Corrélation de base
Quatre types de filtres sont disponibles. Ces types sont les suivants :
Allow All (autoriser tout) : laisse passer tous les événements.
Pattern (modèle) : toute expression générique dont la syntaxe est similaire
à celle d'une commande Grep.
Filter Manager (gestionnaire de filtres) : liste déroulante qui permet de sélectionner ou de créer un filtre.
Builder (générateur) : permet de créer des critères d'inclusion ou d'exclusion d'événements en fonction d'opérateurs booléens.
Cette règle permet de compter le nombre de fois que des conditions sont remplies sur une durée déterminée.
Par exemple, une règle de corrélation de base peut rechercher la même adresse IP source signalée cinq fois en cinq minutes, même si les événements sont signalés par des dispositifs différents, par exemple un système de détection d'intrusion et un pare-feu.
Corrélation avancée
Quatre types de filtres sont disponibles. Ces types sont les suivants :
Allow All (autoriser tout) : laisse passer tous les événements.
Pattern (modèle) : toute expression générique dont la syntaxe est similaire à celle d'une commande Grep.
Filter Manager (gestionnaire de filtres) : liste déroulante qui permet de sélectionner ou de créer un filtre.
Builder (générateur) : permet de créer des critères d'inclusion ou d'exclusion d'événements en fonction d'opérateurs booléens.
Cette règle vous permet :
de compter combien de fois des conditions sont remplies pendant une durée déterminée.
d'incorporer toutes les fonctions d'une règle de corrélation simple ainsi que de comparer tous les événements aux événements passés.
Par exemple, une règle de corrélation avancée peut rechercher des événements portant le même nom, émanant de la même adresse IP et destinés à la même adresse IP, qu'ils se soient produits à l'intérieur ou à l'extérieur du pare-feu (ce qui signifie que l'attaque a peut-être réussi à traverser le pare-feu).
Règle de corrélation RuleLg libre
Le langage de définition de règle de corrélation RuleLg vous permet de définir entièrement les règles de corrélation. L'utilisation de ce type de règle de corrélation exige un minimum de connaissances en matière de langage de définition de règle de corrélation RuleLg.
Onglet Admin
9-5
Déploiement du moteur de règles de corrélation
Pour utiliser cette fonctionnalité, vous devez disposer de l'autorisation Start/Stop Correlation
Engine (Démarrage/Arrêt du moteur de corrélation). Le moteur de corrélation peut avoir l'état activé ou désactivé. L'icône indique son état actuel.
Activé - Désactivé -
Lorsque le moteur de corrélation est activé, cela signifie qu'il est en train de traiter les dossiers de règles de corrélation.
Lorsqu'il est désactivé, toutes ses données en mémoire sont conservées et aucun nouvel événement de corrélation n'est généré. Cet état équivaut à la désactivation de tous les dossiers de règles.
La désactivation du moteur de corrélation n'a aucune incidence sur les autres parties du système.
Les événements entrants transitent toujours et remplissent la base de données Sentinel.
Importation et exportation des règles de corrélation
La fonction d'exportation permet à Sentinel de créer et d'exporter des règles de corrélation prêtes
à l'emploi que vous pouvez importer dans votre système. Il s'agit de documents XML formatés spécifiquement pour le moteur de corrélation. Ces règles prêtes à l'emploi sont conçues par Sentinel et sont disponibles depuis le portail client à l'adresse http://www.esecurityinc.com
.
Le fait de pouvoir exporter ces règles en tant que documents XML vous permet de vous appuyer sur l'aide de Novell pour la mise au point de vos règles de corrélation. L'exportation est
également utile lorsque vous exécutez Sentinel dans un environnement de production et un environnement de développement. Ainsi, vous pouvez développer et tester des règles
de corrélation dans l'environnement de développement, puis les exporter
vers l'environnement de production. Un fichier de règles de corrélation exporté porte l'extension .crf.
Rôle de la base de données lors du stockage des règles de corrélation
Lorsque vous activez le moteur de corrélation, qui est un processus serveur Sentinel, au sein du Centre de contrôle Sentinel, celui-ci demande les informations sur le déploiement et les règles auprès de la base de données. Lorsque vous modifiez et enregistrez une règle de corrélation et l'enregistrez, elle est envoyée à la base de données en vue d'être stockée. Les modifications apportées à la règle ne seront répercutées dans le moteur de corrélation que si l'une des conditions suivantes est remplie :
la règle déployée est désactivée, puis activée ;
la règle vient tout juste d'être déployée.
