Modifier les signatures pour ajouter ou modifier des règles
Vous pouvez modifier les signatures définies par l’utilisateur pour ajouter ou modifier une règle. Une règle de signature locale possède les mêmes attributs qu’une règle de signature par défaut de Citrix, et elle fonctionne de la même manière. Vous l’activez ou la désactivez et configurez les actions de signature pour elle, comme vous le faites pour une signature par défaut.
Ajoutez une règle locale si vous devez protéger vos sites Web et services contre une attaque connue à laquelle les signatures existantes ne correspondent pas. Par exemple, vous pouvez découvrir un nouveau type d’attaque et déterminer ses caractéristiques en examinant les journaux de votre serveur Web, ou vous pouvez obtenir des informations tierces sur un nouveau type d’attaque.
Au cœur d’une règle de signature se trouvent les modèlesde règles, qui décrivent collectivement les caractéristiques de l’attaque auxquelles la règle est censée correspondre. Chaque modèle peut consister en une chaîne simple, une expression régulière au format PCRE ou les modèles intégrés d’injection SQL ou de script intersite.
Vous souhaiterez peut-être modifier une règle de signature en ajoutant un nouveau modèle ou en modifiant un modèle existant pour qu’il corresponde à une attaque. Par exemple, vous pouvez découvrir les modifications apportées à une attaque, ou vous pouvez déterminer un meilleur modèle en examinant les journaux de votre serveur Web ou en consultant des informations provenant de tiers.
Ajouter ou modifier une règle de signature locale
-
Accédez à Sécurité > NetScaler Web App Firewall > Signatures.
-
Dans le volet d’informations, sélectionnez les signatures définies par l’utilisateur que vous souhaitez modifier, puis cliquez sur Modifier.
-
Dans la section Règles de signature, cliquez sur Ajouter. Le volet Règle de signature s’affiche.
-
Configurez les actions relatives à une signature en cochant les cases appropriées.
- Activé. Active la nouvelle règle de signature. Si vous ne sélectionnez pas cette option, cette nouvelle règle de signature est ajoutée à votre configuration, mais elle est inactive.
- Bloquer. Bloque les connexions qui enfreignent cette règle de signature.
- Bûche. Consigne les violations de cette règle de signature dans le journal NetScaler.
- État. Inclut les violations de cette règle de signature dans les statistiques.
- Remove. Supprime de la réponse les informations qui correspondent à la règle de signature. (S’applique uniquement aux règles de réponse.)
- Sortie X. Masque les informations qui correspondent à la règle de signature par la lettre X. (S’applique uniquement aux règles de réponse.)
- Autorisez les doublons. Autorise les doublons de cette règle de signature dans cet objet de signature.
-
Choisissez une catégorie pour la nouvelle règle de signature dans la liste déroulante Catégorie.
Si vous souhaitez créer une catégorie, cliquez sur Ajouter. Pour plus d’informations, voir Ajouter une catégorie de règles de signature.
-
Dans la zone de texte LogString, tapez une brève description de la règle de signature à utiliser dans les journaux.
-
Dans la zone de texte Commentaire, tapez un commentaire. (Facultatif)
-
Cliquez sur Plus pour modifier les options avancées.
- Pour supprimer les commentaires HTML avant d’appliquer cette règle de signature, dans la liste déroulante Slot Commentaires, choisissez Tout ou Exclure la balise de script.
- Pour configurer la vérification de l’en-tête de référence CSRF, dans le tableau de boutons radio de vérification de l’en-tête de référence CSRF, sélectionnez le bouton radio Si présent ou Toujours.
- Pour modifier manuellement l’ID de règle affecté à cette règle de signature locale, modifiez le numéro dans la zone de texte ID de règle. L’ID doit être un entier positif compris entre 1000000 et 1999999 qui n’a pas encore été attribué à une règle de signature locale.
- Pour attribuer un numéro de version à la nouvelle règle de signature, modifiez le numéro dans la zone de texte Numéro de version.
- Pour attribuer un identifiant source, modifiez la chaîne dans la zone de texte ID source.
- Pour spécifier la source, choisissez Local ou Snort dans la liste déroulante Source, ou cliquez sur l’icône Ajouter à droite de la liste et ajoutez une nouvelle source.
- Pour attribuer un score de préjudice aux violations de cette règle de signature locale, tapez un nombre compris entre 1 et 10 dans la zone de texte Harm Score.
- Pour attribuer un niveau de gravité à cette règle de signature locale, dans la liste déroulante Gravité, choisissez Élevé, Moyen ou Faible, ou cliquez sur l’icône Ajouter à droite de la liste et ajoutez un nouveau niveau de gravité.
- Pour attribuer un type de violation à cette règle de signature locale, dans la liste déroulante Type, choisissez Vulnérable ou Avertissement, ou cliquez sur l’icône Ajouter à droite de la liste et ajoutez un nouveau type de violation.
-
Dans Modèles de règles, cliquez sur Ajouter pour ajouter un modèle. Vous pouvez également modifier les modèles existants. Pour ce faire, cliquez sur Modifier.
Pour plus d’informations sur l’ajout ou la modification de modèles, voir Modèles de règles de signature.
-
Cliquez sur OK.
Ajouter une catégorie de règles de signature
Le classement des règles de signature dans une catégorie vous permet de configurer les actions pour un groupe de signatures plutôt que pour chaque signature individuelle. Vous souhaiterez peut-être le faire pour les raisons suivantes :
- Facilité de sélection Supposons, par exemple, que toutes les règles de signature d’un groupe particulier protègent contre les attaques visant un type spécifique de logiciel ou de technologie de serveur Web. Si vos sites Web protégés utilisent ce logiciel ou cette technologie, vous devez tous les activer. Si ce n’est pas le cas, vous ne souhaitez activer aucun d’entre eux.
- Facilité de configuration initiale. Il est plus facile de définir les valeurs par défaut pour un groupe de signatures en tant que catégorie, plutôt qu’une par une. Vous pouvez ensuite apporter les modifications nécessaires aux signatures individuelles.
- Facilité de configuration continue. Il est plus facile de configurer les signatures si vous pouvez afficher uniquement celles qui répondent à des critères spécifiques, tels que l’appartenance à une catégorie spécifique.