5.6.14. Ecran `Config - Gcaps profiles` de la web UI

Après appui sur la commande `Gcaps profiles` du menu `Config`, l'écran suivant est affiché.

Cet écran permet de configurer les profils des GCaps.

Repère	Fonction	Voir
1	Nom du GCap associé au GCenter
2	Bouton `Detection Rulesets` : gère l'application des rulesets aux GCaps appairés	Partie `Detection Rulesets` du menu `Config Gcaps profiles`
3	Bouton `Base variables` : gère la configuration des paramètres avancés du GCAP	Partie `Base variables` du menu `Config Gcaps profiles`
4	Bouton `Net variables` : gère les variables réseaux utilisées dans les règles Sigflow	Partie `Net variables` du menu `Config Gcaps profiles`
5	Bouton `Flow timeouts` : configure le temps pendant lequel Sigflow garde un flux en mémoire en fonction de son état	Partie `Flow timeouts` du menu `Config Gcaps profiles`
6	Bouton `File rule management` : configure les types de fichiers que le GCap va extraire pour un protocole donné	Partie `File rule management` du menu `Config Gcaps profiles`
7	Bouton `Packet filters` : ajuste les paramètres de capture du GCap grâce aux fonctions avancées de Sigflow	Partie `Packet filters` du menu `Config Gcaps profiles`
8	Bouton `Reset to default configuration` : réinitialise la configuration et charge le profil sélectionné dans écran `GCaps pairing and status`
9	Bouton `ADD GCAP` : affiche l'écran pour ajouter un GCap	Ecran `Admin-GCaps pairing and status` de la legacy web UI

Note

Les boutons listés ci-dessus donnent accès aux parties listés ci après, chacune gérant un sous-ensemble de la configuration.
Chaque modification est automatiquement enregistrée.
L'utilisation d'un bouton `APPLY` déclenche la transmission de la configuration globale au GCap sélectionné.

5.6.14.1. Partie `Detection Rulesets` du menu `Config Gcaps profiles`

L'écran `Detection Rulesets` permet de :

configurer les modes de détection pour chacune des trois options ci-dessous :
- le `single tenant`
- le `multi-tenant by interface`
- le `multi-tenant by vlan`
appliquer les rulesets Sigflow précédemment créés aux GCap appairés sur le GCenter
activer le moteur Codebreaker (détection Shellcodes, Powershells)

Pour plus d'information, se reporter au paragraphe Detection Rulesets.

Repère	Fonction
1	Lien pour revenir à l'écran `Gcaps profiles`
2	Zone de message pour informer que le ruleset sélectionné a été mis à jour.
3	Bouton `SINGLE TENANT` : gère les rulesets et les options de détection pour cette configuration sélection du ruleset à paramétrer (12) sélection de l'activation de la détection des Shellcodes (11) sélection de l'activation de la détection des Powershells (10)
4	Bouton `MULTI-TENANT BY INTERFACE` : gère les rulesets et les options de détection pour cette configuration sélection de l'interface à paramétrer (monx ou monvirt) sélection du ruleset à paramétrer sélection de l'activation de la détection des Shellcodes sélection de l'activation de la détection des Powershells
5	Bouton `MULTI-TENANT BY VLAN` : gère les rulesets et les options de détection pour cette configuration sélection du VlAN à paramétrer sélection du ruleset à paramétrer sélection de l'activation de la détection des Shellcodes sélection de l'activation de la détection des Powershells
6	Bouton `Add a ruleset` : affiche l'écran Ruleset pour pouvoir ajouter un ruleset (voir Ecran `Config - sigflow/rulesets` de la legacy web UI)
7	Bouton `Reset config` : permet de réinitialiser la configuration
8	Bouton `Apply` : permet de sauvegarder les paramètres et met à disposition les rulesets aux GCaps
9	Bouton `Save` : permet de sauvegarder les paramètres de l'option courante (SINGLE TENANT...)

5.6.14.2. Partie `Base variables` du menu `Config Gcaps profiles`

La partie `Base variables` permet d'ajuster les paramètres de capture de la sonde grâce aux fonctions avancées de Sigflow configurable depuis le `GCenter`.

Les modifications de cette configuration entraînent des répercussions sur les remontées d'alertes depuis la sonde GCap vers le GCenter.

L'activation de certaines options va permettre l'émission d'alertes, d'anomalies, de métadonnées, d'informations sur les fichiers et des enregistrements spécifiques aux protocoles.
Les alertes sont des enregistrements d'événements provoqués par la correspondance d'une règle avec le trafic réseau.
Une alerte sera générée avec des métadonnées associées, comme l'enregistrement de la couche applicative (HTTP, DNS, etc).

L'écran `Base variables` est composé des zones suivantes :

Zone `Stream analysis and file extraction`
Zone `HTTP Proxy`
Zone `Payload`
Zone `Community ID`
Zone `Alerting and logging`

5.6.14.2.1. Zone `Stream analysis and file extraction`

La zone d'analyse de flux et d'extraction de fichiers permet de contrôler la façon dont le moteur Sigflow gère les tailles maximum des flux et de l’extraction de fichiers.

