7.4.2. Configurer les paramètres propres au module Sigflow du GCap (Base variables)

7.4.2.1. Introduction

La section `Base variables` permet de configurer les paramètres propres au module Sigflow du GCap.
Les différents paramètres de configuration sont les suivants :

  • paramétrage de la taille des flux et des fichiers reconstruits par le GCap

  • paramétrage de la fonction `X-Forwarded-For`

  • paramétrage des champs présents dans les événements (payload, payload printable, packet, HTTP body et HTTP body printable)

  • paramétrage du champ `Community ID`

  • paramétrage de l'alerting et du logging des différents protocoles disponibles sur le GCap

  • paramétrage des fonctions avancées du module Sigflow

Attention

La modification de certains de ces paramètres engendre le redémarrage du moteur de détection et donc une indisponibilité de la capture le temps de ce redémarrage.

Voir l'Ecran `Config - Gcaps profiles` de la web UI.

Pour

aller à la

Changement de la taille de reconstruction des fichiers

Procédure de changement de la taille de reconstruction des fichiers

Configuration des champs présents dans les événements

Procédure de configuration des champs présents dans les événements

Configuration de l'alerting et du logging protocolaire

Procédure de configuration de l'alerting et du logging protocolaire

7.4.2.2. Prérequis

Utilisateur : membre du groupe Operator

7.4.2.3. Opérations préliminaires

7.4.2.4. Procédure de changement de la taille de reconstruction des fichiers

  • Dans la barre de navigation, cliquer successivement sur :

    • le bouton `Config`

    • le bouton `Gcaps profiles` du menu `Sigflow`.
      La fenêtre `Gcaps profiles` est affichée.
    ../../_images/GCAP_00.PNG

  • Cliquer sur le bouton (3) `Base variables`.

  • Depuis l'interface `Base variables`, section `Stream analysis and file extraction`, valider que le choix `File extraction (On/Off)` est bien activé (1).

../../_images/GCAP_02-1.PNG

  • Changer la valeur du champ (4) `File-store stream depth (MB)` (par défaut à 10Mo).

  • Cliquer sur le bouton `Apply`.

    Note

    Le choix de la valeur est important, plus la valeur configurée est grande, plus les performances seront impactées.

7.4.2.5. Procédure de configuration des champs présents dans les événements

  • Dans la barre de navigation, cliquer successivement sur :

    • le bouton `Config`

    • le bouton `Gcaps profiles` du menu `Sigflow`
      La fenêtre `Gcaps profiles` est affichée.
    ../../_images/GCAP_00.PNG
  • Cliquer sur le bouton (3) `Base variables`.
    Depuis l'interface `Base variables`, section `Payload`, activer les champs qui apparaîtront dans les événements.
    ../../_images/GCAP_02-3.PNG

  • Désactiver les champs qui n’apparaîtront dans les événements.

  • Cliquer sur le bouton `Apply`.

Note

Dans certains SIEMs, une taille trop élevée des événements peut engendrer des tronçonnages.

7.4.2.6. Procédure de configuration de l'alerting et du logging protocolaire

  • Dans la barre de navigation, cliquer successivement sur :

    • le bouton `Config`

    • le bouton `Gcaps profiles` du menu `Sigflow`.
      La fenêtre `Gcaps profiles` est affichée.
    ../../_images/GCAP_00.PNG
  • Cliquer sur le bouton (3) `Base variables`.
    Depuis l'interface `Base variables`, section `Alerting and logging` :
    ../../_images/GCAP_02-5.PNG

  • Cocher les types de hash qui apparaîtront dans les événements (md5, sha1 et sha256) (1).

  • Activer l'alerting pour les protocoles qui devront lever des alertes (4).

  • Désactiver l'alerting pour les protocoles qui ne devront pas lever d'alertes (4).

  • Activer le logging pour les protocoles qui devront lever des métadonnées (5).

  • Désactiver le logging pour les protocoles qui ne devront pas lever de métadonnées (5).

  • Cliquer sur le bouton `Apply`.