7.9. Configuration des limiteurs de taux de métadonnées

7.9.1. Introduction

En plus d’alerte, les GCaps génèrent des événements de métadonnées sur les flux réseau analysés.
Ces informations peuvent être utiles lors des enquêtes, mais dans un certain contexte, elles peuvent rapidement déborder les capacités d’indexation du GCenter.
Afin de réduire la quantité de métadonnées tout en conservant la plupart des échanges d'informations, il est possible d’activer les limiteurs définis ci-dessous.

7.9.2. Liens associés

L'interface graphique est décrite dans l' Ecran `Metadata rate limiter`.

7.9.3. Prérequis

  • Utilisateur : membre du groupe Operator

7.9.4. Opérations préliminaires

7.9.5. Procédure de visualisation des métadonnées

  • Dans la barre de navigation, cliquer successivement sur le bouton `Hunting` (5).

    ../_images/GCE103_HOME-2.PNG

    La fenêtre `Hunting` est affichée.

    ../_images/elastic-01.png

Cette interface graphique est décrite dans la partie Onglets principaux.

  • Utiliser l’outil Kibana (commande hunting > Métadonnées) pour comprendre quel type de métadonnées devrait être optimisé en priorité.

7.9.6. Procédure de configuration et d'activation des limiteurs

  • Dans la barre de navigation, cliquer successivement sur :

    • le bouton `Detection Strategy`

    • la commande `Metadata rate limiter` de la catégorie `Detection Strategy`
      L'écran suivant est affiché.
    ../_images/GCE103_METADATA_01.PNG

  • Si besoin, pour le premier protocole sélectionné (`DNS`, `HTTP`, `TLS`, `SMB`) :

    • sélectionner le niveau de la filtration (champ `Aggressivity level`)

    • activer avec le sélecteur `Enabled - Disabled`

    • passer au protocole suivant

  • Valider avec le bouton `Save changes` (7).