10. Glossaire

Alerting: Consiste à activer la détection des signatures Sigflow pour un protocole donné. En effet si ce dernier est activé pour un protocole alors le flux qui est identifié par une signature lèvera une alerte côté GCenter
ANSSI: L'Autorité Nationale en matière de Sécurité et de défense des Systèmes d'Information est un Service français à compétence nationale chargé de la sécurité informatique
CLI: La CLI (Command Line Interface) est le moyen utilisé pour administrer et configurer le GCap. Il s'agit de l'ensemble des commandes en mode texte
Codebreaker: Moteur d'analyse permettant la détection de shellcodes et de powershells malveillants.

Il comprend deux parties : goasm pour la détection de shellcode et gps pour la détection de powershell
Critical risk: Définition d'un risque bas : une activité très suspecte a été détectée. Une activité dangereuse a été détectée. Il y a une forte probabilité que votre organisation est confrontée à une menace grave et les contre-meseares devraient être prises immédiatement. Par exemple, un utilisateur a téléchargé un logiciel malveillant ou un élément actif du réseau a contacté un domaine de commande et de contrôle connu. Définition de la couleur utilisée pour ce type d'alarmes dans la Web UI : red Niveau de risques de cette catégorie : 75 à 100 %
Engine hash: Nom des 16 moteurs antivirus de Malcore
gabana: Service Kibana
GCap: Le GCap est la sonde de détection de la solution Trackwatch/Aioniq. Elle récupère le flux réseau du TAP et reconstitue les fichiers qu'elle envoie au GCenter
GCenter: Le GCenter est le composant qui administre le GCap et effectue l'analyse des fichiers envoyés par le GCap
gcti: Moteur CTI
gdgadetect: Moteur gdgadetect Machine Learning détecte les noms de domaine générés par Domain Generation Algorithm (DGAs)
gesmaster: Service maitres ES
geyego: Service d’analyse des menaces et d’orchestration rétroactive
ggcc: Service WebUI #1
glogstash: Service de journal des menaces
goasm: Voir Codebreaker
gpostgres: Service Base de données
gproxy: Gestionnaire de la connexion
gps: Voir Codebreaker
gredis: Service de données éphémères
gstats: Service de surveillance
GUM: Le GUM (Gatewatcher Update Manager) est le service de gestion des mises à jour des bases de données de détection, de l'application des hotfix et des mises à jour système
gunpoint: Service de passerelle GCap
gweb: Service WebUI #2
hidden gredis: Service de données éphémères (utilisé pour le cache)
High risk: Définition d'un risque haut : une activité très suspecte a été détectée. Ce type d’événement devrait faire l’objet d’une enquête rapide car il pourrait être le signe d’une compromission importante. Il est possible que cet événement soit un faux positif ou lié à une mauvaise figuration dans votre réseau. Définition de la couleur utilisée pour ce type d'alarmes dans la Web UI : orange Niveau de risques de cette catégorie : 50 à 74 %
Hotfix: Un correctif (hotfix) permet de corriger un ou plusieurs problèmes sans avoir à effectuer une mise à niveau
IDS: Les systèmes de détection d’intrusion sont des systèmes logiciels ou matériels conçus pour automatiser la surveillance des événements se produisant dans un réseau ou sur une machine particulière, et pour pouvoir faire rapport à l’administrateur système, toute trace d’activité anormale sur ce dernier ou sur la machine surveillée
LDAP: Le LDAP (Lightweight Directory Access Protocol) est un protocole permettant l'interrogation et la modification des services d'annuaire (Active Directory par exemple)
Low risk: Définition d'un risque bas : une activité inhabituelle a été détectée.

Cela pourrait signifier que vous avez des politiques ou des usages réseau inhabituels.

Ces types d’événements devraient être évoqués en dernier car ils ne sont pas le signe direct de compromissions importantes.

Ils peuvent être utilisés comme de bons indicateurs pour améliorer les politiques de réseau et détecter les erreurs de configuration.

Définition de la couleur utilisée pour ce type d'alarmes dans la Web UI : bleu

Niveau de risques de cette catégorie : 0 à 24 %
Malcore (or gmalcore): Moteur de détection permettant la détection et l'analyse des malwares
Medium risk: Définition d'un risque moyen : une activité qui pourrait être liée à une menace a été détectée. Le risque a été établi à des valeurs faibles, car la menace potentielle ne semble pas critique ou parce que la probabilité de faux est élevée.

Définition de la couleur utilisée pour ce type d'alarmes dans la Web UI : jaune

Niveau de risques de cette catégorie : 25 à 49 %
MISP: Plateforme d’échange de renseignements sur les logiciels malveillants
Mitre: Base de connaissances et modèle de comportement des cyber-adversaires, reflétant les phases du cycle de vie des attaques d'un adversaire et les plates-formes qu'il cible
MTU: La MTU (Maximum Transfert Unit) est la taille maximale d'un paquet pouvant être transmis en une seule fois (sans fragmentation) sur une interface réseau
OIV: Opérateurs d’Importance Vitale
OTP: L'OTP (One Time Password) est un mot de passe à usage unique défini sur le GCenter
RAID1: Le RAID 1 consiste en l'utilisation de n disques redondants. Chaque disque de la grappe contenant à tout moment exactement les mêmes données, d'où l'utilisation du mot « miroir » (mirroring)
RAID5: Le RAID 5 fait appel à plusieurs disques durs (3 minimum) regroupés en grappe pour constituer une seule unité logique. Les données sont dupliquées et réparties sur 2 disques différents parmi les disques présents
setup: Nom du compte destiné à un administrateur système d'accès au menu de configuration
SIEM: Le SIEM (Security Information and Event Management) est un système centralisé d'évènements de sécurité qui offre une visibilité totale sur l’activité d'un réseau et permet ainsi de réagir aux menaces en temps réel
Sigflow: Le moteur de détection (appelé aussi Sigflow) est chargé de la reconstitution des fichiers et aussi l'un des moteurs pour l'analyse l'ensemble du trafic réseau et peut, suivant des règles, générer des alertes, des métadonnées ou des contenus.
TAP: Le TAP (Test Access Point) est un dispositif passif qui duplique un flux réseau
Update: La mise à jour (Update) gère les signatures et/ou les moteurs sous forme de paquets. Un paquet ne peut mettre à jour qu’un seul moteur ou l’ensemble des moteurs
Upgrade: La mise à niveau (updrade) est une mise à niveau de version et modifie considérablement le GCenter et le GCap