5.6.14.2.1.1. Description de la zone `Stream analysis and file extraction`

Cette zone d'analyse de flux et d'extraction de fichiers comprend les éléments suivants :

Repère	Fonction
1	`File extraction (on/off)` : active le contrôle de la taille des fichiers stockés. Voir la Partie `File rule management` du menu `Config Gcaps profiles` pour préciser quels fichiers sont extraits
2	`Stream reassembly depth (MB)`: taille maximum du flux réseau en mégaoctets. La valeur par défaut est un paramètre qui peut être remplacé par les analyseurs de protocoles qui effectuent l'extraction des fichiers. L'inspection sera ignorée si cette valeur est atteinte pour un débit en particulier. Le réglage à 0 de cette valeur permet de stocker n'importe quelle taille de flux.
3	`MQTT Max message length (MB)`. taille maximum d'un message MQTT pour être parsé. Au-delà de cette valeur, le message ne sera pas parsé.
4	`File-store stream depth (MB)` : taille maximum d'un fichier reconstruit et stocké en mégaoctets. Si cette valeur est atteinte, le fichier peut être tronqué et peut ne pas être stocké complètement. Cela signifie qu'après cette valeur, la session HTTP ne sera plus suivie. Une valeur négative désactive l'option et la valeur 0 permet de stocker n'importe quelle taille de fichier. Si cette option n'est pas activée, alors la valeur de `Stream reassembly depth (Mb)` sera prise en compte. Cette valeur doit être plus grande que la valeur de `Stream reassembly depth (Mb)`.
5	`SMB Stream Depth (MB)`. taille maximum du flux réseau SMB en mégaoctets. Au-delà de cette valeur, aucune reconstruction ne sera effectuée. Si cette valeur est atteinte, le fichier peut être tronqué et peut ne pas être stocké complètement. Cela signifie qu'après cette valeur, la session SMB ne sera plus suivie. De plus, les valeurs négatives désactivent l'option. Le réglage à 0 de cette valeur permet de stocker n'importe quelle taille de fichier.

Astuce

Une valeur trop importante pour ces paramètres augmente la détection mais diminue les performances.

Prudence

La modification de ces paramètres peut causer des dysfonctionnements de la solution. Cette partie est réservée au support et aux utilisateurs avancés.

Seule la variable `file_store_stream_depth_mb` peut être modifiée, sans jamais dépasser 100 MB.

5.6.14.2.1.2. Configuration par défaut de la partie `Base variables`

Variables	Valeurs
File extraction (On/Off)	Activé
File-store stream depth (MB)	10
Stream reassembly depth (MB)	10
SMB Stream Depth (MB)	10
MQTT Max message length (MB)	10

5.6.14.2.2. Zone `HTTP Proxy`

La zone `Proxy HTTP` permet d'améliorer les métadonnées et les alertes des flux mandatés avec l’en-tête http X-Forwarded-For (XFF).

XFF est un en-tête standard pour identifier l’adresse IP d’origine d’un client se connectant à un serveur web via un proxy HTTP ou un load balancer.

5.6.14.2.2.1. Description de la zone `HTTP Proxy`

Cette zone comprend les éléments suivants :

Repère	Fonction
1	Sélecteur `XFF (On/Off)` : activation de la gestion de l'entête HTTP X-Forwarded-For en ajoutant un nouveau champ ou en écrasant l'adresse ip source ou destination (suivant le sens du flux) par l'IP renseignée dans cette entête. Le comportement (ajout de champ ou écrasement) est géré par la directive `XFF mode`. Cette directive est utile dans le cas de traitement de flux derrière un reverse proxy par exemple.
2	`XFF deployment` : type de déploiement de XFF. Deux types de déploiement sont disponibles (reverse ou forward). Dans un déploiement reverse, l'adresse IP utilisée est la dernière alors que dans un déploiement forward, l'adresse IP utilisée est alors la première.
3	`XFF mode`: comportement attendu lors de l'activation de XFF. Deux types de modes de fonctionnement sont disponibles : extra-data ou overwrite. A noter qu'en mode overwrite, si l'adresse IP rapportée dans l'entête HTTP X-Forwarded-For est d'une version différente du paquet reçu, alors elle passera en mode 'extra-data'
4	`XFF header` : c'est le nom de l'entête HTTP où l'adresse IP réelle est présente. S'il y a plus d'une adresse IP présente alors c'est la dernière adresse IP qui est prise en compte.

5.6.14.2.2.2. Configuration par défaut des paramètres de la zone `HTTP Proxy`

Variables	Valeurs
XFF (On/Off)	Activé
XFF mode	extra-data
XFF deployment	reverse
XFF header	X-Forwarded-For

5.6.14.2.3. Zone `Payload`

Cette zone permet d'enrichir les alertes avec le contenu du flux qui les a déclenché.

Note

Le fait d'activer l'ensemble des champs suivants peut générer des événements dont la taille dépasse 65ko, or l'export de données ne peut pas transmettre des événements supérieurs à cette taille.

Dans le cas où un événement dépasse 65ko, il sera tronqué et le serveur distant ne recevra donc pas l'ensemble de l’événement.

