Você está na página 1de 5

Release note

Note de version
V2.5.3
Nouvelles fonctionnalités et améliorations

Le mode LPM permet de désactiver certaines options afin d’être en


Mode LPM
conformité totale avec la Loi de Programmation Militaire.

Mise à jour automatique des


Les indicateurs critiques du Gcenter sont mis à jour en temps réel.
indicateurs critiques

Amélioration du système de
Malcore possède désormais un système de Whitelist / Blacklist.
Whitelist / Blacklist

Affichage de la bande La bande passante de chaque Gcap (port mirror) est visualisable
passante directement depuis la page d’accueil.

La page d’accueil a été entièrement refaite. N’hésitez pas à nous


Page d’accueil
faire part de vos commentaires !

Ergonomie Refonte globale du menu latéral gauche.


Export des logs (SYSLOG et autres) à travers une interface réseau
Export
dédiée.
L’analyse avec Malcore pouvait prendre du temps lorsque le
système essaie de déterminer le type de fichier présent. Une
Priorisation minimale Malcore
priorisation a été mise en place afin de ne jamais affecter l’analyse
en elle-même.

Téléchargement des Shellcodes dans un fichier .zip désormais


Shellcode download
disponible (comme pour les Malware).
Optimisation du stockage local
Passage du seuil critique de 50 à 70%.
Gcenter
Nouveau système de licence :
Désormais Gatewatcher peut être vendu en CIE afin de se mettre
Full et CIE (Critical Infrastructure
uniquement en conformité LPM.
Edition)
Création d’une sauvegarde du Gcenter (phase 1). La phase 2 qui
Gcenter backup arrivera en 2.5.4 permettra une restauration depuis l’interface
graphique.

Gcenter interfaces multiples Dans le Gcenter-setup, possibilité de configurer les interfaces


physiques séparées MGMT, VPN, ICAP, SUP.

Resynchro de fichier Les fichiers accumulés lors de l’indisponibilité du Gcenter sont


automatique automatiquement renvoyés lors de la reprise de la connexion
Ajout d’une interface web permettant de réaliser des analyses
Intercon Intelligence depuis le Gcenter vers Intelligence (Phase 1). La phase 2 permettra
d’analyse depuis le Gcenter vers une Gbox.
Compteurs de fichiers en Asynchronisation du calcul du nombre de fichier en attente dans
attente Geye.

Gatewatcher – Release note V2.5.3 – 07/08/2018 1


Indicateur de l’état de Malcore Supervision de l’état de Gmalcore par Geye.

Gviewadm Ajout d’un cleaner de eve-*.log.


Il est désormais possible de créer des profils différents sur Malcore
Malcore Profile par rapport à la provenance des fichiers (Gcap – ICAP – Gscan –
etc).
Gfileprocessor Ajout de la capacité de suivi récursif d’une arborescence.

Un encodage n’est envoyé à Redis que lorsqu’un encodage est


Analyzer Codebreaker
trouvé.

Gscan Threat Affichage de la menace dans la réponse de l’API.

Ajout d’un historique des actions effectuées par les utilisateurs (via
Gscan History
la GUI et l’API publique).
Refonte de la gestion des drivers du Gcap. Gain de performance
Gcap Drivers
de 20 à 30% observé.

Gcap Badges Refonte visuelle des badges Gcap (indicateurs temps réel).

Gcap Drop Affichage des Drops sur la GUI des Gcaps.


Désormais, suivant le réseau client, le Gcap est capable de
Gcap LAN/WAN temporiser entièrement les alertes et les fichiers (Mode WAN). En
cas de réseau fiable, le mode LAN reste conseillé.
Gcap Keymap Changement du keymap sur le Gcap

Sécurité
Gcenter PAX Utilisation de PAX (xattr) totalement sur l’ensemble du Gcenter.

Gcenter SUID Retrait des binaires suid dans les dockers du Gcenter.

Gcenter cert Gestion de la double authentification par certificat sur le Gcenter.

