Contenu d'un fichier de signatures contextuelles
La structure minimale du fichier de définition de signatures contextuelles personnalisées est la suivante :
- Une section "[contexte.global]", unique pour chaque contexte, dans laquelle la révision des signatures est précisée :
| Nom du champ | Description | Valeurs possibles (signification) |
| Revision= | Numéro de révision des signatures. |
Valeur entière.
Exemple 1,2, ... |
- Pour chaque signature contextuelle personnalisée, une section "[contexte.identifiant]" reprenant les champs obligatoires suivants (l'ordre des champs dans la section est libre) :
| Nom du champ | Description | Valeurs possibles (signification) |
| type= | Précise le champ d'application de la signature | asq |
| classification= |
Catégorisation de la signature.
Dans l'Interface Web d'Administration (module Applications et protections > Vue par profil d'inspection), ce champ permet :
|
0 (Protections) 1 (Applications) 2 (Malware)
|
| action_fw= |
Action appliquée par l'alarme associée à la signature personnalisée.
Ce champ est composé de 4 valeurs, séparées par une virgule, sans espace, correspondant aux 4 modèles prédéfinis de sécurité : Internet, Basse, Moyenne et Haute. |
pass block
Exemple pass,pass,pass,pass pass,pass,block,block |
| level_fw= |
Niveau affecté à l'alarme associée.
Ce champ est composé de 4 valeurs, séparées par une virgule, sans espace, correspondant aux 4 modèles prédéfinis de sécurité : Internet, Basse, Moyenne et Haute. |
ignore minor major
Exemple ignore,minor,major,major major,major,major,major |
| description= | Description courte de la signature rédigée en anglais. Ce texte est affiché dans la colonne Message du module Applications et protection. |
Texte libre encadré par des guillemets.
Exemple "Access to perdu.org site" |
| ldescr= | Complément d'information sur la signature, rédigé en anglais. Ce texte est affiché dans une infobulle, lors du survol du descriptif de l'alarme (colonne Message du module Applications et protection). |
Texte libre encadré par des guillemets.
Exemple "This custom signature is able to detect when a computer tries to connect to the website perdu.org" |
| 1= | Première expression régulière utilisée dans la signature | Expression régulière encadrée par des guillemets |
Cette section peut également contenir les champs optionnels suivants :
| Nom du champ | Description | Valeurs possibles (signification) |
| severity= | Niveau de sévérité affecté à la menace détectée par la signature personnalisée. |
0 (Information) 1 (Faible) 2 (Modéré) 3 (Elevé) 4 (Critique) |
| resource= | Ce champ permet d'attribuer à la signature l'icône de l'application concernée. Cette icône est placée à droite de l'icône de classification. |
Texte libre
Exemple Googleplus |
| description_fr= | Description courte de la signature rédigée en français. Ce texte est affiché dans la colonne Message du module Applications et protection. |
Texte libre encadré par des guillemets.
Exemple "Accès au site perdu.org" |
| ldescr_fr | Complément d'information sur la signature, rédigé en français. Ce texte est affiché dans une infobulle, lors du survol du descriptif de l'alarme (colonne Message du module Applications et protection). |
Texte libre encadré par des guillemets.
Exemple "Cette signature personnalisée est capable de détecter lorsqu'un poste tente d’accéder au site perdu.org" |
| reference= | Pour les signatures personnalisées, ce champ est indicatif. Il complète éventuellement la description de la signature dans le fichier CustomPatterns.in. |
url,http://www.xxx.yz
Exemple url,http://documentation.stormshield.eu |
|
2= 3= 4= .... |
Expressions régulières additionnelles (variantes). Lorsque plusieurs variantes sont définies, leurs numéros d'identifiants sont obligatoirement consécutifs. Exemple de liste invalide de variantes : 1="blue" 3="red" 4="green" 6="yellow" |
Expression régulière encadrée par des guillemets |
| Fromasqversion= | Version minimale de firmware SNS prenant en charge la signature. |
Numéro de version.
Exemple 1.0.0 |
| Uptoasqversion= | Version maximale de firmware SNS prenant en charge la signature. |
Numéro de version.
Exemple 8.0.0 |