4.3. Comptes de l'interface web et leurs gestions

Le GCenter permet d’accéder à :

la gestion des utilisateurs et des groupes associés
l'historique des authentifications, des créations/suppressions de compte et des changements de droits sur la plate-forme
l'association avec un serveur LDAP

4.3.1. Comptes de l'interface web

Depuis le menu de configuration des comptes utilisateurs, il est possible de créer des comptes utilisateurs ayant chacun des droits différents.
Ces droits sont définis par des groupes.
Chaque utilisateur peut donc appartenir à un ou plusieurs groupes et donc hérite des droits du groupe.

Note

Les groupes proposés respectent entièrement la Loi de Programmation Militaire.

Dans l'interface web du GCenter, il existe deux types de droits différents :

operator
administrator

Des comptes génériques ont été définis avec des niveaux de droits listés ci-après :

Compte...	type de droits ou groupe	destiné à un...
`operator`	operator	analyste
`administrator`	administrator	administrateur
`admin`	operator et administrator	accès à toutes les fonctionnalités de l'analyste et de l'administrateur

Note

Il est nécessaire de modifier le mot de passe dès la première connexion, et de le conserver dans un endroit sûr, par exemple, avec les clefs de chiffrement des appliances.

4.3.2. Fonctions autorisées avec le groupe ou le rôle `operator`

Depuis le compte operator, il est possible d’accéder à l'ensemble des menus présents dans la Web UI.

A contrario, les menus dédiés à l'administration du GCenter ne seront pas accessibles (fonctions présentes dans la legacy web UI).

4.3.3. Fonctions autorisées avec le groupe ou le rôle `administrator`

Depuis le compte administrator, il sera possible d’accéder à l'ensemble des menus présents dans la legacy web UI.

A contrario, les menus dédiés à l'analyse des données du GCenter ne seront pas accessibles (fonctions présentes dans la web UI).

4.3.4. Fonctions autorisées au compte admin

Depuis le compte admin, il est possible d’accéder à l'ensemble des fonctionnalités présentes dans les deux Web UI.

4.3.5. Tableaux récapitulatifs des menus par niveau

4.3.5.1. Accès par icône

Icône	Description	Operator	Administrator
API	Interface Gatewatcher API	accès limité	accès
Gstats	Interface System Overview	pas accès	accès

4.3.5.2. Menu Général

Menu	Description	Operator	Administrator
logo GATEWATCHER	page `home` : vue générale du GCenter	accès	pas accès
Home	page `home` : vue générale du GCenter	accès	pas accès
Overview	page `Global overview`	accès	pas accès
Relations	page `Relations` montrant les relations entre les éléments présents sur le réseau	accès	pas accès
Hunting	interface utilisateur KIBANA	accès	pas accès
Assets	page `Assets` montrant les caractéristiques des éléments présents sur le réseau	accès	pas accès
Users	page `Users` montrant les caractéristiques des utilisateurs présents sur le réseau	accès	pas accès
Alerts	page `Alerts` montrant les caractéristiques des alertes affichées	accès	pas accès
Gscan	page `GScans` pour lancer une détection sur un fichier spécifique	accès	pas accès
Config	affichage du sous menu `Configuration`	accès	pas accès
Admin	affiché uniquement pour les comptes Administrateurs	pas accès	accès

4.3.5.3. Menu Config

Sous menu	Description	Operator	Administrator
Assets commande users association rules	page Association rules	accès	pas accès
Gcap Profiles	page GCaps profiles	accès	pas accès
Sigflow commande Sources	interface GCenter traditionnelle page `Sources`	accès	pas accès
Sigflow commande Rulesets	interface GCenter traditionnelle page `Ruless`	accès	pas accès

4.3.5.4. Menu Admin

Sous menu	Description	Operator	Administrator
NDR configuration	page NDR Configuration	pas accès	accès
GCaps pairing and status	interface GCenter traditionnelle page `GCaps pairing and status`	pas accès	accès
Backup / restore commande configuration	interface GCenter traditionnelle page `Backup configuration`	pas accès	accès
Backup / restore commande operations	interface GCenter traditionnelle page `Backup operations`	pas accès	accès
GUM commande Config	interface GCenter traditionnelle page `GUM configuration`	pas accès	accès
GUM commande Updates	interface GCenter traditionnelle page `Updates`	pas accès	accès
GUM commande Hotfix	interface GCenter traditionnelle page `Hotfix`	pas accès	accès
GCenter commande Monitor	interface GCenter traditionnelle page `GCenter monitoring`	pas accès	accès
GCenter commande Data exports	interface GCenter traditionnelle page `Data exports`	pas accès	accès
GCenter commande Data Management	interface GCenter traditionnelle page `Data Management`	pas accès	accès
GCenter commande ML Management	interface GCenter traditionnelle page `Machine Learning Management`	pas accès	accès
GCenter commande Malcore Management	interface GCenter traditionnelle page `Malcore Management`	pas accès	accès
GCenter commande Third-party modules	interface GCenter traditionnelle page `Third-party modules`	pas accès	accès
GCenter commande Diagnostics	interface GCenter traditionnelle page `Diagnostics`	pas accès	accès
GCenter commande Accounts	interface GCenter traditionnelle page `Accounts`	pas accès	accès
GCenter commande Configuration	interface GCenter traditionnelle page `Configuration`	pas accès	accès
GCenter commande CTI Configuration	interface GCenter traditionnelle page `CTI Configuration:`	pas accès	accès
GCenter commande Trackwatch logs	interface utilisateur KIBANA page `Syslog - Overview`	pas accès	accès

4.3.6. Principes associés

4.3.6.1. Mode d’authentification

L’authentification d’un utilisateur s’effectue avec un identifiant et un mot de passe.

