2.2.5. Interfaces de capture et de surveillance : single-tenant vs multi-tenant

2.2.5.1. Moteur de détection du GCap et règles

SIGFLOW est le nom du moteur de détection du GCap configuré :

  • par un ensemble de règles (RULESET) défini sur le GCenter

  • par des règles définies localement et donc non connues du GCenter

Ces règles doivent décrire les caractéristiques des attaques qui devront être détectées mais doivent également être optimisées pour réduire les faux positifs.

L’ensemble de règles est composé de signatures regroupées par catégories qui ont été fournies par des sources.

Cette composition est effectuée par l’administrateur sur le GCenter et donc peut être configurée de façon différente en fonction du nombre de GCap et de leurs spécificités.


2.2.5.1.1. Commandes dans la CLI

La possibilité de visualiser / créer des règles locales est faite différemment suivant la configuration. Pour avoir plus d'informations sur les règles, voir le tableau Gérer le moteur de détection (fonctions avancées).


2.2.5.2. Transfert de l'ensemble de règles en mode single-tenant

2.2.5.2.1. Principe du single-tenant

Une fois défini sur le GCenter, un seul ensemble de règles (RULESET) est envoyé au moteur de détection du GCap.

Le moteur de détection du GCap applique cet ensemble de règles à toutes les interfaces de capture : c'est la configuration single-tenant.

Règles Sigflow en single-tenant

2.2.5.2.2. Configuration du mode single-tenant

Dans l'interface Web du GCenter, dans la partie SIGFLOW - GCaps Profiles > Detection rulesets, l'option par défaut est le single-tenant.


2.2.5.3. Transfert de l'ensemble de règles SIGFLOW en mode multi-tenant

2.2.5.3.1. Principe du multi-tenant

Une fois défini sur le GCenter, il est possible de définir un ensemble de règles SIGFLOW différent pour chacune des interfaces de capture. Ensuite chacun de ces ensembles de règles sera appliqué à son interface de capture : c'est la configuration multi-tenant.

Règles Sigflow en multi-tenant

À l'inverse du single-tenant, le multi-tenant va permettre d'optimiser les ressources et les coûts tout en simplifiant le processus de gestion des règles de détection par environnement.

La flexibilité de l'architecture permet d'affiner efficacement les règles de détection, d'isoler plus facilement les menaces et de personnaliser la capture.


2.2.5.3.2. Configuration du mode multi-tenant

Dans l'interface Web du GCenter, dans la partie SIGFLOW - GCaps Profiles > Detection rulesets, l'option par défaut est le single-tenant.

Il est aussi possible de choisir deux autres options :

  • 'Multi-tenant by interfaces' ou

  • 'Multi-tenant by vlan'

Dans le cas où une de ces options est sélectionnée, cela offre la possibilité d’attribuer des ruleset SIGFLOW différents pour :

  • chacune des interfaces du GCap ou

  • pour les différents vlan...

...et ainsi avoir une supervision différente sur des réseaux différents.

Une optimisation des règles SIGFLOW au préalable est fortement conseillée avant de choisir cette option de configuration.

Les règles doivent en effet être adaptées à l’environnement surveillé.

Cette version du GCap permet d'être compatible avec le GCenter.