4. Problèmes connus

4.1. Export SYSLOG

L’export Syslog UDP tronque les alertes lorsqu’il y a plus de 65635 Octets.

Solution de contournement: privilégier l’utilisation de TCP.

4.2. Statut des last updates

Lors de la restauration d’un GCenter, l’information liée à l’état des mises à jour des signatures sur les GCaps n’est pas restaurée. Le statut se mettra à jour lorsque le GCap récupérera un nouveau fichier de règles.

Solution de contournement : Régénérer le fichier de règles dans Sigflow Manager.

4.3. Règles LastInfoSec

Incohérence entre les règles LIS et le fichier généré, il manque les règles avec les hashs.

Solution de contournement: Pas de solution.

4.4. Gestion des erreurs GUM mode Local ou Online

Pour les mises à jour GUM (local ou online) aucune information liée à l’erreur n’est disponible via la WebUI du GCenter.

Solution de contournement : Message d’erreur disponible dans les logs du GCenter.

4.5. LDAP avec SSL ou STARTTLS

Si LDAP est configuré avec SSL ou STARTTLS et utilise un certificat pour valider le serveur, il peut disparaître lors d’un changement de configuration via la WebUI du GCenter. Il est cependant bien conservé et utilisé.

Solution de contournement: Pas de solution.

4.6. Double amorçage

À partir de la version 2.5.3.100, le double amorçage n’est plus supporté.

Solution de contournement: Pas de solution.

4.7. Moteur Machine Learning et édition CIE

Les tableaux GATEWATCHER du moteur de Machine Learning ne prennent pas en compte la restriction de licence lorsque le GCenter est une édition CIE.

Solution de contournement: Pas de solution.

4.8. Certificat autosigné

Une erreur peut apparaître depuis la WebUI du GCenter lors de l’application de certificats autosignés. Cela n’impacte pas le bon fonctionnement de l’authentification chiffrée.

Solution de contournement: Pas de solution.

4.9. Alerte Malcore

Dans certains cas, une incohérence peut survenir entre les champs “total_found” et “engine_id”.

Solution de contournement: Pas de solution.

4.10. Configuration serveur mandataire (proxy)

Après une mise à jour d’une version 2.5.3.10 vers 2.5.3.100 du GCenter, la configuration du serveur mandataire n’est plus effective.

Solution de contournement: Il faut ré-éditer la configuration de celui-ci. Corrigé en version 2.5.3.100-hf5.

4.11. Configuration interface SUP0

Après une mise à jour d’une version 2.5.3.10 vers 2.5.3.100 du GCenter, la configuration de l’interface SUP0 n’est plus effective. Cela entraîne des problèmes d’export vers le serveur SYSLOG en empruntant par défaut l’interface MGMT0.

Solution de contournement: Il faut ré-éditer la configuration de celle-ci. Corrigé en version 2.5.3.100-hf5.

4.12. Ruleset

Lorsque nous désactivons une règle dans plusieurs rulesets, la réactivation de celle-ci dans un seul ruleset ne fonctionne pas.

Solution de contournement: Il faut activer la règle pour tous les rulesets.

4.13. Threshold rule

Lorsque nous éditons une règle pour activer un Threshold rule, le generate rules file ne met pas à jour cette nouvelle configuration.

Solution de contournement: Il faut effectuer un generate rules file deux fois. Corrigé à partir du HF5.

4.14. Export syslog

L’export des logs vers le serveur syslog ne s’effectue pas sur une version 2.5.3.100-hf4.

Solution de contournement: Il faut effectuer un redémarrage de logstash. Correctif présent dans le package 5.

4.15. Sigflow Manager - Transform Category

L’application d’un Transform category lève une erreur 500 si aucun ruleset n’est présent sur le GCenter.

Solution de contournement: Création d’un ruleset.

4.16. Sigflow Manager - Erreur 500 lors de l’ajout d’une règle dans une source personnalisée

L’ajout d’une règle lève une erreur 500 si les conditions suivantes sont réunies : * L’ajout se fait en éditant une custom source * La règle existe déjà dans une autre source personnalisée (même SID)

Solution de contournement: Changer le SID de la règle que l’on souhaite ajouter afin d’éviter le conflit de SID.

4.17. Sigflow Manager - Incohérence dans l’affichage du nombre de catégories et de règles d’une catégorie

La page d’accueil de Sigflow > Sources présente le nombre de catégories et de règles contenues dans chaque source. Il est possible que les informations présentées soient incohérentes avec le contenu réel des sources. Ce cas peut se produire après l’édition d’une custom source ou d’une mise à jour.

Solution de contournement : Pas de solution de contournement.

4.18. LDAP COnfiguration - TLS

La gestion des utilisateurs peut être assurée via la connexion du GCenter à un Active Directory ou tout autre solution utilisant LDAP via le menu Accounts/LDAP configuration. Lorsqu’un serveur LDAP est utilisé avec des paramètres TLS, le statut visible dans le panneau de configuration LDAP interconnection status peut indiquer une erreur bien que la configuration soit fonctionnelle. L’erreur affichée est alors la suivante : Cannot connect to LDAP with current settings: {“desc”: « Can’t contact LDAP server »,”errno”: 115, “info”: “(unknown error code)”}.

Solution de contournement: Pas de solution.

4.19. Backup Restore

Dans le cadre d’une réinstallation de la version du GCenter qui a suivi un chemin d’upgrade particulier, la restauration de la sauvegarde ne fonctionnera pas.

Solution de contournement: il faut procéder à la mise à jour des versions en respectant le chemin initialement fait pour que la sauvegarde puisse être appliquée.

Exemple : Le GCenter a été installé en version XXX, les hotfix X, Y et Z ont été appliquées.

