2.8. Résultats et rapport d'analyse

Si un fichier est envoyé à un serveur distant (GBox ou site intelligence), l'analyse est effectuée par le serveur distant et elle peut être téléchargée sous forme d'un rapport en format pdf.

../_images/RAPPORT.PNG

Ce rapport est composé :

  • d'un niveau de menace (1) `Threat level`
    Ce score est calculé à partir du score d'analyse retourné par les différents moteurs actifs de la GBox dans le modèle au moment de la détection
  • la partie (2) `Analysers statuses`
    Cette partie liste les moteurs activés lors de l'analyse et leurs résultats.
    Pour exemple, le moteur Gnest n'est pas activé donc non affiché.
    Cette partie indique quelle analyse a été faite mais en aucun cas le résultat de l'analyse :

    • `grip analysis: Success` : l'analyse du moteur Grip (3) a été faite

    • `goasm analysis: Success` : l'analyse du moteur Goasm (4) a été faite

    • `gmalcore analysis: Failed` : l'analyse du moteur Gmalcore (5) a échoué

    • le résumé des étapes de l'analyse (6) qui affiche :

      • la liste des moteurs utilisés : ici grip, Goasm et Gmalcore
      • le résultat de l'analyse pour chacun des moteurs : ici pour Gmalcore, la croix indique que l'analyse par Gmalcore ne s'est pas faite contrairement aux deux autres moteurs
        coté droit, le résultat de l'analyse de la GBox : ici l’icône signifie erreur

  • la partie (7) `Analysis` donne les informations sur l'analyse : le hash, le modèle et la date

  • la partie (8) `Sample` donne les informations sur l'échantillon : le nom de fichier et sha256

  • la partie (9) `Errors` donne les informations sur l'origine de la défaillance de l'analyse : ici le moteur Gmalcore ne marche pas.. d'où pas de réponse de sa part

  • les parties détaillants les analyses:

Titre de la partie

Description

Est activé par le moteur

`Analysis options`

Valeurs des options utilisées pour l'analyse

Grip et Gnest

`Iocs`

Liste des actions effectuées (fichiers, base de registres, réseau, processus...)

GNEST

`Ttps`
Les TTPs analysent le fonctionnement d’un acteur malveillant, elles décrivent comment les cyberattaquants orchestrent, exécutent et gèrent les attaques opérationnelles.
Les TTPs contextualisent une menace. Elles révèlent les étapes ou les actions prises par des acteurs malveillants lors de de l’exfiltration de données par exemple.

GNEST

`Static`

Métadonnées

GRIP

`Overview`

Informations sur le fichier (taille, différents hash, type...)

GNEST

`Heuristic`

Liste des moteurs (Entry#x) et nom de la menace retournée par le module Gmalcore (ou n/a)

Gmalcore

`Shellcode`

Résultat de la détection de shellcode

GOASM

`Signatures`

Liste des signatures yara correspondant au fichier analysé

Gnest

`Process Tree`

Représentation graphique de l'arbre de processus

Gnest

Pour la procédure d'analyse d'un rapport, voir la Procédure d'analyse des rapports d'analyse.