Définir une signature utilisant uniquement les champs obligatoires

Sur le poste de développement :

  1. Créez un fichier CustomPatterns.in,
  2. Éditez ce fichier et insérez la section "[tcpudp:hostname.global]" contenant la révision de la signature, suivie de la section "[tcpudp:hostname.4101]" incluant les paramètres obligatoires :

[tcpudp:hostname.global]
Revision=1
[tcpudp:hostname.4101]
type=asq
classification=1
action_fw=pass,pass,block,block
level_fw=minor,minor,major,major
description="Access to perdu.org site"
ldescr="This custom signature is able to detect when a computer tries to connect to the website perdu.org"
1="^(.+\.)?(?i)perdu\.org(?-i)$"

  1. Insérez autant de sections "[contexte.identifiant]" que vous souhaitez définir de signatures personnalisés dans le contexte considéré (dans la limite des 2048 signatures possibles par contexte).

Signification des différents champs de cet exemple

Champ Revision

Le numéro de révision des signatures personnalisées du contexte tcpudp:hostname est 1 .

Champ type

La signature est obligatoirement du type asq : elle est destinée à déclencher une stratégie de sécurité et à lever une alarme.

Champ classification

La signature appartient à la catégorie Applications.

Champ action_fw

Lorsqu'une connexion au site perdu.org est détectée, l'action associée à l'alarme déclenchée est :

  • Passer pour les modèles prédéfinis de sécurité "Internet" et "Basse",
  • Bloquer pour les modèles prédéfinis de sécurité "Moyenne" et "Haute".

Champ level_fw

Cette alarme a un niveau :

  • Mineur pour les modèles prédéfinis de sécurité "Internet" et "Basse",
  • Majeur pour les modèles prédéfinis de sécurité "Moyenne" et "Haute".

Champ description

Le message associé à la signature et apparaissant dans l'interface Web d'Administration est "Accès to perdu.org site".

Champ ldescr

L'info-bulle affichée en survolant le message indique : "This custom signature is able to detect when a computer tries to connect to the website perdu.org".

Champ 1

L'expression régulière utilisée pour détecter une connexion à perdu.org est :

^(.+\.)?(?i)perdu\.org(?-i)$