5.2.4. Ecran `Reports` de la Web UI

5.2.4.1. Présentation de l'écran `Reports`

Après appui sur le bouton `Reports` de la barre de navigation, l'écran `Reports` est affiché.

Cet écran permet :

de visualiser les rapports afin de pouvoir analyser les résultats
les filtrer
exporter des rapports en format pdf
de télécharger le fichier analysé

Il comprend les éléments principaux suivants :

Repère	Nom
1	Nombre de rapports présents dans l'historique (ici 2)
2	Zone permettant la recherche dans les rapports
3	Zone de configuration
4	Zone détaillée des rapports

5.2.4.2. Zone permettant la recherche

Cette zone permet de filtrer les rapports à l'aide des critères suivants.

Repère	Champ	Description
1	`Search for an analysis`	Filtre les rapports en fonction de la saisie. Le filtree se fait sur les champs FILENAME`, `FILE HASH (SHA256)`, `THREAT NAMES`)
2	`Hide advanced search fields`	Montre / cache les champs de recherche avancés
3	`Yara rule`	Règle Yara (par exemple shellcode ou stack)
4	`Signature`	Signature (par exemple injection ou cmdline)
5	`TTPs`	Tactique, Technique, Procédure (par exemple T1059 ou script)
6	`Malware behaviour catalog`	Catalogue des comportements malveillants (par exemple C0007 ou allocation mémoire)
7	`Malware family`	Famille de logiciels malveillants (par exemple formware ou nanocore)
8	`File Hashes`	Tout ou partie du hash de fichiers (MD5, SHA1, SHA256, SHA512, CRC32, TLSH, SSDEEP)
9	`Network`	Paramètre réseau (ids, hosts, domain name or ip)

5.2.4.3. Zone de configuration

Cette zone permet de configurer l'affichage des rapports.

Repère	Nom	Description
1	`Auto refresh`	Rafraîchissement automatique
2	`Hide analysis without threat score`	Masque l’analyse sans score de menace

Note

Si la GBox reçoit directement les fichiers sans passer par un GCenter alors les fichiers analysés avec un score nul peuvent être considérés comme sains pour le moteur utilisé.
Si la GBox reçoit les fichiers venant d'un GCenter alors les fichiers analysés ont été considérés comme suspicieux.
Le fait qu'ils aient un score nul ne suffit pas pour être considéré comme sain.
Un analyste doit regarder les rapports et tenir compte des moteurs utilisés (et non utilisés !) lors de l'analyse.

5.2.4.4. Zone des rapports

Cette zone permet d'afficher les détails des analyses effectuées.

Chaque ligne correspond à une analyse différente et les informations de cette analyse sont présentées et détaillées dans le tableau ci-après.

Note

Les informations listées dans le tableau ci-dessous sont les mêmes champs que dans les rapports de l'écran `Home`.

Repère	Nom	Description
1	`ID`	Numéro de l'analyse. Les rapports listés sont triés du plus récent au plus ancien Cliquer sur ce champ ouvre la page `Analysis report` de ce rapport
2	`SUBMISSION DATE`	Date et heure de la soumission de l'analyse
3	`FILENAME`	Nom du fichier analysé Cliquer sur ce champ copie ce nom dans le presse papier
4	`FILE HASH (SHA256)`	SHA256 du fichier Cliquer sur ce champ copie ce hash dans le presse papier
5	`ANALYSERS`	Indique le nom du (ou des ) moteur qui a servi à l'analyse
6	`SCORE`	Score (Threat score) d'analyse globale calculé à partir du score d'analyse retourné par les différents moteurs
7	`THREAT NAMES`	Nom de la menace retournée par le module gmalcore (ou n/a) Cliquer sur ce champ copie ce hash dans le presse papier
8	`DONE DATE`	Date et heure de fin de l'analyse
9	`STATUS`	Etat global de l'analyse (Done, In Progress, In queue ou Error) Dans le cas d'une erreur, des informations complémentaires sont disponibles dans le rapport de l'analyse
10	`ACTIONS`	Actions possibles à effectuer : téléchargement du rapport au format pdf

Les champs ci-dessous sont les champs supplémentaires permettant de faire le filtrage des rapports.

