3. Correctifs¶
3.1. Statut des dernières mises à jour¶
3.2. Appairage à un GCap impossible si aucune passerrelle n’est renseignée pour l’interface VPN¶
Can't connect to \<Gcenter IP\>
.3.3. Appairage à un GCap impossible après changement de la configuration réseau du GCenter¶
pairing not established
.3.4. Règles LastInfoSec¶
3.5. Moteur Machine Learning et édition CIE¶
3.6. Export Netdata - Incompatibilité avec des versions Netdata supérieures à 1.19¶
3.7. GScan - Edition Critical Infrastructure Edition (CIE)¶
3.8. DGA - Champ non présent¶
dga_probability
dans les events se fera si les conditions suivantes sont réunies :
l’activation du logging sur les event-type DNS
l’activation du module de Machine Learning DGA Detection
une charge réseau DNS importante
3.9. Third Party - Intelligence¶
3.10. Kibana - Tableaux inaccessibles¶
Elastic dit not load properly. Check the server output for more information
.3.11. Kibana - « Not ready yet »¶
not ready yet
.3.12. Malcore Management - GScan Profile¶
Number of files
du profil GScan de Malcore Management permet de retourner une alerte en fonction du nombre de fichier présent dans l’archive.3.13. Malcore - Status healtcheck erroné en licence Critical Infrastructure Edition (CIE)¶
Malware Analysis engine has one or more issue
, même si le moteur est fonctionnel.3.14. Malcore - Absence de flow_id¶
flow_id
d’une alerte Malcore peut ne pas apparaître.timestamp_detected
de l’alerte Malcore.flow_id
est absent, celui-ci est définis à 0, permettant l’export des alertes.3.15. Malcore - Doublon d’analyse¶
3.16. Malcore - Crash du moteur suite à une surcharge¶
3.17. Malcore - Saturation des moteurs d’analyse¶
3.18. Malcore - Arrêt du service pour cause de saturation¶
3.19. Malcore - Désactivation d’un moteur antivirus¶
total_found
des logs Malcore qui est de XX/15.3.20. Malcore - Export des logs avec flow_id=0¶
flow_id
des logs Malcore n’est pas défini, ce qui empêche l’export de ceux-ci.3.21. Malcore - Incohérence healthcheck webui et statut des updates¶
Updates Status
du panneau Global Status
et le panneau Malcore Update Status
.
le premier le fait au bout d’une durée strictement supérieure à 7 jours
tandis que le second le fait pour une durée supérieure ou égale à 7 jours
3.22. Erreur d’enrichissement de Malcore sur le champ app_proto¶
app_proto
indique le protocole par lequel un fichier analysé a été transporté.Operator > Gcap profiles > Base variables > File resend interval)
:
un premier log replica=false avec app_proto=HTTP sera produit
puis un deuxième log avec replica=true sera produit. Le champ
app_proto
vaudra HTTP, alors qu’il aurait du valoir SMTP
3.23. Incohérence dans les alertes Malcore sur le champ total_found
¶
total_found
et le nombre d”engine_id
ne sont pas identiques.3.24. API - Paramètre authentification¶
API-KEY
pour fournir le token d’authentification en paramètre.apikey
.3.25. API - endpoint /api/alerts non-fonctionnel¶
lors de l’utilisation du classement par date de manière décroissante, on obtient une erreur 500 si le paramètre
page
n’est pas défini ou égal 1le paramètre
page
détermine le nombre de résultats renvoyés au lieu de renvoyer la page spécifiéele paramètre
page_size
n’est pas pris en compte
3.26. Proxy - Error 500 en cas de résolution de nom impossible¶
Configuration/Proxy Configuration
ne peut pas être résolu par le serveur DNS configuré pour le GCenter, cela produit deux erreurs :
une erreur 500 au niveau de la page de configuration du proxy (/configuration/proxy_settings/)
une erreur dans le menu de configuration de GUM (/gum/configuration)
3.27. Gcenter-setup - message d’erreur¶
`Could not chdir to home directory /nonexistant: No such file or directory`.
3.28. LDAP Configuration - TLS¶
Accounts/LDAP configuration
.LDAP interconnection status
peut indiquer une erreur bien que la configuration soit fonctionnelle.`Cannot connect to LDAP with current settings: {'desc': "Can't contact LDAP server",'errno': 115, 'info': '(unknown error code)'}`.
3.29. LDAP avec SSL ou STARTTLS¶
3.30. Export syslog : absence des analyses Malcore des fichiers « unknown »¶
3.31. Export syslog : comportement lors des saturations¶
3.32. Export syslog - Exceptions dans les formats de logs¶
src_port
dest_port
detail_scan_time
« src_port » : « 25 »
ou « src_port » : « 25 ».
3.33. Export syslog - alertes sigflow en double¶
3.34. Redirection Trackwatch Logs vers le dashboard Syslog¶
Administrator > Gcenter > Trackwatch logs
, l’utilisateur est redirigé vers le dashboard Tactical
à la place du dashboard Syslog
.3.35. Réactivation des comptes par défaut¶
3.36. Activation par défaut du protocole CIP/ENIP¶
3.37. Bug d’affichage pour ajouter des IP dans la partie external_net¶
Operator > Gcap profiles > Netvariables
, si l’on essaye d’ajouter un EXTERNAL_NET de type list avec un masque différent de /24, un bug d’affichage empêche d’ajouter le réseau.