2.1. Le GCap

2.1.1. Les fonctions du GCap

Les fonctions du GCap sont les suivantes :

  • la connexion au TAP et la récupération des paquets dupliqués du flux réseau vu par le TAP

  • la reconstitution des fichiers à partir des paquets correspondants à l’aide d’un moteur de détection (appelé aussi Sigflow)

  • la détection d’intrusions (vulnérabilités…) est effectuée par plusieurs moteurs de détection :

    • le premier est le moteur Sigflow. Il est situé dans le GCap

    • les suivants sont localisés dans le GCenter.
      Ils récupèrent le flux réseau envoyé par le GCap pour effectuer cette analyse :

      • Shellcode et Malicious Powershell Detect

      • Malcore et Retroanalyzer

      • Beacon Detect

      • Dga Detect

      • Ransomware Detect

      • Retrohunt (optionnel)

      • Active CTI (optionnel)

  • la transmission des fichiers, codes, événements vers le GCenter

  • la communication entre GCap et GCenter (y compris la réception des fichiers de configuration, rulesets, etc.)

2.1.2. Le moteur Sigflow

Sigflow réalise donc :

  • la récupération de flux réseau entrant dans le GCap via les interfaces de capture `monx`

  • la détection d’intrusions, l’analyse statistique des flux réseau pour réduire le nombre de faux positifs et repérer d’éventuelles malformations protocolaires, des tentatives d’injection SQL, etc.

  • la création d’alertes ou de fichiers de journalisation

L’utilisation de règles permet au moteur Sigflow de définir ce qu’il faut surveiller et donc de remonter des alertes.
Pour plus d’informations, voir le tableau Gérer le moteur de détection.

2.1.2.1. Filtrage du flux capturé

Certaines parties du flux capturé ne peuvent être détectées, ni reconstruites : par exemple, les flux cryptés.
Si rien n’est fait, le système va monopoliser des ressources pour aboutir à un résultat connu par avance.
Pour éviter cela, il est possible de créer des règles pour filtrer le flux à capturer.

Note

La visualisation des règles se fait localement (show advanced-configuration packet-filtering)
Le filtrage des paquets doit être configuré dans le menu `GCaps profiles` du GCenter.

2.1.3. Compteurs de l’activité du GCap

Afin de pouvoir visualiser ces informations, la commande show eve-stats permet de visualiser les compteurs suivants :

  • le compteur `Alerts` - Nombre d’alertes Sigflow trouvées

  • les compteurs `Files` - Fichiers extraits par Sigflow

  • les compteurs `Codebreaker samples` - Fichiers analysés par Codebreaker

  • les compteurs `Protocols` - Listes des protocoles vus par Sigflow

  • les compteurs `Detection Engine Stats` - Statistiques de Sigflow (monitoring-engine)

Pour plus d’informations, se référer au tableau Surveiller le GCap.