Lorsque vous modifiez des règles de déploiement, puis les enregistrez, elles sont transmises
à la base de données pour y être stockées ainsi que vers le moteur de corrélation qui les utilisera.
9-6
Guide de L'Utilisateur de Sentinel
Conditions logiques des règles de corrélation
Lors de la création de règles de corrélation, les conditions logiques suivantes sont utilisées. Pour plus d'informations sur les balises META, reportez-vous au Guide des références
utilisateur de Sentinel.
<
>
<=
>=
=Balise
META
!=Balise
META
<Balise
META
>Balise
META
<=Balise
META
>=Balise
META chaîne chaîne numérique numérique numérique numérique numérique chaîne numérique chaîne numérique numérique numérique numérique chaîne chaîne
à la valeur entrée. de la valeur entrée.
Le contenu de la propriété sélectionnée est inférieur
à la valeur entrée.
Le contenu de la balise META sélectionnée est supérieur de la valeur entrée.
Le contenu de la balise META sélectionnée est inférieur ou égal à la valeur entrée.
Le contenu de la balise META sélectionnée est supérieur ou égal à la valeur entrée.
Le contenu de la balise META sélectionnée dans la liste déroulante à gauche est égal au contenu de la balise
META sélectionnée à droite de l'expression.
Le contenu de la balise META sélectionnée dans la liste déroulante à gauche est différent du contenu de la balise
META sélectionnée à droite de l'expression.
Le contenu de la balise META sélectionnée dans la liste déroulante à gauche est inférieur au contenu de la balise
META sélectionnée à droite de l'expression.
Le contenu de la balise META sélectionnée dans la liste déroulante à gauche est supérieur au contenu de la balise
META sélectionnée à droite de l'expression.
Le contenu de la balise META sélectionnée dans la liste déroulante à gauche est inférieur ou égal au contenu de la balise META sélectionnée à droite de l'expression.
Le contenu de la balise META sélectionnée dans la liste déroulante à gauche est supérieur ou égal au contenu de la balise META sélectionnée à droite de l'expression. dans la chaîne. si l'adresse IP en cours de comparaison fait partie du même sous-réseau que celui spécifié dans l'opération de correspondance de sous-réseau.
Onglet Admin
9-7
Ouverture de la fenêtre Règles de corrélation
La fenêtre Règles de corrélation propose les options suivantes :
Nouveau dossier : permet de créer un nouveau dossier de règles.
Nouvelle règle : permet de créer une règle pour un dossier de règles.
Copier un dossier de règles : permet de modifier un dossier de règles ou des règles tout en préservant le dossier ou la règle d'origine.
Supprimer un dossier de règles ou une règle : vous ne pouvez pas récupérer un dossier de règles ou une règle après avoir confirmé sa suppression.
Renommer : permet de renommer une règle ou un dossier de règles.
Importer un dossier de règles : ouvre une fenêtre de navigateur.
Exporter un dossier de règles : une fenêtre de navigateur s'ouvre pour l'exportation du dossier de règles dans un fichier XML.
Modifier : permet de modifier des propriétés de règles et de dossiers et d'afficher l'aperçu de vos modifications.
Ouverture de la fenêtre Règles de corrélation
1. Cliquez sur l'onglet Admin.
Copie et création d'un dossier de règles ou d'une règle
Création d'un dossier de règles
1. Ouvrez la fenêtre Règles de corrélation
2. Sélectionnez le dossier parent qui contiendra le nouveau dossier.
3. Cliquez avec le bouton droit sur le dossier parent, puis cliquez sur Nouveau dossier.
4. Tapez le nom du dossier de règles. Ce nom, qui respecte la casse, ne doit pas dépasser 255 caractères ni comporter de point (.).
5. (Facultatif) Tapez une description, dans la limite de 1 024 caractères.
6. Cliquez sur OK.
Création d'une règle
1. Sélectionnez le dossier parent qui contiendra la nouvelle règle.
2. Cliquez avec le bouton droit sur le dossier parent, puis cliquez sur Nouvelle règle.
3. L'Assistant de règle de corrélation s'ouvre. Sélectionnez l'un des types de règles suivant :
Liste de surveillance
Corrélation de base
Corrélation avancée
RuleLg libre
REMARQUE : pour obtenir une description de chaque type de règle, reportez-vous
à la section Types des règles de corrélation
.
