5.3. Interface graphique Kibana

5.3.1. Présentation de l'interface graphique Kibana

L'interface web Kibana permet d'afficher les données présentes dans les index ElasticSearch du GCenter.
Ces données proviennent des différents moteurs d'analyse.
Avant indexation côté GCenter, ces données peuvent :

  • provenir des analyses côté GCap (alertes et métadonnées remontées par le moteur de détection Sigflow)

  • provenir des analyses côté GCenter (alertes par les autres moteurs de détection)

Important

Cette partie décrit les éléments graphiques accessibles aux membres du groupe operator.

5.3.2. Configuration de l'interface graphique Kibana

../_images/GCE103_KIBANA_01.PNG
L'interface Kibana est entièrement modifiable par l'utilisateur.
Il est possible de créer des visualisations et des tableaux de bord.
Nativement, l'interface possède des tableaux de bord préenregistrés afin de visualiser les données des différents moteurs de la solution.
Ces tableaux de bord sont aussi modifiables par l'utilisateur.
Différents droits de visualisation s'appliquent à cette interface :

  • les utilisateurs membres du groupe operator peuvent visualiser les données présentes dans les tableaux de bord d’événements de détection

  • les utilisateurs membres du groupe administrator peuvent visualiser les données présentes dans les tableaux de bord système (System logs)

Note

L'accès à l'interface Kibana est disponible :

  • pour les membres du groupe operator, en cliquant sur bouton `Hunting` de la barre de navigation

  • pour les membres du groupe administrator, en cliquant sur la commande `System logs` du menu `Administration - Maintenance`

Le bouton `Dashboards` (1) permet d’afficher et de sélectionner les tableaux de bord existants.
Le tableau de bord par défaut pour les membres du groupe d’opérateurs est `Alerts - Overview` (2).

5.3.3. Onglets principaux

Il y a des onglets principaux:

5.3.4. Tableaux de bord natifs de l'onglet `Alerts`

../_images/GCE103_KIBANA_01.PNG

Les informations des `Alerts` des différents moteurs sont regroupées dans l’interface Kibana sous forme d’onglets (6) :

Onglet

Affiche toutes les alertes générées par le

`Overview

GCenter

`Sigflow`

Moteur Sigflow

`Malcore`

Moteur Malcore

`Malicious Powershell`

Moteur de détection de Powershell malveillant

`Shellcode`

Moteur de détection du shellcode

`DGA`

Moteur de détection DGA

`Beacon`

Moteur de détection des balises

`Ransomware`

Moteur de détection des ransomwares

`Active CTI`

Moteur CTI actif

`Retro hunt`

Moteur de chasse rétro

Note

Pour la plupart des tableaux de bord, les pages suivantes sont disponibles:

  • `Overview`

  • `Messages`

Chacun de ces onglets correspond à un type spécifique de données, voici le détail:

  • un graphique montrant le nombre d’alertes par moteur au fil du temps

  • un compteur affichant le nombre d’alertes par moteur, le nombre de métadonnées et le nombre de fichiers scannés

  • le top 10 des adresses IP sources par type d’alertes

  • le top 10 des adresses IP de destination par type d’alertes

  • un graphique indiquant la proportion des différentes sévérité d'alertes Sigflow

  • un graphique indiquant le nombre de signatures uniques ayant remontées des alertes dans le temps

  • une liste des alertes Malcore identifiées par la solution (sous forme de message)

  • le top 10 des alertes

  • un top de la répartition des noms de domaine DGA

  • le top 10 des alertes Machine Learning

La vue principale `Overview` affiche différents graphiques et statistiques pour le créneau horaire sélectionné.
../_images/GCE103_KIBANA_02.PNG
Il contient également un paragraphe explicatif sur les alertes Powershell malveillantes.
Cliquer sur `Messages` pour afficher la liste des alertes.
La vue secondaire `Messages` affiche un histogramme et la liste des alertes.
L’histogramme montre la distribution des alertes sur la plage de temps sélectionnée.
Il peut notamment révéler une certaine périodicité des alertes, ou un moment de la journée particulièrement actif.
La liste des alertes peut être modifiée en supprimant ou en ajoutant certaines colonnes.
Cliquer sur l’icône «double flèche» au début de la ligne pour afficher tous les champs d’alerte.
Il est alors possible de filtrer sur certaines valeurs pour, par exemple:

  • Ne pas afficher les machines saines (filtre faux positifs)

  • Afficher uniquement les alertes d’une adresse IP particulière

  • Ne pas afficher les alertes d’un GCap spécifique

5.3.5. Tableaux de bord natifs de l’onglet `Network Metadata`

../_images/GCE103_KIBANA_03.PNG

`Network Metadata` affiche, dans les sous-onglets, les métadonnées des différents protocoles analysés par le GCap :

  • Aperçu synthétise toutes les métadonnées

  • Relations synthétise toutes les métadonnées en visualisations sous forme de graphique

  • DHCP, détails des métadonnées DHCP

  • DNS, détails des métadonnées DNS

  • File Transaction, détails des métadonnées relatives au fichier reconstruit par la sonde

  • HTTP, détails des métadonnées HTTP

  • IKEv2, détails des métadonnées IKEv2

  • KRB5, détails des métadonnées KRB5

  • NFS, détails des métadonnées NFS

  • SMB, détails des métadonnées du SMB

  • SMTP, détails des métadonnées SMTP

  • SSH, détails des métadonnées SSH

  • TFTP, détails des métadonnées TFTP

  • TLS, détails des métadonnées TLS

Attention

Certains protocoles n’ont pas de tableau de bord natif malgré le fait qu’ils peuvent générer des métadonnées.
Ces métadonnées sont toujours indexées et utilisables dans Kibana.

5.3.6. Tableaux de bord autochtones de l’onglet `Administration`

../_images/GCE103_KIBANA_04.PNG
Les tableaux de bord natifs sont regroupés dans l’interface Kibana sous forme d’onglets.
L'onglet `Administration` affiche, dans les sous-onglets, l’information regroupée par thème :

  • `System Logs` affiche les événements syslog du système

  • `Users History` affiche les événements historiques des utilisateurs

  • `Metrics` affiche les mesures de l’administration

5.3.7. Exploitation des données

Dans chacun des tableaux de bord, il est possible de réaliser un filtrage pour n'afficher que les données souhaitées.
Pour ce faire, plusieurs options sont possibles :

  • filtrer en modifiant l'intervalle de temps (en haut à droite de la page)

  • filtrer en faisant une recherche grâce à la barre `Search` (en haut à gauche)

  • filtrer en créant un filtre sur un champ précis des événements souhaités (bouton `+ Add filter` en dessous de la barre de recherche)