Link Search Menu Expand Document

Données déclaratives

Les données déclaratives permettent de déclarer explicitement des informations liées à un actif.

Elles servent à créer un actif air gap ou à modifier les informations d’un actif déjà présent dans Cyberwatch pour adapter les résultats des scans.

Les informations à renseigner doivent respecter la syntaxe décrite ci-dessous.

Modifier les données déclaratives d’un actif

  1. Cliquer sur Inventaire.
  2. Sélectionner un actif.
  3. Depuis la page dédiée à l’actif concerné, onglet « Analyse », cliquer sur le bouton d’édition devant « Données déclaratives ».
  4. Renseigner les informations relatives à l’actif, en respectant la syntaxe.
  5. Valider en cliquant sur le bouton « Mettre à jour ».

Syntaxe du langage

Chaque propriété du langage est composée d’une paire de clé/valeur, dont la syntaxe est :

KEY:value

Précisions sur la syntaxe

  • Les clés sont composées exclusivement de lettres majuscule et d’underscores (tirets du bas) :

     bad_key: → erreur de syntaxe
     BAD-KEY: → erreur de syntaxe
     GOOD_KEY:
    
  • Les lignes ne respectant pas le format clé:valeur déclenchent également des erreurs de syntaxe.

    Il est à noter que les erreurs de syntaxe ne sont jamais fatales, la propriété ne sera simplement pas prise en compte dans l’analyse.

  • Les commentaires commencent au début de la ligne par la caractère #, et s’étendent sur toute la ligne. Les valeurs pouvant contenir le caractère #, commenter une partie de la ligne n’est pas possible.

  • Des valeurs en plusieurs lignes sont acceptées pour certaines propriétés. Elles doivent avoir une indentation plus importante que la propriété qui les définit :

     KEY:start
        ...
        end
    

Interdiction d’une valeur

Vous pouvez interdire une valeur pour qu’elle ne soit plus prise en compte par Cyberwatch, en faisant précéder la syntaxe précédente d’un trait d’union :

-KEY1:value1

Toutes les occurrences de KEY1:value1 qui suivront -KEY1:value1 seront ignorées.

N.B. : Le trait d’union doit être suivi de la ligne exacte remontée lors du scan.

Types de propriétés

Deux types de propriétés sont disponibles :

  • Les propriétés simples qui ne peuvent être définies qu’une fois et qui n’acceptent qu’une seule valeur. Si la propriété est redéfinie, la deuxième valeur est ignorée :

     HOSTNAME:server-1
     HOSTNAME:server-2 → ignorée
    
  • Les propriétés multiples qui peuvent être renseignées plusieurs fois dans le script. Elles permettent de construire une liste d’éléments :

     # Renseigne 2 paquets :
     PACKAGE:coreutils|8.32-1
     PACKAGE:bash|5.1.004-1
    

Notez que lors de la modification des informations d’un actif, les propriétés simples peuvent être directement réécrites. Elles remplaceront alors les informations remontées lors des scans :

   HOSTNAME:server-1 → remplace la valeur remontée

A l’inverse, les propriétés multiples ne peuvent pas être directement réécrites. Pour qu’une valeur remontée lors des scans soit remplacée, il convient de l’interdire et d’ajouter une propriété avec la nouvelle valeur.

Exemple de cas d’usage :

   # Remplacer la version d'un paquet
   -PACKAGE:coreutils|8.31
   PACKAGE:coreutils|8.32

Liste des propriétés principales

Informations système

KEY Impact Exemple KEY:value Simple/Multiple
HOSTNAME Définit le nom de l’actif HOSTNAME:server Simple
KERNEL_VERSION Définit la version du noyau de l’OS KERNEL_VERSION:5.4.0-42-generic Simple
OS_NAME Définit le nom du système d’exploitation de l’actif OS_NAME:Ubuntu Simple
OS_VERSION Définit la version du système d’exploitation OS_VERSION:20.04.1 LTS Simple
OS_PRETTYNAME Définit le système d’exploitation et sa version OS_PRETTYNAME:Ubuntu 20.04.1 LTS Simple
ARCH Définit l’architecture sous laquelle l’actif tourne ARCH:x86_64 Simple

État du système

KEY Impact Exemple KEY:value Simple/Multiple
REBOOT Permet la définition de l’état en Redémarrage nécessaire REBOOT:false Simple
BOOT_TIME Définit l’heure et la date de démarrage BOOT_TIME:2021-03-18T07:38:59+0000 Simple

Services

KEY Impact Exemple KEY:value Simple/Multiple
SERVICE Ajoute une ligne dans l’onglet Services SERVICE:ssh|enabled Multiple

Paquets/applications installés

KEY Impact Exemple KEY:value Simple/Multiple
PACKAGE Ajoute un package aux technologies de l’actif PACKAGE:firefox|80.0.1+build1-0ubuntu0.20.04.1 Multiple
APPLICATION Ajoute une application aux technologies de l’actif APPLICATION:Microsoft Office 365 ProPlus - en-us|16.0.11328.20512 Multiple
NVD_APPLICATION Ajoute une application tierce à partir d’une CPE connue de la base NVD NVD_APPLICATION:cpe:/a:elastic:kibana:7.0.0 Multiple
FIRMWARE Spécifie le code CPE du micrologiciel d’un équipement FIRMWARE:cpe:/o:stormshield:stormshield_network_security:3.8.1 Multiple
META Ajoute une ligne à l’onglet Métadonnées META:processor-version|Intel(R) Core(TM) i7-10700 CPU @ 2.90GHz Multiple

Informations réseau

KEY Impact Exemple KEY:value Simple/Multiple
IP Définit les adresses IP de l’actif IP:127.0.0.1 Multiple
TCP Ajoute un port TCP à l’onglet Ports TCP:22 ou TCP:22|openssh Multiple
UDP Ajoute un port UDP à l’onglet Ports UDP:53 Multiple

Propriétés spécifiques à Windows

KEY Impact Exemple KEY:value Simple/Multiple
OS_BUILD Définit le build de Windows OS_BUILD:17763.1158 Simple
WUAVERSION Définit la version du Windows Update Agent WUAVERSION:10.0.17763.1 Simple
CAB_FILENAME Définit le nom du fichier officiel de Microsoft utilisé pour ce scan CAB_FILENAME:dcdb9e78484667695627acea9213897eaf.cab Simple

Propriétés spécifiques à SAP

KEY Impact Exemple KEY:value Simple/Multiple
SAP_NOTE Ajoute une note SAP à l’actif SAP_NOTE:3119365 Multiple

Défauts de sécurité

KEY Impact Exemple KEY:value Simple/Multiple
SECURITY_ISSUE Ajoute une ligne dans l’onglet Défauts de sécurité SECURITY_ISSUE:
   sid:WSTG-CRYP-04 (low)
   cipher:TLS_RSA_WITH_AES_128_CBC_SHA
   grade:A
   port:443
Multiple