2. Nouvelles fonctionnalités¶
2.1. Mise à jour ELK¶
La suite ELK a été mise à jour en version 7, permettant une optimisation de ces services ainsi qu’une meilleure stabilité.
2.2. Mise à jour tableaux KIBANA¶
Les tableaux KIBANA intègrent les nouveaux protocoles supportés par une sonde de détection (GCap) d’une version 2.5.3.103 ou supérieure.
Une refonte du menu de navigation a été effectuée, ayant un thème DARK par défaut.
La fonctionnalité Kibana Maps a été intégrée.
2.3. Mise à jour Malcore¶
Malcore a été upgradé en version 4, permettant une meilleure stabilité.
2.4. Bannière SSH préauthentification¶
Une bannière SSH de préauthentification est configurable pour l’ensemble des GCaps appairés ainsi que le GCenter depuis la WebUI de celui-ci.
Les GCaps s’appairant au GCenter bénéficieront automatiquement de celle-ci, si elle a été au préalable configurée.
2.5. Support des règles de détection par interfaces de monitoring et par VLAN (multi-tenancy)¶
La configuration de jeux de règles de détection peut être appliquée à des interfaces de monitoring (jusqu’à 8) ou a des VLAN spécifiques. Elle s’effectue depuis l’interface Web du GCenter.
2.6. Export des logs¶
Il est désormais possible de configurer deux serveurs syslog pour l’export des journaux d’événements.
L’interface graphique a totalement été revue afin de la rendre fluide et dynamique.
L’export prend en charge le RFC 3164 ou RFC 5424. Les filtres avancés permettent de cibler :
Les différents protocoles pris en charge par la ou les sondes de détections appairées.
IPV4 ou IPV6.
La liste des GCaps appairés au GCenter.
L’intégration du protocole TLS permet d’avoir des échanges sécurisés entre le GCenter et le serveur syslog. Un certificat est nécessaire pour l’activation de celui-ci.
2.7. API¶
Le GCenter dispose maintenant d’une API permettant d’automatiser certaines actions ou requêtes via des scripts ou un SOAR. La documentation swagger est accessible directement sur le GCenter ; un package python et un manuel d’utilisation sont disponibles dans la documentation.
2.8. GUM - Hotfix cumulatif¶
Les différentes corrections à chaud mises à disposition pourront être appliquées via un package unique.
2.9. Deep Scan Shellcode¶
Un mode « Deep Scan » a été ajouté à la fonctionnalité GScan des shellcodes.
Il permet d’améliorer la détection de pattern ou de méthode d’obfuscation inconnue. Cette méthode demandant un coût temporel plus grand, peut être “activé/désactivé” depuis l’interface Web du GCenter. Une durée maximale peut aussi être configurée.
2.10. Moteur shellcode et powershell¶
Les moteurs de détection de shellcode (GOASM) et de powershell (GPS) ont été améliorés pour une meilleure stabilité.
2.11. Support de nouveau protocole¶
Le GCenter permet la configuration de nouveaux protocoles pris en charge par un GCap d’une version 2.5.3.103 et supérieur.
2.12. Service de supervision sécurisé¶
Il est désormais possible de configurer l’export Netdata de manière sécurisé via TLS et un certificat.
L’interface Web de configuration a été revue améliorant l’interactivité.
2.13. Évolution interface WebUI¶
Les tableaux Gatewatcher ont évolué dans un nouveau menu INSPECTRA accessible depuis l’interface web du GCenter. Ils ne concernent plus que les moteurs MALCORE et CODEBREAKER. Les alertes remontées restent accessibles depuis les tableaux Kibana dans le menu Dashboards.
La fonctionnalité .
Les fonctionnalités suivantes ont été supprimées : * ICAP, * Reporting, * lors de l’édition d’une règle Delete generated alerts, * et All In One ont été supprimées.
Les vues Global Status et Malcore Update Status évoluent indiquant plus de détails lors d’une défaillance sur un des équipements ou sur les mises à jour des moteurs antiviraux.
Le menu Malcore Management/Global Setting a été revu intégralement.
2.14. Profil GCap¶
Il est possible pour un Operator de configurer le profil d’un GCap via le menu Sigflow de la WebUI.
Le template par défaut proposé à l’opérateur est entièrement configurable par un administrateur.
L’administrateur peut choisir parmi cinq templates que nous mettons à sa disposition :
Default : la configuration la plus optimisée.
Minimal : rien n’est activé.
LPM : Les paramètres nécessaires au mode LPM.
Intuitio : Les prérequis pour le Network Detection and Response (NDR).
Paranoid : Tout est activé.
Une fois le template par défaut appliqué par l’opérateur, la configuration du profil GCap reste entièrement personnalisable par celui-ci.
2.15. Tech Support¶
Il est possible de lancer un diagnostic rapide et complet du GCenter depuis le gcenter-setup via le menu Tech Support. Le résultat du diagnostic se fait directement depuis le terminal.
2.16. GApps Management - Restart GApp¶
Le menu GApps Management/Restart a GApp via gcenter-setup propose le redémarrage des services internes au GCenter suivants :
Malware Analysis Engine.
WebUI Service 1/2.
Database Service.
Threat Analysis and Retroactive Orchestrator.
Connections Manager.
DGA Engine.
Kibana Service.
Monitoring Service.
Gcap Upgrade Provider Service.
WebUI Service 2/2.
Ephemeral Data Service.
Threat Logger Service.
Master ES Service.
Hot Data ES Service.
Cold Data ES Service.
PowerShell Analyser Engine.
Exploit Analyser Engine .