8.2.5. Procédure d'analyse du contenu d'un rapport

8.2.5.1. Introduction

Le rapport détaillé d'analyses donne les informations données par les moteurs d'analyses valides lors de l'analyse.
Les différents champs affichés sont décrits dans le Rapport détaillé.
Ce rapport doit être analysé par un analyste.

8.2.5.2. Prérequis

  • Utilisateur : membre du groupe Operators

8.2.5.3. Opérations préliminaires

8.2.5.4. Procédure de sélection du rapport

../../_images/HOME_OP05.PNG

  • Dans la zone des rapports, cliquer sur l'ID du rapport souhaité (1).

  • Toutefois, faire attention à l'état (9) du rapport :

    • pour l'état `In queue`, attendre l'analyse du fichier

    • pour l'état `In Progress`, attendre la fin de l'analyse du fichier

      Astuce

      Si l'état `In Progress` prend du temps, il est possible de cliquer sur l'ID pour avoir le détail du traitement.
      Cliquer sur le bouton d'information du moteur pour avoir l'état de son analyse.

    • pour l'état `Error`, se reporter à la Procédure d'analyse des rapports avec l'état `Error`

    • pour l'état `Clean`, avant de déterminer que le fichier est sain, vérifier que les moteurs actifs soient bien ceux qui sont pertinents...

    • pour l'état `Malicious`, se reporter à la Procédure d'analyse des rapports avec l'état `Malicious`

8.2.5.5. Procédure d'analyse des rapports avec l'état `Error`

  • Cliquer sur l'ID correspondant.
    Une fenêtre s'ouvre donnant le rapport détaillé.
../../_images/GBOX_RAPPORT_01.PNG

La zone (1) indique que l'analyse a été défaillante et que les moteurs remontent des erreurs.

  • Pour avoir plus d'informations, cliquer sur sur l'icône information (2) pour avoir le détail de l'erreur.
    Exemple : `gmalcore: Malcore analysis error for task id ****. Scan result code received: 10`
  • A partir du code lu sur l’écran, se référer au tableau suivant pour connaître la raison et adopter la solution adéquate.
Codes résultats de l'analyse

Valeur

Brève description

Longue description

0

Aucune menace détectée

Aucune détection de menace ou le fichier est vide

1

Infecté/connu

Une menace est découverte

2

Suspect

Classé comme une menace possible mais non identifié comme une menace spécifique

3

Échec de la numérisation
L'analyse n'est pas entièrement effectuée (par exemple, fichier non valide ou aucune autorisation de lecture).
Si aucun moteur n'est inclus et que l'analyse est activée, ce sera le résultat final.

5

Inconnu
Signature inconnue. REMARQUE : ceci n'est utilisé que dans la recherche de plusieurs hachages.
Pour la recherche de hachage unique, scan_result n'est pas renvoyé comme réponse.

7

Nettoyage ignoré

L'analyse est ignorée car ce type de fichier figure sur la liste d'autorisation

8

Infecté ignoré

L'analyse est ignorée car ce type de fichier figure sur la liste de blocage.

9

Profondeur d'archivage dépassée

La menace est introuvable, mais il existe d'autres niveaux d'archives qui n'ont pas été extraits.

10

Non scanné / Aucun résultat de scan

L'analyse est ignorée par le moteur en raison d'une mise à jour ou d'une autre raison spécifique au moteur. Si l'analyse est désactivée, ce sera le résultat final.

11

Avorté

L'analyse en cours a été arrêtée en raison d'un problème.

12

Crypté

Le fichier/tampon n'est pas analysé car le type de fichier est détecté comme chiffré (protégé par mot de passe).

13

Taille d'archive dépassée

L'archive extraite est trop volumineuse pour être analysée.

14

Numéro de fichier d'archive dépassé

Il y a plus de fichiers dans l'archive qu'il n'en est configuré sur le serveur.

