ADC

Bearbeiten Sie Signaturen, um Regeln hinzuzufügen oder zu ändern

Sie können die benutzerdefinierten Signaturen bearbeiten, um eine Regel hinzuzufügen oder zu ändern. Eine lokale Signaturregel hat dieselben Attribute wie eine Standardsignaturregel von Citrix und funktioniert auf die gleiche Weise. Sie aktivieren oder deaktivieren es und konfigurieren die Signaturaktionen dafür, genau wie bei einer Standardsignatur.

Fügen Sie eine lokale Regel hinzu, wenn Sie Ihre Websites und Dienste vor einem bekannten Angriff schützen müssen, bei dem die vorhandenen Signaturen nicht übereinstimmen. Sie könnten beispielsweise eine neue Angriffsart entdecken und ihre Merkmale anhand der Protokolle auf Ihrem Webserver ermitteln, oder Sie könnten Informationen von Drittanbietern über eine neue Art von Angriff erhalten.

Das Herzstück einer Signaturregel sind die Regelmuster, die zusammen die Merkmale des Angriffs beschreiben, denen die Regel entsprechen soll. Jedes Muster kann aus einer einfachen Zeichenfolge, einem regulären Ausdruck im PCRE-Format oder den integrierten SQL-Injection- oder Cross-Site-Scripting-Mustern bestehen.

Möglicherweise möchten Sie eine Signaturregel ändern, indem Sie ein neues Muster hinzufügen oder ein vorhandenes Muster so ändern, dass es einem Angriff entspricht. So können Sie beispielsweise von Änderungen an einem Angriff erfahren oder ein besseres Muster ermitteln, indem Sie die Protokolle auf Ihrem Webserver oder anhand von Informationen von Drittanbietern untersuchen.

Hinzufügen oder Ändern einer lokalen Signaturregel

  1. Navigieren Sie zu Sicherheit > NetScaler Web App Firewall > Signaturen.

  2. Wählen Sie im Detailbereich die benutzerdefinierten Signaturen aus, die Sie bearbeiten möchten, und klicken Sie dann auf Bearbeiten.

  3. Klicken Sie im Abschnitt Signaturregeln auf Hinzufügen. Der Bereich Signaturregel wird angezeigt.

  4. Konfigurieren Sie die Aktionen für eine Signatur, indem Sie die entsprechenden Kontrollkästchen aktivieren.

    • Aktiviert. Aktiviert die neue Signaturregel. Wenn Sie dies nicht auswählen, wird diese neue Signaturregel zu Ihrer Konfiguration hinzugefügt, ist jedoch inaktiv.
    • Blockieren Sperrt Verbindungen, die gegen diese Signaturregel verstoßen.
    • Melden Sie sich Protokolliert Verstöße gegen diese Signaturregel im NetScaler-Protokoll.
    • Statistik. Nimmt Verstöße gegen diese Signaturregel in die Statistik auf.
    • Remove. Löscht Informationen, die der Signaturregel entsprechen, aus der Antwort. (Gilt nur für Antwortregeln.)
    • X-Out. Maskiert Informationen, die der Signaturregel entsprechen, mit dem Buchstaben X. (Gilt nur für Antwortregeln.)
    • Duplikate zulassen. Erlaubt Duplikate dieser Signaturregel in diesem Signaturobjekt.
  5. Wählen Sie in der Dropdownliste Kategorie eine Kategorie für die neue Signaturregel aus.

    Wenn Sie eine Kategorie erstellen möchten, klicken Sie auf Hinzufügen. Weitere Informationen finden Sie unter Hinzufügen einer Kategorie für Signaturregeln.

  6. Geben Sie im Textfeld LogString eine kurze Beschreibung der Signaturregel ein, die in den Protokollen verwendet werden soll.

