Pour afficher les assignations sur l'interface
1. Cliquez sur l'onglet Assignation.
L'onglet Assignation affiche une liste de toutes les assignations définies pour le système.
REMARQUE : les assignations figurant dans le dossier System ne peuvent être ni modifiées, ni supprimées.
Ajout de définitions d'assignation
Pour ajouter une définition d'assignation :
1. Cliquez sur l'onglet Assignation.
2. Cliquez sur Ajouter.
3. Si vous créez un nouveau dossier d'assignation, cliquez sur Nouveau.
Entrez le nom du dossier.
REMARQUE : s'il s'agit d'une première définition d'assignation, il est conseillé de créer un nouveau dossier de définition d'assignation. Vous ne pourrez pas modifier ou supprimer la définition d'assignation si vous la créez dans le dossier System.
4. Assurez-vous que le dossier dans lequel vous voulez enregistrer la définition d'assignation est sélectionné (en d'autres termes, que le dossier indique qu'il est ouvert).
5. Entrez le nom de l'assignation.
6. Cliquez sur Suivant.
Gestionnaire de données Sentinel
10-9
REMARQUE : la case du champ Type d'assignation est cochée.
7. Sélectionnez Fichier local ou Fichier distant.
Fichier local : permet de rechercher le fichier sur votre système de fichiers local
(sur la machine sur laquelle le Gestionnaire de données Sentinel a été lancé).
Fichier distant : permet de choisir un fichier contenant les données source de l'assignation sur le serveur où DAS s'exécute. Deux fichiers pouvant déjà exister sur le serveur (si Advisor est installé et que les données de vulnérabilité ont été téléchargées) sont en général attackNormalization.csv et exploitDetection.csv.
Le fichier distant pointe vers %ESEC_HOME%\sentinel\bin\map_data (Windows) ou $ESEC_HOME/sentinel/bin/map_data (UNIX).
Sélectionnez le fichier de définition d'assignation. Cliquez sur Suivant.
REMARQUE : vous ne verrez pas toutes les lignes des fichiers d'assignation contenant plus de 500 lignes dans le Gestionnaire de données Sentinel.
8. Dans la fenêtre Définition de la nouvelle assignation, définissez les paramètres suivants :
Le séparateur (barre verticale, virgule, point-virgule, etc.) des données dans les lignes du fichier source des données de l'assignation.
Commencer à la ligne : le nombre de lignes à ignorer à partir du début du fichier source des données de l'assignation.
Le nom des colonnes.
Types de colonne : les types de colonne actuellement pris en charge sont les suivants :
10-10 Guide de L'Utilisateur de Sentinel
− Chaîne : une chaîne est un groupe de caractères utilisés en tant qu'objet unique par un ordinateur. Une chaîne peut être constituée d'une seule lettre comme d'un seul mot ou nombre. Le mot FINANCE ou l'adresse IP 192.168.2.40 peuvent être des chaînes.
Une chaîne peut également être constituée d'une combinaison de mots, d'espaces et de nombres. L'adresse postale 1515 AVENUE DE MARIGNAN peut être une chaîne.
− Plage de nombres : une plage de nombres (NumberRange - PlageNombres) est une fourchette de nombres. Par exemple, la plage allant de 10 à 200 serait représentée ainsi : 10-200. Pour utiliser la fonctionnalité d'assignation de plage, une définition d'assignation ne doit comporter qu'une colonne clé de type NumberRange
(PlageNombres). S'il existe plusieurs colonnes clés ou si le type de la colonne clé est différent, le service d'assignation ne reconnaîtra pas l'assignation comme étant une assignation de plage.
Les colonnes actives : lorsqu'une colonne est marquée comme active, ses données sont distribuées aux processus à l'aide des assignations. Toutes les colonnes clés doivent être actives. Seules les colonnes non-clés actives peuvent être sélectionnées en tant que
Colonne de l'assignation dans l'onglet Événements.
Les colonnes clés : une clé est l'identificateur unique de chaque ligne de données dans les données de l'assignation. Si plusieurs colonnes sont sélectionnées comme clés, la clé globale de l'assignation comprendra toutes les colonnes sélectionnées en tant que clés.
