2.1.4. Présentation du moteur Gnest

Le moteur d'analyse Gnest permet une analyse dynamique.
Il exécute le fichier dans une machine virtuelle (sandbox) et analyse son comportement.
Suite à cela, il est possible d'extraire les données générées lors de l'analyse comme un dump de la mémoire, les chaînes de caractères extraites, ou une capture des communications réseau (pcap).
Dans le cas d'un fonctionnement connecté au GCenter, ce moteur est utile pour analyser en profondeur un fichier qualifié de suspicious ou malicious, lors d'une seconde analyse d'un fichier.
Cette analyse est plus lente et requiert un opérateur de niveau confirmé afin d'analyser les résultats produits.

Ces données sont affichées dans le Rapport détaillé et plus précisément dans les sections TOP, Iocs, Ttps, Overview, Signatures et Process Tree.

Taille maximum de fichier	50Mo
Timeout d'analyse	1 heure
Type	lent

2.1.4.1. Visualisation de l'état de Gnest

La visualisation de l'état courant du moteur est donnée dans l'Ecran `Analysers` de la Web UI.

2.1.4.2. Mise à jour de Gnest

Il y a des mises à jour (Updates) pour le moteur Gnest via des paquets.
Ces mises à jour peuvent se faire de façon manuelle ou planifiée via GUM.
Voir la section Présentation de GUM : module dédié pour la gestion des mises à jour et en particulier la partie Mise à jour des signatures de détection et/ou des moteurs anti-viraux (updates).

2.1.4.3. Configuration de Gnest

La configuration de Gnest consiste :

gérer et configurer des machines virtuelles.

L'interface graphique de la gestion des machines virtuelles est décrite dans l'Ecran `Gnest configuration`.

La mise en œuvre est donnée dans la Procédure de configuration du moteur Gnest.

autoriser les machines virtuelles à avoir une interface réseau vers Internet (voir paragraphe ci-après)

L'utilisation de Gnest dans les modèles et en particulier le paramétrage de Gnest dans ces modèles permet :

le choix de la machine virtuelle active

l'activation de l'interface réseau de la VM

la configuration de la durée maximum de l'exécution dans la VM

l'activation ou non du dump mémoire à la fin des analyses réalisées par Gnest

L'interface graphique de la gestion des modèles est décrite dans l'Ecran `Admin/Templates` de la Web UI.

La mise en œuvre est donnée dans la Procédure de configuration du moteur Gnest.

2.1.4.4. Configuration des services Sandbox

La configuration consiste à :

activer ou désactiver l'interface de sortie vers Internet
configurer cette interface (adresse IP...)
configurer un proxy pour accéder à Internet

Cette configuration est fait par la commande `services` du menu de configuration accessible par l'utilisateur setup.

L'interface graphique est décrite dans la partie Commande `Services`.

Important

Ce proxy est indépendant du proxy accessible par la Web UI (celui-ci sert uniquement à l'installation de logiciel).