2. Nouvelles fonctionnalités et améliorations

2.1. Moteurs et fonctionnalités de détection

2.1.1. Moteur de détection DGA

Une nouvelle version de notre moteur de détection de DGA (Domain Generated Algorithm) est disponible avec :

• une optimisation de l'algorithme afin de réduire les faux positifs

• la possibilité de gérer la sensibilité du moteur avec six niveaux différents

• un système qui aide les analystes dans la configuration de la liste des domaines devant être ignorés

---

2.1.2. Moteur de détection Malcore

Une nouvelle version du moteur Malcore est disponible améliorant ses performances et sa stabilité.

---

2.1.3. Moteur de détection Beacon detect

Un moteur de détection des balises relatives aux infrastructures de commande et de contrôle (C&C) est maintenant disponible afin de détecter les communications chiffrées entre un hôte infecté et un serveur C&C.

Un système est présent pour aider les analystes dans la configuration de la liste des adresses IP devant être ignorées.

---

2.1.4. Moteur de détection Ransomware detect

Un moteur de détection des rançongiciels est maintenant disponible afin de détecter les activités de ce type de logiciel malveillant sur le protocole SMB.

Il est possible :

• de gérer la sensibilité du moteur avec 6 niveaux différents

• d’investiguer en se basant sur l’identifiant d’une session SMB

• d’ajouter des adresses IP dans une liste blanche

---

2.1.5. Moteur de détection GScan

L’interface du moteur GScan a été améliorée pour donner plus de détails sur les fichiers analysés sur demande.

---

2.1.6. Fonctionnalité d’auto-threshold

Une nouvelle fonctionnalité auto-threshold est disponible pour limiter le nombre d’alertes générées par le moteur Sigflow.

Cette fonctionnalité est basée sur des règles de threshold qui seront directement appliquées au moteur Sigflow.

Un analyste pourra utiliser l’un des sept profils de configuration existants ou configurer un profil personnalisé.

---

2.1.7. Fonctionnalité de multitenant pour les variables réseaux

Une nouvelle fonctionnalité permettant d’améliorer le support des architectures de type multitenant est disponible pour le moteur Sigflow.

Cette fonctionnalité offre la possibilité de déclarer :

• une variable ayant une configuration différente par tenant

• une variable de type adresse réseau personnalisée

• une variable de type port réseau personnalisée

---

2.2. Analystes : WebUI et fonctionnalités

2.2.1. Amélioration de la page d'accueil

La page d'accueil a été améliorée afin de visualiser rapidement les informations importantes pour les analystes et les administrateurs.

---

2.2.2. Amélioration de la gestion des alertes

Le système de gestion des alertes a été amélioré permettant :

• d’acquitter les alertes

• de rendre les alertes silencieuses

• de trier les alertes selon différents critères (niveau de risque, nom, date, nombre d’occurrences)

• de gérer les alertes en masse

Les alertes qui ont été acquittées sont exclues du calcul du niveau de risque.

---

2.2.3. Filtrage des assets et des users

Dans la barre de recherche, il est maintenant possible de filtrer les assets et les users suivant un niveau de risque (risk_min et risk_max).

---

2.2.4. Menu Malcore

Une nouvelle interface est disponible pour la gestion du moteur Malcore.

Deux options ont été ajoutées pour ignorer les alertes en se basant sur un nom de fichier ou celles générées par un moteur spécifique.

---

2.2.5. Menu Powershell et Shellcode detect

Une nouvelle interface est disponible pour la gestion du moteur Powershell et Shellcode detect.

---

2.2.6. Menu YARA

Une nouvelle interface est disponible pour la gestion des règles YARA.

---

2.2.7. Menu Active CTI

Une nouvelle interface est disponible pour la gestion de la CTI.

---

2.2.8. Menu Sigflow manager

Le bouton generate rule file a été remplacé par un bouton save qui se situe en haut à droite du menu de configuration d’un ruleset afin de sauvegarder les modifications apportées à la politique appliquée au moteur Sigflow.

---

2.3. Administration : WebUI et fonctionnalités

2.3.1. Nouveau système de notifications

Un nouveau système de notification présent dans le menu Health est disponible pour avertir les utilisateurs des dysfonctionnements de certains composants de la solution.

Une notification peut être déclenchée dans de nombreuses situations :

• problèmes de mise à jour des moteurs

• problèmes de configuration

• problèmes de connexion entre le GCap et le GCenter

• problèmes de compatibilité

• problèmes de performances...

Il est possible de rendre silencieuses ces notifications ou bien encore de les acquitter.

---

2.3.2. Historisation des actes d'administration

Une nouvelle fonctionnalité a été développée pour historiser les actions des utilisateurs.

Les évènements qui sont générés peuvent être exportés vers un serveur Syslog.

