7.4.2. Configurer les paramètres propres au module Sigflow du GCap (Base variables)
7.4.2.1. Introduction
`Base variables`
permet de configurer les paramètres propres au module Sigflow du GCap.paramétrage de la taille des flux et des fichiers reconstruits par le GCap
paramétrage de la fonction
`X-Forwarded-For`
paramétrage des champs présents dans les événements (payload, payload printable, packet, HTTP body et HTTP body printable)
paramétrage du champ
`Community ID`
paramétrage de l'alerting et du logging des différents protocoles disponibles sur le GCap
paramétrage des fonctions avancées du module Sigflow
Attention
La modification de certains de ces paramètres engendre le redémarrage du moteur de détection et donc une indisponibilité de la capture le temps de ce redémarrage.
Voir l'Ecran `Config - Gcaps profiles` de la web UI.
Pour |
aller à la |
---|---|
Changement de la taille de reconstruction des fichiers |
Procédure de changement de la taille de reconstruction des fichiers |
Configuration des champs présents dans les événements |
Procédure de configuration des champs présents dans les événements |
Configuration de l'alerting et du logging protocolaire |
Procédure de configuration de l'alerting et du logging protocolaire |
7.4.2.2. Prérequis
Utilisateur : membre du groupe Operator
7.4.2.3. Opérations préliminaires
Se connecter au GCenter via un navigateur (voir l'Accès à l'interface web du GCenter via un navigateur internet)
7.4.2.4. Procédure de changement de la taille de reconstruction des fichiers
Dans la barre de navigation, cliquer successivement sur :
le bouton
`Config`
- le bouton
`Gcaps profiles`
du menu`Sigflow`
.La fenêtre`Gcaps profiles`
est affichée.
Cliquer sur le bouton (3)
`Base variables`
.Depuis l'interface
`Base variables`
, section`Stream analysis and file extraction`
, valider que le choix`File extraction (On/Off)`
est bien activé (1).
Changer la valeur du champ (4)
`File-store stream depth (MB)`
(par défaut à 10Mo).Cliquer sur le bouton
`Apply`
.Note
Le choix de la valeur est important, plus la valeur configurée est grande, plus les performances seront impactées.
7.4.2.5. Procédure de configuration des champs présents dans les événements
Dans la barre de navigation, cliquer successivement sur :
le bouton
`Config`
- le bouton
`Gcaps profiles`
du menu`Sigflow`
La fenêtre`Gcaps profiles`
est affichée.
- Cliquer sur le bouton (3)
`Base variables`
.Depuis l'interface`Base variables`
, section`Payload`
, activer les champs qui apparaîtront dans les événements. Désactiver les champs qui n’apparaîtront dans les événements.
Cliquer sur le bouton
`Apply`
.
Note
Dans certains SIEMs, une taille trop élevée des événements peut engendrer des tronçonnages.
7.4.2.6. Procédure de configuration de l'alerting et du logging protocolaire
Dans la barre de navigation, cliquer successivement sur :
le bouton
`Config`
- le bouton
`Gcaps profiles`
du menu`Sigflow`
.La fenêtre`Gcaps profiles`
est affichée.
- Cliquer sur le bouton (3)
`Base variables`
.Depuis l'interface`Base variables`
, section`Alerting and logging`
: Cocher les types de hash qui apparaîtront dans les événements (md5, sha1 et sha256) (1).
Activer l'alerting pour les protocoles qui devront lever des alertes (4).
Désactiver l'alerting pour les protocoles qui ne devront pas lever d'alertes (4).
Activer le logging pour les protocoles qui devront lever des métadonnées (5).
Désactiver le logging pour les protocoles qui ne devront pas lever de métadonnées (5).
Cliquer sur le bouton
`Apply`
.