Configuration d'un protocole
Cet écran permet de configurer un nouveau protocole ou de modifier les options d'un protocole configuré par le système. Symantec Data Loss Prevention gère les protocoles différemment selon qu'ils sont configurés par le système (préconfiguré dans le système Symantec Data Loss Prevention) ou configurés par l'utilisateur. Symantec Data Loss Prevention identifie les protocoles configurés par le système (tels que SMTP et HTTP) en fonction de la signature du protocole. Cette solution identifie les protocoles TCP configurés par l'utilisateur (Telnet, par exemple) en fonction du port par lequel le trafic circule.
Beaucoup de protocoles d'application sont pris en charge sous IPv4 et IPv6, dont :
- SMTP
- HTTP
- FTP
- Telnet ;
- VLAN
- Personnalisé
Les protocoles suivants sont pris en charge sous IPv4, mais pas sous IPv6 :
- NNTP
- GRE
- MI : MSN
- MI : Yahoo
- MI : AOL
La saisie des adresses IPv6 dans des formats pleinement normalisés constitue une pratique d'excellence lorsque vous spécifiez une adresse IPv6 dans l'interface utilisateur de
Symantec Data Loss Prevention
, sauf indication contraire. Dans une adresse IPv6 pleinement normalisée, les zéros non significatifs sont réduits et des séquences de zéros sont compressés entre deux points. Quand vous introduisez une adresse normalisée, elle est généralement affichée dans ce format. Dans la plupart des cas, le format privilégié d'entrée pour les adresses IPv6 est entièrement compressé ou réduit. Les exemples suivants sont acceptés comme entrée pour les adresses IPv6 dans
Symantec Data Loss Prevention
, selon l'utilisation :- Long - 128 bits généralement symbolisés par huit champs hexadécimaux de 4 chiffres, par exemple :1000:0200:0003:0000:0000:0000:0000:abcd
- Entièrement compressé (également appelé "signe deux points double") - les champs avec zéros internes sont remplacés par un signe deux points double, par exemple :1000:200:3::abcd
- Réduit - les zéros non significatifs sont supprimés, par exemple :1000:200:3:0:0:0:0:abcd
Quand les adresses IPv6 apparaissent dans des URL ou des adresses électroniques, les adresses sont présentées pendant que le client HTTP (habituellement un navigateur Web) les transmet. Une adresse IPv6 apparaissant dans une URL n'est pas un cas commun, car les URL et les adresses électroniques utilisent habituellement des noms d'hôtes plutôt que des adresses IP explicites. Ce comportement vaut également pour les adresses IPv4.
Vous pouvez entrer un mélange d'adresses IPv4 et IPv6 séparées par des points-virgules sur l'écran
Configurer le protocole
. Cliquez sur la flèche droite pour visualiser les options pour chaque section. Entrez ou modifiez les informations concernant le protocole dans les champs disponibles.
Champ | Description |
|---|---|
Nom | Entrez ou modifiez le nom du protocole. Vous pouvez utiliser jusqu'à 256 caractères. Le nom du protocole s'affiche à certains endroits du système, veillez donc à lui fournir un nom convivial. Cette valeur est obligatoire. |
Ports | Ce champ s'affiche uniquement pour les protocoles TCP configurés par l'utilisateur. Entrez un ou plusieurs numéros de port associés au protocole. Séparez les numéros de port par des virgules ou des traits d'union. Par exemple : 18, 23, 25-29, 82. Si vous configurez un protocole Telnet, entrez 23 comme numéro de port. |
Ports faibles surveillés | Ce champ s'affiche uniquement pour les protocoles configurés par le système, tels que HTML et SMTP. Entrez des numéros de port inférieurs à 1024 que vous souhaitez que Symantec Data Loss Prevention surveille. De plus, les ports que vous spécifiez pour tous les protocoles servent de filtre positif. Les ports indiquent à Symantec Data Loss Prevention de surveiller le trafic de tous les types de protocole sur chacun des ports spécifiés. Par exemple, si vous spécifiez le port 25 pour l'entrée SMTP, ce port est surveillé pour le trafic de tous les types de protocole répertoriés. Notez que des ports inférieurs à 1024 ne sont pas surveillés si vous ne les spécifiez pas pour au moins un protocole. Par défaut, Symantec Data Loss Prevention surveille le trafic sur les ports égaux ou supérieurs à 1024. |
IP | Entrez tous les filtres basés sur IP que vous voulez utiliser. Si vous laissez ce champ vide, Symantec Data Loss Prevention fait correspondre et enregistre tous les flux. Vous pouvez entrer un mélange d'adresses IPv4 et IPv6 séparées par des points-virgules sur l'écran Configurer le protocole . Lors de la configuration de filtres de protocole avec les adresses IPv6, notez que :
Le format des filtres de protocole IP (trouvés dans les définitions de protocole et les définitions de filtre de protocole) est :