4.3.6.2. Gestion des mots de passe

Le compte courant gère son propre mot de passe mais potentiellement aussi d'autres comptes.

Le détail est donné dans le tableau ci-après :

Utilisateur	peut modifier le mot de passe
Utilisateur	operator	administrator	admin
operator	X
administrator	X	X
admin	X	X	X

4.3.6.3. Gestion de la politique des mots de passe

Les mots de passe saisis doivent correspondre à une politique de gestion des mots de passe.

La politique comprends deux catégories :

les paramètres généraux
les paramètres spécifiques des mots de passe

Ces paramètres généraux sont :

durée de validité
enregistrement des hashes des mots de passe précédents

Ces paramètres spécifiques sont les critères que doivent contenir les mots de passe (minuscule, majuscule...).
Le détail de ces paramètres ainsi que l'interface graphique permettant la gestion de cette politique est décrite dans la Partie `Password Policy` du sous menu `Accounts`.
Pour la mise en œuvre, voir la Gestion de la politique des mots de passe.

4.3.7. Création d'utilisateurs locaux

En plus des comptes génériques, il est possible de créer des comptes utilisateurs ayant chacun des droits différents.

Note

Les groupes proposés respectent entièrement la Loi de Programmation Militaire.

Lors de la création d'un utilisateur, il est possible de lui attribuer les différents rôles.
Le ou les rôles dont héritera l'utilisateur lui permettront d’accéder à plus ou moins de menus dans l'interface Web.
En effet, selon les actions effectuées, il sera nécessaire d'attribuer un rôle spécifique.
L'administrateur renseigne les champs suivants concernant l'utilisateur qu'il souhaite créer :

Username
Password
Email address
First Name
Last Name

Il faudra aussi activer le compte pour qu'il soit utilisable et lui attribuer ou non les rôles disponibles : operator et/ou administrator.
Ces champs serviront par la suite à tracer l'utilisateur dans l'historique de connexion ou en cas de changements concernant ce même compte.
L'interface graphique permettant la création des utilisateurs est faite dans la Partie `Users management` du sous menu `Accounts`.
Pour la mise en œuvre, voir :

4.3.8. Intégration LDAP / Active Directory

La gestion de l'authentification des comptes utilisateurs du GCenter peut être faite par le GCenter mais aussi par un serveur LDAP (Lightweight Directory Access Protocol).
La configuration de la connexion entre le GCenter et le serveur LDAP est aussi faite par le GCenter.
Les principales fonctions sont :

l'affichage de l'état connexion
l'activation de la connexion vers un serveur d'authentification distant
la gestion des informations de connexion à un serveur d'authentification distant
le mappage des utilisateurs et des groupes entre le GCenter et le serveur d'authentification distant
la configuration de manière avancée la connexion vers un serveur d'authentification distant

L'interface graphique permettant la création des utilisateurs est faite dans la Partie `LDAP configuration` du sous menu `Accounts`.

Pour la mise en œuvre, voir :

4.3.9. Audit trail

La solution enregistre les différentes actions effectuées dans l'interface web au fil du temps, ceci afin d'en assurer la traçabilité.

Cette traçabilité est effectuée pour :

la connexion ou déconnexion des utilisateurs
la création et la suppression de compte
la modification des permissions d'un compte

4.3.9.1. Fonction historique des authentifications

L'historique de toutes les authentifications sur le GCenter est disponible.
Pour voir la présentation de l'interface graphique, voir la Partie `Authentications history` du sous menu `Accounts`
Pour la mise en œuvre, voir la Visualisation de l'historique des authentifications.

4.3.9.2. Fonction historique de toutes les créations ou suppressions

L'historique de toutes les créations ou suppressions des utilisateurs du GCenter est disponible.
Pour voir la présentation de l'interface graphique, voir la Partie `Creations/Deletions history` du sous menu `Accounts`.
Pour la mise en œuvre, voir la Visualisation de l'historique des créations ou suppressions des utilisateurs.

4.3.9.3. Fonction historique de toutes les modifications des droits des utilisateurs

L'historique de toutes les permissions des utilisateurs sur le GCenter est disponible.
Pour voir la présentation de l'interface graphique, voir la Partie `Permissions history` du sous menu `Accounts`.
Pour la mise en œuvre, voir la Visualisation de l'historique de toutes les modifications des droits des utilisateurs.