2.1. Le GCap
2.1.1. Les fonctions du GCap
Les fonctions du GCap sont :
la connexion au TAP et la récupération des paquets dupliqués du flux réseau vu par le TAP,
la reconstitution des fichiers à partir des paquets correspondants à l'aide d'un moteur de détection (appelé aussi Sigflow),
la détection d'intrusions (vulnérabilités...) est effectuée par plusieurs moteurs de détection :
le premier est le moteur Sigflow et est localisé dans le GCap
les suivants sont localisés dans le GCenter. Il récupère le flux réseau envoyé par le GCap pour effectuer cette analyse :
le deuxième est le moteur Codebreaker,
le troisième est le moteur Malcore,
le quatrième est le moteur Retroact.
la transmission des fichiers, codes, événements vers le GCenter,
la communication entre GCap et GCenter (réceptions des fichiers de configuration, ruleset ...).
2.1.2. Le moteur Sigflow
Sigflow réalise donc :
la récupération de flux réseau entrant dans le Gcap via les interfaces de capture
monx
,la détection d'intrusions, l’analyse statistique des flux réseau pour réduire le nombre de faux positifs et repérer d’éventuelles malformations protocolaires, des tentatives d’injection SQL, etc.
la création d'alertes ou de fichiers de journalisation
L'utilisation de règles permet au moteur Sigflow de définir ce qu'il faut surveiller et donc de remonter des alertes.
Pour pouvoir plus d'informations, se référer au tableau Gérer le moteur de détection.
2.1.2.1. Filtrage du flux capturé
Une partie du flux capturé ne peut être détecté, ni reconstruit : par exemple les flux cryptés.
Si rien n'est fait, le système va monopoliser des ressources pour aboutir à un résultat connu par avance.
Pour éviter cela, il est possible de créer des règles pour filtrer le flux à capturer.
Note
Pour afficher les règles de filtrage des paquets, utiliser la commande show advanced-configuration packet-filtering
.
Pour spécifier les règles de filtrage des paquets, utiliser la commande set advanced-configuration packet-filtering
.
2.1.2.2. Règles de configuration
Note
Pour afficher les règles de filtrage des paquets, utiliser la commande show advanced-configuration local-rules
.
Pour spécifier les règles locales, utiliser la commande set advanced-configuration local-rules
.
2.1.2.2.1. Règles de Sigflow pour la détection
Les règles pour configurer Sigflow sont définies :
dans le GCenter et transféré depuis le GCenter (accès via la commande
show config-files rules-scirius
)ou localement sur le GCap (accès via la commande
{show,set} advanced-configuration local-rules
)
2.1.2.3. Règles de configuration de Sigflow pour la reconstruction de fichiers
Les règles pour configurer Sigflow sont définies :
dans le GCenter et transféré depuis le GCenter (accès via la commande
show config-files rules-files
)ou localement sur le GCap (accès via la commande
{show,set} advanced-configuration local-rules
)
2.1.2.4. Règles de configuration de Sigflow pour la gestion des seuils pour la remontée d'alarmes
Les règles pour configurer Sigflow sont définies :
dans le GCenter (accès via la commande
show config-files threshold
)ou localement sur le GCap (accès via la commande
{show,set} advanced-configuration local-rules
)
2.1.3. Compteurs de l'activité du GCap
Afin de pouvoir visualiser ces informations, la commande `show eve-stats' permet de visualiser les compteurs suivants :
le compteur
Alerts
- Nombre d’alertes Sigflow trouvéesles compteurs
Files
- Fichiers extraits par Sigflowles compteurs
Codebreaker samples
- Fichiers analysés par Codebreakerles compteurs
Protocols
- Listes des protocoles vus par Sigflowles compteurs
Detection Engine Stats
- Statistiques de Sigflow (monitoring-engine)
Pour pouvoir plus d'informations, se référer au tableau surveiller le moteur de détection.