Contextes de transfert de fichiers
Ces objets et groupes d’attaques sont conçus pour détecter les schémas d’attaque connus et les anomalies de protocole au sein du trafic réseau. Vous pouvez configurer des objets et des groupes d’attaques pour les protocoles de transfert de fichiers en tant que conditions de correspondance dans les règles de stratégie IDP.
Contextes de service : FTP
Le tableau affiche les détails du contexte de sécurité pour FTP :
Contexte et direction |
Description Exemples de contextes |
|||
|---|---|---|---|---|
Compte ftp (CTS) |
Correspond au nom du compte de connexion FTP. |
|||
bannière ftp (STC) |
Correspond à la bannière renvoyée par le serveur au début d’une session FTP.  |
|||
commande ftp (CTS) |
Correspond à chacun des noms de commande FTP.  |
|||
ftp-cwd-pathname (CTS) |
Correspond au nom du répertoire dans la commande CWD d’une session FTP.  |
|||
ftp-dele-pathname (CTS) |
Correspond au nom de fichier dans la commande DELE d’une session FTP.  |
|||
ftp-get-filename (CTS) |
Correspond au nom de fichier dans la commande GET d’une session FTP.  |
|||
ftp-list-pathname (CTS) |
Correspond au répertoire ou au nom de fichier dans la commande LIST d’une session FTP.  |
|||
ftp-mkd-pathname (CTS) |
Correspond au nom du répertoire dans la commande MKD d’une session FTP.  |
|||
ftp-nlst-pathname (CTS) |
Correspond au répertoire ou au nom de fichier dans la commande NLST d’une session FTP. |
|||
mot-de-passe ftp (CTS) |
Correspond au mot de passe de connexion FTP.  |
|||
ftp-pathname (CTS) |
Correspond à un répertoire ou à un nom de fichier dans l’une des commandes FTP.  |
|||
ftp-put-filename (CTS) |
Correspond au nom de fichier dans la commande PUT d’une session FTP.  |
|||
ftp-reply-100 lignes (STC) |
Correspond à la réponse préliminaire positive FTP 1yz.  |
|||
ftp-reply-200-ligne (STC) |
Correspond à la réponse FTP 2yz Positive Completion (Achèvement positif) FTP 2yz.  |
|||
ftp-reply-300 lignes (STC) |
Correspond à la réponse intermédiaire positive FTP 3yz.  |
|||
ftp-reply-400-ligne (STC) |
Correspond à la réponse FTP 4yz Transient Negative Completion (Achèvement négatif transitoire) FTP 4yz. |
|||
ftp-reply-500-line (STC) |
Correspond à la réponse FTP 5yz Permanent Negative Completion (Achèvement négatif permanent) FTP 5yz.  |
|||
ligne de réponse ftp (STC) |
Correspond à la ligne de réponse FTP.  |
|||
requête ftp (CTS) |
Correspond à la ligne de requête FTP (commande et arguments).  |
|||
ftp-rmd-pathname (CTS) |
Correspond au nom du répertoire dans la commande RMD d’une session FTP.  |
|||
ftp-rnfr-pathname (CTS) |
Correspond à un répertoire ou à un nom de fichier dans la commande RNFR d’une session FTP.  |
|||
ftp-rnto-pathname (CTS) |
Correspond à un répertoire ou à un nom de fichier dans la commande RNTO d’une session FTP.  |
|||
ftp-sitestring (CTS) |
Correspond aux arguments de la commande SITE dans une session FTP.  |
|||
ftp-smnt-pathname (CTS) |
Correspond au répertoire ou au nom de fichier dans la commande SMNT d’une session FTP. |
|||
ftp-stat-pathname (CTS) |
Correspond au répertoire ou au nom de fichier dans la commande STAT d’une session FTP. |
|||
nom_utilisateur ftp (CTS) |
Correspond au nom d’utilisateur de connexion FTP.  |
|||
Contextes de service : NFS
Le tableau affiche les détails du contexte de sécurité pour NFS :
Contexte et direction |
Description Exemples de contextes |
|||
|---|---|---|---|---|
nfs-create-name (CTS) |
Correspond au nom d’un fichier ou d’un répertoire dans la procédure CREATE.  |
|||
nfs-dir-entry (STC) |
Correspond au nom de chaque entrée de répertoire renvoyée par la procédure READDIR. |
|||
cible de liaison nfs (CTS) |
