9.2.3. Procédure de surveillance des moteurs d'analyse
9.2.3.1. Introduction
9.2.3.2. Prérequis
Utilisateur : membre du groupe Administrators
9.2.3.3. Opérations préliminaires
Se connecter à la GBox via un navigateur (voir la Connexion à l'interface web via un navigateur internet).
9.2.3.4. Procédure d'accès à l'écran `Analysers`
Après appui sur la commande `Analysers`, l'écran suivant est affiché.
Repère |
Moteur |
Fonction du moteur |
|---|---|---|
1 |
Analyse statique |
|
2 |
Détection des shellcodes |
|
3 |
Détection de noms de domaine |
|
4 |
Analyse dynamique dans une machine virtuelle |
|
5 |
Analyse statique et heuristique |
Pour chacun des moteurs, les informations suivantes sont affichées :
Repère |
Nom |
Moteur Grip |
Moteur Goasm |
Moteur Gdgadetect |
Moteur Gnest |
Moteur Gmalcore |
|---|---|---|---|---|---|---|
1 |
Type |
Analyse statique |
Détection des shellcodes |
Détection de noms de domaine générés par des DGA (Domain Generation Algorithm) |
Exécute le fichier dans une machine virtuelle et analyse son comportement |
Analyse statique et heuristique multi-moteurs |
2 |
Capacités |
Analyse |
Donne un score de la dangerosité potentielle et nomme le shellcode détecté |
Donne un score de compromission |
Nomme le problème détecté |
Donne un score de la dangerosité potentielle et nomme le problème détecté |
3 |
Config |
Non configurable donc ce champ n'est pas affiché |
Gestion des machines virtuelles (ajout, suppression, historisation) |
Gestion des moteurs de Gmalcore |
||
4 |
x jobs : nombre de tâches en cours (statut de l'analyse NEW + IN PROGRESS) |
Nombre de tâches en attente de traitement |
||||
5 |
Capacité à effectuer des analyses |
Ce moteur n'a pas d'exigences donc toujours à l'état |
Le moteur est à l'état
`ready` s'il y a le même nombre de VM dans la GBoxet dans CAPE (le moteur d'analyse dynamique)
|
Le moteur est à l'état
`ready` si tous les moteurs sont installéset l'API est up
|
||
6 |
Etat du moteur |
UP : l'api du moteur est en écoute : DOWN : l'api du moteur est non actif |
||||
`Analysers`, l'écran suivant est affiché.
Repère |
Moteur |
Fonction du moteur |
|---|---|---|
1 |
Analyse statique |
|
2 |
Détection des shellcodes |
|
3 |
Détection de noms de domaine |
|
4 |
Analyse dynamique dans une machine virtuelle |
|
5 |
Analyse statique et heuristique |
Pour chacun des moteurs, les informations suivantes sont affichées :
Repère |
Nom |
|---|---|
1 |
Type |
2 |
Capacités |
3 |
Config (présent uniquement pour certains moteurs) |
4 |
x jobs |
5 |
Statut |
6 |
Etat du moteur |
9.2.3.5. Procédure de vérification du bon état des moteurs
Vérifier que chaque moteur soit bien dans l'état
`UP`.
Astuce
Si l'état du moteur (Grip, Goasm, Gdgadetect ou Gnest) est`DOWN`, attendre un moment.Si le moteur reste dans l'état`DOWN`, contacter le support de Gatewatcher.
Vérifier que chaque moteur soit bien dans le statut
`Ready`.
Astuce
Le statut
`Not Ready`pour le moteur Gmalcore ne signifie pas forcément que ce dernier n'est pas en capacité d'effectuer des analyses mais indique qu'au moins un des 16 moteurs antivirus n'est pas à jour ou est hors service.
Vérifier le bon état des moteurs Gmalcore : voir la Procédure de configuration du moteur Gmalcore.
9.2.3.6. Procédure de mise à jour des moteurs Gnest et Gmalcore
les paquets Gmalcore (latest_malcore) : ces paquets contiennent uniquement les mises à jour des moteurs et des bases des antivirus utilisés par Malcore
les paquets sandbox (latest_sandbox) : ces paquets contiennent des mises à jour des signatures et des modules utilisés par les sandbox du moteur Gnest
les paquets complets (latest_full) : ces paquets sont une combinaison des 2 précédents paquets
Ces paquets peuvent être installés de façon :
Si l'installation doit être manuelle, voir la procédure d'Installation manuelle d'une mise à jour des signatures (update)
Si l'installation doit être automatique, voir la Configuration de la mise à jour automatique via GUM.