2.8. Résultats et rapport d'analyse
Si un fichier est envoyé à un serveur distant (GBox ou site intelligence), l'analyse est effectuée par le serveur distant et elle peut être téléchargée sous forme d'un rapport en format pdf.
Ce rapport est composé :
- d'un niveau de menace (1)
`Threat level`
Ce score est calculé à partir du score d'analyse retourné par les différents moteurs actifs de la GBox dans le modèle au moment de la détection - la partie (2)
`Analysers statuses`
Cette partie liste les moteurs activés lors de l'analyse et leurs résultats.Pour exemple, le moteur Gnest n'est pas activé donc non affiché.Cette partie indique quelle analyse a été faite mais en aucun cas le résultat de l'analyse :`grip analysis: Success`
: l'analyse du moteur Grip (3) a été faite`goasm analysis: Success`
: l'analyse du moteur Goasm (4) a été faite`gmalcore analysis: Failed`
: l'analyse du moteur Gmalcore (5) a échouéle résumé des étapes de l'analyse (6) qui affiche :
- la liste des moteurs utilisés : ici grip, Goasm et Gmalcore
- le résultat de l'analyse pour chacun des moteurs : ici pour Gmalcore, la croix indique que l'analyse par Gmalcore ne s'est pas faite contrairement aux deux autres moteurscoté droit, le résultat de l'analyse de la GBox : ici l’icône signifie erreur
la partie (7)
`Analysis`
donne les informations sur l'analyse : le hash, le modèle et la datela partie (8)
`Sample`
donne les informations sur l'échantillon : le nom de fichier et sha256la partie (9)
`Errors`
donne les informations sur l'origine de la défaillance de l'analyse : ici le moteur Gmalcore ne marche pas.. d'où pas de réponse de sa partles parties détaillants les analyses:
Titre de la partie |
Description |
Est activé par le moteur |
---|---|---|
|
Valeurs des options utilisées pour l'analyse |
Grip et Gnest |
|
Liste des actions effectuées (fichiers, base de registres, réseau, processus...) |
GNEST |
|
Les TTPs analysent le fonctionnement d’un acteur malveillant, elles décrivent comment les cyberattaquants orchestrent, exécutent et gèrent les attaques opérationnelles.
Les TTPs contextualisent une menace. Elles révèlent les étapes ou les actions prises par des acteurs malveillants lors de de l’exfiltration de données par exemple.
|
GNEST |
|
Métadonnées |
GRIP |
|
Informations sur le fichier (taille, différents hash, type...) |
GNEST |
|
Liste des moteurs (Entry#x) et nom de la menace retournée par le module Gmalcore (ou n/a) |
Gmalcore |
|
Résultat de la détection de shellcode |
GOASM |
|
Liste des signatures yara correspondant au fichier analysé |
Gnest |
|
Représentation graphique de l'arbre de processus |
Gnest |
Pour la procédure d'analyse d'un rapport, voir la Procédure d'analyse des rapports d'analyse.