Editeur de signatures
Vous pouvez utiliser l’éditeur de signatures pour ajouter ou modifier une règle de signature définie par l’utilisateur (locale) à un objet signatures existant. Une règle de signature locale possède les mêmes attributs qu’une règle de signature par défaut de Citrix, et elle fonctionne de la même manière. Vous l’activez ou la désactivez et configurez les actions de signature pour elle, comme vous le faites pour une signature par défaut.
Ajoutez une règle locale si vous devez protéger vos sites Web et services contre une attaque connue que les signatures existantes ne correspondent pas. Par exemple, vous pouvez découvrir un nouveau type d’attaque et déterminer ses caractéristiques en examinant les journaux de votre serveur Web, ou vous pouvez obtenir des informations tierces sur un nouveau type d’attaque.
Au cœur d’une règle de signature se trouvent les modèlesde règle, qui décrivent collectivement les caractéristiques de l’attaque que la règle est conçue pour correspondre. Chaque modèle peut être constitué d’une chaîne simple, d’une expression régulière au format PCRE ou d’une injection SQL intégrée ou de modèles de script intersite.
Vous pouvez modifier une règle de signature en ajoutant un nouveau modèle ou en modifiant un modèle existant pour correspondre à une attaque. Par exemple, vous pouvez vous renseigner sur les modifications apportées à une attaque, ou vous pouvez déterminer un meilleur modèle en examinant les journaux de votre serveur Web ou à partir d’informations tierces.
Pour ajouter ou modifier une règle de signature locale à l’aide de l’éditeur de signatures
-
Accédez à Sécurité > Citrix Web App Firewall > Signatures.
-
Dans le volet d’informations, sélectionnez l’objet signatures à modifier, puis cliquez sur Ouvrir.
-
Dans la boîte de dialogue Modifier l’objet Signatures, au milieu de l’écran sous la fenêtre Résultats filtrés, effectuez l’une des opérations suivantes :
- Pour ajouter une nouvelle règle de signature locale, cliquez sur Ajouter.
- Pour modifier une règle de signature locale existante, sélectionnez cette règle, puis cliquez sur Ouvrir.
-
Dans la boîte de dialogue Ajouter une règle de signature locale ou Modifier une règle de signature locale, configurez les actions d’une signature en cochant les cases appropriées.
- Activé. Active la nouvelle règle de signature. Si vous ne sélectionnez pas cette option, cette nouvelle règle de signature est ajoutée à votre configuration, mais elle est inactive.
- Bloc. Bloque les connexions qui violent cette règle de signature.
- Journal. Consigne les violations de cette règle de signature dans le journal Citrix ADC.
- Stat. Inclut les violations de cette règle de signature dans les statistiques.
- Remove. Supprime les informations correspondant à la règle de signature de la réponse. (S’applique uniquement aux règles de réponse.)
- X-Out. Masque les informations correspondant à la règle de signature avec la lettre X. (S’applique uniquement aux règles de réponse)
- Autoriser les doublons. Autorise les doublons de cette règle de signature dans cet objet signatures.
-
Choisissez une catégorie pour la nouvelle règle de signature dans la liste déroulante Catégorie.
Vous pouvez également créer une catégorie en cliquant sur l’icône située à droite de la liste et en utilisant la boîte de dialogue Ajouter une catégorie de règle de signature pour ajouter une nouvelle catégorie à la liste. La règle que vous modifiez est automatiquement ajoutée à la nouvelle catégorie. Pour obtenir des instructions, reportez-vous à la section Pour ajouter une catégorie de règles de signature.
-
Dans la zone de texte LogString, tapez une brève description de la règle de signature à utiliser dans les journaux.
-
Dans la zone de texte Commentaire, tapez un commentaire. (Facultatif)
-
Cliquez sur Plus… et modifiez les options avancées.
- Pour supprimer les commentaires HTML avant d’appliquer cette règle de signature, dans la liste déroulante Slot Commentaires, choisissez Tout ou Exclure la balise de script.
- Pour définir la vérification des en-têtes de référencement CSRF, dans le tableau de boutons radio Vérification de l’en-tête du référent CSRF, sélectionnez le bouton radio Si présent ou Toujours.
- Pour modifier manuellement l’ID de règle affecté à cette règle de signature locale, modifiez le numéro dans la zone de texte ID de règle. L’ID doit être un nombre entier positif compris entre 1000000 et 1999999 qui n’a pas déjà été attribué à une règle de signature locale.
- Pour affecter un numéro de version à la nouvelle règle de signature, modifiez le numéro dans la zone de texte Numéro de version.
- Pour affecter un ID source, modifiez la chaîne dans la zone de texte ID source.
- Pour spécifier la source, choisissez Local ou Snort dans la liste déroulante Source, ou cliquez sur l’icône Ajouter à droite de la liste et ajoutez une nouvelle source.
- Pour affecter un score de préjudice aux violations de cette règle de signature locale, tapez un nombre compris entre 1 et 10 dans la zone de texte Score de préjudice.
- Pour affecter une cote de gravité à cette règle de signature locale, dans la liste déroulante Gravité, choisissez Élevée, Moyenne ou Faible, ou cliquez sur l’icône Ajouter à droite de la liste et ajoutez une nouvelle cote de gravité.
- Pour affecter un type de violation à cette règle de signature locale, dans la liste déroulante Type, choisissez Vulnérable ou Avertissement, ou cliquez sur l’icône Ajouter à droite de la liste et ajoutez un nouveau type de violation.
-
Dans la liste Motifs, ajoutez ou modifiez un motif.
- Pour ajouter un motif, cliquez sur Ajouter. Dans la boîte de dialogue Créer un modèle de règle de signature, ajoutez un ou plusieurs modèles pour votre règle de signature, puis cliquez sur OK.
- Pour modifier un motif, sélectionnez-le, puis cliquez sur Ouvrir. Dans la boîte de dialogue Modifier le modèle de règle de signature, modifiez le modèle, puis cliquez sur OK.
Pour plus d’informations sur l’ajout ou la modification de modèles, voir Modèles de règles de signature.
-
Cliquez sur OK.