Correspond au nom du lien physique dans la procédure LINK. |
|||
nom_recherche nfs (CTS) |
Correspond au nom d’un fichier ou d’un répertoire dans la procédure RECHERCHE.  |
|||
nom_nfs-mkdir (CTS) |
Correspond au nom d’un répertoire dans la procédure MKDIR. |
|||
nom_nfs-mknod (CTS) |
Correspond au nom du fichier spécial dans la procédure MKNOD. |
|||
nfs-readlink-name (STC) |
Correspond au nom renvoyé par la procédure READLINK |
|||
nfs-remove-name (CTS) |
Correspond au nom d’un fichier dans la procédure REMOVE. |
|||
nfs-rename-from (CTS) |
Correspond au nom du fichier source ou du répertoire dans la procédure RENOMMER. |
|||
nfs-rename-to (CTS) |
Correspond au nom du fichier ou du répertoire de destination dans la procédure RENOMMER. |
|||
nom_nfs-rmdir (CTS) |
Correspond au nom d’un répertoire dans la procédure RMDIR. |
|||
nfs-symlink-source (CTS) |
Correspond à la source du lien symbolique dans la procédure SYMLINK. |
|||
cible nfs-lien symbolique (CTS) |
Correspond à la cible du lien symbolique dans la procédure SYMLINK. |
|||
Contextes de service : SMB
Le tableau affiche les détails du contexte de sécurité pour SMB :
Contexte et direction |
Description Exemples de contextes |
|||
|---|---|---|---|---|
nom_compte-smb (TOUT) |
Correspond au nom du compte SMB dans la demande SESSION_SETUP_ANDX d’une session SMB.  |
|||
demande smb-atsvc (CTS) |
Correspond à toutes les demandes de service AT envoyées en tant que transactions de canal nommées sur la couche transport SMB. Les 2 premiers octets de ce contexte contiennent l’opcode de la fonction.  |
|||
smb-atsvc-response (STC) |
Correspond à toutes les réponses du service AT reçues sous forme de transactions de canal nommées sur la couche transport SMB. Les 2 premiers octets de ce contexte contiennent l’opcode de la fonction.  |
|||
smb-browser-request (CTS) |
Correspond à toutes les demandes de navigateur envoyées en tant que transactions de canal nommées sur la couche transport SMB. Les 2 premiers octets de ce contexte contiennent l’opcode de la fonction. |
|||
smb-browser-response (STC) |
Correspond à toutes les réponses du navigateur reçues en tant que transactions de canal nommées sur la couche transport SMB. Les deux premiers octets de ce contexte contiennent l’opcode de la fonction. |
|||
nom_appelé_smb (TOUT) |
Correspond au nom NetBIOS de l’initiateur d’une session SMB. |
|||
nom_appel_smb (TOUT) |
Correspond au nom NetBIOS du destinataire d’une session SMB.  |
|||
chemin de connexion smb (CTS) |
Correspond au chemin de connexion dans la demande TREE_CONNECT_ANDX d’une session SMB.  |
|||
service de connexion smb (CTS) |
Correspond au service de connexion dans la demande TREE_CONNECT_ANDX d’une session SMB.  |
|||
smb-copy-filename (CTS) |
Correspond au nom de fichier dans la requête COPY d’une session SMB. |
|||
données smb (TOUTES) |
Correspond à n’importe quelle portion de données SMB.  |
|||
smb-dce-rpc (TOUT) |
Correspond à n’importe quel message DCE/RPC envoyé sur la couche transport SMB.  |
|||
smb-dce-rpc-bind (CTS) |
Correspond à n’importe quel message de liaison DCE/RPC envoyé sur la couche transport SMB.  |
|||
smb-dce-rpc-bind-ack (STC) |
Correspond à n’importe quel message de liaison DCE/RPC envoyé sur la couche transport SMB.  |
|||
smb-dce-rpc-bind-nack (STC) |
Correspond à n’importe quel message de liaison DCE/RPC envoyé sur la couche transport SMB. |
|||
smb-dce-rpc-request (CTS) |
Correspond à n’importe quel message de demande DCE/RPC envoyé sur la couche transport SMB.  |
|||
smb-dce-rpc- request-obj-uuid (CTS) |
Correspond à l’UUID d’objet de n’importe quel message de requête DCE/RPC.  |
|||
SMB-DCE-RPC- RÉPONSE (STC) |
