2. Nouvelles fonctionnalités et améliorations

2.1. WebUI – Nouvelles interfaces NDR et options

2.1.1. Page d'accueil et tableau d'aperçu global

La nouvelle page d'accueil et le nouveau tableau d'aperçu global présentent une synthèse des risques stratégiques en se basant sur la chaîne de frappe et le référentiel MITRE.

2.1.2. Tableau de bord des alertes

Un nouveau tableau de bord est disponible et présente une synthèse des alertes classée par niveau de risque et agrégée par signature.

2.1.3. Tableau de bord des utilisateurs

Un nouveau tableau de bord est disponible et présente la liste des utilisateurs classée par niveau de risque.

2.1.4. Tableau de bord des hôtes

Un nouveau tableau de bord est disponible et présente la liste des hôtes classée par niveau de risque.

2.1.5. Cartographie des relations

En se basant sur les différents flux d'alertes, la solution est capable de générer dynamiquement une cartographie de l'environnement surveillé en affichant les utilisateurs, les hôtes, les risques associés et leurs relations.
Cette nouvelle visualisation permet d'identifier plus rapidement les principales menaces.

2.1.6. Tableaux de bord d'investigation

La navigation dans les tableaux de bord d'investigation a été revue, avec la création dynamique de filtres depuis les autres tableaux de bord pour faciliter la recherche des éléments.

2.1.7. Création de Tags

Il est possible de créer des tags et de les associer à des utilisateurs, hôtes et alertes.

2.1.8. Création de Notes

Il est possible de créer des notes et de les associer à des utilisateurs, hôtes et alertes.

2.1.9. Gestion des règles d'association

Un nouveau menu est disponible pour permettre de personnaliser les règles d'association lors de la découverte des utilisateurs et des hôtes.
Il est possible entre autres de définir les sous-réseaux d'adresses IP concernés, de faire des déclarations statiques ou bien encore des exclusions.

2.1.10. Limitation des métadonnées

Un nouveau menu est disponible pour permettre de limiter le volume de métadonnées indexé par le GCenter pour les protocoles suivants : DNS, HTTPS, HTTP, SMB.

2.1.11. Mode Sombre

La nouvelle interface graphique bénéficie de l'option "mode sombre".

2.2. WebUI – Administration

2.2.1. Configuration des sondes GCap

Le paramétrage des GCaps a été simplifié pour définir les variables réseaux, les règles de fichiers et pour activer les différents protocoles qui seront analysés.



2.3. Fonctionnalités d'analyste / CTI

2.3.1. Découverte des hôtes

Un nouveau mécanisme a été implémenté pour créer et maintenir une liste de tous les hôtes du réseau surveillé.
Cette découverte passive est réalisée grâce aux informations issues des différents protocoles analysés par le GCap.

2.3.2. Découverte des utilisateurs

Un nouveau mécanisme a été implémenté pour créer et maintenir une liste de tous les utilisateurs du réseau surveillé.
Cette découverte passive se base sur les informations du protocole Kerberos.

2.3.3. Calcul de risque agrégé par hôte

Pour chaque hôte, un calcul de risque est introduit en se basant sur les risques individuels (alertes) et le nombre de menaces uniques associées.

2.3.4. Calcul de risque unifié

Un nouveau module réalise le calcul du risque de chaque alerte déclenchée par les différents moteurs d'analyse et de détection.

2.3.5. Identification du type d'hôte

Un nouveau mécanisme a été implémenté pour identifier le type d'hôte (ordinateur, serveur, machine virtuelle, mobile, pare-feux...) du réseau surveillé.
Cette identification se base principalement sur l'analyse des user-agents et des adresses MAC.

2.3.6. Persistance et enrichissement de l'identité des hôtes

Les données relatives à la découverte des hôtes sont stockées et enrichies à travers le temps pour créer une synthèse pour chaque hôte.
Les principales informations disponibles sont :
  • nom d'hôte

  • adresse IP associée

  • adresse MAC associée

  • système d'exploitation

  • protocoles utilisés et leur proportion

  • détails des menaces détectées

  • tactiques MITRE associées

  • score du risque agrégé

  • chronologie du score du risque

  • top 10 des URLs visitées

  • top 10 des adresses IP contactées

  • tags

  • notes


2.3.7. Persistance et enrichissement de l'identité des utilisateurs

Les données relatives à la découverte des hôtes sont stockées et enrichies à travers le temps pour créer une synthèse pour chaque utilisateur.
Les principales informations disponibles sont :
  • nom d'hôte

  • adresse IP associée

  • vu pour la dernière fois

  • protocoles utilisés et leur proportion

  • détails des menaces détectées

  • tactiques MITRE associées

  • score du risque agrégé

  • chronologie du score du risque

  • top 10 des URLs visitées

  • top 10 des adresses IP contactées

  • tags

  • notes


2.3.8. Interconnexion avec la CTI

Le GCenter est maintenant capable de recevoir directement les flux de la Cyber Threat Intelligence de Gatewatcher (nommée LastInfoSec/LIS) pour générer automatiquement de nouvelles règles de détection.

2.3.9. Retro-Hunting et CTI

Un nouveau moteur de retro-hunting réanalyse les métadonnées et communications passées en utilisant les nouveaux IOCs issus des flux de la CTI de Gatewatcher (LIS).