4. Cliquez sur Terminer.
9-8
Guide de L'Utilisateur de Sentinel
Suppression d'un dossier de règles de corrélation ou d'une règle
Suppression d'un dossier de règles de corrélation ou d'une règle
1. Ouvrez la fenêtre Règles de corrélation.
2. Sélectionnez le dossier de règles ou la règle à supprimer.
3. Cliquez avec le bouton droit sur le dossier ou la règle, puis cliquez sur Supprimer.
4. Un message de confirmation apparaît :
Oui : si vous supprimez un dossier de règles, toutes les règles qu'il contient seront
également supprimées. Vous ne pouvez pas récupérer une règle supprimée après avoir cliqué sur OK.
Non : permet de revenir à la fenêtre Règles de corrélation.
Importation ou exportation d'un dossier de règles de corrélation
Importation ou exportation d'un dossier de règles de corrélation
1. Ouvrez la fenêtre Règles de corrélation.
2. Sélectionnez un dossier de règles.
3. Cliquez avec le bouton droit sur le dossier, puis cliquez sur [Dossier de règles
d'importation ou Dossier de règles d'exportation]
Importer : un navigateur de fichiers s'ouvre. Accédez au dossier de règles
à importer, puis cliquez sur OK.
Exporter : un navigateur de fichiers s'ouvre. Accédez au périphérique cible dans lequel écrire le dossier de règles, puis cliquez sur OK. Le dossier de règles est exporté dans un fichier doté de l'extension crf.
Modification au sein de la fenêtre Corrélation
Modification d'une règle dans la fenêtre Corrélation
1. Ouvrez la fenêtre Règles de corrélation.
2. Cliquez avec le bouton droit, puis cliquez sur Éditer.
3. Modifiez la règle, puis cliquez sur Terminer.
Onglet Admin
9-9
Activation ou désactivation d'un moteur de corrélation
Activation ou désactivation d'un moteur de corrélation
1. Ouvrez la fenêtre Gestionnaire de moteurs de corrélation. puis cliquez sur Activer le moteur ou Désactiver le moteur.
Déploiement de règles de corrélation
Déploiement de règles de corrélation
1. Ouvrez la fenêtre Gestionnaire de moteurs de corrélation.
2. Cliquez avec le bouton droit (sur un dossier de la fenêtre ou sélectionnez le moteur vers lequel déployer la règle), puis cliquez sur Déployer les règles.
3. Cochez les règles à déployer. Cliquez sur OK.
9-10
Guide de L'Utilisateur de Sentinel
4. Pour démarrer la règle, vous devez la placer sous un moteur de corrélation.
REMARQUE : les règles sont prêtes au déploiement.
5. Sous le moteur de corrélation, sélectionnez la règle, cliquez avec le bouton droit sur celle-ci, puis cliquez sur Activer la règle.
Vues du serveur
Les vues du serveur vous permettent d'effectuer les opérations suivantes :
Surveiller le statut de tous les processus du serveur Sentinel sur l'intégralité du système :
à Serveur de communication
à Moteur de corrélation
à DAS_Binary
à DAS_iTrac
à DAS_Query
à DAS (RT)
à Query Manager
à RuleLg Checker
à Sonic Lock Remover
Onglet Admin
9-11
REMARQUE : sous Windows, le serveur de communication est exécuté en tant que Service Windows et, par conséquent, ne peut pas être contrôlé par le biais de la fonctionnalité de vue du serveur. Pour contrôler le serveur de communication sous
Windows, utilisez le Gestionnaire de services Windows.
Le processus Sonic Lock Remover est uniquement activé sous Windows. Lorsqu'un processus n'est pas activé sur un serveur donné, sa colonne Activé est définie à « 0 » et sa colonne État apparaît comme NON_INITIALISEE.
Démarrer, arrêter ou redémarrer les processus : ces actions peuvent être entreprises en cliquant via le bouton droit sur l'entrée de processus correspondante.
REMARQUE : les actions effectuées en cliquant avec le bouton droit ne sont pas activées pour le serveur de communication car l'arrêt de ce dernier entraînerait un perte de contact avec tous les processus.
Dans le contexte d'une vue serveur, les termes Démarrages et Redémarrages automatiques sont définis comme ceci :
Démarrages : nombre de fois qu'un processus a été démarré, quelle qu'en soit la raison.
Il peut s'agir de démarrages initiés par l'utilisateur par l'intermédiaire de l'interface ou de démarrages automatiques.