Gcenter stab 1 Gcenter-setup : services permet de redémarrer les services un à un.

Mise en place d’une IP unique pour la communication entre Gcap et


Gcap – Gcenter sec 1
Gcenter.

Utilisation d’une socket unix et d’un plugin spécifique pour la


Gstats socket
récupération des informations de Gweb.

Global Docker socket Mise en place d’une socket unix sécurisée par docker.
Malcore Réduction de la surface d’attaque avec un accès sur deux URLs.

Gatewatcher – Release note V2.5.3 – 07/08/2018 2


Malcore Transformation de Malware en un service Windows sécurisé.
Malcore timeout Malcore services : ajout d’une fonctionnalité de timeout.
Malcore isolation Isolation du package de mise à jour Malcore.
GW_utils :get_configuration Ajout d’une fonctionnalité de timeout.
Mise en place d’un socket unix pour les communications avec le
Demon docker
demon docker.

Containerisation de l’ensemble des frontaux Web dans un docker


NGINX in a container
(ajout de PIE au passage).

Refonte globle du Gcenter avec les bonnes options de compilations


Binaires frontaux
pour l’ASLR / PIE / etc.

Replace placeholder Utilisation de ‘instanstiate’ à la place de ‘replace placeholder’.


Gestion unique des user/group Refonte totale des droits de chaque daemon / dockers pour que
entre host et docker chacun ait des droits spécifiques restreints.
Mode lecture seul pour le certificat (renforcement de la sécurité
Certuser
pour l’accès au certificat certuser).
Suppression de la dépendance
Retrait de Redis dans la VM Windows de Gmalcore.
Redis dans la VM Windows
Compte unique à fort privilège
sur la base de données Split des droits sur la base Postgres.
Postgres
Historisation des changements
Mise en place d’un historique des changements de permissions.
de droits des users.
Configuration Suricata pour le calcul SHA256 des fichiers
Gcap suri
reconstitués (.meta).
Commande ip * du fichier Remplacement de la commande ip * du fichier sudoers par un script
sudoers. gcap-check-ip-cmd.py.
Postgresql sec 1 Mise en place d’une configuration renforcée de postgresql.

Corrections
Malcore Correction de l’heure.
DNS 2 Résolution du problème iptables.
Les utilisateurs avec le profil « administrator » ont de nouveau accès
Configuration Nagios
à la page Nagios.
Gcenter-setup Correction de la double validation du Network.

Résolution du problème d’ajout de plusieurs réseaux dans la


Gcenter multiple interface
configuration Nagios d’un Gcenter.

Gatewatcher – Release note V2.5.3 – 07/08/2018 3


Suppression de l’apparaige après un “Clear & Restart web
Gcenter re appairage
backend”.

Correction des informations incomplètes remontées par rsyslog


Gcap-setup
après avoir changé le hostname.

Le problème de la conservation du mot de passe local lors de la


Gcap
mise à niveau du Gcap a été résolu.

Gcap-eve-sender est désormais davantage robuste aux fichiers


Gcap-eve-sender
corrompus.

Ggcc (dashboard) Résolution du problème de requête vide entre 0:00 et 1:00.

Ajout d’un message d’avertissement avant la suppression des


Gviewadm
fichiers eve-* dans Eve log files monitor.

Malcore_api Amélioration de la gestion des logs Malcore_api.

Suppression des graphiques dont la requête a échoué sur la page


Monitor
Monitor.

Suricata Résolution du problème de hostname dans les messages Suricata.

Suricata Harmonisation des nom des fichiers renommés.

Icap remontait parfois avec des %HOST. C’est désormais remplacé


%host
par le nom du Gcenter.

désactivation de mismatch non Les profils de Malcore permettent de facilement sélectionner le


prise en compte workflow désiré.

Download malware Amélioration du temp de téléchargement d’un malware.

Le champs "NONE" apparait par défaut désormais dans la liste des


Gcap
profils SIGFLOW.

Gatewatcher – Release note V2.5.3 – 07/08/2018 4