5.6.14.2.3.1. Description de la zone `Payload`

Cette zone comprend les éléments suivants :

Repère	Fonction
1	Sélecteur `Payload` : permet d'ajouter un champ contenant la charge utile encodée en base 64 d'un flux déclenchant une alerte
2	`Http body` : ajoute un champ contenant le body des requêtes HTTP encoder en base64. Pour fonctionner, ce paramètre nécessite des métadonnées.
3	`Payload printable` : ajoute un champ contenant la charge utile (Payload) au format ASCII (dit 'humain') .
4	`Http body printable` : ajoute un champ contenant le body des requêtes HTTP au format ASCII. Pour fonctionner, ce paramètre nécessite des métadonnées.
5	`Packet` : dump du paquet capturé encodé en base64
6	`Payload buffer size` : taille maximale de la mémoire tampon de la charge utile à ajouter dans l'alerte

5.6.14.2.3.2. Configuration par défaut des paramètres de la zone `Payload`

Variables	Valeurs
Payload	Activé
Payload printable	Activé
Packet	Activé
Http body	Désactivé
Http body printable	Désactivé
Payload buffer size	4096

5.6.14.2.4. Zone `Community ID`

Cette zone permet :

d'activer le champ `Community ID` dans les événements. Ce dernier permet d'identifier les flux réseaux analysés
de configurer la "seed" afin de la rendre identique à d'autres outils d'un même système d'information

5.6.14.2.4.1. Description de la zone `Community ID`

La zone comprend les éléments suivants :

Repère	Fonction
1	`On/Off` : ajoute le champ `Community ID` dans les événements
2	`Community ID seed`: configure la "seed" afin de la rendre identique à d'autres outils

5.6.14.2.4.2. Configuration par défaut des paramètres de la zone `Community ID`

Variables	Valeurs
On/Off	Activé
Community ID seed	0

5.6.14.2.5. Zone `Alerting and logging`

Cette zone permet de configurer l'`alerting` et du `logging` des protocoles utilisés par le GCap.

Note

Dans le cas où un GCap a une version d'avance sur le GCenter, il est possible que certains protocoles ne soient pas encore implémentés dans ce dernier.

Ce point est abordé plus en détail dans la documentation GCap dans la section Moteur de détection > 3. Sélectionner les protocoles analysés.

5.6.14.2.5.1. Description de la zone `Alerting and logging`

La zone comprend les éléments suivants :

Repère

Fonction

1

Sélecteur de choix de la fonction de hachage pour les fichiers reconstruits (md5, sha1 et sha256).

Par défaut, le md5 est sélectionné. Le hash sha256 est dans tous les cas ajouté par le module Malcore.

2

Liste de protocoles. Pour chacun de ces protocoles, sont listés :

le nom (3)

le sélecteur d'activation de l'`alerting` (4)

le sélecteur d'activation du `logging` (5)

Les paramètres affichés ici sont ceux du profil préalablement chargé dans le GCap.

Pour cela, il a fallu :

utiliser la commande `GCaps pairing and status` de l'Ecran `Admin-GCaps pairing and status` de la legacy web UI.

choisir un profil proposé par défaut (Minimal, Balanced, LPM, Paranoid, Intuitio) : dans l'ordre du plus au moins permissif

charger ce profil dans le GCap avec le bouton `Update`.

A partir de ce moment, ce profil est chargé dans le GCap sélectionné. Il peut donc être visualisé dans la fenêtre `Base variables`.

si besoin, utiliser la commande `Reset to default configuration` pour recharger ce profil par défaut avec les valeurs par défaut.

En plus de ces protocoles, il est également possible de générer des données `Netflow` et d'activer les `fingerprint JA3`.

Les deux options sont désactivées par défaut (profil `Balanced`).

Avertissement

L'activation de la génération de données Netflow va créer beaucoup de meta-données.

5.6.14.2.5.2. Paramètres par défaut pour les profils existants disponibles

Protocoles	Minimal	Balanced	LPM	Paranoid	Intuitio
dns_udp	Disabled	Enabled	Enabled	Enabled	Enabled
dns_tcp	Disabled	Enabled	Enabled	Enabled	Enabled
http	Enabled	Enabled	Enabled	Enabled	Enabled
http2	Enabled	Enabled	Enabled	Enabled	Enabled
tls	Disabled	Enabled	Enabled	Enabled	Enabled
smtp	Enabled	Enabled	Enabled	Enabled	Enabled
smb	Disabled	Enabled	Disabled	Enabled	Enabled
nfs	Disabled	Enabled	Disabled	Enabled	Enabled
ftp	Disabled	Enabled	Enabled	Enabled	Enabled
tftp	Disabled	Enabled	Disabled	Enabled	Enabled
ssh	Disabled	Enabled	Disabled	Enabled	Enabled
kerberos	Disabled	Enabled	Disabled	Enabled	Enabled
dhcp	Disabled	Enabled	Disabled	Enabled	Enabled
snmp	Disabled	Disabled	Disabled	Enabled	Disabled
rdp	Disabled	Disabled	Disabled	Enabled	Enabled
rfb	Disabled	Disabled	Disabled	Enabled	Disabled
ikev2	Disabled	Disabled	Disabled	Enabled	Disabled
sip	Disabled	Disabled	Disabled	Enabled	Disabled
modbus	Disabled	Disabled	Disabled	Enabled	Disabled
dhp3	Disabled	Disabled	Disabled	Enabled	Disabled
dcerpc	Disabled	Disabled	Disabled	Enabled	Disabled
mqtt	Disabled	Disabled	Disabled	Enabled	Disabled
ntp	Disabled	Enabled	Disabled	Enabled	Disabled
enip	Disabled	Enabled	Disabled	Enabled	Disabled

