5.2.4. Ecran `Reports`
de la Web UI
5.2.4.1. Présentation de l'écran `Reports`
`Reports`
de la barre de navigation, l'écran `Reports`
est affiché.de visualiser les rapports afin de pouvoir analyser les résultats
les filtrer
exporter des rapports en format pdf
de télécharger le fichier analysé
Il comprend les éléments principaux suivants :
Repère |
Nom |
---|---|
1 |
Nombre de rapports présents dans l'historique (ici 2) |
2 |
Zone permettant la recherche dans les rapports |
3 |
Zone de configuration |
4 |
Zone détaillée des rapports |
5.2.4.2. Zone permettant la recherche
Cette zone permet de filtrer les rapports à l'aide des critères suivants.
Repère |
Champ |
Description |
---|---|---|
1 |
|
Filtre les rapports en fonction de la saisie. Le filtree se fait sur les champs |
2 |
|
Montre / cache les champs de recherche avancés |
3 |
|
Règle Yara (par exemple shellcode ou stack) |
4 |
|
Signature (par exemple injection ou cmdline) |
5 |
|
Tactique, Technique, Procédure (par exemple T1059 ou script) |
6 |
|
Catalogue des comportements malveillants (par exemple C0007 ou allocation mémoire) |
7 |
|
Famille de logiciels malveillants (par exemple formware ou nanocore) |
8 |
|
Tout ou partie du hash de fichiers (MD5, SHA1, SHA256, SHA512, CRC32, TLSH, SSDEEP) |
9 |
|
Paramètre réseau (ids, hosts, domain name or ip) |
5.2.4.3. Zone de configuration
Cette zone permet de configurer l'affichage des rapports.
Repère |
Nom |
Description |
---|---|---|
1 |
|
Rafraîchissement automatique |
2 |
|
Masque l’analyse sans score de menace |
Note
5.2.4.4. Zone des rapports
Note
Les informations listées dans le tableau ci-dessous sont les mêmes champs que dans les rapports de l'écran `Home`
.
Repère |
Nom |
Description |
---|---|---|
1 |
|
Numéro de l'analyse.
Les rapports listés sont triés du plus récent au plus ancien
Cliquer sur ce champ ouvre la page
`Analysis report` de ce rapport |
2 |
|
Date et heure de la soumission de l'analyse |
3 |
|
Nom du fichier analysé
Cliquer sur ce champ copie ce nom dans le presse papier
|
4 |
|
SHA256 du fichier
Cliquer sur ce champ copie ce hash dans le presse papier
|
5 |
|
Indique le nom du (ou des ) moteur qui a servi à l'analyse |
6 |
|
Score (Threat score) d'analyse globale calculé à partir du score d'analyse retourné par les différents moteurs |
7 |
|
Nom de la menace retournée par le module gmalcore (ou n/a)
Cliquer sur ce champ copie ce hash dans le presse papier
|
8 |
|
Date et heure de fin de l'analyse |
9 |
|
Etat global de l'analyse (Done, In Progress, In queue ou Error)
Dans le cas d'une erreur, des informations complémentaires sont disponibles dans le rapport de l'analyse
|
10 |
|
Actions possibles à effectuer : téléchargement du rapport au format pdf |
Les champs ci-dessous sont les champs supplémentaires permettant de faire le filtrage des rapports.
