2. Nouvelles fonctionnalités¶
2.1. Gatewatcher Licensing Center¶
A partir de la version 2.5.3.100, les serveurs de management (GCenter) utilisent le nouveau system de licence GATEWATCHER LICENSING CENTER (GLC).
La licence se compose au minimum d’une licence GWAPI perpétuelle associée à un GCenter.
L’administrateur doit ajouter une licence afin de configurer l’équipement.
L’opérateur, peut quant à lui, accéder aux données du GCenter.
Pour obtenir une licence version 2.5.3.100, merci de vous rapprocher de votre ingénieur d’affaire Gatewatcher ou contacter commerciaux@gatewatcher.com.
2.2. Gatewatcher Update Manager¶
A partir de la version 2.5.3.100, les GCenters se basent sur un nouvel outil de mise à jour unifié GATEWATCHER Update Manager (GUM).
Il permet la gestion des différents types de mises à jour : update, upgrade, hotfix.
Un statut en temps réel est visible depuis l’interface WEB du GCenter.
Les updates sont désormais unifiées en un seul package avec les moteurs souhaités (Codebreaker, Sigflow, Malcore) et peuvent se faire :
En ligne via https://update.gatewatcher.com/update/ et https://gupdate.gatewatcher pour Malcore. Ceci requiert un compte intelligence.
Localement, en définissant un répertoire par défaut.
La mise à jour de Malcore en ligne est différentielle et chiffrée.
La personnalisation de l’horaire souhaité est possible via l’interface WEB du GCenter.
Les hotfix permettent d’injecter un correctif sans qu’un redémarrage du GCenter soit nécessaire.
Il est possible de conserver jusqu’à trois paquets d’upgrade GCenter et/ou de la sonde de détection (GCap).
La configuration de GUM est possible via un serveur mandataire (PROXY).
2.3. Connecteur Endpoint Detection and Response (expérimental)¶
Il est possible d’ajouter un connecteur HarfangLab Hurukai (EDR) au GCenter. La configuration de cette fonctionnalité est possible via un serveur mandataire (PROXY).
2.4. Sauvegarde et restauration¶
Il est désormais possible d’effectuer une sauvegarde chiffrée de la configuration du GCenter (licence incluse) et du GCap pour restauration.
Celle-ci peut être exportée localement, en SCP ou FTP via l’interface WEB du GCenter
Il est possible de planifier une sauvegarde ainsi que son export via l’interface WEB du GCenter.
2.5. Connecteur MISP : Malware Information Sharing Platform¶
Il est possible d’ajouter un connecteur MISP au GCenter afin de convertir des IOC en signatures Sigflow. La configuration de cette fonctionnalité est possible via un serveur mandataire (Proxy).
2.6. Interconnexion GBox¶
Il est désormais possible d’interconnecter une GBox au GCenter et d’envoyer automatiquement des malwares vers cette dernière.
La configuration de la GBox est possible via un serveur mandataire (PROXY).
2.7. Paramètres avancés Sigflow¶
Il est possible de configurer les options avancées de Sigflow pour tous les GCaps via la WebUI du GCenter.
Il est donc désormais possible de configurer de nombreux paramètres tels que :
Les variables d’environnement.
Les variables réseaux.
Les timeout protocolaires.
Les reconstructions de fichiers.
Le filtrage local des GCap (XDP Filter).
Le conteneur Sigflow Manager a été unifié au travers de celui de la WebUI du GCenter.
2.8. Rulesets par interface physique¶
La configuration via l’interface WEB du GCenter d’un ruleset global ou par interface physique avec un GCap compatible avec la version 2.5.3.100 du GCenter est désormais possible.
2.9. Conteneurs¶
L’ensemble des conteneurs présents dans le GCenter reposent maintenant sur une distribution linux Debian 10 (Buster).
2.10. Python 3.6 ou supérieur¶
L’intégralité du code Python du GCenter est en Python 3.6 ou supérieur.
2.11. API GCenter¶
L’API interne du GCenter agrège la quasi-totalité des modèles de configuration des applications de la machine hôte et/ou de ces conteneurs.
2.12. Simplification du script de configuration¶
Il est désormais possible d’utiliser une ligne de commande python avec arguments pour effectuer la configuration du GCenter.