Chaque flux est évalué dans l'ordre par rapport aux entrées de filtre jusqu'à ce qu'une entrée corresponde aux paramètres IP du flux. Un signe négatif (-) au début de l'entrée indique que le flux est abandonné. Un signe positif (+) au début de l'entrée indique que le flux est conservé. Une description du réseau de sous-réseau de * signifie que n'importe quel paquet correspond à cette entrée. Un masque de bits de sous-réseau de la taille de l'adresse indique que l'entrée doit correspondre à l'adresse réseau précise. Cette limite est fixée à 32 bits pour les adresses IPv4 et à 128 bits pour les adresses IPv6. Par exemple, pour les adresses IPv4, le filtre +,10.67.0.0/16,*;-,*,* correspond à tous les flux en direction du réseau 10.67.x.x mais ne correspond à aucun autre trafic. Les adresses IPv6 sont prises en charge pour la surveillance de réseau ; cependant, les filtres IPv4 et les filtres IPv6 sont complètement indépendants l'un de l'autre. Les blocs IPv4 et IPv6 sont spécifiés avec la notation CIDR <address>/<taille_masque> . Par exemple, fdda:e808::/32 , dans lequel fdda:e808:: est l'adresse et 32 est la taille de marque, ou 10.0.2.0/24 où 10.0.2.0 est l'adresse et 24 est la taille du masque. Plus vous êtes précis quand vous définissez les caractéristiques de reconnaissance, plus vos résultats sont précis. Par exemple, si vous définissez uniquement une adresse IP spécifique, seuls les incidents qui impliquent cette adresse IP sont capturés. Si vous ne définissez aucune adresse IP ou si vous définissez une vaste gamme d'adresses IP, vous obtenez davantage de résultats. |
Filtrage (peut s'annuler au niveau du serveur) | Les champs Filtrage permettent de spécifier des détails sur le trafic que vous voulez ignorer pour réduire la charge et améliorer les performances du système. Cette section est également incluse dans le menu Filtre de protocole des différents serveurs. |
Filtre IP | Filtre le trafic indésirable du protocole ; utilise le même format de filtre de protocole IP que pour IP. |
Filtre expéditeur L7 | Spécifiez les éléments suivants à évaluer :
Lors de la configuration des filtres L7 avec les adresses IPv6, notez que :
Seules les adresses IPv4 et IPv6 longues sont valides. Les adresses IPv4 doivent être composées de quatre champs séparés par des points pour être des adresses longues valides. Par exemple : 1.2.*.* Les adresses IPv6 doivent être composées de huit champs séparés par deux points pour être des adresses longues valides. Par exemple : 1:2:3:4:*:*:*:* Pour les adresses IPv4 et IPv6, des filtres comportent des caractères génériques et le filtrage s'applique seulement aux protocoles personnalisés. Reportez-vous à la description Filtre destinataire L7 pour en savoir plus sur le format des entrées de filtre. |
Filtre destinataire L7 | Toute adresse électronique destinataire (pour SMTP/MSN IM/FTP) ou adresse IP (pour UTCP), tout nom d'utilisateur (pour Yahoo IM/AIM) ou toute URL (pour HTTP) à évaluer. Lors de l'utilisation d'adresses IPv6 avec des règles expéditeur/destinataire, notez que :
Vous pouvez utiliser des filtres pour inclure (inspecter) ou exclure (ignorer) les messages en provenance d'expéditeurs précis ou en direction de destinataires précis. Vous devez indiquer un signe plus (+) ou moins (-) avant chaque entrée pour inclure ou exclure les résultats correspondants. Par exemple :
Si vous ajoutez un astérisque (*) à la fin de l'expression de filtre, tout message ne correspondant pas explicitement aux masques de filtre est ignoré. Par exemple, si vous ajoutez le filtre expéditeur +*@abc.com, *, tous les messages de personnes appartenant au domaine abc.com sont examinés, mais tous les autres messages sont ignorés. Vous pouvez également inclure une astérisque en tant que caractère générique ailleurs dans les chaînes d'adresse. La syntaxe précise du filtre dépend du protocole. Par exemple, pour les adresses électroniques, vous pouvez utiliser des caractères génériques dans la chaîne de filtres de la manière suivante :
L'ordre dans lequel les filtres sont évalués va de gauche à droite. Par exemple, si vous ajoutez le filtre destinataire
tous les messages envoyés à [email protected] sont ignorés, et tous les messages envoyés à une personne appartenant au domaine xyz.com sont inspectés. Le dernier astérisque indique au filtre d'ignorer tous les autres messages. Si les filtres expéditeur et destinataire sont en conflit, le message résultant est ignoré. Par exemple, ceci peut se produire si le filtre expéditeur d'un message particulier indique "examiner" et le filtre destinataire indique "ignorer". Si un filtre destinataire possède plusieurs masques d'exclusion, les messages envoyés par des destinataires qui correspondent à au moins l'un des masques seront exclus. Par exemple, si le filtre destinataire est - *@xyz.com, - *@abc.com, tous les messages envoyés aux domaines xyz.com et abc.com sont ignorés. En outre, les messages envoyés aux domaines xyz.com ou abc.com (mais pas aux deux domaines) sont ignorés. Si les messages ont des destinataires supplémentaires dans d'autres domaines, les messages sont examinés.Vous pouvez surveiller les messages en provenance du domaine xyz.com mais ignorer les messages destinés à ce domaine en ajoutant les filtres suivants :