Pour effectuer une restauration :

  • Installer le gcenter avec la version XX,

  • puis appliquer respectivement les hotfix X, Y et Z avant de procéder à la restauration.

4.20. FQDN du GCap (Pairing/Status)

Des majuscules au niveau du FQDN du GCap provoqueront des erreurs d’associations lors de l’initiation du tunnel IPsec avec le GCenter,

Solution de contournement: il faut que le FQDN du GCap dans le champ Pairing/Status soit composé uniquement de minuscule.

4.21. Kernel - Instabilité du module IPSEC

Le noyau linux possédait un module relatif à ipsec susceptible d’entraîner des erreurs kernel (kernel oops).

Solution de contournement: Corrigé en version 2.5.3.100-hf6.

4.22. Malcore - Mauvaise association de fichiers dans le cas de replicas

Dans les logs de type malcore, le champ « filename » pouvait être inexact quand plusieurs fichiers possédaient le même hash mais des noms différents.

Solution de contournement: Pas de solution.

4.23. Malcore - Accumulation de fichiers dans /tmp

Dans certains cas, malcore pouvait rater des analyses, et des fichiers en attente restaient indéfiniment dans un répertoire réservé aux fichiers temporaires.

Solution de contournement: Corrigé en version 2.5.3.100-hf6.

4.24. Malcore - Profiles non préservés post upgrade

Lors de l’application du HF6, la configuration des profiles via Malcore Management n’est pas maintenue.

Notamment, le paramètre concernant la taille maximale des fichiers analysés par malcore, s’il était à sa valeur par défaut avant upgrade, il sera ramené à 2Mo.

Potentiellement, des fichiers reconstruits par les GCap ne seraient alors plus analysés : cela se traduirait par la valeur File size exceeded dans le champ total_found des logs malcore.

Solution de contournement: Réappliquer la configuration des profiles de Malcore Management et appliquer la valeur recommandée de 100 pour le paramètre Maximum size of scanned files ( in MB ) dans le profile Default accessible depuis le menu Administrator/Malcore Management/Profile/Default.

4.25. Malcore - Désactivation d’un moteur antivirus

Avec malcore v4 (à partir de l’application du HF6), un des moteurs antivirus connaît des instabilités dangereuses pour la stabilité globale de Malcore. Celui-ci a été désactivé. En conséquence, malcore fonctionne avec 15 moteurs antiviraux, et le champ total_found des logs malcore vaut XX/15 et non XX/16.

Solution de contournement : Pas de solution de contournement.

4.26. Malcore Management - GScan Profile

L’option Number of files du profil GScan de Malcore Management permet de retourner une alerte en fonction du nombre de fichier présent dans l’archive. Cette fonctionnalité n’est pas opérationnelle.

Solution de contournement : Pas de solution de contournement.

4.27. Malcore - Analyse de fichier

Lorsque malcore analyse un fichier une première fois, il génère un log possédant un champ replica=false.

Si ce fichier est à nouveau vu avant la fin de la période de file_resend_interval, malcore ne réanalyse pas le fichier et crée un log possédant un champ replica=true. Ces analyses de fichiers déjà observés sont appelées des replica. (Le file_resend_interval est configurable au niveau des paramètres Sigflow/GCap Profiles du GCap dans Base variables et sa valeur par défaut est de 24h).

Après l’application du HF6, malcore garantit que chaque fichier est analysé au moins une fois. Dans de rares cas, et quand un grand nombre de replicas sont observés, il est possible que certains logs d’analyse replica=true ne soient pas générés, ou au contraire soient observés en plusieurs exemplaires (dans ce dernier cas, on observe que le champ try_count -qui est interne au fonctionnement du GCenter- est incrémenté entre chaque exemplaire).

Solution de contournement: Si l’on souhaite retrouver de manière certaine l’ensemble des apparitions d’un fichier ayant généré un grand nombre de replica=true:

  • trouver le SHA256 du fichier en question dans les données produites par malcore (champ SHA256),

  • filtrer les métadonnées file reconstruction de sigflow avec ce SHA (champ fileinfo.sha256).

4.28. Malcore - Absence de flow_id

Dans de rares cas, le champ “flow_id” d’une alerte Malcore peut ne pas apparaître. La corrélation avec les métadonnées relatives à cet évènement malcore peut être faite à l’aide des SHA256 et timestamp_detected de l’alerte malcore.

Solution de contournement: Pas de solution.

4.29. Malcore - Configuration et application d’une Black/White list

Il est possible d’ajouter des White/Black list de fichiers que malcore ne doit pas analyser.

La configuration de cette fonctionnalité se trouve dans Gcenter/Malcore Management/Whitelist(Blacklist).

Le white/blacklisting d’un fichier n’est pas immédiatement effectif, et prend effet après une période inférieure ou égale au file_resend_interval configuré sur le GCap qui observe le fichier. (Le file_resend_interval est configurable au niveau des paramètres Sigflow/GCap Profiles du GCap dans Base variables et sa valeur par défaut est de 24h).

Solution de contournement: Pas de solution.

4.30. Malcore - Doublon d’analyse

Des doublons d’analyse malcore peuvent apparaître lors des opérations de shrinking de la base de données elasticsearch. Ces opérations ont lieu tous les jours à 02:00 UTC, et visent à optimiser la consommation mémoire d’elasticsearch en réduisant le nombre de shards par index.

Solution de contournement: Pas de solution.

4.31. Malcore - Crash du moteur suite à une surcharge

Le moteur malcore peut devenir instable s’il est soumis à une charge extrême et que des centaines de milliers de fichiers sont en attente de traitement. Cela se traduit par un blocage total du moteur (plus d’analyse) ou une réduction très importante du nombre d’analyses produites.

Solution de contournement: Dans Gcenter-setup : Gapps Management > Reset a GApp > Reset Malcore Engine.