15

Document protégé par mot de passe
Un document protégé par un mot de passe [par exemple, des documents Office ou des fichiers PDF qui nécessitent un mot de passe pour afficher leur contenu].
Si un fichier est un document protégé par un mot de passe, aucune désinfection ne sera appliquée.
Les formats de fichiers pris en charge sont : PDF, DOCX, DOC, DOCM, DOTX, DOTM, DOT, PPTX, PPT, POT, POTM, POTX, PPS, PPSM, PPSX, PPTM, PPTX, XLSX, XLS, XLSM, XLSB,XLS, XLTX, XLTM, XLT, XLAM, XLA.

16

Délai d'archivage dépassé.

Le processus d'archivage a atteint la valeur de délai d'attente donnée (valeur prédéfinie de 30 minutes).

17

Décalage

L'extension du fichier ne correspond pas au type de fichier détecté.

18

Fichier potentiellement vulnérable.

Vulnérabilité possible détectée pour le fichier appliqué.

19

Annulé

L'analyse du fichier a été annulée car elle n'a pas pu être analysée trop de fois.

23

Type de fichier non pris en charge
Le moteur ne prend pas en charge l'analyse de ce type de fichier.
Certains moteurs n'analysent que des types de fichiers spécifiques tels que des fichiers exécutables ou des documents.

24

Dans la queue

Le fichier a été ajouté à la file d'attente d'analyse et attend d'être traité.

25

En cours.

La numérisation est en cours.

8.2.5.6. Procédure d'analyse des rapports avec l'état `Malicious`

  • Cliquer sur l'ID correspondant.
    Une fenêtre s'ouvre donnant le rapport détaillé.
../../_images/GBOX_RAPPORT_02.PNG
Les différents champs affichés sont décrits dans la Procédure d'analyse des rapports avec l'état `Error`.
  • Consulter le résumé des étapes de l'analyse (2).
    Chaque moteur doit avoir une coche pour indiquer que son analyse s'est bien passée.
    Dans le cas contraire, cliquer sur le l'icône `i` pour avoir des informations sur l'état du moteur : résoudre le sujet avant de relancer l'analyse.
    Le cas normal est que tous les moteurs présents sont OK: la couleur de l’icône GBox indique le résultat Clean ou malicieux.
  • Consulter le résultat de l'analyse (1) : le score, l'état global.
    Rappels :

    • un score n'est donné que pour les moteurs Gmalcore et Goasm

    • le score n'est affiché que pour les moteurs actifs au moment de l'analyse visibles dans le résumé des étapes de l'analyse(2)

Important

Le champ SCORE n'a de sens que pour le moteur présélectionné. Il n'indique pas que le fichier analysé est sain mais uniquement qu'il est déclaré comme sain par ce moteur.

  • Consulter les informations des zones (3) et des sections d'analyses (4) optionnelles.
    Rappels :

    • Le graphique est disponible uniquement si Gnest fait partie du modèle (les données nécessaires au graphique sont retournées par ce moteur).

    • Ce graphique permet d'avoir un visuel sur la dangerosité du fichier analysé.

    • Les sections d'analyses optionnelles dépendent du ou des moteur(s) actifs dans le modèle utilisé.

  • Si besoin, cliquer sur le bouton (5) `ALL ARTEFACTS`.
    Il permet de télécharger les artefacts issus de l'analyse (dump mémoire, capture réseau (pcap), chaînes de caractères détectées).
    Cette section permet également de supprimer les artefacts.
    Ce bouton n'est présent que si le moteur Gnest est actif.
  • Si besoin, cliquer sur le bouton `REPORT`.
    Il permet de télécharger le rapport en format pdf.
  • Si besoin, cliquer sur le bouton `RETRY`.
    Il permet de rejouer l'analyse de ce fichier (avec ce template ou un autre).
  • Si besoin, cliquer sur le bouton `SAMPLE`.
    Il permet de télécharger le fichier analysé.