2.2.7. Moteur de détection Sigflow

Pour que le flux capturé soit analysé, les étapes suivantes doivent être faites :

  • activation d'une ou plusieurs interfaces de capture sur le GCap

  • appairage du GCap avec le GCenter

  • activation du moteur de détection Sigflow (par défaut, il est désactivé)


2.2.7.1. Activation d'une ou plusieurs interfaces de capture et de surveillance sur le GCap

2.2.7.1.1. Commandes dans la CLI

La gestion des interfaces de capture se fait à l'aide de commandes de la CLI dont la liste est donnée dans le tableau Gérer le réseau.

2.2.7.1.2. Procédures dans les cas d'utilisation

Pour visualiser ou configurer les interfaces de capture, se reporter à la Procédure de gestion des paramètres des interfaces de capture monx.


2.2.7.2. Agrégation des interfaces de capture et de surveillance monx

Pour plus d'informations sur cette agrégation, se référer au paragraphe Interfaces de capture et de surveillance monx entre TAP et GCap : possibilité d'agrégation

Pour plus d'informations sur la configuration de cette agrégation, se référer au paragraphe Configuration des interfaces de capture et de surveillance : agrégation.


2.2.7.3. Appairage du GCap avec le GCenter

Une fois le paramétrage réseau fait, il est nécessaire d'appairer le GCap avec le GCenter.

Pour plus d'informations sur l'appairage, se référer à la procédure Appairage entre un GCap et un GCenter.


2.2.7.4. Activation du moteur d'analyse Sigflow

Par défaut le moteur d'analyse du GCap est désactivé.


2.2.7.4.1. Vérification de l'état du moteur d'analyse Sigflow

Il est possible de vérifier l'état du moteur avec la commande show status


2.2.7.4.2. Démarrage du moteur d'analyse Sigflow

Il est indispensable de démarrer le moteur d'analyse Sigflow (moteur de détection).

La capture du flux n'est faite qu'après ce démarrage.

Pour cela :

(gcap-cli) monitoring-engine start

Le système affiche le message suivant indiquant que le moteur a été démarré.

Starting Detection Engine...
This operation may take a while... Please wait.
Detection Engine has been successfully started.

Une fois le moteur d'analyse activé, les possibilités de configuration de la sonde GCap changent et certaines ne sont plus paramétrables tant que le moteur est actif.

Note

La commande eve-stats du sous-groupe show permet d’afficher les statistiques de Sigflow (monitoring-engine).


2.2.7.4.3. Période de grâce

Si le nombre de règles chargées par le moteur d'analyse est important alors la durée maximale de démarrage doit être modifiée via la CLI.


2.2.7.5. Désactivation du moteur de détection Sigflow

2.2.7.5.1. Vérification de l'état du moteur de détection Sigflow

Il est possible de vérifier l'état du moteur avec la commande show status.


2.2.7.5.2. Arrêt du moteur de détection Sigflow

De la même façon, l'arrêt s'effectue avec la commande monitoring-engine stop :

(gcap-cli) monitoring-engine stop

Le système affiche le message suivant indiquant que le moteur a été démarré.

Stopping Detection Engine...
This operation may take a while... Please wait.
Detection Engine has been successfully stopped.

2.2.7.6. Mode de compatibilité

Le mode de compatibilité entre le GCap et le GCenter doit être renseigné via la CLI.


2.2.7.7. MTU

La MTU (Maximum Transfert Unit) de chaque interface de capture du GCap peut être ajustée via la CLI.

En effet la taille maximale d'un paquet pouvant être capturé en une seule fois sur une interface est paramétrable.


2.2.7.7.1. Affichage de la valeur courante de la MTU

Il est possible d'afficher la valeur de la MTU avec la commande show advanced-configuration mtu:

(gcap-cli) show advanced-configuration mtu

Current Monitoring Network MTU configuration:
	- mon0: 1500
	- monvirt: 1500

L'administrateur peut modifier la valeur en octets de la MTU des interfaces de capture du GCap. Cette valeur doit se trouver entre 1280 et 9000 octets.

Note

A noter que les fonctionnalités de Load Balancing et de Filtrage XDP ne sont pas supportées lorsque la MTU > 3000.


2.2.7.7.2. Modification de la valeur courante de la MTU

Concernant la modification de la MTU, cela se fait avec la commande set advanced-configuration mtu suivi des paramètres :

  • nom de l'interface, par exemple mon0

  • valeur, par exemple 1300

Note

Pour modifier la MTU de l'interface `mon0` à 1300 :
  • entrer la commande set advanced-configuration mtu mon0 1300

  • valider

(gcap-cli) set advanced-configuration mtu mon0 2500

Le système affiche les informations de la mise à jour du paramètre.

Updating Monitoring Network MTU configuration to:
	- mon0: 2500

2.2.7.8. Reconstruction de fichiers

La reconstruction de fichiers a lieu sur le GCap grâce à son moteur de détection (Sigflow).

Ces fichiers sont reconstruits à certaines conditions paramétrables depuis le GCenter. Ces conditions sont les suivantes :

  • la taille du fichier observé

  • le type de fichier observé (basé soit sur l’extension, soit sur le filemagic)

De plus, la reconstruction de fichier n'est possible que sur certains protocoles dont la liste diffère en fonction des différentes versions du GCap.

Voici la liste des protocoles supportés par le GCap :

  • HTTP

  • SMTP

D'autres protocoles sont disponibles depuis le GCenter, il faut se référer à la documentation du GCenter pour en savoir plus.

Note

A savoir que les protocoles sur lesquels il est possible de reconstruire dépend du GCap et non du GCenter. Si la configuration du GCenter spécifie au GCap de reconstruire un certain type de fichier mais que ce dernier n'en est pas capable, la reconstruction n'aura pas lieu.

L'administrateur a la possibilité d'ajouter une règle locale depuis la CLI avec la commande local-rules si nécessaire.

Exemple de syntaxe des règles pour ces protocoles est la suivante :

alert ftp-data any any -> any any (msg:"[ Message regle FTP ] FTP filestore all"; filestore; ftpdata_command:retr; sid:13371340; rev:1;)

alert smb any any -> any any (msg:"[ Message regle SMB ] SMB filestore all"; filestore; ftpdata_command:retr; sid:13371341; rev:1;)