3. Intelligence
3.1. Externe
Menu : Administrators > GCenter > Third-Party Modules > Intelligence
Pour avoir un rapport d'analyse détaillé du fichier détecté sur le GCENTER , il est nécessaire d'établir une connexion entre celui-ci et la plateforme connectée Intelligence. Suite à cette connexion, l'opérateur sera capable d'envoyer des fichiers à la plateforme Intelligence directement depuis l'interface.
L'état du statut de connexion entre le GCENTER et la plateforme Intelligence est donné avec la vue Interconnection status ci-dessous :
À noter que le lien entre les deux équipements de la solution GATEWATCHER est optionnel mais conseillé pour une utilisation optimale du produit une fois un malware détecté.
L'interconnexion peut être vérifiée en un seul clic par l'administrateur depuis la section Interconnection check-up en appuyant sur le bouton Test interconnexion.
Le résultat de ce test d'interconnexion sera affiché de la manière suivante :
Quelques informations sont nécessaires pour que le GCENTER puisse être connecté à la plateforme.
Certains champs sont à renseigner par l'administrateur depuis la section Interconnection settings en appuyant sur le bouton Settings.
Intelligence target : il s'agit de l'adresse du serveur Intelligence de Gatewatcher (https://intelligence.GATEWATCHER.com/gwapi/_).
Les cases Is the target server a GBOX ? et Disable SSL verification ne sont à cocher qu'en cas d'utilisation d'une GBOX. Une fois l'adresse renseignée, l'administrateur doit sauvegarder l'information en cliquant sur Save.
Analysis mode : correspond au mode d'analyse du fichier envoyé au serveur Intelligence : Online ou Offline.
Intelligence usermail : adresse e-mail du compte intelligence à laquelle un mail sera envoyé. Celui-ci contiendra un jeton permettant de connecter un GCENTER à https://intelligence.GATEWATCHER.com/packages/list/.
Output interface est l'interface du GCENTER par laquelle il communiquera avec le serveur Intelligence.
Une fois le mail contenant le token de connexion reçu, il sera nécessaire de renseigner le champ Intelligence secret token :
Ce token est unique par compte utilisateur mais peut-être utilisée sur plusieurs GCENTER. L'activation d'un nouveau token s'ajoutera à la liste des autres tokens liés à l'adresse mail.
La dernière étape pour l'activation du service consiste à cocher la case 'Enable interconnection'. Puis cliquer sur Save ou Regenerate Token.
Une fois le service activé, le statut au niveau du champ Interconnection status est modifié : le lien entre le GCENTER et la plateforme Intelligence est opérationnel.
Une fois le lien établi, les utilisateurs pourront télécharger un échantillon détecté depuis la plateforme d'analyse et le faire passer sous les moteurs d'Intelligence. Les rapports d'analyse détaillés de ces échantillons pourront être récupérés depuis la section Malcore d'Inspectra.
Suite à cette connexion, l'administrateur pourra être capable d'envoyer des fichiers à la plateforme Intelligence pour une analyse plus approfondie et télécharger le rapport.
La section Remote analysis settings permet à l'administrateur de rester anonyme lors de l'envoi d'échantillons à la plateforme si l'option Private remote analysis est activée.
Si la case 'Enabled' n'est pas cochée et/ou que l'administrateur ne sauvegarde pas en appuyant sur Save alors, les autres utilisateurs de la plateforme Intelligence pourront voir le détail de chacune des analyses que l'administrateur fera.
3.2. GBox
Menu : Administrators > GCenter > Third-Party Modules > Intelligence
Tout comme la connexion aux service Intelligence de Gatewatcher, l'utilisation d'une GBox permet d'effectuer une analyse approfondie des malware détectés par Malcore à la différence près que l'utilisation d'une GBox permet cela sans avoir à envoyer d'information à un service externe. La GBox est un équipement physique installé au sein de l'infrastructure, avec les autres équipements de la solution TRACKWATCH.
L'état du statut de connexion entre le GCENTER et la GBOX est donné avec la vue Interconnection status ci-dessous:
L'interconnexion peut être vérifiée en un seul clic par l'administrateur depuis la section Interconnection check-up en appuyant sur le bouton Test interconnexion.
Le résultat de ce test d'interconnexion sera affiché de la manière suivante :
Une interconnexion doit être établie entre le GCENTER et la GBOX. Le lien entre les deux équipements fonctionne via une API (Application Programming Interface) qui permet d'envoyer des échantillons à la GBOX pour analyse et de récupérer les résultats des analyses.
Quelques informations sont nécessaires pour que le GCENTER puisse être connecté à la plateforme et puisse envoyer correctement la requête HTTP.
Certains champs sont à renseigner par l'administrateur depuis la section Interconnection settings en appuyant sur le bouton Settings.
Intelligence target : il s'agit de l'adresse de l'API de la GBOX (de la forme : https://adresse IP de la GBOX/gwapi/). Is the target server a GBOX ? : est à cocher pour indiquer l'utilisation d'une GBox Disable SSL verification : permet l'utilisation de certificat auto-signés. Analysis mode correspond au mode d'analyse du fichier envoyé au serveur Intelligence : Offline ou Online.
Intelligence usermail : n'est pas nécessaire dans le cas de l'utilisation d'un GBox
Output interface est l'interface physique du GCENTER par laquelle il communiquera avec le serveur GBOX.
La dernière étape pour l'activation du service consiste à cocher la case Enable interconnection. Puis cliquer sur Save.
Une fois le lien établi, les utilisateurs pourront télécharger un échantillon détecté depuis la plateforme d'analyse de renseignement et le faire passer sous les moteurs de la GBox. Les rapports d'analyse détaillés de ces échantillons pourront être récupérés depuis la partie Inspectra - MALCORE.
Une fois le service activé, le statut au niveau du champ Interconnection status est modifié : le lien entre le GCENTER et la GBox est opérationnel.
En ce qui concerne l'analyse dans la GBOX, le template (model) utilisé pour les échantillons peut être spécifié dans la requête. Si le template n'est pas spécifié dans la requête, les échantillons sont analysés en utilisant celui présent par défaut dans la GBOX qui doit donc être paramétré au préalable. Les échantillons sont transmis au format binaire brut.
La section Remote analysis settings n'est pas utile à l'administrateur dans ce choix d'infrastructure, la GBOX étant un serveur dédié au sein de la solution.