Protocoles	Minimal	Balanced	LPM	Paranoid	Intuitio
dns_udp	Disabled	Enabled	Enabled	Enabled	Enabled
dns_tcp	Disabled	Enabled	Enabled	Enabled	Enabled
http	Disabled	Enabled	Enabled	Enabled	Enabled
http2	Disabled	Enabled	Enabled	Enabled	Enabled
tls	Disabled	Enabled	Enabled	Enabled	Enabled
smtp	Disabled	Enabled	Enabled	Enabled	Enabled
smb	Disabled	Enabled	Disabled	Enabled	Enabled
nfs	Disabled	Enabled	Disabled	Enabled	Enabled
ftp	Disabled	Enabled	Enabled	Enabled	Enabled
tftp	Disabled	Enabled	Disabled	Enabled	Enabled
ssh	Disabled	Enabled	Disabled	Enabled	Enabled
kerberos	Disabled	Enabled	Disabled	Enabled	Enabled
dhcp	Disabled	Enabled	Disabled	Enabled	Enabled
snmp	Disabled	Disabled	Disabled	Enabled	Disabled
rdp	Disabled	Disabled	Disabled	Enabled	Enabled
rfb	Disabled	Disabled	Disabled	Enabled	Disabled
ikev2	Disabled	Disabled	Disabled	Enabled	Disabled
sip	Disabled	Disabled	Disabled	Enabled	Disabled
dhp3	Disabled	Disabled	Disabled	Enabled	Disabled
dcerpc	Disabled	Disabled	Disabled	Disabled	Disabled
mqtt	Disabled	Disabled	Disabled	Enabled	Disabled

5.6.14.3. Partie `Net variables` du menu `Config Gcaps profiles`

5.6.14.3.1. Information sur la partie `Net variables`

Au niveau de la structure d'une règle, juste après 'alert' et le mot clé indiquant le protocole, il est possible d'utiliser des variables réseaux qui vont permettre de définir des groupes d'adresses IP.

Dans l'exemple suivant :

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:”GPL SCAN NULL”; flow:stateless; ack:0; flags:0; seq:0; reference:arachnids,4; classtype:attempted-recon; sid:2100623; rev:7;)

Pour qu'une alerte soit levée avec cette règle, la source doit donc être inclus dans la variable $EXTERNAL_NET et la destination dans la variable $HOME_NET.
La source du trafic et la destination du trafic doivent être spécifiées.
Il est possible d'attribuer des adresses IP (IPv4 et IPv6 sont pris en charge) ou des réseaux. Ces paramètres seront utilisés à la place des variables dans les règles de détection.

Les variables s'adaptent au besoin et les règles peuvent changer en fonction des valeurs spécifiées :

`list` : permet de définir l'action de la règle par rapport à la variable

`default (equals to HOME_NET)` : permet de définir l'action de la règle par rapport aux adresses renseignées dans l'environnement HOME_NET

`exclude (opposite of HOME_NET)` : permet de définir l'action de la règle par rapport à toutes les adresses ne faisant pas partie de l'environnement HOME_NET

Il n'est pas nécessaire de définir une adresse pour chacune des variables existantes.

Par défaut, quand rien n'est renseigné, cela équivaut à appliquer la règle sur tout le trafic (la variable équivaut à any).

Note

La bonne pratique concernant la variable $EXTERNAL_NET est de choisir la valeur "Opposite of HOME_NET", tout ce qui n'est pas $HOME_NET par définition.

La zone `Net variables` permet de définir le contenu de ces variables utilisées dans les règles Sigflow.

5.6.14.3.2. Description de la zone `Net variables`

La zone comprend les éléments suivants :

Repère	Fonction	Paramètres
1	GCAP sélectionné
2	Zones de Variables : celles-ci sont listés ci dessous :
	home_net	CIDR address / CIDR address / CIDR address
	external_net	List / Equals to HOME_NET / Opposite of HOME_NET
	http_servers	List / Equals to HOME_NET / Opposite of HOME_NET
	smtp_servers	List / Equals to HOME_NET / Opposite of HOME_NET
	sql_servers	List / Equals to HOME_NET / Opposite of HOME_NET
	dns_servers	List / Equals to HOME_NET / Opposite of HOME_NET
	telnet_servers	List / Equals to HOME_NET / Opposite of HOME_NET
	aim_servers	List / Equals to HOME_NET / Opposite of HOME_NET
	dnp3_servers	List / Equals to HOME_NET / Opposite of HOME_NET
	modbus_servers	List / Equals to HOME_NET / Opposite of HOME_NET
	modbus_clients	List / Equals to HOME_NET / Opposite of HOME_NET
	enip_servers	List / Equals to HOME_NET / Opposite of HOME_NET
	enip_clients	List / Equals to HOME_NET / Opposite of HOME_NET
3	Bouton `LOAD CONFIG`: permet d'importer un fichier de configuration préconfiguré à l'avance (fichier de type excel)
4	Bouton `DOWNLOAD TEMPLATE`: permet de télécharger un modèle de fichier de configuration à remplir
5	Bouton `APPLY`: sauvegarde et application de la configuration au GCap

