Détails avancés

Tous ou seulement quelques-uns des paramètres suivants apparaissent dans l’onglet Détails avancés des événements pour la classe Isapi. Les valeurs de ces paramètres peuvent vous aider à comprendre le déclenchement d’une signature.

Nom IUG
explication
url
Partie emplacement décodée et normalisée d’une requête HTTP entrante (avant le « ? »).
query
Partie query décodée et normalisée d’une requête HTTP entrante (après le premier « ? »).
web server type
Type et version de l’application de serveur Web utilisée.
method
Méthode de la requête HTTP entrante (telles que Get, Put, Post, Query, etc.).
local file
Nom physique du fichier récupéré ou en tentative de récupération par la requête. Décodé et normalisé sous IIS.
raw url
Ligne de requête « brute » (non décodée et non normalisée) de la requête HTTP entrante. La ligne de requête est la suivante : « <method> <location[?query]> <http version> CRLF ».
user
Nom d’utilisateur du client à l’origine de la requête (disponible uniquement si la requête est authentifiée).
source
Nom du client ou adresse IP de l'ordinateur d'origine de la requête HTTP.
server
Informations sur le serveur Web où l’événement a été créé (ordinateur sur lequel l’agent est installé), présentées comme suit : <host name>:<IP address>:<port>. Le nom d’hôte est la variable hôte de l’en-tête HTTP (le champ est laissé vide si elle n’est pas disponible).
content len
Nombre d’octets dans le corps du message de la requête.

La règle suivante vise à bloquer une requête vers le serveur Web qui contient « subject » dans la partie « query » de la requête HTTP :

Rule {

Class Isapi

Id 4001

level 4

query { Include "*subject*" }

method { Include "GET" }

time { Include "*" }

application { Include "*"}

user_name { Include "*" }

directives -c -d isapi:request

}

Par exemple, la requête GET http://www.myserver.com/test/ abc.exe?subject=wildlife&environment=ocean serait bloquée par cette règle.

Les diverses sections de cette règle ont les significations suivantes :

Copyright © 2005 McAfee, Inc. Tous droits réservés.