2. Nouvelles fonctionnalités et améliorations¶

2.1. WebUI – Nouvelles interfaces NDR et options¶

2.1.1. Page d’accueil et tableau d’aperçu global¶

La nouvelle page d’accueil et le nouveau tableau d’aperçu global, présente une synthèse des risques stratégiques en se basant sur la chaîne de frappe et le référentiel MITRE.

2.1.2. Tableau de bord des alertes¶

Un nouveau tableau de bord est disponible et présente une synthèse des alertes classée par niveau de risque et agrégée par signature.

2.1.3. Tableau de bord des utilisateurs¶

Un nouveau tableau de bord est disponible et présente la liste des utilisateurs classée par niveau de risque.

2.1.4. Tableau de bord des hôtes¶

Un nouveau tableau de bord est disponible et présente la liste des hôtes classée par niveau de risque.

2.1.5. Cartographie des relations¶

En se basant sur les différents flux d’alertes, la solution est capable de générer dynamiquement une cartographie de l’environnement surveillé en affichant les utilisateurs, les hôtes, les risques associés et leurs relations.

Cette nouvelle visualisation permet d’identifier plus rapidement les principales menaces.

2.1.6. Tableaux de bord d’investigation¶

La navigation dans les tableaux de bord d’investigation a été revue, avec la création dynamique de filtres depuis les autres tableaux de bord pour faciliter la recherche des éléments.

2.1.7. Création de Tags¶

Il est possible de créer des tags et de les associer à des utilisateurs, hôtes et alertes.

2.1.8. Création de Notes¶

Il est possible de créer des notes et de les associer à des utilisateurs, hôtes et alertes.

2.1.9. Gestion des règles d’association¶

Un nouveau menu est disponible pour permettre de personnaliser les règles d’association lors de la découverte des utilisateurs et des hôtes.

Il est possible entre autres de définir les sous-réseaux d’adresses IP concernés, de faire des déclarations statiques ou bien encore des exclusions.

2.1.10. Limitation des métadata¶

Un nouveau menu est disponible pour permettre de limiter le volume de métadata indexé par le GCenter pour les protocoles suivants : DNS, HTTPS, HTTP, SMB.

2.1.11. Mode Sombre¶

La nouvelle interface graphique bénéficie de l’option « mode sombre ».

2.2. WebUI – Administration¶

2.2.1. Configuration des sondes GCap¶

Le paramétrage des GCaps a été simplifié pour définir les variables réseaux, les règles de fichiers, activer les différents protocoles qui seront analysés.

2.3. Fonctionnalités d’analyste / CTI¶

2.3.1. Découverte des hôtes¶

Un nouveau mécanisme a été implémenté pour créer et maintenir une liste de tous les hôtes du réseau surveillé.

Cette découverte passive est réalisée grâce aux informations issues des différents protocoles analysés par le GCap.

2.3.2. Découverte des utilisateurs¶

Un nouveau mécanisme a été implémenté pour créer et maintenir une liste de tous les utilisateurs du réseau surveillé.

Cette découverte passive se base sur les informations du protocole Kerberos.

2.3.3. Calcul de risque agrégé par hôte¶

Pour chaque hôte, un calcul de risque est introduit en se basant sur les risques individuels (alertes) et le nombre de menaces uniques associées.

2.3.4. Calcul de risque unifié¶

Un nouveau module réalise le calcul du risque de chaque alerte déclenchée par les différents moteurs d’analyse et de détection.

2.3.5. Identification du type d’hôte¶

Un nouveau mécanisme a été implémenté pour identifier le type d’hôte (ordinateur, serveur, machine virtuelle, mobile, pare-feux…) du réseau surveillé.

Cette identification se base principalement sur l’analyse des user-agents et des adresses MAC.

2.3.6. Persitance et enrichissement de l’identité des hôtes¶

Les données relatives à la découverte des hôtes sont stockées et enrichies à travers le temps pour créer une synthèse pour chaque hôte.

Les principales informations disponibles sont :

nom d’hôte

adresse IP associée

adresse MAC associée

système d’exploitation

protocoles utilisés et leur proportion

détails des menaces détectées

tactiques MITRE associées

score du risque agrégé

chronologie du score du risque

top 10 des URLs visitées

top 10 des adresses IP contactées

tags

notes

2.3.7. Persitance et enrichissement de l’identité des utilisateurs¶

Les données relatives à la découverte des hôtes sont stockées et enrichies à travers le temps pour créer une synthèse pour chaque utilisateur.

Les principales informations disponibles sont :

nom d’hôte

adresse IP associée

vu pour la dernière fois

protocoles utilisés et leur proportion

détails des menaces détectées

tactiques MITRE associées

score du risque agrégé

chronologie du score du risque

top 10 des URLs visitées

top 10 des adresses IP contactées

tags

notes

2.3.8. Interconnexion avec la CTI¶

Le GCenter est maintenant capable de recevoir directement les flux de la Cyber Threat Intelligence de Gatewatcher (nommée LastInfoSec/LIS) pour générer automatiquement de nouvelles règles de détection.

2.3.9. Retro-Hunting et CTI¶

Un nouveau moteur de retro-hunting réanalyse les métadata et communications passées en utilisant les nouveaux IOCs issus des flux de la CTI de Gatewatcher (LIS).