5.6.14.3.3. Configuration par défaut de la zone `Net variables`

Variables	Paramètres	par défaut
home_net	CIDR address, CIDR address, CIDR address	10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
external_net	List / Equals to HOME_NET / Opposite of HOME_NET	Opposite of HOME_NET
http_servers	List / Equals to HOME_NET / Opposite of HOME_NET	Equals to HOME_NET
smtp_servers	List / Equals to HOME_NET / Opposite of HOME_NET	Equals to HOME_NET
sql_servers	List / Equals to HOME_NET / Opposite of HOME_NET	Equals to HOME_NET
dns_servers	List / Equals to HOME_NET / Opposite of HOME_NET	Equals to HOME_NET
telnet_servers	List / Equals to HOME_NET / Opposite of HOME_NET	Equals to HOME_NET
aim_servers	List / Equals to HOME_NET / Opposite of HOME_NET	Equals to HOME_NET
dnp3_servers	List / Equals to HOME_NET / Opposite of HOME_NET	Equals to HOME_NET
modbus_servers	List / Equals to HOME_NET / Opposite of HOME_NET	Equals to HOME_NET
modbus_clients	List / Equals to HOME_NET / Opposite of HOME_NET	Equals to HOME_NET
enip_servers	List / Equals to HOME_NET / Opposite of HOME_NET	Equals to HOME_NET
enip_clients	List / Equals to HOME_NET / Opposite of HOME_NET	Equals to HOME_NET

Attention

Lors de l'appairage d'un GCap, les `Net variables` ont les valeurs par défaut ci-dessus (3 home_net déclarés et actifs par défaut).

5.6.14.4. Partie `Flow timeouts` du menu `Config Gcaps profiles`

La partie `Flow timeouts` permet de configurer le temps (en secondes) pendant lequel Sigflow garde un flux en mémoire en fonction de son état.

5.6.14.4.1. Description de la zone `Flow timeouts`

Cette partie comprend les éléments suivants :

Repère

Fonction

1

GCap sélectionné

2

Liste des protocoles. Pour chacun de ces protocoles, sont listés :

le champ `New` (3) : période pendant laquelle l'établissement de la connexion se fait.

Ce champ est le temps écoulé en secondes après la dernière activité de ce flux dans ce type d'état.

le champ `Established` (4) : période pendant lequel le transfert des données se fait.

Ce champ est le temps écoulé en secondes après la dernière activité de ce flux dans ce type d'état.

le champ `Closed` (5) : période pendant laquelle la fin de la connexion se fait.

Ce champ est le temps écoulé en secondes après la dernière activité de ce flux dans ce type d'état.

le champ `Emergency_new` (6)

le champ `Emergency_established` (7)

le champ `Emergency_closed` (8)

9

Bouton `APPLY` : sauvegarde et application de la configuration au GCap

Prudence

La modification des paramètres de cette section peut causer des dysfonctionnements de la solution TRACKWATCH / AIONIQ.

Cette partie est réservée au support et aux utilisateurs avancés.

Les protocoles udp, tcp, icmp sont configurables.

Pour chaque protocole, il existe différents états dans lesquels un flux peut se trouver :

Protocole TCP (11) :
- `New`
- `Established`
- `Closed`
Protocoles UDP (10) et ICMP (12) :
- `New`
- `Established`

Les modes `Emergency_new`, `Emergency_established` et `Emergency_closed` sont les modes d'urgence des trois états des protocoles TCP, UDP et ICMP.

5.6.14.4.2. Configuration par défaut de la partie `Flow timeouts`

La configuration utilisée par défaut en fonction du protocole (toutes les valeurs sont en secondes) :

protocol	new	established	closed	emergency new	emergency established	emergency closed
udp	30	300		10	100
tcp	30	300	0	10	100	0
icmp	30	300		10	100
default	30	300		10	100

5.6.14.5. Partie `File rule management` du menu `Config Gcaps profiles`

5.6.14.5.1. Information sur la partie `File rule management`

La partie `File rule management` permet de configurer les types de fichier que la sonde va extraire pour un protocole donné.
Les protocoles compatibles sont : FTP, HTTP, HTTP2, NFS, SMB, SMTP.
Les fichiers sont reconstruits puis enregistrés sur le disque avec des métadonnées qui incluent des informations comme :

l'horodatage
l'adresse IP source/destination
le protocole
le port source/destination
la taille
le md5sum, etc

L'extraction de fichiers fonctionne en parallèle des signatures Sigflow définies pour ces mêmes protocoles.

Chaque ligne de la partie `File rule management` correspond à une règle d'extraction d'un type de fichier.

Note

Un trop grand nombre de règles d'extraction de fichiers peut avoir un impact significatif sur les performances du GCap.

Note

Les modifications de cette section nécessitent la sauvegarde et l'application de la configuration du GCAP via le bouton `Apply`.

