7.10. Configuration des limiteurs de taux de métadonnées

7.10.1. Introduction

En plus d’alerte, les GCaps génèrent des événements de métadonnées sur les flux réseau analysés.
Ces informations peuvent être utiles lors des enquêtes, mais dans un certain contexte, elles peuvent rapidement déborder les capacités d’indexation du GCenter.
Afin de réduire la quantité de métadonnées tout en conservant la plupart des échanges d'informations, il est possible d’activer les limiteurs définis ci-dessous.

Voir l'Ecran `Config - Metadata rate limiter` de la web UI.

7.10.2. Prérequis

Utilisateur : membre du groupe Operator

7.10.3. Opérations préliminaires

Se connecter au GCenter via un navigateur (voir l'Accès à l'interface web du GCenter via un navigateur internet)

7.10.4. Procédure de visualisation des métadonnées

Dans la barre de navigation, cliquer successivement sur le bouton `Hunting`.

Cette interface graphique est décrite dans la partie Tableaux de bord natifs.

Utiliser l’outil Kibana (commande hunting > Métadonnées) pour comprendre quel type de métadonnées devrait être optimisé en priorité.

7.10.5. Procédure de configuration et d'activation des limiteurs

Dans la barre de navigation, cliquer successivement sur :
- le bouton `Config`
- le bouton `Metadata rate limiter`
  
  L'écran suivant est affiché.
Si besoin, pour le premier protocole sélectionné (`DNS` (1), `HTTPS` (2), `SMB` (3)):

sélectionner le niveau de la filtration (field `Aggressivity level` item (10 to 13))

activer avec le sélecteur `Enabled -Disabled` repère (5 à 8)

passer au protocole suivant

Valider avec le bouton `APPLY` (9).