Le GCenter permet d'analyser les fichiers venant de la sonde GCap.
A l'issue de cette analyse faite par les différents moteurs du GCenter, cette analyse définit différents états entre sain et malicieux.
Pour les états intermédiaires (Infected et Suspicious) définis par les moteurs Malcore et Rétroact du GCenter, un doute peut exister à l'issue de l'analyse.
Afin d'avoir une analyse approfondie des malwares, le GCenter peut se connecter :
2.6.3.1. Site Intelligence
Le GCenter envoie les fichiers (définis comme suspicieux ou infected) vers le site Intelligence.
Ces fichiers sont analysés par les moteurs d'Intelligence et le site renvoie un rapport d'analyse détaillé par fichier reçu.
Le rapport d'analyse est visible sur le GCenter pour être lu par un analyste.
Il est nécessaire d'avoir un compte Intelligence pour pouvoir se connecter.
Ce compte permet de connecter plusieurs GCenters au site Intelligence.
La connexion au site Intelligence nécessite un paramétrage.
Les fichiers peuvent être envoyés :
A la réception du rapport, il est possible de le consulter (voir la Procédure d'analyse des rapports d'analyse).
2.6.3.2. Envoi des fichiers à la GBox
Le GCenter envoie les fichiers (définis comme suspicieux ou infected vers la GBox, équipement physique installé au sein de l'infrastructure.
Les fichiers (définis comme suspicieux ou infected) peuvent être envoyés automatiquement ou manuellement.
Ces fichiers sont analysés par les moteurs définis dans le modèle de la GBox et la GBox renvoie un rapport d'analyse détaillé par fichier reçu.
Ce fichier est visible sur le GCenter pour être lu par un analyste.
La connexion à la GBox nécessite un paramétrage.
Après cette connexion, une API (Application Programming Interface) permet d'envoyer des échantillons à la GBox pour analyse et de récupérer les résultats des analyses :
Les fichiers peuvent être envoyés :
A la réception du rapport, il est possible de le consulter (voir la procédure Procédure d'analyse des rapports d'analyse).