2.2.7. Moteur de détection Sigflow

Pour que le flux capturé soit analysé, les étapes suivantes doivent être réalisées :

  • activer une ou plusieurs interfaces de capture sur le GCap

  • appairer le GCap et le GCenter

  • activer le moteur de détection Sigflow (par défaut, il est désactivé)

2.2.7.1. Activation d'une ou plusieurs interfaces de capture sur le GCap

2.2.7.1.1. Commandes dans la CLI

La gestion des interfaces de capture se fait à l’aide de commandes de la CLI dont la liste est donnée dans le tableau Résumé des commandes par thème et par niveau.

2.2.7.1.2. Procédures dans les cas d’utilisation

Pour visualiser ou configurer les interfaces de capture, voir le tableau Gérer le réseau.

2.2.7.2. Agrégation des interfaces de capture `monx`

Pour plus d'informations sur cette agrégation, se référer à Interfaces de capture `monx` entre TAP et GCap : possibilité d'agrégation.
Pour plus d'informations sur la configuration de cette agrégation, se référer au paragraphe Interfaces de capture : agrégation.

2.2.7.3. Appairage du GCap avec le GCenter

Une fois le paramétrage réseau fait, il est nécessaire d’appairer le GCap et le GCenter.
Pour plus d’informations sur l’appairage, voir Procédure pour appairer un GCap et un GCenter.

2.2.7.4. Activation du moteur d'analyse Sigflow

Par défaut, le moteur d'analyse du GCap est désactivé.

2.2.7.4.1. Vérification de l’état du moteur de détection Sigflow (procédure d’activation)

Il est possible de vérifier l’état du moteur avec la commande `show status`.

2.2.7.4.2. Démarrage du moteur d'analyse Sigflow

Il est indispensable de démarrer le moteur d'analyse Sigflow (moteur de détection).
La capture du flux n'est faite qu'après ce démarrage.
Pour cela :

L’invite de commande est affichée.

(gcap-cli)

  1. Saisir la commande monitoring-engine start

  2. valider
    monitoring-engine start
    Le système affiche le message suivant indiquant que le moteur a été démarré.
    Starting Detection Engine...
This operation may take a while... Please wait.
 etection Engine has been successfully started.
    Une fois le moteur d'analyse activé, les possibilités de configuration de la sonde GCap changent.
    Certaines ne sont plus paramétrables tant que le moteur est actif.

    Note

    La commande `eve-stats` du sous-groupe `show` permet d’afficher les statistiques de Sigflow (monitoring-engine).

2.2.7.4.3. Période de grâce

La période de grâce est la somme de :

  • la durée maximale de démarrage

  • la durée maximale d’arrêt

Afin de pouvoir charger les règles du moteur de détection avant de démarrer le moteur, le moteur ne peut démarrer avant un certain temps appelé durée maximale de démarrage ou période de grâce du démarrage (start-timeout).

De la même façon, il existe la durée maximale d’arrêt ou période de grâce lors de l’arrêt du moteur (stop-timeout).

2.2.7.5. Désactivation du moteur de détection Sigflow

2.2.7.5.1. Vérification de l’état du moteur de détection Sigflow (procédure de désactivation)

Il est possible de vérifier l’état du moteur avec la commande `show status`.

2.2.7.5.2. Arrêt du moteur de détection Sigflow

De la même façon, l'arrêt s'effectue avec la commande monitoring-engine stop :

monitoring-engine stop

Le système affiche le message suivant indiquant que le moteur a été arrêté.

Stopping Detection Engine...
This operation may take a while... Please wait.
Detection Engine has been successfully stopped.

2.2.7.6. Mode de compatibilité

Le mode de compatibilité entre le GCap et le GCenter doit être renseigné via la commande set compatibility-mode.

2.2.7.7. MTU

La MTU (Maximum Transfert Unit) de chaque interface de capture du GCap peut être ajustée via la CLI.
En effet la taille maximale d'un paquet pouvant être capturé en une seule fois sur une interface est paramétrable.

2.2.7.7.1. Affichage de la valeur courante de la MTU

Il est possible d’afficher la valeur de la MTU avec la commande show interfaces :

image0

L’administrateur peut modifier la valeur en octets de la MTU des interfaces de capture du GCap.
Cette valeur doit se trouver entre 1280 et 9000 octets.

Note

A noter que la fonctionnalité de Filtrage XDP n'est pas supportée lorsque la MTU > 3000.

2.2.7.7.2. Modification de la valeur courante de la MTU

Concernant la modification de la MTU, cela se fait avec la commande set advanced-configuration mtu suivie des paramètres :

  • nom de l'interface, par exemple enp4s0

  • valeur, par exemple 1300

Note

Pour modifier la MTU de l'interface `enp4s0` à 1300 :

  • Saisir la commande set advanced-configuration mtu enp4s0 1300

  • valider

set advanced-configuration mtu enp4s0 1300

Le système affiche les informations de la mise à jour du paramètre.

Updating Monitoring Network MTU configuration to:
      - enp4s0: 1300

2.2.7.8. Reconstruction de fichiers

La reconstruction de fichiers a lieu sur le GCap grâce à son moteur de détection (Sigflow).
Ces fichiers sont reconstruits à certaines conditions paramétrables depuis le GCenter.
Ces conditions sont les suivantes :

  • la taille du fichier observé

  • le type de fichier observé (basé soit sur l’extension, soit sur le filemagic)

De plus, la reconstruction de fichier n’est possible que sur certains protocoles dont la liste diffère en fonction des différentes versions du GCap.
Voici la liste des protocoles supportés par le GCap :

  • HTTP

  • SMTP

  • SMB

D’autres protocoles sont disponibles depuis le GCenter.
Pour plus d’informations, se référer à la documentation du GCenter.

Note

À savoir que les protocoles sur lesquels il est possible de reconstruire dépendent du GCap et non du GCenter.
Si la configuration du GCenter spécifie au GCap de reconstruire un certain type de fichier mais que ce dernier n'en est pas capable, la reconstruction n'aura pas lieu.