9.2.3. Procédure de surveillance des moteurs d'analyse

9.2.3.1. Introduction

Cette procédure permet d'afficher les états des différents moteurs d'analyse et des actions à entreprendre.
L'interface graphique est décrite dans l'Ecran `Analysers` de la Web UI.

9.2.3.2. Prérequis

Utilisateur : membre du groupe Administrators


9.2.3.3. Opérations préliminaires


9.2.3.4. Procédure d'accès à l'écran `Analysers`

Après appui sur la commande `Analysers`, l'écran suivant est affiché.

../../_images/GBOX_ANALY_01.PNG

Repère

Moteur

Fonction du moteur

1

Moteur Grip

Analyse statique

2

Moteur Goasm

Détection des shellcodes

3

Moteur Gdgadetect

Détection de noms de domaine

4

Moteur Gnest

Analyse dynamique dans une machine virtuelle

5

Moteur Gmalcore

Analyse statique et heuristique

Pour chacun des moteurs, les informations suivantes sont affichées :

../../_images/GBOX_ANALY_02.PNG

Repère

Nom

Moteur Grip

Moteur Goasm

Moteur Gdgadetect

Moteur Gnest

Moteur Gmalcore

1

Type

Analyse statique

Détection des shellcodes

Détection de noms de domaine générés par des DGA (Domain Generation Algorithm)

Exécute le fichier dans une machine virtuelle et analyse son comportement

Analyse statique et heuristique multi-moteurs

2

Capacités

Analyse

Donne un score de la dangerosité potentielle et nomme le shellcode détecté

Donne un score de compromission

Nomme le problème détecté

Donne un score de la dangerosité potentielle et nomme le problème détecté

3

Config

Non configurable donc ce champ n'est pas affiché

Gestion des machines virtuelles (ajout, suppression, historisation)

Gestion des moteurs de Gmalcore

4

x jobs : nombre de tâches en cours (statut de l'analyse NEW + IN PROGRESS)

Nombre de tâches en attente de traitement

5

Capacité à effectuer des analyses

Ce moteur n'a pas d'exigences donc toujours à l'état `ready`

Le moteur est à l'état `ready` s'il y a le même nombre de VM dans la GBox
et dans CAPE (le moteur d'analyse dynamique)
Le moteur est à l'état `ready` si tous les moteurs sont installés
et l'API est up

6

Etat du moteur

UP : l'api du moteur est en écoute : DOWN : l'api du moteur est non actif

Après appui sur la commande `Analysers`, l'écran suivant est affiché.
../../_images/GBOX_ANALY_01.PNG

Repère

Moteur

Fonction du moteur

1

Moteur Grip

Analyse statique

2

Moteur Goasm

Détection des shellcodes

3

Moteur Gdgadetect

Détection de noms de domaine

4

Moteur Gnest

Analyse dynamique dans une machine virtuelle

5

Moteur Gmalcore

Analyse statique et heuristique

Pour chacun des moteurs, les informations suivantes sont affichées :

../../_images/GBOX_ANALY_02.PNG

Repère

Nom

1

Type

2

Capacités

3

Config (présent uniquement pour certains moteurs)

4

x jobs

5

Statut

6

Etat du moteur


9.2.3.5. Procédure de vérification du bon état des moteurs

  • Vérifier que chaque moteur soit bien dans l'état `UP`.

Astuce

Si l'état du moteur (Grip, Goasm, Gdgadetect ou Gnest) est `DOWN`, attendre un moment.
Si le moteur reste dans l'état `DOWN`, contacter le support de Gatewatcher.
  • Vérifier que chaque moteur soit bien dans le statut `Ready`.

Astuce

Le statut `Not Ready` pour le moteur Gmalcore ne signifie pas forcément que ce dernier n'est pas en capacité d'effectuer des analyses mais indique qu'au moins un des 16 moteurs antivirus n'est pas à jour ou est hors service.


9.2.3.6. Procédure de mise à jour des moteurs Gnest et Gmalcore

Les mises à jour de signatures ou updates correspondent aux mises à jour des moteurs de détection de la GBox.
Il existe 3 types de paquets de mise à jour :
  • les paquets Gmalcore (latest_malcore) : ces paquets contiennent uniquement les mises à jour des moteurs et des bases des antivirus utilisés par Malcore

  • les paquets sandbox (latest_sandbox) : ces paquets contiennent des mises à jour des signatures et des modules utilisés par les sandbox du moteur Gnest

  • les paquets complets (latest_full) : ces paquets sont une combinaison des 2 précédents paquets

Ces paquets peuvent être installés de façon :