2. Nouvelles fonctionnalités¶
2.1. Première installation¶
Suppression du redémarrage à la première installation.
2.2. Journaux de Synchronisation¶
Amélioration de la journalisation des événements de synchronisation des fichiers entre le serveur de management (GCenter) et la sonde de détection (GCap).
2.3. Sécurité de SSH¶
Durcissement de la configuration SSH.
2.4. Avertissement sur l’emploi des options avancées¶
Ajout d’un avertissement sur les risques encourus par la modification des options de configuration avancées via GCap-setup.
2.5. Règles de détection locales¶
Ajout d’un menu de configuration avancée permettant la saisie de règles de détection locales à un GCap. Ces règles s’ajoutent à celles téléchargées depuis le GCenter. Ce menu permet également de définir des règles de seuillage d’alertes pour ce GCap.
2.6. Mise à jour et renforcement du moteur de détection¶
Mise à jour du moteur de détection.
Amélioration de la logique de redémarrage du moteur de détection. Des rechargements instantanés et sans interruption de service sont désormais effectués pour certains changements qui nécessitaient un redémarrage du moteur et une interruption de service dans la version précédente.
Durcissement des permissions sur certains fichiers utilisés pour le moteur de détection.
2.7. filtrage des flux¶
Support du filtrage des paquets utilisant le tag 802.1AD, ainsi que QinQ (802.1q sur 802.1q).
2.8. Filtrage des paquets en fonction de leur protocole de transport¶
Ajout du support du filtrage des paquets transportés sur des protocoles de tunnel (IPsec, GRE, L2TP).
2.10. Répartition de charge¶
Ajout d’un mécanisme expérimental de répartition de la charge (load balancing) ad hoc. Celui-ci est optionnel et configurable.
1.11 Configuration de la MTU des interfaces de monitoring Ajout d’un menu de configuration avancée permettant la configuration de la MTU des interfaces de monitoring.
Attention : si une MTU de plus de 3000 est configurée pour une interface, celle-ci ne peut bénéficier du filtrage de paquets, et du nouveau mode de répartition de la charge.
2.11. Powershell suspicieux¶
Support de la détection de fichiers Powershell malveillants, en collaboration avec un GCenter 2.5.3.100 ou ultérieur.
2.12. Fichiers Mach-O et PE32+¶
Ajout du support de l’extraction de fichiers Mach-O et PE32+.
2.13. Amélioration des performance de la sonde¶
Amélioration des performances de captures sur les sondes GCap ainsi que de la gestion et de l’expédition des fichiers extraits.
2.14. Surveillance de la santé de la sonde¶
Ajouts de nouvelles statistiques du GCap, visibles via le GCenter (gstats et badges).
2.15. Clause de non-responsabilité¶
Ajout d’une clause de non-responsabilité lors de l’utilisation d’une version ‘Release Candidate’.
2.16. Avertissement sur l’emploi de mots de passe par défaut¶
Ajout d’un avertissement si le mot de passe par défaut est utilisé par les utilisateurs setup, gview et gviewadm.
2.17. Enrichissement des métadonnées¶
Enrichissement des métadonnées générées concernant les fichiers extraits.
2.18. Périodes de rétention¶
Ajout d’une notion de période de rétention des fichiers extraits, des fichiers dédupliqués et des événements générés par le moteur de détection.
Si un GCenter 2.5.3.8 ou 2.5.3.9 est employé, ces périodes peuvent être configurées par l’entremise d’un menu de configuration avancée du GCap. Pour un GCenter 2.5.3.100 et ultérieur, cette configuration s’effectue dans le profil du GCap.
2.19. Mise à jour système¶
Mise à jour de sécurité de composants systèmes.
2.23. Personnalisation des règles de détection¶
Les règles de détection doivent être explicitement activées pour un GCap. Par défaut il n’existe plus de règles de détection, à l’exception des règles Codebreaker dans l’édition FULL.
2.24. Sécurité cryptographique¶
Amélioration de la qualité concernant la génération de nombres aléatoires lors du démarrage.
2.25. Mode « urgence »¶
Amélioration du mode « urgence » qui se déclenche lorsqu’un GCap risque la saturation disque. Celui-ci se déclenche désormais aussi sur le nombre d’inodes et est plus exhaustif.