5.6.14.5.2. Description de la zone `File rule management`

Cette zone comprend les éléments suivants :

Repère	Fonction
1	Définition d'une règle de fichier. Elle comprend les champs suivants : Le champ `Protocole` (3) permet de sélectionner le protocole pour lequel le fichier sera extrait parmi: FTP, HTTP, HTTP2, NFS, SMB, SMTP. Le champ `Type` (4) permet de définir la façon dont Sigflow va reconnaitre le fichier. Sont disponibles les choix : Le choix `extension` : prise en compte de l'extension du fichier Le choix `filemagic` : prise en compte du type du fichier extrait. La commande `file` sous Linux permet d'obtenir cette information : Voir note ci dessous Le champ `Value` (5) : identifiant du fichier qui sera reconstruit en fonction du type configuré précédemment si le choix `extension` dans le champ type a été sélectionné alors il faut indiquer cette extension, par exemple : pour un fichier javascript, saisir ''js'' pour un fichier executable windows, saisir ''exe'' si le choix `filemagic` dans le champ type a été sélectionné alors il faut indiquer cette information, par exemple : pour un fichier javascript, saisir ''Javascript'' pour un fichier executable windows, saisir ''PE32 executable'' Le choix `ENABLE` (8) : sélecteur d'activation de cette règle Le choix `DELETE` (9) supprime la ligne
2	GCAP sélectionné
6	Bouton `ADD FILE RULE` ajoute une nouvelle règle. Dans la fenêtre qui s'ouvre, il faut renseigner les informations (Protocol, Type, Value, puce Enable...)
7	Bouton `LOAD CONFIG` importe un fichier de configuration préconfiguré à l'avance. (fichier de type excel)
9	Bouton `DOWNLOAD TEMPLATE` télécharge un modèle de fichier de configuration. Voir la note DOWNLOAD TEMPLATE.
11	Bouton `Apply` sauvegarde les paramètres et met à disposition les règles au GCap

Note

La commande `file` sous linux permet d'obtenir cette information.

shell
xxx@debian:~$ file ~/Téléchargements/xxx.exe
/home/xxx/Téléchargements/xxx.exe: PE32 executable (console) Intel 80386, for MS Windows

Note

Il est fortement recommandé d'utiliser le type filemagic. Celui-ci est plus précis car il se base sur le contenu du fichier et non sur son extension. Un fichier est donc reconstruit pour ce qu'il est réellement.

Note

DOWNLOAD TEMPLATE

Le bouton `DOWNLOAD TEMPLATE` télécharge un fichier .csv sur le PC de l'utilisateur.

Ce fichier modèle indique le nom et le titre des colonnes pour permettre à l'utilisateur de créer un fichier de configuration personnalisé.

Les règles affichées sont celles du profil préalablement chargé dans le GCap.

Pour cela, il a fallu :

utiliser la commande `GCaps pairing and status` de la web UI
choisir un profil proposé par défaut (Minimal, Balanced, LPM, Paranoid, Intuitio)

Le profil par défaut est chargé dans le GCap lors de l'appairage avec le GCenter.

Si besoin, il est possible de recharger ou de changer un profil sur un GCap déjà appairé avec la commande `Reset to default configuration`.