---

2.3.3. Standardisation du format des évènements

Un nouveau format des évènements, ECS (Elastic Common Schema), est disponible pour les alertes, les metadata ainsi que les évènements d’administration.

Un mode de compatibilité existe, pour l’export de données, permettant de conserver l’ancien format qui sera retiré lors de la prochaine version majeure.

---

2.3.4. Amélioration de l’export des données

La fonctionnalité d’export de données permet maintenant :

• de filtrer les alertes par moteur

• d’exporter les évènements systèmes

---

2.3.5. Menu GCap pairing

Une nouvelle interface est disponible pour la gestion de l’appairage du GCap au GCenter.

Un menu d’assistance a été ajouté pour faciliter la configuration.

---

2.3.6. Menu Software update

Une nouvelle interface est disponible pour la gestion des mises à jour système.

---

2.3.7. Menu Threat DB update

Une nouvelle interface est disponible pour la gestion des mises à jour des moteurs de détection.

Plusieurs options ont été ajoutées :

• la gestion de la fréquence des mises à jour du GCap

• la possibilité de télécharger les mises à jour en plusieurs parties

• la possibilité d’utiliser un serveur local en HTTPS

---

2.3.8. Menu Retention policy

Une nouvelle interface est disponible pour la gestion de la rétention des données stockées dans Elastic Search.

Il est maintenant possible de gérer l’espace alloué pour les alertes, les metadata et les évènements d’administration.

---

2.3.9. Menu Network settings

Une nouvelle interface est disponible pour visualiser les paramètres de configuration du réseau.

---

2.3.10. Menu Licensing

Une nouvelle interface est disponible pour la gestion des licences.

---

2.3.11. Menu Diagnostics

Une nouvelle interface est disponible pour la génération des journaux systèmes et du tech support.

---

2.4. WebUI – Tableaux de bord Kibana

2.4.1. Améliorations des tableaux de bord existants

Les tableaux de bord existants ont été restructurés afin d’avoir une meilleure visibilité et faciliter l’investigation.

---

2.4.2. Nouveau tableau de bord Beacon detect

Un nouveau tableau de bord est disponible pour pouvoir consulter les évènements du moteur Beacon detect.

---

2.4.3. Nouveau tableau de bord Ransomware detect

Un nouveau tableau de bord est disponible pour pouvoir consulter les évènements du moteur Ransomware detect.

---

2.4.4. Nouveau tableau de bord Relations

Un tableau de bord pour les relations entre les différentes adresses IP remontées dans la solution est disponible dans le menu Hunting > Network Metadata > Relations.

---

2.4.5. Nouveau tableau de bord Administration

Un nouveau tableau de bord est présent pour pouvoir consulter les évènements d’administration.

---

2.5. Système

2.5.1. Mise à jour du système d’exploitation

Le système d’exploitation a été mis à jour avec la dernière version LTS (Long-Term Support).

---

2.5.2. Mise à jour du noyau

Le noyau du système d’exploitation a été mis à jour avec la dernière version LTS (Long-Term Support).

---

2.5.3. Mise à jour des composants

Les différents composants du système d'exploitation ont été mis à jour.

---

2.5.4. Virtualisation

Le GCenter est officiellement supporté sur les hyperviseurs ESXi de VMware.

---

2.5.5. Certificats ECDSA

Les certificats ECDSA sont supportés pour la sécurisation de l’accès à l’interface web du GCenter.

---

2.5.6. Outil de configuration du GCenter

L’outil de configuration du GCenter a été amélioré pour faciliter la configuration du réseau et pour ajouter des clés SSH à l’utilisateur setup.

---

2.6. Autres améliorations

2.6.1. Aide contextuelle

Une aide contextuelle est disponible au niveau de l'interface web du GCenter.

---

2.6.2. Interopérabilité Reflex

Un nouveau menu est disponible pour s’interconnecter avec la solution Reflex.

---

2.6.3. Amélioration de l’API

De nouveaux point d’API ont été ajoutés pour permettre d’automatiser certaines actions.

---

2.6.4. Conformité PCI-DSS

Une nouvelle option a été ajoutée pour remplacer les numéros de carte de crédit par un mot clé spécifique.

---

2.6.5. Authentification LDAP

Lors de la connexion utilisant un serveur LDAP pour l'authentification, si le compte utilisé est présent dans la base locale du GCenter, il est alors désactivé pour éviter les conflits.

---

2.7. Autres changements

2.7.1. Renommage active-hunt en active-cti

Le classtype des règles suricata générées par active CTI est renommé en active-cti.

---

2.7.2. Retrait d’interopérabilité

Les interconnexions avec les solutions suivantes ont été retirées :

• Intelligence

• Hurukai

---

2.7.3. Format IDMEF

Le format IDMEF n’est plus supporté lors de l’export des évènements vers un serveur Syslog.

---