer de nouvelles recommandationsde Cisco Secure Firewall dans Snort 3

Générez les recommandations de Cisco Secure Firewall pour la politique de prévention des intrusions, puis suivez les étapes répertoriées ici pour créer les nouveaux paramètres de règle recommandés dans Snort 3. Les surcharges de règles sont interprétées comme des niveaux de sécurité basés sur les politiques de seuil que vous avez sélectionnées dans Snort 3. L’action recommandée est basée sur le niveau de sécurité sélectionné. S’il est supérieur à la politique de base, la recommandation ne se limite pas à la génération des événements.

Avant de définir les recommandations de Cisco Secure Firewall, vous devez vous demander lequel des trois points ci-dessous correspond le mieux à l’objectif visé :

  • Protection accrue : active des règles supplémentaires en fonction des vulnérabilités trouvées dans la base de données hôte et ne désactive aucune règle automatiquement. Cela entraînera probablement un ensemble de règles plus important.

  • Protection ciblée : active des règles supplémentaires et désactive les règles existantes en fonction des vulnérabilités trouvées dans la base de données hôte. Cela peut augmenter ou diminuer le nombre de règles en fonction des vulnérabilités découvertes.

  • Efficacité élevée : utilisez l'ensemble de règles actuellement activé et désactivez toutes les règles pour les vulnérabilités que l’on ne trouve pas dans la base de données hôte. Cela se traduira probablement par un ensemble de règles activées plus restreint.

En fonction de la réponse, les actions recommandées sont les suivantes :

  • Définissez les recommandations au niveau de sécurité le plus élevé suivant et décochez les règles de désactivation.

  • Définissez les recommandations au niveau de sécurité le plus élevé suivant et vérifiez les règles de désactivation.

  • Définissez les recommandations au niveau de sécurité actuel et vérifiez les règles de désactivation.

Avant de commencer

Les recommandations de CiscoSecure Firewall comportent les exigences suivantes :

  • Assurez-vous que des hôtes sont présents dans le système pour générer des recommandations.

  • Les réseaux protégés configurés pour les recommandations doivent être mappés aux hôtes présents dans le système

Procédure

Étape 1

Choisissez Politiques > Intrusion.

Étape 2

Cliquer sur le bouton de la version Snort 3 de la politique de prévention des intrusions.

Étape 3

Cliquez sur la couche Recommendations (Not in Use) pour configurer les recommandations de règles. Cliquez sur Start (Démarrer).

Dans la fenêtre Recommandations de règlesde Cisco Secure Firewall, vous pouvez définir les éléments suivants :

  • Security Level (niveau de sécurité) : cliquez pour sélectionner le niveau de sécurité. Vous pouvez éventuellement cocher la case Accept Recommendation to Disable Rules (accepter la recommandation pour désactiver les règles) pour désactiver les règles qui ne sont pas activées au niveau de sécurité d’entrée et dans les réseaux protégés. N’activez cette option que si vous devez supprimer votre ensemble de règles en raison d’un nombre élevé d’alertes ou pour améliorer les performances d’inspection. Les niveaux de sécurité sont les suivants :

    • Niveau de sécurité 1 : la connectivité prédomine sur la sécurité

      Aucune incidence : aucune nouvelle règle ne sera activée et aucune règle existante ne sera désactivée. Pour augmenter les protections, sélectionner un niveau de sécurité plus élevé.

      Sécurité inférieure (la case est cochée) : toutes les règles sont désactivées, à l’exception des règles de l’ensemble de règles Connectivité avant sécurité qui correspondent à des vulnérabilités potentielles sur les hôtes détectés. Il est plutôt recommandé d'ajuster la politique de base.

    • Niveau de sécurité 2 : équilibre entre sécurité et connectivité

      Aucune incidence : aucune nouvelle règle ne sera activée et aucune règle existante ne sera désactivée. Pour augmenter les protections, sélectionner un niveau de sécurité plus élevé.

      Efficacité accrue (la case est cochée) : conserve les règles existantes qui correspondent aux vulnérabilités potentielles sur les hôtes découverts et désactive les règles pour les vulnérabilités introuvables sur le réseau.