Correspond à n’importe quel message de réponse DCE/RPC envoyé sur la couche transport SMB.  |
|||
smb-delete- nom de fichier (CTS) |
Correspond au nom de fichier dans la requête DELETE d’une session SMB. |
|||
dialecte smb (CTS) |
Correspond à chaque chaîne de dialecte SMB dans la requête NEGOTIATE d’une session SMB. |
|||
en-tête SMB |
Correspond à n’importe quelle portion d’en-tête SMB  |
|||
demande smb-lanman (CTS) |
Correspond à toutes les demandes LANMAN envoyées en tant que transactions de canal nommées sur la couche transport SMB. Les 2 premiers octets de ce contexte contiennent l’opcode de la fonction.   |
|||
smb-lanman- réponse (STC) |
Correspond à toutes les réponses LANMAN reçues en tant que transactions de canal nommées sur la couche transport SMB. Les 2 premiers octets de ce contexte contiennent l’opcode de la fonction.  |
|||
requête smb-lsarpc (CTS) |
Correspond à toutes les demandes de l’autorité de sécurité locale envoyées en tant que transactions de canal nommées sur la couche transport SMB. Les 2 premiers octets de ce contexte contiennent l’opcode de la fonction. |
|||
smb-move- nom de fichier (CTS) |
Correspond au nom de fichier dans la requête MOVE d’une session SMB. |
|||
smb-native- lanman (TOUT) |
Correspond au LANMAN natif dans la requête SESSION_SETUP_ANDX d’une session SMB.  |
|||
smb-native-os (TOUT) |
Correspond au système d’exploitation natif dans la demande SESSION_SETUP_ANDX d’une session SMB.  |
|||
smb-open-filename (CTS) |
Correspond au nom de fichier dans les requêtes NT_CREATE_ANDX et OPEN_ANDX d’une session SMB.  |
|||
smb-domaine-primaire (TOUT) |
Correspond au nom de domaine principal SMB dans la requête SESSION_SETUP_ANDX d’une session SMB. |
|||
smb-rename-filename (CTS) |
Correspond au nom de fichier dans la demande RENAME d’une session SMB.  |
|||
smb-samr-request (CTS) |
Correspond à toutes les demandes du gestionnaire de compte de sécurité envoyées en tant que transactions de canal nommées sur la couche transport SMB. Les 2 premiers octets de ce contexte contiennent l’opcode de la fonction.  |
|||
smb-samr-response (STC) |
Correspond à toutes les réponses du gestionnaire de compte de sécurité reçues sous forme de transactions de canal nommées sur la couche transport SMB. Les 2 premiers octets de ce contexte contiennent l’opcode de la fonction. |
|||
en-tête-de-session smb |
Correspond à n’importe quelle partie d’en-tête de session SMB  |
|||
demande smb-srvsvc (CTS) |
Correspond à toutes les demandes de service de serveur envoyées en tant que transactions de canal nommées sur la couche transport SMB. Les deux premiers octets de ce contexte contiennent l’opcode de la fonction.  |
|||
smb-svcctl-request (CTS) |
Correspond à toutes les demandes Service Control Manager envoyées en tant que transactions de canal nommées sur la couche transport SMB. Les deux premiers octets de ce contexte contiennent l’opcode de la fonction.  |
|||
demande smb-trans2 (CTS) |
Correspond à n’importe quelle requête SMB Transaction2.  |
|||
smb-trans2-réponse (STC) |
Correspond à n’importe quelle réponse SMB Transaction2.  |
|||
smb-trans2-set-path-info (CTS) |
Correspond à n’importe quelle requête SET-PATH-INFORMATION SMB Transaction2.  |
|||
Contextes de service : TFTP
Le tableau affiche les détails du contexte de sécurité pour TFTP :
Contexte et direction |
Description Exemples de contextes |
|||
|---|---|---|---|---|
tftp-nom_fichier (CTS) |
Correspond à n’importe quel nom de fichier dans une session TFTP.  |
|||
tftp-get-filename (CTS) |
Correspond au nom de fichier get dans une session TFTP.  |
|||
tftp-put-filename (CTS) |
Correspond au nom de fichier put dans une session TFTP.  |
|||