2.1. Le GCap

2.1.1. Les fonctions du GCap

Les fonctions du GCap sont :

  • la connexion au TAP et la récupération des paquets dupliqués du flux réseau vu par le TAP,

  • la reconstitution des fichiers à partir des paquets correspondants à l'aide d'un moteur de détection (appelé aussi Sigflow),

  • la détection d'intrusions (vulnérabilités...) est effectuée par plusieurs moteurs de détection :

    • le premier est le moteur Sigflow et est localisé dans le GCap

    • les suivants sont localisés dans le GCenter. Il récupère le flux réseau envoyé par le GCap pour effectuer cette analyse :

      • le deuxième est le moteur Codebreaker,

      • le troisième est le moteur Malcore,

      • le quatrième est le moteur Retroact.

  • la transmission des fichiers, codes, événements vers le GCenter,

  • la communication entre GCap et GCenter (réceptions des fichiers de configuration, ruleset ...).

2.1.2. Le moteur Sigflow

Sigflow réalise donc :

  • la récupération de flux réseau entrant dans le Gcap via les interfaces de capture monx,

  • la détection d'intrusions, l’analyse statistique des flux réseau pour réduire le nombre de faux positifs et repérer d’éventuelles malformations protocolaires, des tentatives d’injection SQL, etc.

  • la création d'alertes ou de fichiers de journalisation

L'utilisation de règles permet au moteur Sigflow de définir ce qu'il faut surveiller et donc de remonter des alertes.
Pour pouvoir plus d'informations, se référer au tableau Gérer le moteur de détection.

2.1.2.1. Filtrage du flux capturé

Une partie du flux capturé ne peut être détecté, ni reconstruit : par exemple les flux cryptés.
Si rien n'est fait, le système va monopoliser des ressources pour aboutir à un résultat connu par avance.
Pour éviter cela, il est possible de créer des règles pour filtrer le flux à capturer.

Note

Pour afficher les règles de filtrage des paquets, utiliser la commande show advanced-configuration packet-filtering.
Pour spécifier les règles de filtrage des paquets, utiliser la commande set advanced-configuration packet-filtering.

2.1.2.2. Règles de configuration

Note

Pour afficher les règles de filtrage des paquets, utiliser la commande show advanced-configuration local-rules.
Pour spécifier les règles locales, utiliser la commande set advanced-configuration local-rules.

2.1.2.2.1. Règles de Sigflow pour la détection

Les règles pour configurer Sigflow sont définies :

  • dans le GCenter et transféré depuis le GCenter (accès via la commande show config-files rules-scirius)

  • ou localement sur le GCap (accès via la commande {show,set} advanced-configuration local-rules)

2.1.2.3. Règles de configuration de Sigflow pour la reconstruction de fichiers

Les règles pour configurer Sigflow sont définies :

  • dans le GCenter et transféré depuis le GCenter (accès via la commande show config-files rules-files)

  • ou localement sur le GCap (accès via la commande {show,set} advanced-configuration local-rules)

2.1.2.4. Règles de configuration de Sigflow pour la gestion des seuils pour la remontée d'alarmes

Les règles pour configurer Sigflow sont définies :

  • dans le GCenter (accès via la commande show config-files threshold)

  • ou localement sur le GCap (accès via la commande {show,set} advanced-configuration local-rules)

2.1.3. Compteurs de l'activité du GCap

Afin de pouvoir visualiser ces informations, la commande `show eve-stats' permet de visualiser les compteurs suivants :

  • le compteur Alerts - Nombre d’alertes Sigflow trouvées

  • les compteurs Files - Fichiers extraits par Sigflow

  • les compteurs Codebreaker samples - Fichiers analysés par Codebreaker

  • les compteurs Protocols - Listes des protocoles vus par Sigflow

  • les compteurs Detection Engine Stats - Statistiques de Sigflow (monitoring-engine)

Pour pouvoir plus d'informations, se référer au tableau surveiller le moteur de détection.