Remarques et contraintes

  • Une signature personnalisée est exclusivement de type asq (cf. la section Contenu d'un fichier de signatures contextuelles). C'est une signature simple, destinée à déclencher une stratégie de sécurité et à lever une alarme associée,
  • Les contextes probe, mix et ceux commençant par http:javascript ne sont pas autorisés. La commande enpattern -l | grep -Ev "(mix|probe)" permet de lister les contextes utilisables,

  • L'identifiant de signature est obligatoirement supérieur à 4096,
  • Un contexte donné accepte un maximum de 2048 signatures,
  • Une signature ne peut pas contenir plus de 256 expressions régulières (variantes),
  • L'ensemble des contextes regroupant des définitions de signatures personnalisées est regroupé dans un fichier unique (nommé CustomPatterns.in dans l'exemple).

IMPORTANT
Une signature contextuelle peut être très consommatrice de ressources processeur et mémoire, notamment lorsque les expressions régulières qu'elle contient n'imposent pas une limite en nombre de caractères pour une recherche donnée.