    • Niveau de sécurité 3 : la sécurité prime sur la connectivité

      Sécurité accrue : active des règles supplémentaires qui correspondent aux vulnérabilités potentielles des hôtes découverts, sur la base de l'ensemble de règles de détection maximale.

      Sécurité ciblée (la case est cochée) : active des règles supplémentaires qui correspondent aux vulnérabilités des hôtes découverts sur la base du jeu de règles La sécurité prime sur la connectivité, tout en désactivant les règles existantes qui ne correspondent pas aux vulnérabilités potentielles des hôtes découverts.

    • Niveau de sécurité 4 : détection maximale

      Sécurité accrue : active des règles supplémentaires qui correspondent aux vulnérabilités potentielles des hôtes découverts, sur la base du jeu de règles La sécurité prime sur la connectivité.

      Sécurité ciblée (la case est cochée) : active des règles supplémentaires qui correspondent aux vulnérabilités des hôtes découverts sur la base du jeu de règles détection maximale, tout en désactivant les règles existantes qui ne correspondent pas aux vulnérabilités potentielles des hôtes découverts.

      Remarque

       

      La détection maximale active un très grand nombre de règles et peut avoir une incidence sur la performance. Nous vous recommandons de vérifier ce paramètre et de le tester avant de le déployer dans un environnement de production.

  • Protected Networks (réseaux protégés) : spécifie les réseaux surveillés ou les hôtes individuels à examiner pour les recommandations. Vous pouvez sélectionner un ou plusieurs objets système ou réseau définis de façon personnalisée dans la liste déroulante. Par défaut, tous les réseaux IPv4 ou IPv6 sont sélectionnés, si aucune sélection n’est effectuée.

    Important

     

    Les recommandations de règles de Cisco Secure Firewall dépendent de la découverte de réseau. Les réseaux protégés s’appliquent à tous les hôtes découverts dans les plages configurées dans votre politique de découverte de réseaux. Pour la version Snort 2, consultez le chapitre Politiques de découverte du réseau dans le Guide de configuration du périphérique de Cisco Secure Firewall Management Center.

    Cliquez sur le bouton Add + (ajouter) pour créer un nouvel objet réseau de type Hôte ou Réseau et cliquez sur Enregistrer.

Étape 4

Générer et appliquer les recommandations :

  • Générer : génère les recommandations pour une politique de prévention des intrusions. Cette action répertorie les règles sous Règles recommandées (non utilisées).

  • Générer et appliquer : génère et applique les recommandations pour une politique de prévention des intrusions. Cette action répertorie les règles sous Règles recommandées (en cours d’utilisation).

Les recommandations ont été générées avec succès. Un nouvel onglet de recommandation apparaît avec toutes les règles recommandées avec leurs actions recommandées correspondantes. Des filtres d’action de règle prédéfinis sont également disponibles pour cet onglet, en plus de nouvelles recommandations.

Étape 5

Vous pouvez vérifier les recommandations, puis choisir de les appliquer en conséquence :

  • Accepter : applique les recommandations générées précédemment pour une politique de prévention des intrusions.

  • Actualiser : régénère et met à jour les recommandations de règles pour une politique de prévention des intrusions.

  • Modifier : ouvre la boîte de dialogue Recommendations, qui vous permet de fournir les valeurs d’entrée de recommandation, puis de générer les recommandations.

  • Supprimer tout : rétablit ou supprime les règles recommandées appliquées de la politique et supprime également l’onglet de recommandation.

Sous Toutes les règles, il y a une section Recommended Rules (règles recommandées) qui affiche les règles recommandées.

Remarque

 

L’action finale pour une règle de prévention des intrusions est appliquée en fonction de l’ordre de priorité des actions liées aux règles.

Remplacement de règle > Recommandations générées > Remplacement de groupe > Action par défaut de la politique de base

Pour les recommandations activées, centre de gestion considère l'état actuel : remplacements de groupes, politique de base et configurations de recommandation, et l'ordre de priorité des actions est :

réussite > blocage > refus > abandon > réécriture > alerte

Prochaine étape

Déployez les modifications de configuration; voir Déployer les modifications de configuration.