2.13. Démmarage des services GCenter¶
Au démarrage du GCenter, un contrôle de chaque service est effectué afin de vérifier le bon lancement de celui-ci.
2.14. Urls GCenter¶
Dans une démarche de simplification et d’organisation, l’ensemble des URLs de la WebUI du GCenter a été unifié.
2.15. Heartbeat¶
Le GCenter est désormais capable de détecter l’absence ou la perte d’un GCap en utilisant un demon de Heartbeat.
2.16. ElasticSearch (ES) et Cycles de Vie des Index (ILM)¶
Depuis la version 2.5.3.100, le GCenter intègre la version 6.8 de la suite ELK.
Elle permet un renforcement de la sécurité des clusters.
Les tableaux KIBANA ont entièrement été revus.
Le Cycles de Vie des index (ILM) permet d’augmenter la capacité de rétention des alertes et des meta données en utilisant ces fonctionnalités :
Utilisation de données chaudes sur un media de type SSD.
Utilisation de données froides sur un media de type HDD.
L’ILM permet de conserver les données des dernières 24H en zone chaude, au-delà de ce délai, les données sont archivées en zone froide.
N.B: Lors de la mise à jour de la version 2.5.3.10 vers la 2.5.3.100, pour des raisons de performances et de temps, seuls les index ‘logstash-’ et ‘malwares-’ sont conservés. Dans la version 2.5.3.100, la nomenclature des index ‘logstash-’ est modifiée en ‘suricata-’.
2.17. Demon d’orchestration¶
Afin d’assurer la continuité des services du GCenter, un demon d’orchestration a été ajouté.
2.18. Machine Learning et “Domain Generation Algorithm”¶
A partir de la version 2.5.3.100, le GCenter embarque l’intelligence artificielle grâce à du Machine Learning basé sur du ‘deep-learning’ à la recherche de ‘Domain Generation Algorithm’ (DGA).
Cette nouvelle fonctionnalité permet la détection de DGA pouvant être reliés à des serveurs de ‘Commande and Control’ (C&C) utilisés par des malwares.
Le seuil de déclenchement d’une alerte est configurable via la WebUI du GCenter.
2.19. Détection de powershell malicieux basé sur du Machine Learning¶
Depuis la version 2.5.3.100, nous sommes désormais capable d’auto apprendre et d’analyser les scripts powershell afin de pourvoir détecter le caractère malicieux de ceux-ci. Uniquement disponible avec un GCap compatible.
2.20. Shellcodes vizualisation¶
Afin de simplifier la compréhension d’une attaque par Shellcode, il est possible de visualiser une cinématique graphique via la WebUI du GCenter.
2.21. Tableaux KIBANA - NETDATA¶
L’implémentation de la nouvelle version de KIBANA et de la partition ES permet de créer des tableaux pour afficher les logs du GCap via le ‘GCenter/Trackwatch Logs’. A terme, les tableaux KIBANA centraliseront les logs de l’ensemble des équipements.
2.22. LastInfoSec / Sigflow¶
Sigflow intègre désormais les sources externe ‘LastInfoSec’(CTI Française). Cette fonctionnalité est expérimentale.
2.23. Analyse Malcore¶
La version 2.5.3.100 permet la corrélation des fichiers analysés par Malcore et un flux de données basé sur un ‘flow_id’.
2.24. Multi-tenant¶
Il est possible d’activer le support multi-tenant via la WebUI du GCenter. Uniquement avec un GCap compatible.
2.25. Personnalisation de la durée de session¶
Depuis la version 2.5.3.100, il est possible de personnaliser la durée de session WEB par utilisateur.
2.26. Authentification centralisée LDAPS / AD¶
LDAP ne requiert plus de créer des groupes spécifiques dans l’annuaire. Il utilise désormais les mappings.
Son utilisation via SSL ou STARTTLS est maintenant possible.
L’authentification par LDAP peut se faire de manière anonyme ou en utilisant un compte dédié.
La validation des certificats serveurs auto-signés est possible et optionnelle.
2.27. KAFKA¶
Depuis la version 2.5.3.100, l’export KAFKA n’existe plus.
2.28. API Publique¶
La version 2.5.3.100 introduit le développement d’une API publique et sa documentation. Celle-ci se repose sur l’outil open source SWAGGER.