1. Présentation
Le GCAP est la sonde permettant la capture des flux réseaux. Elle permet de générer les alertes, fournir des méta-données sur les différents protocoles et reconstruire les fichiers capturés. Ces données sont ensuite transmises au GCenter afin de continuer l'analyse des éléments, enrichir et mettre à disposition les informations générées.
Plus d'information sur le GCAP sont disponibles dans sa documentation
2. Appairage
2.1. Ajouter un GCAP
Menu : Administrators > GCAP Pairing/Status
Pour que les équipements de la solution TRACKWATCH puissent communiquer, il faut dans un premier temps ajouter une sonde GCAP.
L'appairage permet de configurer le tunnel IPSec entre le GCAP et le GCENTER.
Il est nécessaire de renseigner le champ Fully Qualified Domain Name FQDN(Exemple : 'nomduGCAP.domaine.com') de la section Pair a new object.
Suite à cela, il faut appuyer sur le bouton Start pairing pour démarrer le processus.
Cette action génèrera un OTP sur l'interface Web du GCENTER. Celui-ci doit être renseigné sur la sonde GCAP afin de lier avec succès les équipements.
Le champ GCENTER's Fully Qualified Domain Name est utilisé pour vérifier les certificats du tunnel et de la connexion réseau qui sera établi.
GCENTER'SSH fingerprint permet de s'assurer que le GCAP communique avec le bon GCENTER. Il s'agit de l'empreinte du GCENTER. Ce processus est décrit plus en détail dans la documentation du GCAP.
Une fois le processus d'appairage terminé, il est possible de vérifier via l'interface du GCENTER si l'association s'est bien déroulée.
Les statuts Online, Undetermined et Offline déterminent l'état du lien VPN.
Le VPN côté client est dans un état inconnu GCENTER :
Le VPN côté client est déconnecté du GCENTER :
Le VPN côté client est associé au GCENTER :
Les statuts de diagnostics sont présents depuis l'onglet 'VPN' pour que l'administrateur puisse rapidement s'assurer de la bonne association.
2.2. Re-appairer un GCAP
Menu : Administrators > GCAP Pairing/Status
Si nécessaire, un GCAP peut être ré-appairé au GCenter.
Pour cela, il suffit de cliquer sur Pair again et de refaire la même opération pour associer la sonde au GCENTER.
L'administrateur doit cocher la case 'Are you sure?' avant de valider l'action.
2.3. Supprimer un GCAP
Menu : Administrators > GCAP Pairing/Status
Il est possible de retirer un GCAP de la plateforme de management avec le bouton Delete.
L'administrateur doit cocher la case 'Are you sure?' avant de valider l'action.
Cela supprimera toutes les données relatives à l'appairage du GCAP comme les certificats ou la configuration. Les logs (metadonnées ou alertes) produites par le passé et indexées dans elasticsearch ne seront pas modifiées
3. Paramétrage
3.1. Détail d'un GCAP
Menu : Administrators > GCAP Pairing/Status
Une fois le tunnel VPN à l'état Online, il est possible d'avoir accès à des renseignements sur la sonde GCAP.
Ce tableau permet de voir simplement l'état de toutes les sondes GCAP associées au GCENTER.
Hostname (FQDN) : le nom pleinement qualifié de la sonde.
Last rule update (UTC) : correspond à l'horodatage de la dernière mise à jour en UTC au format [année-mois-jour hh : mm : ss] des règles de signature du moteur Sigflow.
Version' : correspond à la version logicielle (Exemple : '_2-5-3~_prod') de la sonde de détection GCAP.
La colonne Infos, apporte davantage d'informations sur la sonde GCAP , grâce au bouton Details.
En effet des données d'acquisition du réseau, du système ou encore du moteur Sigflow sont remontées au GCENTER. L'administrateur a accès en temps réel à la supervision des éléments de la sonde de capture GCAP (débit du disque dur, processeur, mémoire, trafic réseau, interfaces réseaux, …).
Les métriques suivantes sont remontées :
| Métrique | Commentaire |
|---|---|
| Uptime | |
| CPU Usage | |
| Load | |
| Memory Used | |
| Swap Usage | |
| gcp0 In | |
| gcp0 Out | |
| gcp1 In | |
| gcp1 Out | |
| monX in | |
| monX Drop in | |
| monX Error in | |
| monX Pckts In | |
| Suricata Running Status | 1 - OK / 0 - NOK |
| Alerts | |
| Sessions | |
| Applied | Nombre de règles appliquées |
| Kernel pkts received | |
| Kernel pkts dropped | |
| Codebreaker Powershell | |
| Failed | Nombre de règles en erreur |
| Filtered pkts | |
| Filtered bytes | |
| Codebreaker plain shellcode | |
| Reconstructed files | |
| Sent Files | |
| Codebreaker encoded shellcode | |
| Section Protocol flows | nombre de nouveaux flux / min du protocole |
3.2. Définir un profil par défaut
Menu : Administrators > GCAP Pairing/Status
Les profiles par défaut sont des ensembles de valeurs pour Base variables et Files rules management.
Plusieurs profils sont disponibles selon les besoins de sécurité courants :
Minimal : la configuration minimal.
Balanced : la configuration recommandé par Gatewatcher.
LPM : la configuration nécessaire en mode LPM.
Paranoid : tout les paramètres sont activés.
Intuitio : Configuration pour le NDR.
La mise à jour de votre profil par défaut ne change rien sur les paramètres du Gcap actuellement apairé.