  7. Geben Sie in das Textfeld Kommentar einen Kommentar ein. Optional:

  8. Klicken Sie auf Mehr, um die erweiterten Optionen zu ändern.

    1. Um HTML-Kommentare zu entfernen, bevor diese Signaturregel angewendet wird, wählen Sie in der Dropdownliste Kommentare entfernen die Option Alle oder Skript-Tag ausschließen.
    2. Um die CSRF-Referrer-Header-Prüfung zu aktivieren, wählen Sie im Optionsfeld CSRF-Referrer-Header-Prüfung entweder das Optionsfeld Falls vorhanden oder Immer aus.
    3. Um die Regelkennung, die dieser lokalen Signaturregel zugewiesen ist, manuell zu ändern, ändern Sie die Nummer im Textfeld Regelkennung. Die ID muss eine positive Ganzzahl zwischen 1000000 und 1999999 sein, die noch keiner lokalen Signaturregel zugewiesen wurde.
    4. Um der neuen Signaturregel eine Versionsnummer zuzuweisen, ändern Sie die Nummer im Textfeld Versionsnummer.
    5. Um eine Quell-ID zuzuweisen, ändern Sie die Zeichenfolge im Textfeld Quell-ID.
    6. Um die Quelle anzugeben, wählen Sie in der Dropdownliste Quelle die Option Lokal oder Snort aus, oder klicken Sie rechts neben der Liste auf das Symbol Hinzufügen und fügen Sie eine neue Quelle hinzu.
    7. Um Verstößen gegen diese lokale Signaturregel einen Schadenswert zuzuweisen, geben Sie eine Zahl zwischen 1 und 10 in das Textfeld Harm Score ein.
    8. Um dieser lokalen Signaturregel einen Schweregrad zuzuweisen, wählen Sie in der Dropdownliste Schweregrad die Option Hoch, Mittel oder Niedrig aus, oder klicken Sie rechts neben der Liste auf das Symbol Hinzufügen und fügen Sie einen neuen Schweregrad hinzu.
    9. Um dieser lokalen Signaturregel einen Verstoßtyp zuzuweisen, wählen Sie in der Dropdownliste Typ die Option Anfällig oder Warnung aus, oder klicken Sie rechts neben der Liste auf das Symbol Hinzufügen und fügen Sie einen neuen Verstoßtyp hinzu.
  9. Klicken Sie unter Regelmusterauf Hinzufügen, um ein Muster hinzuzufügen. Sie können auch die vorhandenen Muster bearbeiten. Klicken Sie dazu auf Bearbeiten.

    Weitere Informationen zum Hinzufügen oder Bearbeiten von Mustern finden Sie unter Signaturregelmuster.

  10. Klicken Sie auf OK.

Eine Kategorie für Signaturregeln hinzufügen

Wenn Sie Signaturregeln in eine Kategorie einordnen, können Sie die Aktionen für eine Gruppe von Signaturen anstatt für jede einzelne Signatur konfigurieren. Möglicherweise möchten Sie dies aus den folgenden Gründen tun:

  • Einfache Auswahl. Nehmen wir beispielsweise an, dass alle Signaturregeln in einer bestimmten Gruppe vor Angriffen auf eine bestimmte Art von Webserversoftware oder -technologie schützen. Wenn Ihre geschützten Websites diese Software oder Technologie verwenden, möchten Sie sie alle aktivieren. Wenn sie dies nicht tun, möchten Sie keine von ihnen aktivieren.
  • Einfache Erstkonfiguration. Es ist am einfachsten, Standardwerte für eine Gruppe von Signaturen als Kategorie festzulegen, anstatt sie einzeln festzulegen. Anschließend können Sie nach Bedarf Änderungen an den einzelnen Signaturen vornehmen.
  • Einfache laufende Konfiguration. Es ist einfacher, Signaturen zu konfigurieren, wenn Sie nur solche anzeigen können, die bestimmte Kriterien erfüllen, z. B. die Zugehörigkeit zu einer bestimmten Kategorie.
Bearbeiten Sie Signaturen, um Regeln hinzuzufügen oder zu ändern