5.6.12. Ecran `Config - Metadata rate limiter` de la web UI

En plus d’alerte, les GCaps génèrent des événements de métadonnées sur les flux réseau analysés.
Ces informations peuvent être utiles lors des enquêtes, mais dans un certain contexte, elles peuvent rapidement déborder les capacités d’indexation du GCenter.
Afin de réduire la quantité de métadonnées tout en conservant la plupart des échanges d'informations, il est possible d’activer les limiteurs définis ci-dessous.

Astuce

Utiliser l’outil hunting (hunting > Métadonnées) pour comprendre quel type de métadonnées devrait être optimisé en priorité.

Cet écran permet de configurer des limiteurs de taux de métadonnées.
Cet écran n'est accessible que pour les membres du groupe administrator.

Note

Pour les membres du groupe administrator, le message suivant est affiché : `Error 403  Insufficient permissions`.

Après appui sur la commande `Metadata rate limiter` du menu `Config`, l'écran suivant est affiché.
Cet écran permet de :

  • d'activer les limiteurs de métadonnées

  • de définir sur quels protocoles ils sont activés

  • de définir la règle de filtration des métadonnées

../../_images/METADATA-01.PNG

L'écran contient les parties suivantes :

Repère

Nom

Fonction

1

`DNS`

Configure les métadonnées DNS. Ceci comprend :

13

  • `Aggressivity level`

Niveau de la filtration. Comprend les choix suivants :

  • niveau 1 : Supprime les métadonnées rattachées aux requêtes DNS, mais conserve les réponses

  • niveau 2 : Supprimer les métadonnées liées aux requêtes DNS.
    Si une réponse est de type A, AAAA ou PTR avec un code de réponse NOERROR, garde une seule réponse par nom de domaine et IP source, avec une fenêtre mobile de 1 minute
  • niveau 3 : Supprimer les métadonnées liées aux requêtes DNS.
    Pour toutes les réponses avec un code de réponse NOERROR, garde une seule réponse par nom de domaine et IP source, avec une fenêtre mobile de 1 heure

5

  • `Enabled -Disabled`

Sélecteur d'activation - désactivation de l'option `DNS`

2

`HTTPS`

Configure les métadonnées HTTPS. Ceci comprend :

13

  • `Aggressivity level`

Niveau de la filtration. Comprend les choix suivants :

  • niveau 1 : Pour les événements liés aux connexions, conserve uniquement un enregistrement par IP source, IP de destination et sujet TLS, avec une fenêtre mobile de 1 minute.
    Pour les autres événements, conserve uniquement un enregistrement par IP source et IP de destination avec une fenêtre mobile de 1 minute.
  • niveau 2 : Pour les événements liés aux connexions, conserve uniquement un enregistrement par IP source, IP de destination et sujet TLS, avec une fenêtre mobile de 1 heure.
    Pour les autres événements, conserve uniquement un enregistrement par IP source et IP de destination avec une fenêtre mobile de 1 heure.

6

  • `Enabled -Disabled`

Sélecteur d'activation - désactivation de l'option `HTTPS`

3

`HTTP`

Configure les métadonnées HTTP. Ceci comprend :

13

  • `Aggressivity level`

Niveau de la filtration. Comprend les choix suivants :

  • niveau 1 : pour les événements ayant le code d’état 200, conserve uniquement une seule requête par IP source, méthode, port de destination, IP de destination et URL, avec une fenêtre mobile de 1 minute.

  • niveau 2 : pour les événements ayant le code d’état 200, conserve uniquement une seule requête par IP source, méthode, nom d’hôte de destination, avec une fenêtre mobile de 1 heure.

  • niveau 3 : conserve uniquement les événements dont le code d’état est différent de 200.

7

  • `Enabled -Disabled`

Sélecteur d'activation - désactivation de l'option `HTTP`

4

`SMB`

Configure les métadonnées SMB. Ceci comprend :

13

  • `Aggressivity level`

Niveau de la filtration. Comprend les choix suivants :

  • niveau 1 : pour chaque session SMB et pour les commandes SMB différentes de READ et WRITE, conserve uniquement 100 enregistrements par type de commande sur une fenêtre mobile de 1 minute

  • niveau 2 : pour chaque session SMB et pour les commandes SMB différentes de READ et WRITE, conserve uniquement 10 enregistrements par type de commande sur une fenêtre mobile de 1 heure

8

  • `Enabled -Disabled`

Sélecteur d'activation - désactivation de l'option `SMB`

9

bouton `APPLY`

Enregistre la configuration. Le message suivant est affiché après enregistrement `Metadata rate limiting successfully applied !`

Pour la mise en œuvre, voir la procédure de Configuration des limiteurs de taux de métadonnées.