5.3.4. Ecran `Admin/Templates` de la Web UI

Après appui sur la commande `Templates`, l'écran suivant est affiché.
../../_images/GBOX_TEMPLATES_01.PNG

Repère

Zone

Fonction

1

Création de modèles

Cette zone permet de créer des modèles (templates) utilisables pour l'analyse des fichiers accessibles à l'opérateur

2

Gestion de modèles

Cette zone (`Available templates`) permet de gérer les modèles existants

5.3.4.1. Zone Création de modèles

La zone de création des modèles comprend 2 parties.

../../_images/GBOX_TEMPLATES_02.PNG

Cette zone comprend :

Pour la mise en œuvre, voir la procédure de Création d'un modèle d'analyse.

5.3.4.1.1. La partie Création du modèle par défaut

Cette partie est composée des parties `Defaut template` et `Quick template`.
Elle permet de paramétrer les modèles qui pourront devenir le modèle par défaut utilisé par l'opérateur dans la recherche de menaces.
La phase de création de ces modèles se fait à l'aide des éléments décrits ci-dessous.

Astuce

La phase du choix du modèle par défaut parmi les modèles présents se fait dans la zone `Available templates`.

Important

Il est indispensable d'avoir au minimum un modèle défini afin que les opérateurs puissent effectuer des analyses.

Repère

Nom

Fonction

1

`Default template`
Cette zone permet de définir le modèle par défaut (`Default template`)
Si un modèle par défaut est défini, alors son nom est affiché.
Dans cet exemple, `Default template : full` signifie que le nom du modèle par défaut est full
Si aucun modèle par défaut n'est défini alors le message suivant est affiché : Default template : No default template
Les moteurs définis dans le modèle par défaut sont listés : dans cet exemple, ce sont les items (2) à (5)

2

  • Dans cet exemple, le moteur (Analyser) `Gmalcore` est visible et donc actif dans le modèle par défaut.

3

  • Dans cet exemple, le moteur (Analyser) `Grip` est visible et donc actif dans le modèle par défaut

4

  • Dans cet exemple, le moteur (Analyser) `Gnest` est visible et donc actif dans le modèle par défaut

5

  • Dans cet exemple, le moteur (Analyser) `Goasm` est visible et donc actif dans le modèle par défaut

8

  • Le bouton `EDIT TEMPLATE` permet d'editer le modèle par défaut. Il est possible de changer les moteurs actifs, de les configurer

6

`Quick template`
Cette zone permet rapidement un modèle en cliquant uniquement sur un des 2 boutons suivants :

7
  • le bouton `LIGHT TEMPLATE` crée un modèle avec uniquement les moteurs Gmalcore et Goams d'où le terme modèle léger.

9
  • le bouton `FULL TEMPLATE` crée un modèle avec les moteurs actifs d'où le terme modèle complet.
    Les paramètres des moteurs Grip et Gnest sont les paramètres par défaut. La liste des paramètres par défaut est donnée plus loin.

Note

Il ne peut y avoir qu'un seul modèle nommé `light` et un seul modèle nommé `full`.

5.3.4.1.2. La partie Création d'un modèle personnalisé

Repère

Nom

Fonction

10

`Template name`
Cette zone permet de définir le nom d'un modèle personalisé
Le type de modèle en cours est listé. Dans cet exemple, `Default template : full` signifie que le modèle en cours est du type complet (full)

11

`Gmalcore`

Permet d'activer le moteur Gmalcore. Dans l'exemple, le moteur Gmalcore est inactif

12

`Grip`

Permet d'activer le moteur Grip. Dans l'exemple, le moteur Grip est inactif

13

`Gnest`

Permet d'activer le moteur Gnest. Dans l'exemple, le moteur Gnest est inactif

14

`Goasm`

Permet d'activer le moteur Goasm. Dans l'exemple, le moteur Goasm est inactif

15

`CREATE TEMPLATE`

Le bouton EDIT TEMPLATE ouvre une fenêtre de paramétrage du modèle à créer avec les options préselectionnées

5.3.4.1.2.1. Paramètres de Grip

Le moteur Grip doit être configuré en sélectionnant le type d'analyse (`Analysis type`): {light|heavy} pour déterminer les données extraites du fichier analysé.

Note

L'analyse par défaut est : light

Données extraites

light

heavy

taille de l'archive

X

X

librairies utilisées

x

x

informations sur le point d'entrée (entrypoint) du binaire

x

x

informations générales

x

x

chaînes de caractères

x

imports / exports

x

sections du binaire

x

5.3.4.1.2.2. Paramètres de Gnest

Le moteur Gnest doit être configuré pour ce modèle :

Paramètre

Signification

Valeurs

Valeurs par défaut

`VM`
Choix de la VM active. Seule la VM sélectionnée est activée dans ce modèle
Les paramètres suivant concernent uniquement la VM sélectionnée ou toutes les VMs (choix `any`)

any ou default

any

`Analysis duration`

Durée maximum de l'exécution dans la VM

100s à 300 s

100s

`Network`

Activation de l'interface réseau de la VM

None ou Internet

None

`Memory dump`
Active ou non le dump mémoire à la fin des analyses réalisées par Gnest
Danger, utilisation élevée du disque :
Le dump mémoire est téléchargeable depuis la page Reports - List all à partir des artefacts de l'analyse

No ou Yes

No

Avertissement

L'activation de l'option `Memory dump` implique la sauvegarde sur disque de l'intégralité de la mémoire (4Go).
Afin d'éviter de saturer l'espace disque, il est préférable d'activer cette option sur des modèles spécifiques et non sur le modèle par défaut.
Il est cependant possible de supprimer ces dumps via la suppression des artefacts disponibles dans les rapports ou via l'API.

5.3.4.2. Zone Gestion de modèles

../../_images/GBOX_TEMPLATES_03.PNG

La zone Gestion des modèles permet de gérer les modèles existants.

Repère

Nom

Fonction

1

`full`

Ce modèle dont le nom est full est défini comme celui par defaut (présence du champ `Default`)

4

Liste des moteurs actifs dans ce modèle (ici, dans le cas du modele complet, tous les moteurs sont actifs)

7

Menu de gestion de ce modèle (dans le cas du modèle par défaut seule la commande `Edit` est disponible)

2

`light`

Ce modèle est celui dont le nom est `light`

5

Liste des moteurs actifs dans ce modèle (ici, dans le cas du modele léger, seuls les moteurs Gmalcore et Goasm sont actifs)

8

Menu de gestion de ce modèle : les commandes `Set as défault`, `Edit` et `Remove` sont disponibles

3

`test`

Ce modèle est un exemple de modèle personnalisé

6

Liste des moteurs actifs dans ce modèle (ici, dans le cas du modele léger, seuls les moteurs Gmalcore et Goasm sont actifs)

9

Menu de gestion de ce modèle : les commandes `Set as défault`, `Edit` et `Remove` sont disponibles
Un modèle d'analyse peut-être supprimé en cliquant sur le bouton `Remove`.
Lors de la suppression d'un modèle d'analyse, les analyses lancées avec ce modèle sont conservées, ainsi que le nom du modèle au moment de sa suppression.
Pour la mise en œuvre, voir la procédure de Gestion des modèles d'analyse.