2.2.7. Moteur de détection Sigflow
Pour que le flux capturé soit analysé, les étapes suivantes doivent être faites :
activation d'une ou plusieurs interfaces de capture sur le GCap
appairage du GCap avec le GCenter
activation du moteur de détection Sigflow (par défaut, il est désactivé)
2.2.7.1. Activation d'une ou plusieurs interfaces de capture et de surveillance sur le GCap
2.2.7.1.1. Commandes dans la CLI
La gestion des interfaces de capture se fait à l'aide de commandes de la CLI dont la liste est donnée dans le tableau Gérer le réseau.
2.2.7.1.2. Procédures dans les cas d'utilisation
Pour visualiser ou configurer les interfaces de capture, se reporter à la Procédure de gestion des paramètres des interfaces de capture monx
.
2.2.7.2. Agrégation des interfaces de capture et de surveillance monx
Pour plus d'informations sur cette agrégation, se référer au paragraphe Interfaces de capture et de surveillance monx
entre TAP et GCap : possibilité d'agrégation
Pour plus d'informations sur la configuration de cette agrégation, se référer au paragraphe Configuration des interfaces de capture et de surveillance : agrégation.
2.2.7.3. Appairage du GCap avec le GCenter
Une fois le paramétrage réseau fait, il est nécessaire d'appairer le GCap avec le GCenter.
Pour plus d'informations sur l'appairage, se référer à la procédure Appairage entre un GCap et un GCenter.
2.2.7.4. Activation du moteur d'analyse Sigflow
Par défaut le moteur d'analyse du GCap est désactivé.
2.2.7.4.1. Vérification de l'état du moteur d'analyse Sigflow
Il est possible de vérifier l'état du moteur avec la commande show status
2.2.7.4.2. Démarrage du moteur d'analyse Sigflow
Il est indispensable de démarrer le moteur d'analyse Sigflow (moteur de détection).
La capture du flux n'est faite qu'après ce démarrage.
Pour cela :
entrer la commande monitoring-engine start
valider
(gcap-cli) monitoring-engine start
Le système affiche le message suivant indiquant que le moteur a été démarré.
Starting Detection Engine...
This operation may take a while... Please wait.
Detection Engine has been successfully started.
Une fois le moteur d'analyse activé, les possibilités de configuration de la sonde GCap changent et certaines ne sont plus paramétrables tant que le moteur est actif.
Note
La commande eve-stats du sous-groupe show permet d’afficher les statistiques de Sigflow (monitoring-engine).
2.2.7.5. Désactivation du moteur de détection Sigflow
2.2.7.5.1. Vérification de l'état du moteur de détection Sigflow
Il est possible de vérifier l'état du moteur avec la commande show status
.
2.2.7.5.2. Arrêt du moteur de détection Sigflow
De la même façon, l'arrêt s'effectue avec la commande monitoring-engine stop :
(gcap-cli) monitoring-engine stop
Le système affiche le message suivant indiquant que le moteur a été démarré.
Stopping Detection Engine...
This operation may take a while... Please wait.
Detection Engine has been successfully stopped.
2.2.7.6. Mode de compatibilité
Le mode de compatibilité entre le GCap et le GCenter doit être renseigné via la CLI.
2.2.7.7. MTU
La MTU (Maximum Transfert Unit) de chaque interface de capture du GCap peut être ajustée via la CLI.
En effet la taille maximale d'un paquet pouvant être capturé en une seule fois sur une interface est paramétrable.
2.2.7.7.1. Affichage de la valeur courante de la MTU
Il est possible d'afficher la valeur de la MTU avec la commande show advanced-configuration mtu:
(gcap-cli) show advanced-configuration mtu
Current Monitoring Network MTU configuration:
- mon0: 1500
- monvirt: 1500
L'administrateur peut modifier la valeur en octets de la MTU des interfaces de capture du GCap. Cette valeur doit se trouver entre 1280 et 9000 octets.
Note
A noter que les fonctionnalités de Load Balancing et de Filtrage XDP ne sont pas supportées lorsque la MTU > 3000.
2.2.7.7.2. Modification de la valeur courante de la MTU
Concernant la modification de la MTU, cela se fait avec la commande set advanced-configuration mtu suivi des paramètres :
nom de l'interface, par exemple mon0
valeur, par exemple 1300
Note
- Pour modifier la MTU de l'interface
`mon0`
à 1300 : entrer la commande set advanced-configuration mtu mon0 1300
valider
(gcap-cli) set advanced-configuration mtu mon0 2500
Le système affiche les informations de la mise à jour du paramètre.
Updating Monitoring Network MTU configuration to:
- mon0: 2500
2.2.7.8. Reconstruction de fichiers
La reconstruction de fichiers a lieu sur le GCap grâce à son moteur de détection (Sigflow).
Ces fichiers sont reconstruits à certaines conditions paramétrables depuis le GCenter. Ces conditions sont les suivantes :
la taille du fichier observé
le type de fichier observé (basé soit sur l’extension, soit sur le filemagic)
De plus, la reconstruction de fichier n'est possible que sur certains protocoles dont la liste diffère en fonction des différentes versions du GCap.
Voici la liste des protocoles supportés par le GCap :
HTTP
SMTP
D'autres protocoles sont disponibles depuis le GCenter, il faut se référer à la documentation du GCenter pour en savoir plus.
Note
A savoir que les protocoles sur lesquels il est possible de reconstruire dépend du GCap et non du GCenter. Si la configuration du GCenter spécifie au GCap de reconstruire un certain type de fichier mais que ce dernier n'en est pas capable, la reconstruction n'aura pas lieu.
L'administrateur a la possibilité d'ajouter une règle locale depuis la CLI avec la commande local-rules si nécessaire.
Exemple de syntaxe des règles pour ces protocoles est la suivante :
alert ftp-data any any -> any any (msg:"[ Message regle FTP ] FTP filestore all"; filestore; ftpdata_command:retr; sid:13371340; rev:1;)
alert smb any any -> any any (msg:"[ Message regle SMB ] SMB filestore all"; filestore; ftpdata_command:retr; sid:13371341; rev:1;)