2.3.10. Redirection vers la plate-forme CTI

Il est possible en cliquant sur une alerte d'être redirigé vers le portail web de la plate-forme CTI de Gatewatcher (LIS) et d'effectuer une recherche automatique pour essayer d'obtenir des informations complémentaires à propos de l'alerte initiale (à noter qu'une licence spécifique LIS est requise pour activer cette fonctionnalité).

2.3.11. Alertes : aide à l'investigation et à la réponse

Lorsque l'on clique sur une alerte, plusieurs actions sont proposées :
  • redirection vers différents tableaux de bord pour l'investigation

  • téléchargement des fichiers (échantillons)

  • affichage de détails sur la menace

  • envoi de l'échantillon vers une sandbox

  • téléchargement du rapport généré par la sandbox

Les actions sont contextualisées et dépendent du contenu de l'alerte.
Dans le cas d'une redirection vers un tableau de bord pour l'investigation, un filtre est créé automatiquement avec les éléments de l'alerte pour améliorer l'expérience utilisateur et le temps d'analyse.

2.3.12. Association au référentiel MITRE ATT&CK

Chaque alerte est associée automatiquement avec les tactiques et techniques du référentiel MITRE.

2.4. Détection

2.4.1. Moteur de détection DGA

Une nouvelle version de notre moteur de détection de DGA (Domain Generated Algorithm) est disponible avec :
  • une optimisation de l'algorithme afin de réduire les faux positifs

  • des événements dédiés aux DGA (avec les alertes que l'on retrouve dans le type "C&C")

  • la possibilité d'ajouter des domaines dans une liste blanche ou liste noire depuis une alerte générée


2.4.2. Moteur de détection Shellcode

Le moteur de détection Shellcode (Goasm) a été amélioré :
  • ajout de quota et de nettoyage automatique pour éviter la saturation

  • optimisation du code pour augmenter la stabilité et la performance

  • nouvelles fonctions Windows ainsi que des correctifs implémentés

  • le hash (sha256, md5) dans les alertes ne correspond plus au contenu du ".data", mais aux résultats de l'analyse (permet de reconnaître des shellcodes identiques dans des trames réseau différentes)

  • les alertes de type Shellcodes possèdent une action "Display Data" pour afficher le hexdump du ".data"


2.4.3. Moteur de détection Powershell

Le moteur de détection Powershell (Gps) a été amélioré :
  • ajout de quota et de nettoyage automatique pour éviter la saturation

  • optimisation du code pour augmenter la stabilité et la performance

  • amélioration de l'extraction, de l'analyse et du scoring pour réduire les faux positifs

  • le hash (sha256, md5) dans les alertes ne correspond plus au contenu du ".data" mais aux résultats de l'analyse (permet de reconnaître des commandes powershells identiques dans des trames réseau différentes)

  • les alertes Powershell possèdent une action "Display Data" pour afficher le hexdump du ".data"


2.4.4. Moteur de détection Malcore

Le moteur de détection Malcore a été amélioré :
  • ajout d'un orchestrateur pour détecter des pannes et réaliser des actions automatiques afin de les corriger

  • activation des 16 moteurs de détection si la licence le permet

  • amélioration du contenu des alertes et métadonnées qui sont maintenant extraites du fileinfo


2.4.5. Règles Yara

Des règles Yara peuvent être ajoutées au moteur Malcore pour améliorer la capacité de détection.

2.4.6. Amélioration du traitement des fichiers suspicieux

Une nouvelle option est disponible dans la chaîne d'analyse afin de marquer les fichiers suspicieux pour qu'ils soient automatiquement réanalysés à la prochaine mise à jour des moteurs et cela jusqu'à que ces fichiers ne soient plus détectés comme suspicieux.

2.5. API

2.5.1. API et Swagger

La majorité des interactions possibles avec la solution est réalisable au travers de l'API.
Plus de 200 points d'API sont disponibles, décrits grâce à Swagger et testables au travers de la WebUI du GCenter (URL: https://FQDN//docs/swagger/).

2.6. Système

2.6.1. Changement du système d’exploitation

Une refonte complète du système d’exploitation du GCenter a eu lieu en V2.5.3.102.

2.6.2. Mise à jour du noyau

Le noyau du système d’exploitation a été mis à jour avec la dernière version LTS (Long-Term Support).

2.6.3. Optimisation de la communication entre le GCap et le GCenter

Un nouveau composant gère la communication entre la sonde et le manager.
Le mécanisme de transmission des fichiers a été optimisé (nouveau protocole de communication, base de données pour les fichiers reçus...).

2.6.4. Refonte du mécanisme de traitement des fichiers

Une refonte complète du mécanisme de traitement des fichiers a été implémenté pour :
  • fiabiliser l'enrichissement

  • avoir l'intégralité des informations liées à un fichier reconstruit

  • pourvoir systématiquement retrouver un fichier à partir d'un flow-id


2.6.5. Base de données pour le NDR

Une nouvelle base de données a été créée pour stocker les données relatives au NDR (utilisateurs, hôtes, alertes, risques...).

2.6.6. Amélioration des mises à jour

Des améliorations ont été apportées dans le mécanisme de mise à jour de la solution.

2.6.7. Optimisation des performance pour l'accès aux données liées aux évènements

Une refonte complète de l'architecture pour le traitement et le stockage des données liés aux évènements a été réalisée.
Elle permet d'optimiser les temps de réponse et limiter les problèmes liés à un nombre trop important de données stockées.

2.6.8. Netdata : augmentation de la durée de rétention

La durée de rétention des métriques remontées via Netdata a été augmentée.

2.6.9. Licences

Un nouveau système de licences plus granulaire est disponible.