Controlling network access

The following must be created beforehand:

• Application IDs for allowed applications or applications that cannot access the network. For more information, refer to the section Creating application identifiers.
• Network IDs for the IP addresses that you want to protect. For more information, refer to the section Creating network identifiers.

There are two types of rules; client rules and server rules.

• As part of a rule set that applies to workstations, client rules allow or do not allow applications to connect to remote resources (Remote field) by controlling the “connect” network event. They also make it possible to cater to specific subnets for example (Local field).
• As part of a rule set that applies to servers, server rules allow or do not allow applications to open ports and accept incoming connections (Local field) by controlling the "bind" and "accept” network events. They also make it possible to specify the source of connections (Remote field).

To create a network access rule:

1. Select the Security > Policies menu and click on your policy.
2. Select a rule set.
   
3. Click on the Networks > firewall tab.
4. If you are in read-only mode, click on Edit in the upper banner.
5. Choose to add a Client network rule or a Server network rule by clicking one of the Add buttons. A new line is displayed.
6. Choose the network IDs of the resources you want to protect in the left side of the rule:
   • Local: Local resource affected by the rule. E.g., if the workstation has several network cards, you can specify which card is impacted.
   • ELocal Local resource excluded from the rule.
   • Remote: Remote resource affected by the rule. E.g., the internet.
   • Remote: Remote resource excluded from the rule.
7. In the Ports field, indicate the ports affected by the network rule. These ports are the destination ports for client rules and local ports for server rules.
   • To add several ports at one go, separate them with commas. Example: 8080.8081.
   • To add a port range, separate the first value and last value with a dash. Example: 80-90
   • Leave the field empty to specify that all ports are concerned.
8. Choose the TCP or UDP transport protocol, or both.
9. In Default behavior, choose the behavior of each Connect, Accept or Bind network event:
   • Accept (for server rules): allows or does not allow specified applications to receive incoming connections on the network resource(s) indicated,
   • Bind (for server rules): allows or does not allow specified applications to open connections on the network resource(s) indicated,
   • Connect (for client rules): allows or does not allow specified applications to connect to the network resource(s) indicated.

   Protection rules can behave as follows:

   • Autoriser pour autoriser par défaut l'action,
   • Bloquer pour bloquer par défaut l'action,
   • Bloquer et interrompre pour bloquer par défaut l'action et arrêter le processus à l'origine de l'action.
   • Bloquer, interrompre et mettre en quarantaine pour bloquer par défaut l'action, arrêter le processus à l'origine de l'action, et mettre en quarantaine les fichiers suspects. Pour plus d'informations, reportez-vous à la section Managing file quarantine.
   • Demander pour que l'utilisateur soit consulté.
   • Ne pas évaluer le comportement pour ignorer la sous-règle si le comportement est détecté et passer au comportement suivant.
   • Ne pas évaluer la règle pour ignorer la règle contenue dans ce jeu de règles et évaluer la règle suivante.
   • Ne pas évaluer le groupe de règles pour ignorer les règles contenues dans le groupe de règles et évaluer le groupe de règles ou la règle suivants.
   • Ne pas évaluer le jeu de règles pour ignorer toutes les règles contenues dans ce jeu de règles et évaluer le jeu de règles suivant.
10. Click on + Add a specific behavior and choose the application identifiers of resource(s) that you want to exclude from the default behavior.

EXAMPLE
This is the client rule that can block connections from the network card on the unprotected network card to the internet and the protected network over ports 80, 443 and 8080 and TCP. Only the web server specified in the protected network can be accessed.

11. Dans le bandeau supérieur de la règle, vous pouvez :
    • Si besoin, réagencer l'ordre des règles en cliquant sur au survol de la règle. Chaque règle affiche dans le bandeau son numéro de rang.
    • Désactiver la règle. Pour plus d'informations, reportez-vous à la section Disabling security rules.
    • Indiquer l'intention de la règle, selon des catégories pré-définies :
      

      • Unclassified : règle non classifiée.

      • Nominal : règle passante se conformant au comportement nominal des applications.

      • Protect : règle bloquante avec un niveau de gravité élevé du log.

      • Protect silent : règle bloquante avec un niveau de gravité en dessous des seuils de logs affichés par défaut sur l'agent et sur la console. Permet de protéger des accès à des ressources estimées sensibles, même s'ils sont effectués par des programmes sans intention malveillante. Ces programmes pouvant être nombreux, une règle avec une gravité de logs trop élevée pourrait déclencher une génération massive de logs.

      • Detect : règle d'audit ou règle passive, sans blocage.

      • Context : règle participant à la construction d'un graphe d'attaque.

      • Syslog : règle déclenchant des logs exclusivement envoyés à un serveur Syslog.

      • Watch : règle permettant de surveiller des comportements afin d'affiner la politique de sécurité ou de mieux connaître les événements techniques se produisant sur le parc.

      La sélection d'une de ces catégories n'a pas d'influence sur le paramétrage de la règle. Elles permettent simplement à l'administrateur de classifier ses règles de sécurité selon leur objectif et de les trier en utilisant le filtre dédié Intention de la règle. L'intention de la règle est également affichée dans les détails des logs.
      
    • Saisir une description pour expliquer l'objectif de la règle.
    • Choisir de rendre la règle passive. Une règle passive agit comme une règle classique mais ne bloque pas véritablement les actions. L'agent émet uniquement des logs indiquant quelles actions auraient été bloquées par la règle.
      Utilisez ce mode pour tester de nouvelles règles de restriction, en connaître les impacts, et procéder à des ajustements avant de désactiver le mode Règle passive. Pour plus d'informations sur les tests de règles et de politiques, reportez-vous à la section Testing security policies.
    • Indiquer si la règle doit générer un contexte lorsqu'elle s'applique. Par défaut, si la règle émet des logs de niveau Urgence ou Alerte, elle génère un contexte, mais vous pouvez désactiver cette fonctionnalité. En cas de génération massive de logs similaires, le contexte n'est pas généré. Pour plus d'informations sur la génération massive de logs, reportez-vous à la section Monitoring SES Evolution agent activity.
    • Ajouter un commentaire.
    • Sélectionner les paramètres des logs qui seront émis par cette règle.
    • Spécifier si une action doit être effectuée lors de l'émission d'un log pour cette règle. Vous pouvez demander qu'un script soit exécuté et/ou qu'une analyse Yara ou IoC soit déclenchée. Vous pouvez également demander qu'une notification soit affichée sur l'agent, à condition qu'elle soit associée à un log bloquant et de niveau Alerte ou Urgence.
    • Supprimer la règle.
12. Dépliez la partie Classification dans les logs pour indiquer l'intention de l'attaque soupçonnée lorsque la règle s'applique et les tags permettant d'associer la règle au référentiel de MITRE. Ces informations sont ensuite visibles dans les logs générés par la règle. Pour plus d'informations, reportez-vous à la section Classifying attacks according to the MITRE repository.
13. Cliquez sur Enregistrer en haut à droite pour enregistrer vos modifications.