5.3.5. Ecran `Analysers`
de la Web UI
Cet écran affiche les états des différents moteurs d'analyse.
Après appui sur la commande `Analysers`
, l'écran suivant est affiché.
Repère |
Moteur |
Fonction du moteur |
---|---|---|
1 |
Analyse statique |
|
2 |
Détection des shellcodes |
|
3 |
Détection de noms de domaine |
|
4 |
Analyse dynamique dans une machine virtuelle |
|
5 |
Analyse statique et heuristique |
Pour chacun des moteurs, les informations suivantes sont affichées :
Repère |
Nom |
Moteur Grip |
Moteur Goasm |
Moteur Gdgadetect |
Moteur Gnest |
Moteur Gmalcore |
---|---|---|---|---|---|---|
1 |
Type |
Analyse statique |
Détection des shellcodes |
Détection de noms de domaine générés par des DGA (Domain Generation Algorithm) |
Exécute le fichier dans une machine virtuelle et analyse son comportement |
Analyse statique et heuristique multi-moteurs |
2 |
Capacités |
Analyse |
Donne un score de la dangerosité potentielle et nomme le shellcode détecté |
Donne un score de compromission |
Nomme le problème détecté |
Donne un score de la dangerosité potentielle et nomme le problème détecté |
3 |
Config |
Non configurable donc ce champ n'est pas affiché |
Gestion des machines virtuelles (ajout, suppression, historisation) |
Gestion des moteurs de Gmalcore |
||
4 |
x jobs : nombre de tâches en cours (statut de l'analyse NEW + IN PROGRESS) |
Nombre de tâches en attente de traitement |
||||
5 |
Capacité à effectuer des analyses |
Ce moteur n'a pas d'exigences donc toujours à l'état |
Le moteur est à l'état
`ready` s'il y a le même nombre de VM dans la GBoxet dans CAPE (le moteur d'analyse dynamique)
|
Le moteur est à l'état
`ready` si tous les moteurs sont installéset l'API est up
|
||
6 |
Etat du moteur |
UP : l'api du moteur est en écoute : DOWN : l'api du moteur est non actif |
Astuce
`DOWN`
, attendre un moment.`DOWN`
, contacter le support de Gatewatcher.Astuce
`DOWN`
, redémarrer le service Malcore (ou Réinstaller le service Malcore): voir la Commande `Services`.`DOWN`
, contacter le support de Gatewatcher.`Not Ready`
pour le moteur Gmalcore ne signifie pas forcément que ce dernier n'est pas en capacité d'effectuer des analyses mais indique qu'au moins un des 16 moteurs antivirus n'est pas à jour ou est hors service.5.3.5.1. Moteur Grip
Taille maximum de fichier |
50 MO |
Timeout d'analyse |
2 minutes |
Type |
léger |
5.3.5.1.1. Visualisation de l'état de Grip
5.3.5.2. Moteur Goasm
Taille maximum de fichier |
50 Mo |
Timeout d'analyse |
4-6 minutes |
Type |
rapide |
il y a un message d'erreur dans la partie
`Shellcode`
du rapportle moteur arrête juste de parcourir octet par octet le fichier
5.3.5.3. Moteur Gdgadetect
5.3.5.3.1. Présentation de l'algorithme DGA
5.3.5.3.2. Analyse
Le Machine Learning est basé sur un modèle pré-entraîné, dont l'architecture est basée sur un réseau de neurones profond de type LSTM (Long Short Term Memory networks).
5.3.5.3.3. Affichage des alertes DGA
`Quick analysis`
.5.3.5.4. Moteur Gnest
Taille maximum de fichier |
50Mo |
Timeout d'analyse |
1 heure |
Type |
lent |
5.3.5.5. Ecran `Gnest configuration`
Repère |
Description |
|
---|---|---|
1 |
Zone
`Manage virtual machines` : cette zone permet de créer de nouvelles machines virtuellesCette zone comprend :
|
|
2 |
|
Nom de base de la (ou des) machine(s) virtuelle(s) (VM) |
3 |
|
Nombre de machine(s) à créer |
6 |
|
Lance la création de machine(s) virtuelle(s) |
4 |
Bouton |
Permet de supprimer une ou plusieurs VM |
5 |
Bouton |
Affiche la fenêtre de l'historique de la gestion des VMs |
10 |
Nom |
|
9 |
|
Valeur de la quantité de mémoire attribué à la VM |
7 |
|
Valeur de la quantité de processeur attribuée à la VM |
8 |
|
Supprime la machine sélectionnée |
5.3.5.6. Moteur Gmalcore
la détection des malwares par une analyse statique et heuristique multi-moteurs en temps réel des fichiers
l'analyse via 16 moteurs Anti-Virus
une performance d’analyse proche de 200000 fichiers par 24h
d'obtenir le ou les noms de la menace ainsi qu'un score de menace
une identification rapide des menaces
engine hash
dans l'interface Web ui.Taille maximum de fichier |
50 Mo |
Timeout d'analyse |
2 minutes |
Type |
léger |
`Heuristic`
du rapport d'analyse de la GBox.5.3.5.7. Ecran `Gmalcore configuration`
l’état des moteurs Gmalcore
la date de la dernière mise à jour installée
`Config`
du moteur Gmalcore, l'écran suivant est affiché.Repère |
Moteur |
Fonction |
---|---|---|
1 |
Message de l'état de la configuration |
`Engine is running, but no AV found. Please update.` :nécessite l'installation d'une mise à jour des moteurs Gmalcore
|
2 |
|
Cette zone permet d'afficher l'état des moteurs antivirus avec les informations suivantes : |
3 |
|
|
7 |
|
|
6 |
|
|
5 |
|
|
4 |
|
La mise en œuvre de la configuration de Gmalcore est donnée dans la Procédure de configuration du moteur Gmalcore.