Redémarrages automatiques : nombre de fois qu'un processus a été démarré automatiquement. Ceci ne s'applique qu'aux scénarios de redémarrage automatique et non aux redémarrages initiés par l'utilisateur. Ce champ est utile pour déterminer si le processus a été suspendu (par exemple, en raison d'une erreur) et s'il a été redémarré par
Sentinel Watchdog.
Surveillance d'un processus
Surveillance d'un processus
3. Double-cliquez sur le nom d'une vue. Une vue apparaît.
9-12
Guide de L'Utilisateur de Sentinel
4. Développez la vue du serveur. Tous les processus sont répertoriés.
Création d'une vue du serveur
Création d'une vue du serveur
3. Pour créer une nouvelle vue, cliquez sur Ajouter une vue.
Entrez votre nom d'option.
Pour sélectionner les champs à afficher, cliquez sur Champs.
Pour regrouper des titres, cliquez sur Groupe.
Pour appliquer un tri en fonction des titres, cliquez sur Trier.
Pour appliquer un filtre, cliquez sur Filtre.
4. Cliquez sur OK, puis sur Enregistrer.
Démarrage, arrêt et redémarrage de processus
Vous ne pouvez pas arrêter le serveur avec cette fonctionnalité.
Démarrage, arrêt et redémarrage de processus
3. Double-cliquez sur le nom d'une vue. Une vue apparaît.
Onglet Admin
9-13
4. Développez la vue du serveur. Tous les processus sont répertoriés.
5. Sélectionnez un processus, cliquez avec le bouton droit sur celui-ci, cliquez
sur Opérations, puis sélectionnez une option (Démarrer, Redémarrer ou Arrêter).
Filtres
Les filtres permettent de traiter des données en fonction de critères spécifiques relatifs à des
événements en temps réel ou des utilisateurs du système. Ils permettent également de gérer les données affichées dans le Centre de contrôle Sentinel. Le moteur de filtres gère la structure des données de chaque filtre de sécurité des fenêtres en temps réel d'événements. Les filtres empêchent les utilisateurs d'afficher des événements non autorisés et permettent d'ignorer les
événements que les utilisateurs ne souhaitent pas afficher. Les filtres sont créés depuis l'onglet
Admin du Centre de contrôle Sentinel.
REMARQUE : les noms de filtres ne peuvent pas comporter les caractères suivants :
$ # . * & : < >.
Il existe trois types de filtres :
Filtres publics
Filtres privés
Filtres globaux
Filtres publics
Les filtres publics appartiennent au système. Ils peuvent être utilisés en tant que filtres de sécurité ou d'affichage. Les filtres de sécurité sont basés sur les autorisations utilisateur, alors que les filtres d'affichage déterminent les événements devant apparaître dans les tables d'événements en temps réel et les graphiques.
9-14
Guide de L'Utilisateur de Sentinel
Filtres privés
Les filtres privés appartiennent à l'utilisateur. Il s'agit de filtres d'affichage. Ils sont partageables
à condition que vous disposiez de l'autorisation View Private Filters (Affichage des filtres privés).
Filtres globaux
Les filtres globaux font partie de la catégorie des filtres publics. Ils sont traités séquentiellement au niveau du Gestionnaire des collecteurs pour chaque événement jusqu'à ce qu'une correspondance soit établie. L'évaluation du filtre global s'arrête à l'événement et l'action qui est associée au filtre est prise. L'ordre d'analyse des filtres globaux s'effectue de haut en bas, comme l'indique la console. Les filtres peuvent être activés ou désactivés selon les besoins.
Les filtres globaux effectuent les actions suivantes :
Activent une action globale sur des événements, comme ignorer des événements ainsi qu'acheminer des événements vers la base de données uniquement ou vers la base de données et le Centre de contrôle Sentinel.
Sont traités par le Gestionnaire de collecteurs de l'assistant.
Sont configurés à partir de l'onglet Admin sous l'option Configuration du filtre global où ils peuvent être activés et désactivés.
Peuvent ignorer des événements.
Peuvent acheminer des événements vers la base de données uniquement.
Peuvent acheminer des événements vers la base de données et le Centre de contrôle Sentinel.
À partir de la fenêtre Configuration du filtre global, vous pouvez effectuer les opérations suivantes :
Création d'un filtre global
Réorganisation d'un filtre global
Suppression d'un filtre global
Onglet Admin
9-15