2.3.10. Redirection vers la plate-forme CTI¶

Il est possible en cliquant sur une alerte d’être redirigé vers le portail web de la plate-forme CTI de Gatewatcher (LIS) et d’effectuer une recherche automatique pour essayer d’obtenir des informations complémentaires à propos de l’alerte initiale (à noter qu’une licence spécifique LIS est requise pour activer cette fonctionnalité).

2.3.11. Alertes : aide à l’investigation et à la réponse¶

Lorsque l’on clique sur une alerte, plusieurs actions sont proposées :

redirection vers différents tableaux de bord pour l’investigation

téléchargement des fichiers (échantillons)

affichage de détails sur la menace

envoi de l’échantillon vers une sandbox

téléchargement du rapport généré par la sandbox

Les actions sont contextualisées et dépendent du contenu de l’alerte.

Dans le cas d’une redirection vers un tableau de bord pour l’investigation, un filtre est créé automatiquement avec les éléments de l’alerte pour améliorer l’expérience utilisateur et le temps d’analyse.

2.3.12. Association au référentiel MITRE ATT&CK¶

Chaque alerte est associée automatiquement avec les tactiques et techniques du référentiel MITRE.

2.4. Détection¶

2.4.1. Moteur de détection DGA¶

Une nouvelle version de notre moteur de détection de DGA (Domain Generated Algorithm) est disponible avec :

une optimisation de l’algorithme afin de réduire les faux positifs

des événements dédiés aux DGA (avec les alertes que l’on retrouve dans le type « C&C »)

la possibilité d’ajouter des domaines dans une liste blanche ou liste noire depuis une alerte générée

2.4.2. Moteur de détection Shellcode¶

Le moteur de détection Shellcode (Goasm) a été amélioré :

ajout de quota et de nettoyage automatique pour éviter la saturation

optimisation du code pour augmenter la stabilité et la performance

nouvelles fonctions Windows ainsi que des correctifs implémentés

le hash (sha256, md5) dans les alertes ne correspond plus au contenu du « .data », mais aux résultats de l’analyse (permet de reconnaître des shellcodes identiques dans des trames réseau différentes)

les alertes de type Shellcodes possèdent une action « Display Data » pour afficher le hexdump du « .data »

2.4.3. Moteur de détection Powershell¶

Le moteur de détection Powershell (Gps) a été amélioré :

ajout de quota et de nettoyage automatique pour éviter la saturation

optimisation du code pour augmenter la stabilité et la performance

amélioration de l’extraction, de l’analyse et du scoring pour réduire les faux positifs

le hash (sha256, md5) dans les alertes ne correspond plus au contenu du « .data », mais aux résultats de l’analyse (permet de reconnaitre des commandes powershells identiques dans des trames réseau différentes)

les alertes Powershell possèdent une action « Display Data » pour afficher le hexdump du « .data »

2.4.4. Moteur de détection Malcore¶

Le moteur de détection Malcore a été amélioré :

ajout d’un orchestrateur pour détecter des pannes et réaliser des actions automatiques afin de les corriger

activation des 16 moteurs de détection si la licence le permet

amélioration du contenu des alertes et métadata qui sont maintenant extraites du fileinfo

2.4.5. Règles Yara¶

Des règles Yara peut être ajoutées au moteur Malcore pour améliorer la capacité de détection.

2.4.6. Amélioration du traitement des fichiers suspicieux¶

Une nouvelle option est disponible dans la chaîne d’analyse afin de marquer les fichiers suspicieux pour qu’ils soient automatiquement réanalysés à la prochaine mise à jour des moteurs et cela jusqu’à que ces fichiers ne soient plus détectés comme suspicieux.

2.5. API¶

2.5.1. API et Swagger¶

La majorité des interactions possibles avec la solution est réalisable au travers de l’API.

Plus de 200 points d’API sont disponibles, décrits grâce à Swagger et testables au travers de la WebUI du GCenter (URL: https://FQDN//docs/swagger/).

2.6. Système¶

2.6.1. Changement du système d’exploitation¶

Une refonte complète du système d’exploitation du GCenter a eu lieu en V2.5.3.102.

2.6.2. Mise à jour du noyau¶

Le noyau du système d’exploitation a été mis à jour avec la dernière version LTS (Long-Term Support).

2.6.3. Optimisation de la communication entre le GCap et le GCenter¶

Un nouveau composant gère la communication entre la sonde et le manager.

Le mécanisme de transmission des fichiers a été optimisé (nouveau protocole de communication, base de données pour les fichiers reçus…).

2.6.4. Refonte du mécanisme de traitement des fichiers¶

Une refonte complète du mécanisme de traitement des fichiers a été implémenté pour :

fiabiliser l’enrichissement

avoir l’intégralité des informations liées à un fichier reconstruit

pourvoir systématiquement retrouver un fichier à partir d’un flow-id

2.6.5. Base de données pour le NDR¶

Une nouvelle base de données a été créée pour stocker les données relatives au NDR (utilisateurs, hôtes, alertes, risques…).

2.6.6. Amélioration des mises à jour¶

Des améliorations ont été apportées dans le mécanisme de mise à jour de la solution.

2.6.7. Optimisation des performance pour l’accès aux données liées aux évènements¶

Une refonte complète de l’architecture pour le traitement et le stockage des données liés aux évènements a été réalisée.

Elle permet d’optimiser les temps de réponse et limiter les problèmes liés à un nombre trop important de données stockées.

2.6.8. Netdata : augmentation de la durée de rétention¶

La durée de rétention des métriques remontées via Netdata a été augmentée.

2.6.9. Licences¶

Un nouveau système de licences plus granulaire est disponible.