Le filtrage des colonnes : une ligne peut être explicitement incluse ou exclue en fonction des critères de correspondance pour une colonne particulière. Le filtrage peut être utilisé pour exclure des lignes des données source de l'assignation, si ces lignes sont inutiles ou interfèrent avec l'assignation.
Au fur et à mesure que vous configurez les paramètres et les filtres, la table de données est automatiquement mise à jour pour vous permettre d'examiner vos données et de vérifier qu'elles sont analysées comme prévu.
Gestionnaire de données Sentinel
10-11
9. Une fois que vous avez fini de configurer tous les paramètres et les filtres de la définition, cliquez sur Terminer.
10. Si vous avez choisi Fichier local à l'étape 7 ci-dessus, vous serez invité à télécharger le fichier dans le dossier virtuel des fichiers distants situé dans :
%ESEC_HOME%\sentinel\bin\map_data. Entrez le nom du fichier, puis cliquez sur OK.
Ajout d'une définition d'assignation de plage de nombres
Pour utiliser la fonctionnalité d'assignation de plage, une définition d'assignation ne doit comporter qu'une colonne clé de type NumberRange. S'il existe plusieurs colonnes clés ou si le type de la colonne clé est différent, le service d'assignation ne reconnaîtra pas l'assignation comme étant une assignation de plage.
Pour créer une assignation de plage, sélectionnez la colonne devant être la clé de l'assignation, puis sélectionnez NumberRange (PlageNombres) comme type de la colonne. Le format des données dans une colonne de type NumberRange (PlageNombres) doit être « m-n », m étant le nombre minimal de la plage et n le nombre maximal (par exemple, 10-200 pour une plage de 10 à 200).
10-12 Guide de L'Utilisateur de Sentinel
Le nombre maximal de la plage n'est pas inclus dans la plage (par exemple, [m,n)). Cela signifie qu'une plage de 10 à 200 ne pourra avoir pour clé que des nombres allant de 10 à 199.
Dans l'exemple de données suivant, la première colonne est la clé :
1-2,AA
2-4,AA
4-12,BB
10-20,BB
30-31,BB
100-200,AA
110-120,CC
Notez les changements de la table ci-dessous.
La configuration d'un événement sur l'assignation ci-dessus peut, par exemple, être la suivante :
CustomerVar97 devrait contenir une valeur numérique (ou est d'un type de valeur qui peut être convertie en valeur numérique, telle qu'une adresse IP ou une date).
Gestionnaire de données Sentinel
10-13
Lorsque vous effectuez des recherches dans l'exemple d'assignation de plage, la valeur dans
CustomerVar97 prend en compte l'assignation de plage indiquée et recherche la plage à laquelle la valeur appartient (si elle existe). Voici quelques exemples et leurs résultats :
CustomerVar97 = 1 ; CustomerVar89 aura pour valeur AA.
CustomerVar97 = 4 ; CustomerVar89 aura pour valeur BB.
CustomerVar97 = 300 ; CustomerVar89 ne sera pas défini.
Sentinel convertit en interne les adresses IP et les dates en nombres entiers pour les balises de type IPv4 et de type Date.
Les balises IPv4 sont :
DestinationIP (dip)
SourceIP (sip)
Les balises de date sont :
CustomerVar11 à CustomerVar20 (cv11 à cv20)
DateTime (dt)
ReservedVar11 à ReservedVar20 (rv11 à rv20)
Pour plus d'informations sur les balises META, reportez-vous au Chapitre 5 : Balises META d'Assistant et de Sentinel du Guide des références de l'utilisateur Sentinel.
Par exemple, pour la table ci-dessous, la colonne 1 indique une plage numérique équivalente
à une plage IP allant de 10.0.0.0 à 10.0.2.255.
167772160-167772415,AAA
167772416-167772671,BBB
167772672-167772927,CCC
La même configuration que l'exemple précédent est utilisée, si :
la balise d'événement est définie sur DestinationIP et la colonne clé est la colonne 1 (plage) ;
la colonne de l'assignation est la colonne 2 (valeur). Les valeurs générées pour
CustomerVar89.
10-14 Guide de L'Utilisateur de Sentinel
