2. Fonctionnement global
Le GCap assure la capture des flux réseau et une partie des analyses. Un GCap est connecté à un switch avec un miroir de port ou à un TAP recopiant le flux réseau. Un ou plusieurs GCap peuvent être déployés au sein d'une infrastructure, en local ou sur des sites distants. Le ou les GCap sont connectés à une appliance de management GCenter.
Le GCenter assure l'analyse des informations remontées par le GCap, leur stockage, les interfaces de paramétrage, de reporting et de l'export des informations vers un SIEM. Les composants de la sonde ou liés à la sonde seront déployés au sein du réseau client, du réseau d'administration du client, de l'enclave ou du système d'information du service de détection. L'autorisation de la remontée des données vers le service de détection est sous le contrôle exclusif du client.
Les données de la solution, une fois capturées, transitent entre la sonde GCap et le GCenter via un tunnel IPSEC qui permettra de sécuriser et chiffrer les communications entre les deux entités et de pouvoir les interconnecter à distance.
TRACKWATCH propose deux modes pour répondre aux besoins des sociétés. Un mode Standard qui ne comprend pas de restriction particulière et un mode prévu pour être déployé dans le cadre de la Loi de Programmation Militaire, le mode LPM.
L'administrateur de chaque site va devoir procéder à une ouverture de flux en interne entre chacun des équipements suivant une matrice de flux déjà prédéfini ci-dessus. Suite à cette action, la communication entre les deux équipements GCap et GCenter, ainsi que l'administration de ces machines se fera correctement.
Dans le cadre d'un SI soumis à la LPM, le GCenter doit avoir une configuration spéciale de ses interfaces réseau. Le flux de management et celui des tunnels IPSEC des GCap doivent être sur deux interfaces différentes.
Il n'y a pas de restriction particulière concernant les interfaces de management du GCenter et du GCap hormis l'utilisation obligatoire des interfaces [VPN0] et [GCP0] pour le transit via un tunnel IPSEC des données capturées.