5.6.14.5.3. Règles utilisées en fonction du profil GCap utilisé

Protocoles	Type	Valeurs	Minimal	Balanced	LPM	Paranoid	Intuitio
ftp	filemagic	7-zip archive data	Désactivé	Activé	Activé	Activé	Activé
ftp	filemagic	COM executable	Désactivé	Activé	Activé	Activé	Activé
ftp	filemagic	Composite Document File V2	Désactivé	Activé	Activé	Activé	Activé
ftp	filemagic	DOS batch	Désactivé	Activé	Activé	Activé	Activé
ftp	filemagic	ELF	Désactivé	Activé	Activé	Activé	Activé
ftp	filemagic	Java archive data	Désactivé	Activé	Activé	Activé	Activé
ftp	filemagic	Javascript	Désactivé	Activé	Désactivé	Activé	Activé
ftp	filemagic	MS Windows shortcut	Désactivé	Activé	Activé	Activé	Activé
ftp	filemagic	MS-DOS executable	Désactivé	Activé	Activé	Activé	Activé
ftp	filemagic	Mach-O	Désactivé	Activé	Activé	Activé	Activé
ftp	filemagic	Macromedia Flash	Désactivé	Activé	Activé	Activé	Activé
ftp	filemagic	Microsoft Cabinet archive data	Désactivé	Activé	Activé	Activé	Activé
ftp	filemagic	Microsoft Excel	Désactivé	Activé	Activé	Activé	Activé
ftp	filemagic	Microsoft OOXML	Désactivé	Activé	Activé	Activé	Activé
ftp	filemagic	Microsoft Office Document	Désactivé	Activé	Activé	Activé	Activé
ftp	filemagic	Microsoft PowerPoint	Désactivé	Activé	Activé	Activé	Activé
ftp	filemagic	Microsoft Word	Désactivé	Activé	Activé	Activé	Activé
ftp	filemagic	Node.js script text	Désactivé	Activé	Activé	Activé	Activé
ftp	filemagic	OS/2 REXX batch file	Désactivé	Activé	Activé	Activé	Activé
ftp	filemagic	OpenDocument	Désactivé	Activé	Activé	Activé	Activé
ftp	filemagic	PDF document	Désactivé	Activé	Activé	Activé	Activé
ftp	filemagic	PE32 executable	Désactivé	Activé	Activé	Activé	Activé
ftp	filemagic	PE32 executable (DLL)	Désactivé	Activé	Activé	Activé	Activé
ftp	filemagic	PE32+ executable	Désactivé	Activé	Activé	Activé	Activé
ftp	filemagic	POSIX tar archive	Désactivé	Activé	Activé	Activé	Activé
ftp	filemagic	RAR archive data	Désactivé	Activé	Activé	Activé	Activé
ftp	filemagic	Zip archive data	Désactivé	Activé	Activé	Activé	Activé
ftp	filemagic	gzip compressed data	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	7-zip archive data	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	COM executable	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	Composite Document File V2	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	DOS batch	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	ELF	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	Java archive data	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	Javascript	Désactivé	Activé	Désactivé	Activé	Activé
http	filemagic	MS Windows shortcut	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	MS-DOS executable	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	Mach-O	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	Macromedia Flash	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	Microsoft Cabinet archive data	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	Microsoft Excel	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	Microsoft OOXML	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	Microsoft Office Document	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	Microsoft PowerPoint	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	Microsoft Word	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	Node.js script text	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	OS/2 REXX batch file	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	OpenDocument	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	PDF document	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	PE32 executable	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	PE32 executable (DLL)	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	PE32+ executable	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	POSIX tar archive	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	RAR archive data	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	Zip archive data	Désactivé	Activé	Activé	Activé	Activé
http	filemagic	gzip compressed data	Désactivé	Activé	Activé	Activé	Activé
nfs	filemagic	7-zip archive data	Désactivé	Désactivé	Désactivé	Activé	Activé
nfs	filemagic	COM executable	Désactivé	Désactivé	Désactivé	Activé	Activé
nfs	filemagic	Composite Document File V2	Désactivé	Désactivé	Désactivé	Activé	Activé
nfs	filemagic	DOS batch	Désactivé	Désactivé	Désactivé	Activé	Activé
nfs	filemagic	ELF	Désactivé	Désactivé	Désactivé	Activé	Activé
nfs	filemagic	Java archive data	Désactivé	Désactivé	Désactivé	Activé	Activé
nfs	filemagic	Javascript	Désactivé	Désactivé	Désactivé	Désactivé	Activé
nfs	filemagic	MS Windows shortcut	Désactivé	Désactivé	Désactivé	Activé	Activé
nfs	filemagic	MS-DOS executable	Désactivé	Désactivé	Désactivé	Activé	Activé
nfs	filemagic	Mach-O	Désactivé	Désactivé	Désactivé	Activé	Activé
nfs	filemagic	Macromedia Flash	Désactivé	Désactivé	Désactivé	Activé	Activé
nfs	filemagic	Microsoft Cabinet archive data	Désactivé	Désactivé	Désactivé	Activé	Activé
nfs	filemagic	Microsoft Excel	Désactivé	Désactivé	Désactivé	Activé	Activé
nfs	filemagic	Microsoft OOXML	Désactivé	Désactivé	Désactivé	Activé	Activé
nfs	filemagic	Microsoft Office Document	Désactivé	Désactivé	Désactivé	Activé	Activé
nfs	filemagic	Microsoft PowerPoint	Désactivé	Désactivé	Désactivé	Activé	Activé
nfs	filemagic	Microsoft Word	Désactivé	Désactivé	Désactivé	Activé	Activé
nfs	filemagic	Node.js script text	Désactivé	Désactivé	Désactivé	Activé	Activé
nfs	filemagic	OS/2 REXX batch file	Désactivé	Désactivé	Désactivé	Activé	Activé
nfs	filemagic	OpenDocument	Désactivé	Désactivé	Désactivé	Activé	Activé
nfs	filemagic	PDF document	Désactivé	Désactivé	Désactivé	Activé	Activé
nfs	filemagic	PE32 executable	Désactivé	Désactivé	Désactivé	Activé	Activé
nfs	filemagic	PE32 executable (DLL)	Désactivé	Désactivé	Désactivé	Activé	Activé
nfs	filemagic	PE32+ executable	Désactivé	Désactivé	Désactivé	Activé	Activé
nfs	filemagic	POSIX tar archive	Désactivé	Désactivé	Désactivé	Activé	Activé
nfs	filemagic	RAR archive data	Désactivé	Désactivé	Désactivé	Activé	Activé
nfs	filemagic	Zip archive data	Désactivé	Désactivé	Désactivé	Activé	Activé
nfs	filemagic	gzip compressed data	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	7-zip archive data	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	COM executable	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	Composite Document File V2	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	DOS batch	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	ELF	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	Java archive data	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	Javascript	Désactivé	Désactivé	Désactivé	Désactivé	Activé
smb	filemagic	MS Windows shortcut	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	MS-DOS executable	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	Mach-O	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	Macromedia Flash	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	Microsoft Cabinet archive data	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	Microsoft Excel	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	Microsoft OOXML	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	Microsoft Office Document	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	Microsoft PowerPoint	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	Microsoft Word	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	Node.js script text	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	OS/2 REXX batch file	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	OpenDocument	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	PDF document	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	PE32 executable	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	PE32 executable (DLL)	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	PE32+ executable	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	POSIX tar archive	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	RAR archive data	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	Zip archive data	Désactivé	Désactivé	Désactivé	Activé	Activé
smb	filemagic	gzip compressed data	Désactivé	Désactivé	Désactivé	Activé	Activé
smtp	filemagic	7-zip archive data	Désactivé	Activé	Activé	Activé	Activé
smtp	filemagic	COM executable	Désactivé	Activé	Activé	Activé	Activé
smtp	filemagic	Composite Document File V2	Désactivé	Activé	Activé	Activé	Activé
smtp	filemagic	DOS batch	Désactivé	Activé	Activé	Activé	Activé
smtp	filemagic	ELF	Désactivé	Activé	Activé	Activé	Activé
smtp	filemagic	Java archive data	Désactivé	Activé	Activé	Activé	Activé
smtp	filemagic	Javascript	Désactivé	Activé	Activé	Activé	Activé
smtp	filemagic	MS Windows shortcut	Désactivé	Activé	Activé	Activé	Activé
smtp	filemagic	MS-DOS executable	Désactivé	Activé	Activé	Activé	Activé
smtp	filemagic	Mach-O	Désactivé	Activé	Activé	Activé	Activé
smtp	filemagic	Macromedia Flash	Désactivé	Activé	Activé	Activé	Activé
smb	filemagic	Microsoft Cabinet archive data	Désactivé	Activé	Activé	Activé	Activé
smtp	filemagic	Microsoft Excel	Désactivé	Activé	Activé	Activé	Activé
smtp	filemagic	Microsoft OOXML	Désactivé	Activé	Activé	Activé	Activé
smtp	filemagic	Microsoft Office Document	Désactivé	Activé	Activé	Activé	Activé
smtp	filemagic	Microsoft PowerPoint	Désactivé	Activé	Activé	Activé	Activé
smtp	filemagic	Microsoft Word	Désactivé	Activé	Activé	Activé	Activé
smtp	filemagic	Node.js script text	Désactivé	Activé	Activé	Activé	Activé
smtp	filemagic	OS/2 REXX batch file	Désactivé	Activé	Activé	Activé	Activé
smtp	filemagic	OpenDocument	Désactivé	Activé	Activé	Activé	Activé
smtp	filemagic	PDF document	Désactivé	Activé	Activé	Activé	Activé
smtp	filemagic	PE32 executable	Désactivé	Activé	Activé	Activé	Activé
smtp	filemagic	PE32 executable (DLL)	Désactivé	Activé	Activé	Activé	Activé
smtp	filemagic	PE32+ executable	Désactivé	Activé	Activé	Activé	Activé
smtp	filemagic	POSIX tar archive	Désactivé	Activé	Activé	Activé	Activé
smtp	filemagic	RAR archive data	Désactivé	Activé	Activé	Activé	Activé
smtp	filemagic	Zip archive data	Désactivé	Activé	Activé	Activé	Activé
smtp	filemagic	gzip compressed data	Désactivé	Activé	Activé	Activé	Activé