Repère	Nom	Description
11	`Filter by status`	Permet de filtrer les rapports avec ce statut à sélectionner dans la liste
12	`Filter by threat`	Permet de filtrer les rapports avec ce nom de menace à saisir
13	`Filter by analyser`	Permet de filtrer les rapports avec un nom de moteur à sélectionner dans la liste
14	`Filter by hash`	Permet de filtrer les rapports avec ce hash à saisir
15	`Filter by name`	Permet de filtrer les rapports avec le nom de fichier à saisir

5.2.4.5. Rapport détaillé

Après appui sur l'ID (1) d'un rapport, le rapport détaillé est affiché.

En fonction des moteurs sélectionnés dans le modèle lors de l'analyse, certaines informations peuvent être affichées. Elles sont indiquées au cas par cas.
Dans l'exemple ci-dessus, le rapport a été fait avec un modèle avec uniquement le moteur Gmalcore actif.
Le rapport d'analyse comporte toutes les informations extraites du fichier soumis aux différents moteurs d'analyse.

5.2.4.5.1. Informations présentes dans ce rapport

Les informations présentes dans ce rapport sont :

Repère

Description

1

Résumé du résultat de l'analyse indiquant :

le résultat (Threat Score) de l'analyse globale calculé à partir du score d'analyse retourné par les différents moteurs de Gmalcore

- de 0% pour un fichier déclaré sain par le moteur utilisé

- à 100 % valeur max pour un fichier déclaré malicieux

le nombre de moteur moteur impliqué (ici 1/1 analysers)

l'état global (sain, suspect ou malicieux) : ici Clean ou sain

Un score n'est donné que pour les moteurs Gmalcore et Goasm

2

Résumé des étapes de l'analyse :

la liste des moteurs utilisés : ici Gmalcore

le résultat du chargement du fichier pour chacun des moteurs : ici pour Gmalcore, la coche indique que le chargement s'est bien passé

coté droit, le résultat de l'analyse : ici l’icône signifie OK

3

Informations comprenant :

un graphique (voir la note ci-dessous)

sur l'analyse (hash et date)

sur le fichier (nom, sha256)

4 et 5

Sections d'analyse optionnelles. Ces informations dépendent du moteur dans le modèle.

Dans cet exemple, seules les sections `Analysis options` et `Heuristic` sont affichées. Cette rubrique peut être pliée / dépliée

Informations sur l'analyse heuristique (5) : cette rubrique peut être pliée / dépliée

Cette rubrique indique le résultat pour chacun des moteurs (ici les 16 moteurs du moteur Gmalcore)

6

Bouton `SAMPLE` qui permet de télécharger le fichier analysé.

Le fichier téléchargé est compressé et protégé par un mot de passe (le mot de passe est infected)

Une fois décompressé, le fichier analysé a une extension .sample

7

Bouton `REPORT` qui permet de télécharger le rapport en format pdf

8

Bouton `RETRY` qui permet de rejouer l'analyse de ce fichier (avec ce template ou un autre)

9

La section `Analysis sections` comprend des raccourcis pour ouvrir ces sections et recentrer l'affichage

Ces sections donnent le détail des analyses venant des moteurs définis dans le modèle d'analyse.

Ces informations permettent à un analyste d'avoir une idée plus précise de l'anatomie et du comportement du fichier lors de son ouverture/exécution

Dans cet exemple, seules les sections `Top`, `Analysis options` et `Heuristic` sont affichées.

Suivant la combinaison de moteurs utilisés, certaines sections peuvent être absentes de cette liste : le détail est donné dans le tableau ci-dessous

Bouton `ALL ARTEFACTS` permet de télécharger les artefacts issus de l'analyse (dump mémoire, capture réseau (pcap), chaînes de caractères détectées)

Cette section permet également de supprimer les artefacts.

Ce bouton n'est présent que si le moteur Gnest est actif.

