9.2.1. Procédure de configuration du moteur Gnest

9.2.1.1. Introduction

9.2.1.1.1. Fonctions du moteur Gnest

Le moteur d'analyse Gnest permet une analyse dynamique.
Il exécute le fichier dans une machine virtuelle (sandbox) et analyse son comportement.
Suite à cela, il est possible d'extraire les données générées lors de l'analyse comme un dump de la mémoire, les chaînes de caractères extraites, ou une capture des communications réseau (pcap).
Dans le cas d'un fonctionnement connecté au GCenter, ce moteur est utile pour analyser en profondeur un fichier qualifié de suspicious ou malicious, lors d'une seconde analyse d'un fichier.
Cette analyse est plus lente et requiert un opérateur de niveau confirmé afin d'analyser les résultats produits.
Ces données sont affichées dans le Rapport détaillé et plus précisément dans les sections TOP, Iocs, Ttps, Overview, Signatures et Process Tree.

Taille maximum de fichier

50Mo

Timeout d'analyse

1 heure

Type

lent

9.2.1.1.2. Configuration de Gnest

La configuration de Gnest consiste à gérer et configurer des machines virtuelles.
L'interface graphique de la gestion des machines virtuelles est décrite dans l'Ecran `Gnest configuration`.

9.2.1.1.3. Procédures décrites

9.2.1.2. Prérequis

Utilisateur : membre du groupe Administrators

9.2.1.3. Opérations préliminaires

9.2.1.4. Procédure d’accès à la fenêtre `Gnest configuration`

  • Dans la barre de navigation, cliquer sur la commande `Analysers`.
    L'écran suivant est affiché.
../../_images/GBOX_ANALY_01.PNG
  • Cliquer sur le lien `Config` du moteur Gnest (4).
    L'écran suivant est affiché.
../../_images/GBOX_ANALY_04.PNG

9.2.1.5. Procédure pour créer une ou des machines virtuelles

Le fait de créer des machines virtuelles permet de multiples analyses en parallèle via l'activation de ces machines virtuelles dans les modèles.
La configuration de Gnest consiste en la création de machines virtuelles servant de sandbox pour l'analyse.

Note

Il n'est pas possible d'avoir plus de 5 machines virtuelles.

  • Saisir le nom de la machine (ou des machines) à créer dans le champ (2) : par exemple test_VM.

Note

Seuls les lettres, chiffres et le tiret bas sont autorisés.

  • Saisir dans le champ (2) le nombre de machine(s) à créer.

  • Cliquer sur le bouton (6) `ADD`.
    Un message est affiché : `Task in progress: Add 2 virtual machines (x%).`
    Une fois créées, les machines virtuelles sont affichées dans la fenêtre avec les noms test_VM1 et test_VM2.
    Ces machines peuvent être configurées via la création des modèles.

Note

Les paramètres des moteurs sont indiqués dans le paragraphe Paramètres de Grip et dans le paragraphe Paramètres de Gnest.
La procédure pour modifier ces paramètres est indiquée dans la Gestion des modèles d'analyse.

9.2.1.6. Procédure pour afficher l'historique des machines virtuelles

  • Cliquer sur le bouton (5) `HISTORY`.
    La fenêtre `Last VMs tasks history` est affichée.
../../_images/GBOX_VM_1.PNG

La fenêtre affiche les informations suivantes :

Repère

Nom du champ

Description

1

`REQUESTED AT`

Date et heure du début de la tâche

2

`TASK`

Informations sur la tâche courante

3

`PROGRESS`

Pourcentage d'avancement de la tâche

4

`STATUS`

Etat courant de la tâche

5

`FINISHED AT`

Date et heure de fin de la tâche

9.2.1.7. Procédure pour supprimer une machine virtuelle

../../_images/GBOX_ANALY_04.PNG
  • Cliquer sur le lien (8) `Delete this machine` de la machine à supprimer.
    Le message suivant est affiché.
Confirm VM deletion
Are you sur you want to delete the VM test_VM3 ?
  • Cliquer sur le bouton `Confirm`.
    Le message informe sur l'action en cours : `Task in progress: Remove virtual machine xxxxx (xx%).
    Une fois la tâche terminée, le message est affichée : `Task successful: Remove virtual machine xxxx (100%)`.
    La VM est supprimée du tableau de bord.
    Si la VM était définie dans des modèles, la VM est supprimée.
    Si un modèle n'avait que cette VM définie alors le modèle est conservé et la VM détruite est remplacée par l'ensemble des VM présentes (paramètre any).

9.2.1.8. Procédure pour supprimer plusieurs machines virtuelles par lot

Tout comme la création de plusieurs machines est possible, la suppression par lot l'est également.

  • Cliquer sur le bouton (4) `BATCH DELETE`.
    La fenêtre `Delete multiple VMs` est affichée pour sélectionner les machines à supprimer.

  • Sélectionner la ou les VM à supprimer.

  • Cliquer sur le bouton `Delete`.
    Le message informe sur l'action en cours : `Task in progress: Remove virtual machine xxxxx (xx%)`
    Une fois la tache terminée, le message est affichée : `Task successful: Remove virtual machine xxxx (100%)`
    Les VMs sont supprimées du tableau de bord.
    Si les VMs étaient définies dans des modèles, ces VMs sont supprimées.
    Si un modèle n'avait que cette VM définie, alors le modèle est conservée et la VM détruite est remplacée par l'ensemble des VM présente (paramètre any).

Note

La suppression est séquentielle, si une erreur survient, le processus est stoppé (et les machines suivantes ne sont pas supprimées).