Repère |
Nom |
Description |
---|---|---|
11 |
|
Permet de filtrer les rapports avec ce statut à sélectionner dans la liste |
12 |
|
Permet de filtrer les rapports avec ce nom de menace à saisir |
13 |
|
Permet de filtrer les rapports avec un nom de moteur à sélectionner dans la liste |
14 |
|
Permet de filtrer les rapports avec ce hash à saisir |
15 |
|
Permet de filtrer les rapports avec le nom de fichier à saisir |
5.2.4.5. Rapport détaillé
5.2.4.5.1. Informations présentes dans ce rapport
Repère
Description
1
Résumé du résultat de l'analyse indiquant :
le résultat (Threat Score) de l'analyse globale calculé à partir du score d'analyse retourné par les différents moteurs de Gmalcore- de 0% pour un fichier déclaré sain par le moteur utilisé- à 100 % valeur max pour un fichier déclaré malicieuxle nombre de moteur moteur impliqué (ici 1/1 analysers)
l'état global (sain, suspect ou malicieux) : ici Clean ou sain
Un score n'est donné que pour les moteurs Gmalcore et Goasm
2
Résumé des étapes de l'analyse :
la liste des moteurs utilisés : ici Gmalcore
le résultat du chargement du fichier pour chacun des moteurs : ici pour Gmalcore, la coche indique que le chargement s'est bien passé
coté droit, le résultat de l'analyse : ici l’icône signifie OK
3
Informations comprenant :
un graphique (voir la note ci-dessous)
sur l'analyse (hash et date)
sur le fichier (nom, sha256)
4 et 5
Sections d'analyse optionnelles. Ces informations dépendent du moteur dans le modèle.Dans cet exemple, seules les sections`Analysis options`
et`Heuristic`
sont affichées. Cette rubrique peut être pliée / dépliée Informations sur l'analyse heuristique (5) : cette rubrique peut être pliée / dépliéeCette rubrique indique le résultat pour chacun des moteurs (ici les 16 moteurs du moteur Gmalcore)6
Bouton`SAMPLE`
qui permet de télécharger le fichier analysé.Le fichier téléchargé est compressé et protégé par un mot de passe (le mot de passe est infected)Une fois décompressé, le fichier analysé a une extension .sample7
Bouton
`REPORT`
qui permet de télécharger le rapport en format pdf8
Bouton
`RETRY`
qui permet de rejouer l'analyse de ce fichier (avec ce template ou un autre)9
La section`Analysis sections`
comprend des raccourcis pour ouvrir ces sections et recentrer l'affichageCes sections donnent le détail des analyses venant des moteurs définis dans le modèle d'analyse.Ces informations permettent à un analyste d'avoir une idée plus précise de l'anatomie et du comportement du fichier lors de son ouverture/exécutionDans cet exemple, seules les sections`Top`
,`Analysis options`
et`Heuristic`
sont affichées.Suivant la combinaison de moteurs utilisés, certaines sections peuvent être absentes de cette liste : le détail est donné dans le tableau ci-dessous
Bouton`ALL ARTEFACTS`
permet de télécharger les artefacts issus de l'analyse (dump mémoire, capture réseau (pcap), chaînes de caractères détectées)Cette section permet également de supprimer les artefacts.Ce bouton n'est présent que si le moteur Gnest est actif.
5.2.4.5.2. Liste des sections présentes dans la section `Analysis sections`
Titre de la section |
Description |
Est activé par le moteur |
---|---|---|
|
Raccourci vers la partie supérieure du rapport soient les parties (1) à (3) |
Tous les moteurs |
|
Valeurs des options utilisées pour l'analyse |
Grip et Gnest |
|
Liste des actions effectuées (fichiers, base de registres, réseau, processus...) |
GNEST |
|
Les TTPs analysent le fonctionnement d’un acteur malveillant, elles décrivent comment les cyberattaquants orchestrent, exécutent et gèrent les attaques opérationnelles.
Les TTPs contextualisent une menace. Elles révèlent les étapes ou les actions prises par des acteurs malveillants lors de de l’exfiltration de données par exemple.
|
GNEST |
|
Métadonnées |
GRIP |
|
Informations sur le fichier (taille, différents hash, type...) |
GNEST |
|
Liste des moteurs (Entry#x) et nom de la menace retournée par le module Gmalcore (ou n/a) |
Gmalcore |
|
Résultat de la détection de shellcode |
GOASM |
|
Liste des signatures yara correspondant au fichier analysé |
Gnest |
|
Représentation graphique de l'arbre de processus |
Gnest |
5.2.4.5.3. Détails du graphique
Note
Le graphique est disponible uniquement si Gnest fait partie du modèle (les données nécessaires au graphique sont retournées par ce moteur).
Ce graphique permet d'avoir un visuel sur la dangerosité du fichier analysé :
la catégorie de la dangerosité est définie par les axes (1) (5) et (7) : titres et nombre d'axe sont donnés par les moteurs
le niveau de la dangerosité est donné par les cercles concentriques.
le cercle central (6) indique le niveau sain
le cercle milieu (3) indique le niveau suspicieux
le cercle externe (2) indique le niveau malicieux
malicieux dans l'axe
`execution`
(5)suspicieux dans l'axe
`antidebug`
(1)sain dans l'axe
`stealth`
(7)
Pour l'analyse d'un rapport, voir la Procédure d'analyse du contenu d'un rapport.