5.2.4.5.2. Liste des sections présentes dans la section `Analysis sections`

Liste des sections présentes dans `Analysis sections`
Titre de la section	Description	Est activé par le moteur
`Top`	Raccourci vers la partie supérieure du rapport soient les parties (1) à (3)	Tous les moteurs
`Analysis options`	Valeurs des options utilisées pour l'analyse	Grip et Gnest
`Iocs`	Liste des actions effectuées (fichiers, base de registres, réseau, processus...)	GNEST
`Ttps`	Les TTPs analysent le fonctionnement d’un acteur malveillant, elles décrivent comment les cyberattaquants orchestrent, exécutent et gèrent les attaques opérationnelles. Les TTPs contextualisent une menace. Elles révèlent les étapes ou les actions prises par des acteurs malveillants lors de de l’exfiltration de données par exemple.	GNEST
`Static`	Métadonnées	GRIP
`Overview`	Informations sur le fichier (taille, différents hash, type...)	GNEST
`Heuristic`	Liste des moteurs (Entry#x) et nom de la menace retournée par le module Gmalcore (ou n/a)	Gmalcore
`Shellcode`	Résultat de la détection de shellcode	GOASM
`Signatures`	Liste des signatures yara correspondant au fichier analysé	Gnest
`Process Tree`	Représentation graphique de l'arbre de processus	Gnest

5.2.4.5.3. Détails du graphique

Note

Le graphique est disponible uniquement si Gnest fait partie du modèle (les données nécessaires au graphique sont retournées par ce moteur).

Ce graphique permet d'avoir un visuel sur la dangerosité du fichier analysé :

la catégorie de la dangerosité est définie par les axes (1) (5) et (7) : titres et nombre d'axe sont donnés par les moteurs

le niveau de la dangerosité est donné par les cercles concentriques.

le cercle central (6) indique le niveau sain

le cercle milieu (3) indique le niveau suspicieux

le cercle externe (2) indique le niveau malicieux

La synthèse pour le fichier se lit sur les sommets de la forme représentée (4).

Dans l'exemple affiché, le sommet (5) indique que le fichier est :

malicieux dans l'axe `execution` (5)

suspicieux dans l'axe `antidebug` (1)

sain dans l'axe `stealth` (7)

Pour l'analyse d'un rapport, voir la Procédure d'analyse du contenu d'un rapport.

Repère	Description
1	Résumé du résultat de l'analyse indiquant : le résultat (Threat Score) de l'analyse globale calculé à partir du score d'analyse retourné par les différents moteurs de Gmalcore - de 0% pour un fichier déclaré sain par le moteur utilisé - à 100 % valeur max pour un fichier déclaré malicieux le nombre de moteur moteur impliqué (ici 1/1 analysers) l'état global (sain, suspect ou malicieux) : ici Clean ou sain Un score n'est donné que pour les moteurs Gmalcore et Goasm
2	Résumé des étapes de l'analyse : la liste des moteurs utilisés : ici Gmalcore le résultat du chargement du fichier pour chacun des moteurs : ici pour Gmalcore, la coche indique que le chargement s'est bien passé coté droit, le résultat de l'analyse : ici l’icône signifie OK
3	Informations comprenant : un graphique (voir la note ci-dessous) sur l'analyse (hash et date) sur le fichier (nom, sha256)
4 et 5	Sections d'analyse optionnelles. Ces informations dépendent du moteur dans le modèle. Dans cet exemple, seules les sections `Analysis options` et `Heuristic` sont affichées. Cette rubrique peut être pliée / dépliée
4 et 5	Informations sur l'analyse heuristique (5) : cette rubrique peut être pliée / dépliée Cette rubrique indique le résultat pour chacun des moteurs (ici les 16 moteurs du moteur Gmalcore)
6	Bouton `SAMPLE` qui permet de télécharger le fichier analysé. Le fichier téléchargé est compressé et protégé par un mot de passe (le mot de passe est infected) Une fois décompressé, le fichier analysé a une extension .sample
7	Bouton `REPORT` qui permet de télécharger le rapport en format pdf
8	Bouton `RETRY` qui permet de rejouer l'analyse de ce fichier (avec ce template ou un autre)
9	La section `Analysis sections` comprend des raccourcis pour ouvrir ces sections et recentrer l'affichage Ces sections donnent le détail des analyses venant des moteurs définis dans le modèle d'analyse. Ces informations permettent à un analyste d'avoir une idée plus précise de l'anatomie et du comportement du fichier lors de son ouverture/exécution Dans cet exemple, seules les sections `Top`, `Analysis options` et `Heuristic` sont affichées. Suivant la combinaison de moteurs utilisés, certaines sections peuvent être absentes de cette liste : le détail est donné dans le tableau ci-dessous
	Bouton `ALL ARTEFACTS` permet de télécharger les artefacts issus de l'analyse (dump mémoire, capture réseau (pcap), chaînes de caractères détectées) Cette section permet également de supprimer les artefacts. Ce bouton n'est présent que si le moteur Gnest est actif.