|
Contenu | Une approche basée sur l'inclusion pour filtrer les messages indésirables en utilisant la correspondance du texte avec les flux de paquets capturés. Chaque entrée de filtre de contenu doit être mise en correspondance, sinon le flux est abandonné. Le format du filtre de contenu est :
Le processus traverse le flux à la recherche du nom d'en-tête. Une des valeurs d'en-tête doit correspondre au texte suivant le nom d'en-tête. L'espace blanc est ignoré entre l'en-tête et la valeur. Les majuscules sont ignorées. Par exemple, un filtre I,user-agent:,mozilla,opera;I,content-type:,multipart correspond seulement aux flux qui contiennent le texte user-agent: suivi immédiatement de mozilla ou opera et le texte content-type: suivi immédiatement du texte multipart .L'autre exemple concerne un flux avec user-agent:mozilla et content-type:multipart maintenu ; un flux avec user-agent:mozilla et content-type:text/plain abandonné. |
Profondeur de recherche (paquets) | Combien de paquets doit-on rechercher en profondeur pour la chaîne de texte spécifiée. La valeur doit être positive et inférieure ou égale à 65 000. Cette valeur est obligatoire. Plus la recherche est approfondie, plus elle prend de temps. |
Echantillonnage (Traité/10000) | Parmi 10 000 messages, le nombre que vous voulez surveiller comme échantillonnage représentatif. Par exemple, entrez 10 000 pour que Symantec Data Loss Prevention recherche chaque message de ce protocole. Si vous entrez 200, celui-ci recherche 200 messages pour chaque groupe de 10 000 messages. La valeur doit être positive et inférieure ou égale à 17 280. Cette valeur est obligatoire. |
Traitement de contenu | La section Traitement de contenu permet de spécifier la manière de traiter les messages de ce protocole. Sélectionnez l'une des options suivantes :
|
Représentation d'incident | Sélectionnez l'une des options suivantes :
|
Délai maximal avant l'écriture | Nombre maximal d'intervalles de 5 secondes pendant lequel un flux reste actif sans trafic avant d'être enregistré sur le disque. La valeur par défaut est 6. La valeur doit être positive et inférieure ou égale à 17 280. Cette valeur est obligatoire. |
Délai maximal avant l'abandon | Nombre maximal d'intervalles de 5 secondes pendant lequel un flux reste dans la mémoire une fois le contenu de flux vidé du disque. La valeur par défaut est 10. La valeur doit être positive et inférieure ou égale à 17 280. Cette valeur est obligatoire. |
Paquets de flux maximal | Nombre maximal de paquets d'un flux avant que ce flux soit spoolé vers le disque. La valeur par défaut est 20 000. La valeur doit être positive et inférieure ou égale à 100 000. Cette valeur est obligatoire. |
Taille de flux minimal | Taille minimale du flux. La valeur par défaut est 0. La valeur ne doit pas être négative. Cette valeur est obligatoire. |
Taille de flux maximal | Taille maximale du flux. La valeur par défaut est 30 000 000. La valeur ne doit pas être négative. Cette valeur est obligatoire. |
Intervalle de segment | Nombre d'intervalles de 5 secondes entre des tentatives visant à segmenter les flux persistants dans différents messages. La valeur par défaut est 12. La valeur doit être positive et inférieure ou égale à 3 600. Cette valeur est obligatoire. |
Aucune temporisation de notification trafic (en secondes) | Nombre de secondes pendant lequel aucun nouveau paquet ne s'affiche sur le protocole précédant un avertissement système. La valeur par défaut est 600. La valeur doit être supérieure ou égale à 60 et inférieure ou égale à 604 800. Cette valeur est obligatoire. |
Est interrompu sur le FIN | Si vous sélectionnez cette option, un paquet FIN ou un paquet RST entraîne l'enregistrement immédiat du flux sur le disque. |
Après avoir ajouté les valeurs :
- Cliquez surEnregistrerpour enregistrer toutes les modifications apportées au protocole.
- Si vous avez apporté des modifications aux filtres d'IP, redémarrez tous les serveurs de surveillance affectés.
- Si vous avez apporté des modifications aux filtres L7, redémarrez tous les serveurs de surveillance et Prevent affectés.
- Vous pouvez également cliquer surAnnulerpour annuler toutes les modifications apportées au protocole.