Note

Les filemagic utilisables dans le champ `Value` sont ceux présents dans la librairie Libmagic.

Un filemagic non présent dans cette librairie ne sera pas fonctionnel.

5.6.14.6. Partie `Packet filters` du menu `Config Gcaps profiles`

5.6.14.6.1. Information sur la partie `Packet filters`

La partie `Packet filters` permet d'ignorer un ou plusieurs trafics spécifiques directement au niveau de la carte réseau du GCap.
Cette fonctionnalité permet de ne pas surcharger le GCap avec du trafic "inutile" (flux chiffrés, flux de backup, etc) ou pouvant faire monter les cpus en charge (Elephant Flow, Miles Flow, etc).
Le choix du trafic que l'on souhaite ignorer se fait sur la base de vlan, de prefix réseau, de protocoles ou encore de ports réseaux.

Le filtrage des paquets n’est actif que :

pour les interfaces actives monX sur le GCap
avec un MTU inférieur à 3000 octets
avec le moteur de surveillance activé

5.6.14.6.2. Description de la partie `Packet filters`

Cette partie comprend les éléments suivants :

Repère	Fonction
1	GCAP sélectionné
2	Définiton d'une règle de filtrage de paquets. Elle comprend les champs suivants : le champ `Interface` (3) indique l'interface de capture concernée par le filtre : mon0, mon1, mon2, mon3 ou monvirt le champ `LAN` (4) indique le numéro de VLAN le champ `PREFIX` (5) indique le fitrage d'adresses IP à ignorer le champ `PROTOCOL` (6) indique le protocole ignoré : TCP UDP Tunnel protocols (AH, ESP, GRE, L2TP) All TCP All UDP All TCP and UDP All AH ESP GRE L2TP le choix `PORT RANGE` (7) indique le filtre pour n'ignorer que le port ou le range de port choisi. Disponible uniquement pour les protocoles : TCP UDP le choix `ENABLE` (10) : sélecteur d'activation de cette règle le choix `DELETE` (12) supprime la ligne
8	Bouton `CHANGE NATIVE VLAN` permet de modifier le vlan par défaut pour les différentes interfaces active sur le Gcap. Par défaut, ce vlan est le 1 pour chaque interface.
9	Bouton `ADD FILTER` affiche une fenêtre de création d'un nouveau filtre
11	Bouton `Apply` permet de sauvegarder les paramètres et met à disposition les filtres au GCap

Note

Si une interface peut utiliser le `Packet filtering` alors un ligne s'affiche dans la liste des filtres avec les différents champs à vide.